Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU Fondamentaux de la Sécurité • • • • Nouveautés Sécurité Vista UAC Audit Renforcé Pare-Feu Fondations Windows Vista Reprise des Fonctionnalités de Sécurité de Windows.
Download ReportTranscript Séminaire Windows Seven Mardi 16 Juin 2009 Diagora Toulouse Frédéric AGNES Christopher MANEU Fondamentaux de la Sécurité • • • • Nouveautés Sécurité Vista UAC Audit Renforcé Pare-Feu Fondations Windows Vista Reprise des Fonctionnalités de Sécurité de Windows.
Slide 1
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 2
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 3
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 4
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 5
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 6
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 7
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 8
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 9
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 10
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 11
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 12
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 13
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 14
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 15
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 16
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 17
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 18
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 19
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 20
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 21
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 22
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 23
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 24
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 25
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 26
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 27
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 28
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 29
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 30
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 31
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 32
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 33
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 34
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 35
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 36
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 37
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 38
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 39
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 40
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 41
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 42
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 43
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 44
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 45
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 46
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 47
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 48
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 49
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 50
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 51
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 52
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 53
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 54
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 55
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 56
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 57
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 58
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 59
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 60
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 61
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 62
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 63
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 64
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 2
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 3
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 4
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 5
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 6
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 7
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 8
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 9
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 10
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 11
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 12
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 13
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 14
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 15
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 16
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 17
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 18
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 19
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 20
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 21
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 22
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 23
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 24
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 25
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 26
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 27
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 28
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 29
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 30
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 31
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 32
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 33
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 34
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 35
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 36
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 37
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 38
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 39
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 40
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 41
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 42
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 43
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 44
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 45
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 46
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 47
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 48
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 49
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 50
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 51
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 52
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 53
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 54
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 55
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 56
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 57
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 58
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 59
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 60
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 61
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 62
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 63
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support
Slide 64
Séminaire Windows Seven
Mardi 16 Juin 2009
Diagora
Toulouse
Frédéric AGNES
Christopher MANEU
Fondamentaux de la Sécurité
•
•
•
•
Nouveautés Sécurité Vista
UAC
Audit Renforcé
Pare-Feu
Fondations Windows
Vista
Reprise des Fonctionnalités de
Sécurité de Windows Vista
• Code Sécurisé dès la conception
• Protection du Système
• UAC – User Account Control
Apport de Windows 7
• UAC optimisé
• Audit Amélioré
User Account Control
Amélioration de
l’auditing
Pourquoi UAC ?
•
Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures
– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !
– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !
•
User Account Control
– Introduit avec Windows Vista
– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur
– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation
quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire
son chemin…
Un changement de paradigme pour
Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement
depuis le commencement
– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root
– Le système encourage à cela ; si vous lisez un mail comme root,
vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter
– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges
pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations
privilégiées pour un oui ou pour un non, par exemple modifier les
clés de la base de registre de l’OS
Les types d'utilisateurs Windows
• L’administrateur
Hors service par défaut avec Vista
– Le compte nommé ‘Administrateur’
• Un administrateur
Le défaut pour XP
– Votre nom avec des privilèges d’administration
• Administrateur protégé
Nouveau avec Vista – Le défaut
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
Le plus sécurisé – Meilleur choix IT
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges
administrateur
• Demande de consentement pour élever les privilèges
– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même
– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges
d’administration
Elévation de privilèges pour
l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)
• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation
• Vous demande un mode passe pour un compte
administrateur
– OTS présuppose qu’une autre
personne détient le mot de passe
administrateur
– Mot de passe requis – l’utilisateur
standard ne dispose pas d’un jeton
administrateur au sein de son
processus
Que sont ces élévations ?
• Certaines sont nécessaires
– Installer ou désinstaller du logiciel
– Changer le paramétrage du pare-feu
– Changer l’heure et la date du système
– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires
– Utilisation par les applications de clés inappropriées de la base de
registre
– Changement d’une time zone
– Visualiser le paramétrage du système
La fatigue induite par des
consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de
consentement UAC
• Que veut dire « trop nombreux » ?
– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…
– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos
?»
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait
que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela
soit vraiment nécessaire
Amélioration des applications au cours
du temps
UAC Windows 7
Le système fonctionne pour un
utilisateur standard
Tous les utilisateurs, y compris les
administrateurs protégés tournent
sans privilèges d’administration par
défaut
Les administrateurs utilisent les
pleins privilèges uniquement pour
les taches administratives ou les
applications qui en ont besoin
Défis
L’utilisateur doit fournir un
consentement explicite avant
d’élever ses privilèges
Mettre hors service UAC supprime
les protections, pas seulement la
demande de consentement
Rationalise UAC
Réduit le nombre d’applications de
l’OS et de tâches qui requièrent
une élévation
Refactorise les applications en
éléments nécessitant une
élévation/ne le nécessitant pas
Comportement flexible de la
demande de consentement pour
les administrateurs
Apport pour les utilisateurs
Les utilisateurs peuvent faire
davantage de choses comme un
utilisateur standard
Les administrateurs verront moins
de demandes de consentement
d’élévation par UAC
Les niveaux possibles de
confirmation d’UAC
• High (Le plus sécurisé)
– Demande confirmation pour toutes les actions d’élévation
• Medium High
– Demande confirmation pour toutes les actions d’élévation
– Le bureau sécurisé est mis hors service
• Medium
– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de
niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers
– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)
– UAC s’exécute en mode silencieux (la politique existe avec Vista)
– Ne demande confirmation que pour les binaires bloqués
– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7
• A partir de la RC
– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges
• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner
– Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Nouveaux événements basés XML
Support d’un auditing à grain fin des
l’utilisation des privilèges
d’administration
Filtrage simplifié du « bruit » pour
trouver l’événement que l’on recherche
Liaison des tâches avec les événements
Les défis
La configuration d’un auditing granulaire
est complexe
Auditer l’accès et les privilèges pour un
groupe d’utilisateurs est problématique
Amélioration de l’auditing
Configuration simplifiée pour un TCO
plus bas
Possibilité de démontrer pourquoi une
personne a eu accès à une information
spécifique
Possibilité de comprendre pourquoi
une personne s’est vue refuser l’accès à
une information spécifique
Possibilité de tracer tous les
changements effectués par des
personnes spécifiques ou des groupes
Les principales raisons pour auditer
• Conformité réglementaire
– SOX : protéger les données financières
– HIPAA : protéger les données patients/médicales
– PCI : protéger les cartes de crédit/les données des clients
– …
• Surveillance de la sécurité
– Activité système, utilisateur et données
• Investigations/Analyses légales
– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit
• Pourquoi a-t-on besoin d’une politique d’audit ?
– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?
– Coûteux : Générer, collecter et stocker les événements
– Utilisation de ressources : CPU, disque, etc.
Métiers
Conformité
Architectes sécurité
Besoins légaux
RH
…
Opérations
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003
– 9 catégories d’audit
Politique d'audit Windows Vista
• Taille configurable du journal d’événement
• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Windows Vista
Windows 2003
Les limites de la politique d'audit
avec Windows Vista
– PAG non intégré avec les politiques de groupe
• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account
management" /success:enable /failure:enable
...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt%
%systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
Politique d'audit avec Windows 7
Intégration de PAG avec les PG
• Création des politiques de groupe granulaires
– Expérience de la console d’administration des politiques des groupes
– Modélisation
• Déploiement
– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU
• Rapports pour conformité et diagnostics
• Gestion centralisée
Les données d'audit avec Windows Vista
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit
– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe
administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »
– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a
la bonne SACL
• On peut utiliser des modèles de sécurité mais :
– La propagation est coûteuse
– L’unité maximale de configuration est un disque ou une ruche de la base de
registre
– Il est à peu près impossible de revenir en arrière
– Rapport
• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier
– Système de fichiers
– Base de registre
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données
d'audit avec Windows 7 – Global
Access Object Auditing
• On ne peut passer outre sur des objets individuels
– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL
– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour
• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du
groupe administrateur sur les serveurs
disposant d’informations financières »
Activités relatives aux données
d'audit avec Windows 7 – Raison pour
accéder
• Pierre a mis à jour jan2009_sales.xls
– Comment en a-t-il obtenu la permission ???
Ouvrir Document
WinWord
Ouvrir fichier
Access Control
NTFS
Audit Module
Noyau
Activités relatives aux données d'audit
avec Windows 7 – Raison pour accéder
Requête d’accès dans un événement Open Handle avant Windows 7
A handle to an object was requested.
Subject:
Access Reasons:
Security ID:
Account Name:
Account Domain:
Logon ID:
Object:
Object Server:
Object Type:
Object Name:
Handle ID:
Process Information:
Process ID:
Process Name:
Access Request Information:
Transaction ID:
Accesses:
READ_CONTROL: Granted by Ownership
CONTOSO-DEMO\Pierre
SYNCHRONIZE:
Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Pete
ReadData (or ListDirectory):
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
CONTOSO-DEMO Granted by
WriteData (or AddFile):
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
0x352af
AppendData (or AddSubdirectory
or CreatePipeInstance):Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
ReadEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
WriteEA:
Granted by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Security by
ReadAttributes: Granted
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
File
WriteAttributes: Granted
by
D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
C:\Sales\jan2009_sales.xls
0x120
Raisons d’accès événement Open Handle Windows 7
0x1a7c
C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
{00000000-0000-0000-0000-000000000000}
READ_CONTROL
SYNCHRONIZE
ReadData (or ListDirectory)
WriteData (or AddFile)
AppendData (or AddSubdirectory or CreatePipeInstance)
ReadEA
WriteEA
ReadAttributes
WriteAttributes
Sécuriser les accès depuis n’importe où
Sécurité réseau
Network Access
Protection
DirectAccessTM
Segmentation du réseau
fondée sur des politiques
pour des réseaux plus
sécurisés et isolés
logiquement
Assurer que seules les
machines en « bonne
santé » peuvent accéder
aux données de
l’entreprise
Connexion sécurisée, sans
couture et toujours disponible
au réseau d’entreprise
Différents profils de parefeu actifs
Permettre aux machines
« en mauvaise santé » de
se « réparer » avant
d’avoir accès
Sécurité cohérente pour tous
les scénarios d’accès
Support de DNSSEC
Amélioration de la gestion des
utilisateurs distants
Amélioration de
l’auditing
Audit de
l’Accès Global aux Fichiers
• Audit de l’Accès Global
Possibilité de déterminer quels sont les fichiers consultés par un groupe
d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows
• Configuration destinée à l’utilisateur final
• Permet une gestion facile
Profils des emplacements réseau et du pare-feu
• Public : Hot Spots publics tels que les aéroports ou les cafés
• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison
• Domaine : Détecté automatiquement
Paneau de contrôle pare-feu Vista
• Seul
un profil est
Plusieurs
profils
actif à un instant
donné
pare-feu
actifs
de
• Plusieurs réseaux : le
•Plusieurs profils actifs en
profil le plus sécurisé
même temps
est appliqué (le plus
restrictif)
En résumé
• Vista : Un seul profil de pare-feu actif
– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif
– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs
– Règles obligatoires en fonction des emplacements réseau respectifs
– Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés
Amélioration quand on est
L’IHM
ne liste
connecté
à unque
seulles
ou à
paramétrages
du profil
pluisieurs réseaux
courant
Vista : Paramétrage du pare-feu
Notification applicative
Vista :
Windows 7 :
Seul le profil courant
L’utilisateur
est affiché peut autoriser
les programmes pour tous
les réseaux et éviter ainsi
les demandes de
consentement
Windows 7 : Liens additionnels
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du
paramétrage
par défaut
Troubleshooting
Windows Firewall with Advanced
Security (WFAS)
• Accédé à travers
– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu
– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :
– En local
– Ordinateurs distants
– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu
• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de
précédance
•
•
•
•
Evitement authentifié
Bloquer
Autoriser
Action par défaut
• Action par défaut en entrant – bloque pour tous
les profils
• Action par défaut en sortant – autorisé pour tous
les profils
Page d'accueil WFAS
– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)
– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en
service
Support WFAS pour les exceptions utilisateur
et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des
ordinateurs (et les security principals) aux applications à travers les
règles du pare-feu
Configuration WFAS pour les plages
de ports
• Maintenant support des plages de ports dans les règles du pare-feu
• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles
actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des
portions du pare-feu Windows
– Politique du pare-feu
– Politique IPsec
– Politique au moment de l’amorçage
– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services
LogsMicrosoftWindowsWindows Firewall with Advanced
Security Firewall
Sécurité des connexions : Open event viewer Applications and
Services LogsMicrosoftWindowsWindows Firewall with
Advanced Security ConectionSecurity
Au-delà des Frontières de
l’Entreprise
• Sécurité Réseau
• NAP
• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible
au sein de Windows 7 et Windows Server 2008 R2
– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants
– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance
– Facilite une communication et une collaboration sécurisée, de bout en bout
– Tire parti d’une approche d’accès au réseau fondée sur des politiques
– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Direct Access
Internet
Serveurs NAP
/ NPS
Client
conforme
Client
conforme
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Serveur de prévention
des DoS
(Futur : UAG)
Utilisateur
ENTREPRISE
Data Center et ressources
critiques
ENTREPRISE
Réseau
conforme
Utilisateur
ENTREPRISE
Présuppose que le réseau sousjacent est toujours non sécurisé
Redéfinit la frontière du réseau
ENTREPRISE pour isoler les
Datacenter et les ressources
métier critiques
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Plus de productivité
Accès permanent au
réseau de l’entreprise
alors qu’on est en
déplacement
Pas d’action explicite de
l’utilisateur – « it just
works »
Même expérience
utilisateur au sein des
murs de l’entreprise et en
dehors
Plus de sécurité
Terminal en bonne santé
et digne de confiance quel
que soit le réseau
Contrôle à « grain fin »
des politiques par
application et serveurs
Politique de contrôle plus
riche et proche du
terminal à gérer
Possibilité d’étendre la
conformité réglementaire
aux PC en mouvement
permanent
Chemin de déploiement
incrémental vers IPv6
Plus facile à gérer
à meilleur coût
Gestion à distance
simplifiée des ressources
mobiles comme si elles
étaient sur le LAN
Meilleurs coûts de
possession total (TCO)
avec une infrastructure
« toujours gérée »
Accès sécurisé unifié pour
tous les scénarios et tous
les réseaux
Administration intégrée de
tous les mécanismes de
connexion
Protéger les utilisateur et l’infrastructure
AppLockerTM
Permet la standardisation des
applications au sein de
l’entreprise sans augmenter le
TCO
Améliore la sécurité pour
protéger contre les pertes de
données et de vie privée
Supporte la mise en vigueur de
la conformité
Internet Explorer 8
Récupération des
données
Protège les utilisateurs
contre l’ingénierie sociale et
les attaques de la vie privés
Sauvegarde et
restauration de fichiers
Sauvegarde image
CompletePC™
Restauration système
Copies miroirs de
volumes
Retour en arrière sur
volume
Protèges les utilisateurs
contre les exploits
navigateurs
Protège les utilisateurs
contre les exploits serveur
Application Locker
Élimination des applications
inconnues/indésirables du réseau
Renforce la standardisation des
applications dans toute l'entreprise
Création et administration simples de
règles via la stratégie de groupe
Protéger des données des
utilisateurs non autorisés
• RMS
• EFS
• Bitlocker
Bitlocker
• Vista
– Cryptage d’un volume
• Vista SP1
– Cryptage de plusieurs volumes
• Seven
– Cryptage de plusieurs volumes
– Cryptage de supports amovibles
– « BitLocker to Go »
Protection des données sur les disques internes et
amovibles
Obligation du chiffrement via les stratégies de groupe
Stockage des informations de récupération dans
Active Directory
Simplification de la mise en œuvre de BitLocker et de
la configuration du disque dur principal
+
Gestion du Poste de Travail
•
•
•
•
Intégration avec Windows Server 2008
Le PowerShell
Journaux
PSR – Enregistrement d’Actions Utilisateurs
Intégration avec
Windows Server 2008
Le PowerShell
Les Outils de Diagnostic
Le Support