Qu’est-ce qu’un poste de travail sécurisé ?

1,407 views
1,266 views

Published on

Face à la prolifération des menaces qui pèsent sur le système d’information, l’axe de réponse passe par la sécurité du poste de travail. Au cours de cette session, un panorama des menaces et des contre-mesures sera dressé. Vous verrez, ensuite, comment mettre en œuvre les principes de base : configurations de sécurité, gestion des correctifs, audit et contrôle de la conformité… Enfin, différents scénarios d’amélioration seront présentés.

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,407
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
55
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Est-cequel’ondoitappliquertoutesces techno à l’ensemble des postes de travail ?
  • Qui a déjà déployé SCM ?
  • Qui connait EMET ?
  • Gestion de la sécurité: mise en pratique et le suivi d’application de vos stratégies – vos stratégies peuvent être complétés par les modèles proposés par Microsoft (Microsoft Security Compliance Manager), suivi des stratégies et de la remédiation (DCM), suivi de l’état d’application des patches de sécurité, d’état de chiffrement des disques avec Bitlocker, des mises à jour des signatures d’antivirus et des infections en cours…
  • Automatic deployment rules – using a rich set of criteria you can define the types of updates that you want to automatically approve and deploy within your environment. Configuration Manager will automatically check with Windows Update or Microsoft Update to see if there are any new updates that match your rule definition. This type of functionality is a great way to keep your environment up-to-date with the latest updates. It is especially important for scenarios such as definition updates, since these are released multiple times a day.Role-based administration – both Configuration Manager 2012 and Endpoint Protection 2012 now fully support role-based administration. This allows you to securely designate specific tasks to your security administrators and management administrators.Real time malware alerts – everyone that has been around for a security issue knows that time is very important. The quicker you know means the higher the chance that you can mitigate the impact of an issue. To help with this Endpoint Protection now provides real-time alerts for malware activity. This means from the console you can quickly get status from all your clients if there is a malware outbreak.Email subscriptions –now that we get the alerts to the console quickly, we also looked for ways to cut the figurative tether between you and the console. To help with this we added in email subscriptions. This means that you can subscribe to events like malware alerts and receive these alerts on your mobile device.
  • http://www.nsslabs.com/assets/noreg-reports/2012/Did%20Google%20pull%20a%20fast%20one%20on%20Firefox%20and%20Safari%20users_.pdf
  • UAG provides services to four types of audiences (from bottom up):Employees that are roamed with their laptops and need access. There are few reasons why they need UAG and not traditional VPN:Behind firewall most IPSec VPNs doesn’t work because they are UDP.Having the portal as one entry point for all corporate resources.No need to install and configure VPN client.Strong authentication (see next slides)Business partners / sub-contractors: today companies either provide them full VPN access which is almost irresponsible thing to do or just collaborate with them over e-mail. See the study in the end-point health slides for example about the risk of open the network for partners. Hostile environments like home PC, friends PC, Kiosk. “In any home where there is a teenager, the home PC is hostile environment….”Mobile devices – they are always outside the network.UAG Supports three types of applications delivery:Web / HTTP based where it acts as a reverse proxy. Among the tens of applications that are supported are:Exchange: Outlook Web Access, Outlook Anywhere (RPCoHTTP) and Exchange ActiveSync.SharePoint (all versions including 2007)Microsoft Dynamics CRM (3.0 and 4.0)Non-Microsoft applications such as IBM Lotus, IBM Domino, SAP portals, Oracle PeopleSoft, etcFor full list of applications that are supported today with IAG 2007 look here: http://technet.microsoft.com/en-us/library/cc303258.aspxTerminal Services applications that are served via Terminal Services Gateway that is embedded within UAG. UAG supports RemoteApp and RemoteDesktopNon-Web/HTTP applications by providing ad-hoc tunneling.
  • Administration dans le cloud pour les appareils WindowsAvantagesAucune infrastructure sur site n’estrequiseVousbénéficieztoujours des dernièresfonctionnalitésSurveillance et rapports simplifiésL’administrateurpeutgérer la sécurité et les mises à jour depuisn’importequel emplacement
  • Enterprise employees and partners—both within a single organization and across multiple entities—need to connect and collaborate securely from virtually any location and on any device. At the same time, they must prevent unauthorized use of confidential information wherever it resides—on servers, in documents, on portable devices, or elsewhere. Additionally, IT groups need to secure infrastructure from Web-based threats, intrusions, and attacks.  Microsoft’s Secure Desktop solution provides comprehensive protection encompassing three core scenarios- Malware ProtectionProvide defense in depth security against malware and constantly evolving web based threats. This is achieved by using Microsoft technologies at the edge of the network as well as on the client itself. Information ProtectionInformation must be protected while on the desktop, as it leaves the desktop in digital form, or on external drives.Uniform and consistent policies must be established and enforced with automated tools. Secure AccessLet users securely connect to information from any device or location—This includes providing protection across multiple layers and enabling secure remote access to an increasingly distributed workforce and business ecosystem. Secure Desktop solution provides an always-on, seamless remote connection for employees while enabling a secure way for partners and customers to collaborate.While Malware Protection, Information Protection, and Secure Access are the primary tenets of a Secure Desktop, there are two foundations that help contribute to its success: Simplified management – This focuses on creating a simplified experience for managing the components within the Secure Desktop Solution. The goal is to provide a unified console for managing and securing endpoints and improving visibility for identifying and remediating potentially vulnerable endpoints. Integration with proven Microsoft technologies – Security needs to be built in (not just bolted on) to the infrastructure and work across multiple platforms and environments. It should interoperate with existing IT and security infrastructure, and it should extend its capabilities to all servers and clients on the network, whether on the local area network (LAN) or at other organizations entirely. The components in Secure Desktop solution integrate well with the other Microsoft technologies to provide benefits of using existing infrastructure and reducing overall infrastructure costs. Each aspect of the Microsoft Business Ready Security solutions is exemplified by the features and benefits of the core products and technologies in the Forefront family.
  • La méthode de propagation des malwares la plus répondue en 2011 ?Quel est l’outil pour la gestion centralisée deBitlocker ?Quel est le meilleur l’outil de gestion de la sécurité des postes de travail Windows ?Quel est le navigateur internet le plus sécurisé ?Citez 2 ou 3 bonnes pratique de la sécurité.
  • Qu’est-ce qu’un poste de travail sécurisé ?

    1. 1. palais descongrèsParis7, 8 et 9février 2012
    2. 2. Quest-ce quun poste detravail sécurisé ? (CLI201)09/02/2012Arnaud JUMELET / Christophe CYGANConsultant sécurité / Ingénieur avant-venteMicrosoft France
    3. 3. Le PC dans l’entreprise en 2012 Fixe / Portable / Virtuel / Tablette Connecté : Wifi, 3G,... Avec du stockage local / dans le SI / dans le Nuage Avec des applications locales / distantes / virtualisées Avec des périphériques complémentaires
    4. 4. Les bénéfices d’un poste de travailsécurisé risques Augmentation de la Réduction des Permettre de et des coûts productivité nouveaux scénarios Réduction des coûts liés Réduction du temps Accès transparent au SI en aux vols de propriété passé à mettre à jour ou situation de mobilité avec intellectuelle et aux réparer les systèmes Direct Access. opérations urgentes lors compromis. des brèches du SI. Garantir l’accessibilité et Consommer des services Moins d’interruption de la disponibilité des hébergés dans le Cloud. services dues aux ressources critiques. attaques.
    5. 5. Panoramades menaces
    6. 6. Rapport SIR Volume 11 Worldwide Threat Assessment  Vulnerability trends  Exploit trends  Malware Regional Threat Assessment  105 countries/regions
    7. 7. Taux d’infection par systèmed’exploitation En ordinateurs nettoyés sur mille ordinateurs 32 64
    8. 8. % Des infections attribuées à chaque méthode de propagation. Source : MSRT 44.8% 26.0% 17.2% 3.2%4.4% Méthodes de propagation 2.4% 1.7% 0.3%
    9. 9. Vue d’ensemble
    10. 10. Quelques mesures de contrôle Authentification forte Moindre privilèges Utilisateur Contrôle des applications Gestion des correctifs Configurations de sécurité Application Chiffrement des données Droits numériques Données Chiffrement du disque Système Anti-malware Gestion des correctifs Configurations de sécurité Réseau Pare-feu Contrôle de conformité Contrôle daccès réseau
    11. 11. Correctifs Anti-malware Client SCCM Forefront Endpoint Protection Microsoft Update Internet Explorer 9 (SmartScreen) Système et Applications Réseau DirectAccess Security Compliance Client SCCM (DCM)Network Access Protection Données Manager AppLocker Authentification 802.1x AD RMS / EFS UAC IPSec BitLocker avec MBAM Configuration des Windows Local Firewall applications (IE et Office) BitLocker & BitLocker To Go Configuration Windows 7
    12. 12. Une histoire en 4 actes  Configurations de sécurité  La gestion des droits et des privilèges  Protection des données stockées
    13. 13. Protection de la plateforme Authentification Principe du moindre privilèg  Politique de mot de passe  Utilisateur Standard  Forte (carte à puce, etc.)  User Account Control (UAC) Protection des données Contrôle des périphériques  BitLocker / MBAM  Désactiver l’autorun  EFS  Restriction des interfaces  ADRMS Configurations de sécurité  Group Policy Object (GPO)  Security Compliance Manager (SCM)
    14. 14. BitLocker / MBAM
    15. 15. Une histoire en 4 actes  Lauthentification au niveau du réseau  Protection des communications  Contrôle des communications
    16. 16. Protection Réseau Authentification réseau  802.1x (filaire, wifi) Protection des communications  IPSec Contrôle des communications Windows Local Firewall
    17. 17. Une histoire en 4 actes  Contrôle des vulnérabilités techniques  Contrôles contre les codes malveillants  Contrôle des applications autorisées à s’exécuter
    18. 18. Protection et contrôle desapplications Application des correctifs :  System Center Configuration Manager (SCCM)  System Center Updates Publisher (SCUP)  Windows Server Update Services (WSUS) Contrôle des applications :  AppLocker  Anti-malware (Forefront Endpoint Protection) Protection des applications :  Enhanced Mitigation Experience Toolkit (EMET)  Microsoft Office Isolated Conversion Environment (MOICE)
    19. 19. AppLocker
    20. 20. Une histoire en 4 actes  Protection des informations du journal  Revue des journaux dévénement  Audit des mesures de sécurité
    21. 21. Audit et conformité Audit et conformité  Evénements et traces  System Center Desktop Error Monitoring (SCDEM)  Auditer les configurations de sécurité  Desired Configuration Management (DCM) Contrôle continu des mesures de sécurité  Network Access Protection (NAP)  DirectAccess Mise à jour des configurations de sécurité
    22. 22. Direct Access et NAP
    23. 23. Gestion de la sécurité
    24. 24. System Center 2012 EndpointProtectionNouvelle generation de Forefront Endpoint Protection2010 Infrastructure unifiée Protection Renforcée Administration Simplifiée Réduction des coûts de Protection contre les gestion de la sécurité menaces connues et L’interface commune pour la grâce à consolidation inconnues grâce aux protection et la gestion des de l’infrastructure de contrôles postes de travail et serveurs sécurité et de gestion comportementales, applicativ du parc es et réseau
    25. 25. Les couches de Protectionintégrées Dans SCEP 2012 Protections Réactives Protections Proactives (Contre des menaces (Contre des menaces encore Dans Windows 7 connues) inconnues) Couche Analyse Comportementale Microsoft Malware Dynamic Signature Protection Center Applicative Data Execution Address Space Layer Windows Resource Applocker Protection Randomization Protection Service Dynamic Translation & Couche Antimalware EmulationSystème de Fichiers Internet Explorer 8/9 BitLocker SmartScreen Couche Protection contre les vulnérabilités réseau (NIS) Résau Gestion centralisée du Firewall Windows
    26. 26. Nouveautés de SCEP 2012 Scenarios Forefront Endpoint Protection 2010 System Center 2012 Endpoint Protection Infrastructure unifiée System Center Configuration Manager 2007 System Center 2012 Configuration ManagerConsolidation installation Séparée Unifiée Déploiement des Client Processus de distribution de ConfigMgr Intégrée Mises à jour des signatures Multiples sources (WSUS, File Share, Microsoft Multiples sources avec les règles de déploiement Update) automatiques depuis la console ConfigMgrProtection Protection proactive Gestion du Firewall Windows Délégation d’administrationSimplification Alertes et supervision Les alertes en temps réel Rapports Les rapports additionnels autour de la gestion des utilisateurs
    27. 27. Protection contre les menacesréseau • Inspection du traffic HTTPS • Filtrage d’URLs • Analyse Anti-Virus en bordure du réseau
    28. 28. Mettez toutes les chances devotre coté http://www.nsslabs.com/assets/noreg- reports/2012/Did%20Google%20pull% 20a%20fast%20one%20on%20Firefox% 20and%20Safari%20users_.pdf
    29. 29. Gestion des accès réseau Réseau d’Entreprise Exchange CRM Tablettes/ Smartphones SharePoint IISTélétravail / IBM, SAP, Oracle Cybercafé Layer3 VPN Terminal / Remote Desktop Services HTTPS (443) Internet DirectAccess Non web Partenaires / AD, ADFS, soustraitants RADIUS, LDAP…. NPS, ILM Machines gerés par l’entreprise
    30. 30. Gestion de la sécurité sansinfrastructure En ligne Hébergé
    31. 31. Administrez et sécurisez les PC à distance  Protection contre les logiciels malveillants  Gestion des mises à jour  Administration proactive des PC  Assistance à distance  Inventaire matériel et logiciel  Règles de sécurité Solutions de mobilité Des PC sécurisés et administrés, que l’utilisateur soit au bureau ou en déplacement Les administrateurs et les partenaires peuvent également intervenir à distance
    32. 32. Synthèse
    33. 33. La Solution Poste de Travail Protection contre le Sécurisé de Protection L’ accès sécurisée malware l’information Protection multicouches Protection des données Accès sécurisés etcontre les malwares et les critiques quelle que soient permanents menaces en provenance leur emplacement du WEB La Gestion Simplifiée Intégration avec les technologies Microsoft éprouvées
    34. 34. Protection système Malware Accès Chiffrement Utilisateurréseau disque standard Contrôle des applications Configuration de sécurité Pare-feu Protection lorsque le malware Anti-malware s’exécute Correctifs Protection avant que le malware ne s’exécute Contrôle de conformité Protection avant l’arrivée du malware sur le poste
    35. 35. Malware BitLocker IE Protected Mode802.1x IE SmartScreen UAC Direct Access FEP DEP, ASLR,Windows WRP, MIC, KPP EMET Signature du codeFirewall WSUS SCCM Protection lorsque le malware AppLocker s’exécute IPSec NAP Protection avant que le malware ne s’exécute Audit DCM Protection avant l’arrivée du malware sur le poste
    36. 36. Questions pour vous (et goodies )Modifiez le titre de la démo
    37. 37. Bonnes pratiques Mettre en place les principes de base de la sécurité ! Correctifs de sécurité (pas uniquement Microsoft) Utilisateur non administrateur local  Ne pas accéder à Internet en tant qu’administrateur! Réduction des privilèges avec UAC Augmenter l’utilisation des configurations de sécurité par GPO Utilisation du pare-feu embarqué Anti-malware Versions OS plus récentes Chiffrement des postes mobiles (BitLocker) EMET pour protection des applications « legacy » Désactiver l’autorun Gestion du changement / formation pour les administrateurs
    38. 38. MERCI

    ×