Windows 8 et la sécurité

Windows 8 et la Sécurité

Bernard Ourghanlian
CTO & CSO
Microsoft France

Serveurs / Entreprise / Réseaux / IT

Avertissement
• De nombreuses nouvelles fonctionnalités de
sécurité de Windows 8 ne seront pas abordées
ici faute de temps – merci de bien vouloir m’en
excuser
• Des éléments complémentaires sont présentés
notamment pendant les sessions :
– Le modèle de sécurité des Windows Apps (SEC313)
– Mécanismes internes de la sécurité de Windows 8 (CLI301)

Sommaire
• Windows 8 : évolution de l’infrastructure en
matière de sécurité

• Windows 8 : contrôle d’accès dynamique et
classification des données

• Windows 8 : les fondamentaux
3

EVOLUTION DE
L’INFRASTRUCTURE DE SECURITE
Windows 8 : évolution de l’infrastructure en matière de sécurité

Windows 8 : contrôle d’accès dynamique et classification des données

Windows 8 : les fondamentaux
4

Infrastructure : nouveautés sécurité de Windows 8
Résistance contre les malwares
Protéger le terminal, les données et les
Protéger ressources de l’organisation en rendant le
contre et gérer
les menaces terminal sécurisé par défaut et moins
vulnérable aux effets du malware
Chiffrement omniprésent des terminaux
Protéger les
données Simplifier la gestion du provisionnement et de la
sensibles conformité des volumes chiffrés sur un plus
large ensemble de types de terminaux et de
technologies de stockage
Protéger Contrôle d’accès moderne pour des modes de
l’accès aux
ressources travail flexibles
Moderniser le contrôle d’accès et la gestion
des données tout en augmentant la sécurité
des données au sein de l’organisation 5

Résistance au malware : les problèmes
• Un malware peut compromettre le processus
de boot et l’intégrité de Windows
• Un malware peut se dissimuler de Windows et
des logiciels anti-malware
• Un malware peut se charger avant le logiciel
anti-malware et mettre ce dernier hors service
• L’antivirus est toujours à la traine derrière le
dernier malware
6

Résistance au malware : boot sécurisé et
évalué
• Boot sécurisé
– Protection de bout en bout du processus de boot
• OS loader Windows
• Fichiers système de Windows et pilotes de périphériques
• Logiciel anti-malware
– Fait en sorte d’empêcher
• Le démarrage d’un système d’exploitation compromis
• Un logiciel de démarrer avant Windows
• Un logiciel tiers de démarrer avant l’anti-malware
– Permet une remédiation automatique et l’auto-guérison

Windows 8 tire parti des évolutions du hardware

Universal Extensible Firmware Interface (UEFI)
• Une évolution majeure du BIOS traditionnel
• Une solution indépendante de l’architecture conçue pour tous les facteurs de forme
• Fournit le support pour de nouvelles possibilités en termes de sécurité tel que le
boot sécurisé

Trusted Platform Module (TPM)
• Un processeur de chiffrement de sécurité inviolable conçu pour effectuer des opérations de
chiffrement
• TPM v.Next (2.0) a été conçu pour adresser les besoins de certains pays et les préoccupations en
termes de coûts
• Peut être implémenté sous forme d’un composant discret ou au sein du firmware sur un SOC

Pourquoi UEFI ?
• Bénéfices clés pour la sécurité
– Boot sécurisé
– Support eDrive pour BitLocker
– Support du déverrouillage réseau pour BitLocker
– Support multicast pour WDS
• Une exigence pour obtenir le logo Windows
• Autres bénéfices
– Support SOC (ARM et Intel)
– Meilleure expérience utilisateur
• Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc.
– Support des disques système de plus de 2,2 To
– Boot « sans couture » (graphique UEFI)

Evolution du TPM
• Proposition de valeur du TPM
– Permet la mise en place d’une sécurité de qualité commerciale via l’isolation des clés
physiques et virtuelles de l’OS
– Spécification 1.2 : standard mature, des années de déploiement et de renforcement de la
sécurité
– Des améliorations dans le provisionnement du TPM en ont abaissé la barrière du
déploiement
• Evolution du standard du TCG : TPM v.Next (2.0)
– Extensibilité algorithmique permettant la mise en œuvre et le déploiement dans des
pays supplémentaires (remplacement des algorithmes de chiffrement)
– Les scénarios de sécurité sont compatibles avec TPM 1.2 ou 2.0
• Windows 8 : Support de TPM 2.0 permettant le choix
d’implémentation
– TPM discret
– TPM en firmware (ARM Trustzone, Intel Platform Trust Technology (PTT))
– Exigence pour le logo Windows pour AOAC (Always-On Always Connected) seulement

Séquence de boot traditionnelle (avec injection de
malware) Noyau
Drivers
MBR et OS Windows Démarrag
tiers Login
BIOS Boot Loader et e Anti-
(Malware malware Windows
Sector (Bootkit) Drivers
)
(Rootkit)

Séquence de boot
Windows 8 OS Early
Noyau
Loader Load Drivers Login Attestatio
UEFI Windows n distante
Windows Anti- tiers Windows
et Drivers
8 Malware

Boot sécurisé : BIOS vs. UEFI
Les processus de Tout code d’OS Démarrage de
BIOS
boot existants Loader l’OS

• Le BIOS lance n’importe quel OS loader, même du malware
• Maintenant le firmware rend obligatoire la politique de sécurité et ne
lance que des OS loaders dignes de confiance
• L’OS loader rend obligatoire la vérification de signature des
composants chargés ultérieurement
OS Loader
Boot sécurisé Démarrage de
UEFI 2.3.1 natif vérifié
l’OS
Windows 8 seulement

• UEFI ne lancera qu’un OS Loader vérifié
• En substance, un malware ne peut remplacer le boot loader

Early launch anti-malware (ELAM)
Processus de Tout Tout Logiciel
Windows
BIOS code de driver Anti-
Logon
boot existants Loader tiers Malware

Processus de OS Drivers Windows
UEFI Natif ELAM tiers Logon
boot Windows 8 Loader

Politique rendue obligatoire
• Le boot driver Anti-Malware est signé de manière spécifique
• Windows démarre le logiciel ELAM avant tout autre boot driver tiers
• Le driver ELAM peut rendre obligatoire la politique, même pour des boot start
drivers
• Les malwares de type rootkit ne peuvent désormais plus contourner
l’inspection anti-malware 13

Boot mesuré avec attestation
Processus de
OS Initialisation Drivers Anti-
boot BIOS
Loader du Kernel tiers Malware
existant

TP
Processus de M
Initialisati
OS Drivers
boot UEFI on du ELAM Attestation
Loader tiers
Windows 8 Kernel

Politique rendue obligatoire
• Des clients post-boot peuvent utiliser des mesures signées par le TPM pour prouver l’état
initial du système et du logiciel ELAM
• Le logiciel ELAM peut invalider les déclarations sur l’état de santé du client si le client arrête
de rendre obligatoire la politique de sécurité (i.e. ne fournit plus de mises à jour de signature
ou exécute un logiciel inconnu)

Sécuriser le terminal – Protéger contre les
menaces
Les évaluations des
Politique de
Boot UEFI
Boot
composants y
Le boot compris le logiciel
sécurisé évite AM sont stockés
1
les OS Loader dans le TPM
malfaisants
Windows TPM
Politique AM 3
OS Loader

Le terminal retrouve
Noyau Windows
et pilotes
Logiciel AM les évaluations par le
4 TPM de l’état du
terminal à la
2 demande
Logiciel tiers
La logiciel anti-
malware est lancé
avant tous les Service
Windows Logon Terminal
d’attestation
logiciels tiers
Revendication de la
santé du terminal

Sécuriser le terminal lors du boot : en
résumé
Boot Sécurisé
• Evite ou détecte les tentatives de malware d’altérer le hardware d’un terminal ou
son système d’exploitation
• S’assure que le logiciel anti-malware est toujours dipsonible et non altéré
• Détecte automatiquement et répare le système contre l’intrusion de malware sans
interaction avec l’utilisateur
• Fournit une protection avancée en tirant parti du hardware de sécurité et de la
racine de confiance que permet ce dernier

Boot évalué
• Utilisé pour évaluer l’intégrité des logiciels Windows et anti-malware
• Service d’attestation distant qui peut analyser les évaluations d’intégrité qui sont effectuées par le
boot évalué
• Aide à empêcher les systèmes compromis d’accéder aux ressources de l’entreprise
• Services d’attestation distants pouvant être proposés par des tiers

Détection intégrée de malware
1. Microsoft Defender est le composant au cœur de la
défense anti-malware de Windows 8 fournissant la
détection basée signature et de comportement du

Protection contre

Defender Offline
les vulnérabilités
Détection basée

depuis le Cloud
comportement
malware à la fois de façon passive (analyse
Détection de

Restauration
Dynamique
Traduction
Signature

périodique) et active (surveillance de

Defender / System
comportement)

Center Endpoint
2. En service par défaut et configuré à travers l’Action
Center sur Windows 8. Si un utilisateur installe une

Protection
solution anti-malware tierce, alors Defender est mis
Plateforme Antimalware hors service. Si la solution tierce devient inactive
souvent en raison de l’expiration de l’essai), après
Protections Mémoire et Processus 15 jours l’utilisateur est progressivement
(ASLR, DEP, AppLocker, SmartScreen, etc.) encouragé à remédier à la situation, y compris par
Plateform

Windows
la réactivation automatique de Defender
Early Launch Antimalware e 3. Les entreprises peuvent utiliser des solutions
8
Protections de l’intégrité du Boot
tierces ou System Center Endpoint Protection qui
fournit le support d’une gestion basée sur des
politiques et la génération de rapports consolidés.
Le cœur du moteur anti-malware est le même.

Pare-feu pour restriction de traffic entrant et
sortant
• Différences fonctionnelles limitées entre Windows 7 et
Windows 8. Changement :
– Support de IKEv2 pour le mode transport IPSec
– Utilisation de cmdlets Powershell pour la configuration
– Règles pour les Windows Store Apps
• 3 profils clé : Domain, Public et Private. Plusieurs profils
peuvent être actifs simultanément, c’est-à-dire qu’un
utilisateur peut être sur un hotspot Wi-Fi (profil Public)
tout en étant connecté à un VPN (profil Domain)
• Points clés de configuration à noter :
– Le filtrage sortant permet tous les accès par défaut
– La journalisation est hors service par défaut

Pare-feu pour restriction de trafic entrant et
sortant
• Windows Firewall with Advanced Security peut aussi être utilisé pour
configurer comment et quand l’authentification doit survenir
• Ces paramétrages sont beaucoup plus importants avec Windows 8 car ils sont
essentiels pour IPSec et DirectAccess
• Notez au passage, qu’ils n’autorisent ni n’interdisent une connexion – c’est le
travail des règles du pare-feu
Restreint en fonction de critères comme l’auth.
Isolation
Kerberos
Auth exemption Ne requiert pas d’auth. entre les hôtes spécifiques

Server-to-server Auth. requise entre les hôtes spécifiques

Tunnel Force l’utilisation d’un tunnel

Custom Rule Aucun des précédents

Isoler les Windows Store Apps avec
Windows Firewall with Advanced Security
• Les développeurs de Windows Store Apps peuvent déclarer certaines
capacités de leurs apps (capabilities) pour les classes d’accès réseau requises
par l’App en question
• Quand l’App est installée, des règles approximatives du pare-feu sont créées
automatiquement pour permettre l’accès
• Les administrateurs peuvent alors personnaliser la configuration du pare-feu
pour raffiner cet accès s’ils désirent davantage de contrôle sur l’accès réseau
pour l’App. Important – la capacité n’est pas contrôlée par les règles du pare-
feu elles-mêmes
• Les politiques de groupe peuvent configurer ces restrictions sur une base par
App ou par capacité
• Ces frontières réseau aident à assurer que les Apps qui ont été compromises
peuvent seulement accéder les réseaux auxquels elles ont explicitement reçu
l’accès . Ceci réduit de manière significative le périmètre de leur impact sur les
autres Apps, l’ordinateur et le réseau. De plus, les Apps peuvent être isolées et
protégées d’un accès malfaisant depuis le réseau

Isoler les Windows Store Apps (suite)
Fournis l’accès entrant et sortant aux réseaux intranet que l’utilisateur a
désigné comme un réseau « home » ou « work », ou, si le réseau a un
contrôleur de domaine authentifié, l’accès entrant aux ports critiques est
toujours bloqué

Fournit l’accès sortant à l’Internet et aux réseaux indignes de confiance (par
exemple, les réseaux intranet où l’utilisateur a désigné le réseau comme
« Public »). La plupart des Apps qui requièrent un accès Internet utilisent cette
capacité

Fourni l’accès entrant et sortant à l’Internet et aux réseaux indignes de
confiance. Cette capacité est un sur-ensemble de la capacité Internet (Client).
L’accès entrant aux ports critiques est toujours bloqué.

Fournit une communication near-field communication (NFC) avec les
terminaux qui sont en proximité de l’ordinateur. « Proximity » peut être utilisé
pour envoyer des fichiers ou se connecter à une application sur un terminal

Sécurisation des Apps
• La sécurisation des Apps avec, en
particulier, la notion d’AppContainer est
présentée en détail dans la session SEC313

Sécuriser les connexions – Contrôle d’accès
moderne
Authentification avec cartes à puce virtuelles
• Manière facile à déployer et peu coûteuse de mettre en place une authentification à
plusieurs facteurs
• Fournit une expérience « sans couture » et toujours prête pour les utilisateurs finaux
• Tire parti du hardware de sécurité qui est inclus dans de nombreux terminaux

Direct Access
• Toujours connecté. Si vous êtes sur Internet, vous êtes sur le réseau d’entreprise
• Connectivité sécurisée de bout en bout avec chiffrement fort
• Options d’authentification flexibles à un ou plusieurs facteurs
• Assure la conformité de l’état de santé du poste avant l’accès au réseau d’entreprise
• Fournit les correctifs quand les postes sont connectés à l’Internet
• Déployé facilement et sans changement au sein de l’infrastructure réseau existante

Contrôle d’accès moderne
• Problème
– L’authentification multi-facteur est difficile à mettre en
œuvre en raison des défis en termes de
provisionnement, du coût et du support
• Besoin Windows 8
– Fournir de nouvelles formes d’authentification de telle
façon que l’authentification multi-facteur puisse être
plus largement adoptée

Authentification basée sur un TPM
ENTREPRISE CONSOMMATEUR
• Besoins • Besoins
– La machine et l’identifiant de – Une banque doit « connaitre » son client
en utilisant une méthode disponible sur
l’utilisateur utilisent des certificats
le marché afin de remplir, par exemple,
protégés par le hardware sans les exigences de la FFIEC (Federal
nécessiter des périphériques Financial Institutions Examination
séparés Council) - US
• Scénarios clés • Scénarios clés
– Authentification des utilisateurs – Certificat utilisateur lié au TPM
pour les accès distants – Authentification utilisateur plus forte
sans nécessiter le besoin de mots de
– Signature d’email/document
passe complexes ou de second facteur
– Authentification forte des machines externe
sur le réseau

Nouveau mécanisme d’authentification
• Le Windows Smartcard Framework a été
étendu pour supporter les TPM
• Permet à des terminaux que l’utilisateur
utilise déjà (PC) d’être utilisés comme des
cartes à puce virtuelles
• Le TPM protège la carte à puce virtuelle et
interdit l’export de certificat

Cartes à puce virtuelles : une option pour
une authentification à 2 facteurs
• Fournit les trois fonctions les plus importantes
des cartes à puce
– Interdiction de l’exportation
– Chiffrement isolé
– Protection contre les attaques
• Pas de coût en dehors du fait d’avoir un poste
muni d’un TPM
• Facile à utiliser, difficile à voler
• Authentification à 2 facteurs

Comparaison technique
Cartes à puce Cartes à puce virtuelles (TPM)
Protège les clés privées en utilisant un dispositif de Protège les clés privées en utilisant un dispositif de
chiffrement intégré dans la carte à puce chiffrement intégré dans la carte à puce virtuelle
Stocke les clés privées dans une zone mémoire non Stocke les clés privées sur le disque dur, en
volatile de la carte, accessible uniquement depuis n’utilisant leur forme déchiffrée que sur le TPM lui-
la carte même
Non export garanti par le fabricant de la carte qui Non export garanti par le fabricant du TPM qui
peut revendiquer l’isolation des informations peut revendiquer l’impossibilité pour un adversaire
privées des accès de l’OS de répliquer ou de supprimer le TPM
Les opérations de chiffrement sont effectuées et Les opérations de chiffrement sont effectuées et
isolées au sein de la carte isolées au sein du chip TPM sur le poste de
l’utilisateur
La protection contre les attaques est fournie par la La protection contre les attaques est fournie par le
carte elle-même TPM

Comparaison fonctionnelle
Carte à puce Carte à puce virtuelle (TPM)
L’utilisateur doit disposer de sa carte à puce et de Les crédentités ne peuvent être exportés depuis un
son lecteur pour accéder à une ressource réseau poste donné, mais elles peuvent être réémises pour
le même utilisateur sur un autre poste
La portabilité des crédentités est obtenue en Stocke les clés privées sur le disque dur, en
insérant la carte à puce dans un lecteur sur un n’utilisant leur forme déchiffrée que sur le TPM lui-
autre poste même
Plusieurs utilisateurs peuvent accéder à des Plusieurs utilisateurs peuvent accéder aux
ressources réseau sur la même machine en insérant ressources réseau depuis la même machine chacun
chacun leur carte à puce personnelle d’entre eux se voyant doté d’une carte à puce
virtuelle sur cette machine

Comparaison en termes de sécurité
Carte à puce Carte à puce virtuelle (TPM)
La carte est conservée par l’utilisateur, ce qui rend La carte est stockée sur l’ordinateur de l’utilisateur
les scénarios d’attaque difficiles sur le plan qui peut être laissé seul ou oublié, ce qui augmente
logistique la fenêtre de risque pour une attaque
La carte à puce est généralement utilisée pour un La carte à puce virtuelle est installée sur un
seul scénario, ce qui peut entrainer son oubli ou sa terminal qui a d’autres utilités pour l’utilisateur
perte dont la responsabilité est donc plus fortement
sollicitée
Si la carte est perdue ou volée, l’utilisateur ne La carte à puce virtuelle est installée sur un
remarquera son absence que s’il a besoin de se terminal et est utilisée pour d’autres buts ; sa perte
connecter sera donc remarquée plus rapidement

Utilisation pour l’authentification
• Authentification à deux facteurs pour l’accès distant
– L’accès au domaine (comme chez Microsoft)
– Très semblable à une carte à puce bien que celle-ci soit toujours
insérée – on doit seulement saisir le code PIN
• Authentification du client
– Via SSL ou quelque chose de ressemblant
– Utilisation potentielle au sein de banques, ressources de l’organisation
accessibles via un navigateur, etc.
• Redirection de la carte à puce virtuelle pour les
connexions distantes
– Utilisation d’une carte à puce virtuelle locale sur une machine distante
– Les crédentités peuvent être utilisées comme si elles avaient été
créées sur le PC distant

Utilisation pour la protection
• Chiffrement des mails via S/MIME
– Comme les cartes conventionnelles, les cartes virtuelles détiennent
des clés qui peuvent être utilisées pour le chiffrement et le
déchiffrement des mails
– Le chiffrement / le déchiffrement est effectué au sein du TPM, donc
plus sécurisé que les autres modes de stockage de clés
• BitLocker pour les volumes de données
– Les clés utilisées par BitLocker peuvent être stockées sur des cartes à
puce virtuelles
– Donc, pour accéder au volume, ce dernier ne peut être retiré de la
machine originelle et l’utilisateur doit connaitre le code PIN de la
carte à puce virtuelle
– A la fois le disque local et le disque portable (pour les sauvegardes)
peuvent être chiffrés

Sécuriser les ressources – Protéger les données
sensiblesBitLocker to Go
BitLocker et
Provisionnement amélioré
•Processus de paramétrage intégré du chiffrement BitLocker qui simplifie le provisionnement de postes sécurisés
•Bien meilleures performances qui améliore de façon spectaculaire le temps de provisionnement d’un poste (min vs. h.)
•Provisionne BitLocker sur n’importe que terminal ayant le logo Windows sans restrictions régionales

Protection de volume pour l’entreprise
•Options flexibles de protection de volume et amélioration de la sécurité sur les disques Windows 8 afin d’améliorer
l’expérience des utilisateurs finaux
•Nouvelles options de protection pour que BitLocker soit utilisé sur un ensemble plus large de clients et de serveurs

Prêt pour les serveurs
•Permet le chiffrement de volumes sur les SAN
•Supporte la protection de volumes sur des serveurs en cluster
•Supporte l’authentification multi-facteur en mode inattendu

Amélioration de la performance
•Amélioration de la performance système à travers l’utilisation des Self Encrypting Drives (SED) (eDrive)
•Améliore de façon spectaculaire le temps pris pour chiffrer les nouveaux volumes (minutes vs. heures)

Chiffrement omniprésent
• Difficultés actuelles
– Quand on provisionne un nouveau poste, le processus de chiffrement peut prendre plus d’une heure
– Le chiffrement effectué en logiciel a un impact sur la performance globale du système et la durée de la
batterie
• Windows ne supporte pas les disques auto-chiffrants qui résolvent ce problème et sont
disponibles aujourd’hui
– Les PC qui sont patchés et nécessitent un redémarrage sont incapables de démarrer en mode
« inattendu » quand on utilise un code PIN
– Tous les PC ne sont pas équipés de TPM
– Il est nécessaire de requérir le chiffrement avant de donner accès à l’email
• Les exigences de Windows 8
– Un large support pour le chiffrement des disques sur toutes les architectures matérielles
– Réduire le temps pour chiffrer un nouveau PC
– Améliorer les performances du système et la durée de la batterie
– Supporter un vaste ensemble de périphériques de stockage et de configurations (eDrives, SAN,
Clusters,…)
– Améliorer le processus de patching quand un 2ème facteur d’authentification peut être utilisé
– Supporter à la fois les TPM discrets et ceux basés sur le firmware (UEFI)

Amélioration du provisionnement
• Support par BitLocker du Trusted Platform Module
(TPM)
– Support pour TPM v1.2 et v2.0
– Support pour des TPM discrets et en firmware
– L’installation de Windows provisionnera un firmware basé sur le
TPM pour les machines qui supportent des environnements
d’exécution sécurisés (ARM TrustZone; Platform Trust Technology
(PTT) Intel)
• La flexibilité des options de chiffrement améliore le
processus de provisionnement
– Chiffrement de l’espace disque utilisé seulement ou le disque
entier
– Pré-provisionnement du PC avec BitLocker avant de procéder à
l’installation de Windows 48

Nouvelles options pour les protecteurs
Volume de l’OS Voumes de données Volumes amovibles
TPM seul Password Protector Password Protector
TPM+PIN Smartcard Protector Smartcard Protector
TPM+StartupKey Compte AD ou Groupe Compte AD ou Groupe
TPM+PIN+StartupKey (nouveau) (nouveau)
StartupKey Protector Public Key Protector (DRA – Data Public Key Protector (DRA – Data
Network Protector (nouveau) Recovery Agent) Recovery Agent)
Password Protector (nouveau)
Public Key Protector (DRA – Data
Recovery Agent)

• Password Protector (volume de l’OS)
– Permet l’utilisation d’un mot de passe sur le volume de l’OS. Utile pour les postes sans TPM
• Network Protector
– Permet à des PC connectés au réseau de l’organisation de booter sans PIN
– Simplifie le processus de patch pour les serveurs et les postes, wake on LAN, facilite l’usage pour les utilisateurs finaux
• Active Directory Account/Group Protector
– Permet à un volume de données d’être déverrouillé quand un utilisateur ou un compte de machine accède le volume

Nouvelles options de protecteur : Network
Protector
• Les possibilités et le comportement du Network Protector
– Utilise en combinaison avec TPM + PIN
– PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise
– PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise
• Exigences
– Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon
Windows 8), port LAN connecté
– Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)
• Processus de boot réseau
– Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée
existe
– Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si non
un code PIN est nécessaire
– Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers le
réseau
– Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote

50

Récupération du volume client
• Options de sauvegarde de la clé de recouvrement
Windows 7 Windows 8
Active Directory Active Directory
Clé USB Clé USB
Impression Impression
Data Recovery Agent Data Recovery Agent
Skydrive (nouveau)

• Recouvrement de volume via Skydrive
• Utilisé pour des machines non jointes au domaine
• Séquestre les clés pour les volumes OS, données, et amovibles
• Skydrive dispose d’une interface utilisateur qui fournira l’accès
aux clés de recouvrement
51

Support des Self Encrypting Drives
(eDrives) en termes de performance de BitLocker avec
• Implications
Windows 7
– Surcoût pendant le chiffrement, le démarrage, les opérations normales, etc.
– Implications exacerbées sur des portables ou des tablettes sur batteries
– Disques auto-chiffrants non supportés avec Windows 7
• Windows 8 améliore les performances de BitLocker et supporte
les eDrives
– Le traitement du chiffrement est déporté vers le hardware
– Ceci permet de réduire l’utilisation du courant et augmente la durée des
batteries
– Suppression du temps initial de chiffrement des volumes. Amélioration des
opérations normales
– BitLocker gère les clés (AD et MBAM)
– Les systèmes sans Self Encrypting Drives utilisent un chiffrement logiciel

52

Support des Storage Area Networks (SAN)
• Support par BitLocker des SAN
– Support de volumes sur iSCSI et Fiber Channel
– Le chiffrement d’un gros volume vide est rapide quand on utilise l’option
« chiffrement de l’espace utilisé seulement »
– Supporte des volumes de données sur un LUN
– Le Thin Provisioning est détecté automatiquement
• Exigences
– Le Host Bus Adapter (HBA) doit remplir les exigences du logo Windows
– Les RAID doivent remplir les exigences du logo Windows
• Remarque : les fonctionnalités RAID telles que la déduplication
et le déchargement de la copie ne fonctionneront pas quand
un volume est protégé par BitLocker

53

Support des clusters
• BitLocker support les clusters Windows
– Volumes partagés Cluster (CSV - Cluster Shared Volumes)
– Volumes de basculement traditionnels
• Options protecteurs
– Utilisation de l’AD via Account/Group Protector
– L’identité Cluster Name Object (CNO) déverrouille le volume
– Le cluster déverrouille le volume quand il le monte
• Exigence
– Un contrôleur de domaine Windows Server 2012

54

Besoins hardware et utilisation par les
différentes fonctionnalités
Fonctionnalité TPM* UEFI eDrives
1 BitLocker: chiffrement volume X X X**
2 BitLocker: déverouillage volume réseau X X
3 Boot sécurisé X
4 Boot sécurisé : ELAM X
5 Evaluation du boot X X
6 Cartes à puce virtuelles (TPM) X X
7 Stockage de certificat (basé TPM) X X
8 Provisionnement automatique du TPM X X

* La fonctionnalité tire parti du TPM discret. S’il n’y en a pas, il est possible d’utiliser l’environnement d’exécution sécurisé du firmware
** Permet de bénéficier d’amélioration de performance mais ne requiert pas d’eDrive

CONTRÔLE D’ACCÈS DYNAMIQUE
ET CLASSIFICATION DES DONNÉES


56

Protéger l’accès aux ressources
Contrôle d’accès dynamique
• Le contrôle d’accès s’adapte automatiquement aux changements au sein de
l’environnement et réduit de façon spectaculaire le coût de gérer et de sécuriser
l’accès aux ressources sur les serveurs de fichiers
• L’accès aux ressources est fondés sur des étiquettes qui peuvent être ajoutées
dynamiquement aux ressources en fonction de la localisation, de l’application ou
être ajoutées manuellement par le possesseur du contenu
• Un système de contrôle intelligent tire parti des propriétés des utilisateurs et des
états du terminal pour prendre des décisions d’autorisation
• Peut assurer que les ressources sont chiffrées et restent sur des systèmes et des
disques (chiffrés) sécurisés

• Facile à déployer et à administrer grâce à des fonctionnalités avancées de
création et d’audit des contrôles d’accès

Quelques évolutions importantes pour
Windows 8 sur le sujet de l’identité
• Introduction du modèle fondé sur les revendications
au sein de la plateforme Windows
• Introduction d’un modèle permettant de cibler les
politiques d’accès et d’audit sur la base d’un étiquetage
afin de conduire la mise en place d’une politique de
sécurité efficace et d’implémenter ce modèle pour les
fichiers
• Combler le gap entre l’informatique et les propriétaires
d’information en utilisant une notion d’étiquetage pour
les fichiers

Les évolutions avec Windows 8/Windows
Server 2012
Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec
Active Directory

Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des
politiques d’accès plus riches avec des revendications

Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit
efficaces au sein de l’organisation

Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps
.NET

Améliorer l’infrastructure de gestion de fichiers

Authentification
QUOI DE NEUF
• Le Contrôleur de Domaine émet des groupes et… des revendications !
– Les revendications (utilisateur et terminal) proviennent des Jeton Windows 8
attributs d’identité au sein d’AD
– Identité composite – fait correspondre un utilisateur au Owner

terminal qui sera autorisé comme un principal (au sens Group

Kerberos)
User Groups
– Les revendications sont délivrées au sein d’un PAC Kerberos
• Un jeton Windows a des sections Claims

– Données utilisateur et terminal Device Groups

– Revendications et groupes ! Claims

• OID vers revendication pour les autorisations basés sur les
certificats
• Support pour transformation des revendications inter-forêts

Autorisation
MISE A JOUR DU MODELE d’ACL
Windows 7 Avec Windows 8 Exemple
User.memberOf (USA-Employees)
AND User.memberOf (Finance-Division)
AND User.memberOf (Authorization-Project)

User.Division = ‘Finance’
AND User.CostCenter = 20000

User.Division = ‘Finance’
AND Device.ITManaged = True

IF (Resource.Impact = ‘HBI’)
ALLOW AU Read User.EmployeeType = ‘FTE’

• Support de revendications dans les ACE gérées comme des chaînes SDDL (Security Descriptor
Definition Language)
• Ajouts/suppression de chaînes SDDL via des fonctions standards de manipulation de chaînes

Politique de contrôle d’accès basée sur
des expressions

Active Serveur de
Directory fichiers

Revendications utilisateur Revendications terminal Propriétés ressources
User.Department = Finance Device.Department = Finance Resource.Department = Finance
User.Clearance = High Device.Managed = True Resource.Impact = High

POLITIQUE D’ACCES
S’applique à : @Resource.Impact == “High”
Allow | Read, Write | if (@User.Clearance == “High”) AND (@Device.Managed ==
True)

Autorisation
AMELIORATIONS
• Amélioration des API SDDL pour fonctionner avec
les revendications
• Application des Security Descriptors aux objets
• Amélioration des API CheckAccess en mode user
pour fonctionner avec les revendications
• Création et distribution centrale des politiques d’accès
– Politique d’accès centralisée à l’information créée dans l’AD
– Politique d’accès distribuée via les politiques de groupe vers les serveurs cibles
• Nouvelle IHM pour les ACL
– Fournir le support des ACL avec des revendications pour les utilisateurs finaux
– Peut être invoquée depuis une application custom

Audit
CE QUI EST NOUVEAU
• Cibler des audits sur la base d’expressions fondées sur des
revendications
– N’auditer que selon dont vous avez besoin !
• Ex: Auditer seulement l’accès à « mes données sensibles » par « mes sous-
traitants »
– Réduire le volume d’audit et simplifier l’analyse et la gestion des audits
• Amélioration des métadonnées du schéma dans les
événements d’audit
– Permet un meilleur reporting et de meilleures corrélations
• Plateforme de test
– Tester les changements de politiques d’accès avec ZERO impact sur les
opérations et la production
– Tester les différences de captures d’événements d’audit lors des accès

AD FS 2.1 dans Windows 8/Windows
Server 2012
• AD FS 2.1 est disponible en standard sous la forme
d’un server role au sein de Windows Server 2012
– Le rôle existant d’ ADFS 1.x a été remplacé par le nouvel AD FS 2.1
– Le Claims Aware Web agent continuera d’être livré sous la forme
d’un composant « déprécié » afin de permettre la continuité
opérationnelle des applications existantes et construire sur la base
de la dll de SSO d’ADFS 1.x
– Ajoute le support pour permettre l’émission de revendications
terminal depuis le ticket Kerberos pour des applications Claims
Aware
– Pas de support d’AD LDS comme un espace de stockage pour
l’authentification
– Pas de support pour un ‘NT token’ web agent

Infrastructure de classification de fichiers
Information d’étiquetage

Basé sur l’emplacement

Classificateur de
contenu intégré
Manuel

Classification automatique Plugin de
classification tiers

// instantiate new classification manager
FsrmClassificationManager cls =
new FsrmClassificationManager();
Application //get defined properties
ICollection c = cls.EnumPropertyDefinitions
(_FsrmEnumOptions.FsrmEnumOptions_None); Points d’intégration
// inspect each property definition
foreach (IFsrmPropertyDefinition p in c)
{
/*...*/
}

Comment peut-on classifier l’information ?
En fonction de • Basé sur le répertoire dans lequel est créée le fichier

l’emplacement • Déterminé par le « responsable métier » qui définit le répertoire

• Spécifié par l’utilisateur

Manuel • On peut utiliser des modèles de documents pour les paramètres par défaut
• Applications de création de données qui marquent les fichiers créées par les
utilisateurs

Classification • Classification automatique basée sur le contenu et d’autres caractéristiques

automatique • Bonne solution pour classifier une grosse masse d’information déjà existante

Application • Applications métier qui stockent des informations sur les serveurs de fichiers
• Applications de gestion de données

Propriétés de classification de base
Domaine Propriétés Valeurs

Information Privacy Personally Identifiable Information High; Moderate; Low; Public; Not PII
Protected Health Information High; Moderate; Low
Confidentiality High; Moderate; Low
Information Security
Required Clearance Restricted; Internal Use; Public
SOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR;
Compliancy PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act

Legal Discoverability Privileged; Hold
Immutable Yes/No
Intellectual Property Copyright; Trade Secret; Parent Application Document; Patent Supporting Document

Records Management Retention Long-term; Mid-term; Short-term; Indefinite
Retention Start Date <Date Value>

Impact High; Moderate; Low

Organizational Department Engineering ;Legal; Human Resources …

Project <Project>
Personal Use Yes/No

Infrastructure de classification de fichiers
Appliquer la politique en fonction de la classification

Fait correspondre le
Classifier le fichier fichier à la politique

Appliquer la politique
Contrôle d’accès
Contrôle d’audit
Rétention
Chiffrement RMS Points d’intégration
Autres actions
84

Contrôle d’accès dynamique en bref
Identifier les Protéger les
Contrôler l’accès Auditer l’accès
données données

Conditions d’accès Conditions d’audit
Etiquetage manuel Protection RMS
basées sur des basées sur des
automatique des
par les propriétaires expressions utilisant expressions utilisant
documents Office en
de contenus revendications revendications
fonction des étiquettes
utilisateurs et étiquettes utilisateurs et étiquettes

Politiques d’accès Politiques d’audit qui Protection en quasi-
Classification
centrales basées sur peuvent être appliquées temps réel juste après
automatique
les étiquettes des sur différents serveurs que le fichiers ait été
(étiquetage) de fichiers
fichiers étiqueté

Staging des audits pour
Extensibilité pour des
Remédiation en cas simuler les changements
Etiquetage applicatif protecteurs différents
de refus d’accès de politique dans un
environnement réel de RMS Office

LES FONDAMENTAUX



86

Windows 8 et atténuation des exploits
mémoire buffer overflow et les autres attaques mémoire
• Menace : Les
permettant le contrôle d’un pointeur en mémoire et l’exécution
de code arbitraire
• La situation pour ce qui concerne les exploits mémoire :
– Seuls 6 % des systèmes ont été compromis à travers des exploits mémoire (SIR)
– La plupart des exploits ciblent des applications tierces et d’anciens logiciels (XP)
– La plupart des exploits échouent quad les protections mémoire sont en service
– Mais les exploits de type zéro-day existent et les attaquants se focalisent vers
les zones mémoire moins protégées
• Windows 8 introduit au moins 20 mécanismes complémentaires
de sécurisation de la mémoire qui atténuent des ensembles de
vulnérabilités, cassent certaines techniques d’exploitation
connues et augmentent le coût de l’exploitation de ces
vulnérabilités

Windows 8 et atténuation des exploits
mémoire
Windows Windows
7
Protections /GS disponible pour la compilation avec 8
Amélioration /GS, vérifications de plages,
VS 2010 optimisation par scellement, virtual table guard

Introduit avec Vista, les attaquants s’appuient sur les ASLR forcé, randomisation de bas en haut / haut
lacunes dans ASLR en bas, entropie élevées

Renforcement effectif de la Heap, nouvelles Contrôles d’intégrité, pages de garde, et
techniques d’attaque randomisation de l’ordre d’allocation

Exploits à distance limités, mais la plus grand partie DEP, ASLR, SMEP/PXN, protection contre
de la mémoire Kernel est marquée exécutable déréférencement Null, contrôles intégrité

D’avantage de sécurité par défaut mais on repose Défauts plus sévères pour les Apps, IE10, Office,
sur l’usage applicatif terminaux ARM

Génération de code : amélioration /GS
• Amélioration /GS pour la protection contre les stack
buffer overrun
– Disponible avec Visual Studio 2010, amélioré avec VS2012
– Windows 8 construit entièrement avec l’amélioration /GS
• Les heuristiques /GS protègent désormais
davantage de fonctions
– Tableaux ne contenant pas de pointeurs et structures C
• Optimisation /GS supprime les contrôles non
nécessaires
• Fermeture des lacunes dans la protection
– Exemples : MS04-035, MS06-054, MS07-017

Génération de code : scellement
• Si une classe est « scellée », elle ne peut pas avoir
de classe dérivée. D’où il s’en suit que les appels à
des méthodes virtuelles deviennent des appels
directs
class ClassName sealed : public Cinterface
{ … }

• Eliminer les appels indirects réduit les surfaces
d’attaques pour les exploitations :
• Atténue des vulnérabilités telles que CVE-2011-1996
• A titre d’exemple, on a « dévirtualisé » 4500 appels dans
mshtml.dll

Génération de code : vérification de plages
• Insertion par le compilateur d’un contrôle des
limites des tableaux

If (i >= ARRAYSIZE(Buffer)) {
__report_rangecheckfailure();
}

• Atténue complètement certaines vulnérabilités
• CVE-2009-2512, CVE-2010-2555
• Limité à des scenarios spécifiques (notamment pile
de taille fixe)

Génération de code : Virtual Table Guard
• Atténuation probabiliste d’une éventuelle
corruption de pointeur vtable permis par une
annotation de l’interface
• Une entrée supplémentaire est ajoutée à la
vtable, dont l’emplacement mémoire est
randomisé par ASLR
• Un contrôle est ajouté aux appels de la
méthode virtuelle pour trouver l’entrée
supplémentaire et si l’on arrive pas à la trouver,
on « met à mort » le processus

Address Space Layout Randomisation
• ASLR a été introduit d’abord avec Windows Vista et a conduit à une
évolution majeure dans l’approche des attaquants
• Les attaquants dépendent maintenant :
– D’EXE/DLL dont l’édition de lien n’a pas été faites avec /DYNAMICBASE
– De l’éparpillement de l’espace d’adressage (heap/JIT)
– Des régions mémoire prévisibles
– Des divulgations d’information
• Avec Windows 8, les processus peuvent désormais forcer les images
non-ASLR à être randomisée (Force ASLR) :
– Se comporte comme si la base préférée d’une image n’était pas disponible
– La randomisation de bas en haut fournit l’entropie nécessaire pour ces images
– Les processus peuvent choisir la mise en service de ce comportement
• Dans Windows 8, un grand nombre de vecteurs de divulgation
d’information ne sont plus utilisables :
– ImagePointers a été supprimé de SharedUserData (une structure à la même adresse
relative dans tous les processus)

Address Space Layout Randomisation

Windows 7 :
• Heaps et stacks sont randomisés
• PEB/TEB sont randomisés mais avec une
entropie limitée
• VirtualAlloc et MapViewOfFile ne sont pas
randomisés
• Il peut donc exister des régions mémoire
prévisibles

Windows 8 :
• Toutes les allocations de bas en haut / de haut
en bas sont randomisées
• Effectué en biaisant les adresses de base des
allocations
• PEB/TEB reçoivent maintenant beaucoup plus
d’entropie
• Les 2 sont au choix (EXE marqué
/DYNAMICBASE)

Entropie élevée pour les processus 64 bits
Randomisation haute entropie de bas en haut
• ASLR avec Windows 8 tire
• 1 To de variation dans la start address de bas en
parti du grand espace haut
d’adressage (8 To) des • Casse l’éparpillement traditionnel de l’espace
d’adressage (heap/JIT)
processus 64 bits afin de • Les processus doivent choisir la mise en service
réduire la probabilité de Randomisation haute entropie de haut en bas
deviner une adresse • 8 Go de variation dans la start address de haut en
bas
• Mis en service automatiquement si la
randomisation de haut en bas est en fonction

Randomisation haute entropie des images
• Les images basées au-dessus de 4 Go reçoivent
plus d’entropie
• Toutes les images système ont été déplacées au-
dessus de 4 Go

Entropie élevée pour les processus 64 bits
Windows 7 Windows 8
32 bits 64 bits 32 bits 64 bits 64
(HE)

* Les DLL 64 bits basées sous 4 Go reçoivent 14 bits, les EXE sous 4 Go

La Heap
Changement avec Impact
• Le renforcement de la Heap a été Windows 8

introduit et s’est révélé être
extrêmement efficace. Quelques
nouvelles attaques proposées
par les chercheurs en sécurité
mais les exploits réels ciblent les
données applicatives sur la Heap
et pas les métadonnées
• La conception générale de la
Heap n’a pas changé mais
quelques contrôles d’intégrité ont
été introduits dans la LFH (utilise
pour des tailles <16 KO)

La Heap
• Les pages de garde sont désormais utilisées • L’ordre d’allocation est désormais non
pour partitionner la Heap déterministe (seulement LFH)
• Conçu pour empêcher / localiser une corruption • Rend peu fiable les exploits s’appuyant sur la
• Toucher une page de garde génère une manipulation de la Heap
exception

D C

• Les points d’insertion pour les pages de
garde sont contraints à ne concerner que des C D
grandes allocations, des segments de Heap
et des sous-segments de la taille maximale
pour la LFH

Le noyau
x86 x64 AR
M
7 8 7 8 8
• Les vulnérabilités du Kernel ont été moins Version de Windows
X X NX NX NX
la cible des attaquants avec seulement
quelques exploits ciblant le Kernel à X X X X X

distance NX NX NX

– Mais, la cible des attaques semble être en train X X NX NX NX
de se diriger à nouveau vers le Kernel en X X NX NX NX
raison de l’utilisation des bacs à sable, si l’on NX NX NX NX NX
en juge par la compréhension de certains
X NX X NX NX
exploits du Kernel en local qui sont la preuve
de certains exploits sophistiqués du Kernel à X NX X NX NX
distance X NX X NX NX
• DEP est largement mis en service au sein X NX X NX NX
du noyau de Windows 8 (cf. tableau ci- X NX X NX NX
joint) X NX X NX NX
• Windows 8 introduit NonPagedPoolNx comme nouvelle
région mémoire

Le noyau
• L’ASLR Kernel a été tout d’abord introduit avec Windows • L’exploitation en local d’une déréférencement par le Kernel
Server 2008, avec 4 bits d’entropie pour les drivers, 5 bits est généralement trivial
pour NTOS/HAL • Windows 8 interdit le mappage des premiers 64 K, de telle
• L’entropie a été améliorée avec Windows 8 à travers un biais façon que tout déréférencement NULL par le Kernel devient
du segment de base du kernel, entropie 22 bits / 12 bits. un déni de service et pas une mort de processus
Randomisation des régions de boot • NTVDM a aussi été mis hors service pas défaut

• Nouvelles fonctionnalités de sécurité des processeurs • L’unlinking sûr a été mis en service globalement, pas juste
permettant d’interdire l’exécution par le superviseur de code pour la Heap et pour la Kernel pool
se trouvant dans les pages user • Amélioration de l’entropie à travers l’amorçage du PRNG
• Requiert Intel Ivy Bridge ou ARM avec support PXN depuis le TPM
• L’Object manager a été renforcé contre les débordements de
comptes de référence
• La divulgation d’information par le Kernel via certain appels
systèmes a été résolue

Paramétrage par défaut
Paramétrage par 32 bit (x86) 64 bit (x64) ARM
défaut pour Windows Tout le code
8 W8 UI IE10 Défaut W8 UI IE 10 Défaut
Apps Apps

* Les images ARM PE doivent choisir DEP et ASLR, donc ASLR en mode Force n’est pas requis

Windows 8 et la sécurité

Recommended

Recommended

More Related Content

Viewers also liked

Viewers also liked (20)

Similar to Windows 8 et la sécurité

Similar to Windows 8 et la sécurité (20)

More from Microsoft Décideurs IT

More from Microsoft Décideurs IT (20)

Windows 8 et la sécurité