Download - Séminaire Windows Seven
Séminaire Windows Seven
Mardi 16 Juin 2009Diagora
Toulouse
Frédéric AGNES Christopher MANEU
Fondamentaux de la Sécurité
• Nouveautés Sécurité Vista• UAC• Audit Renforcé• Pare-Feu
Reprise des Fonctionnalités de Sécurité de Windows Vista
• Code Sécurisé dès la conception• Protection du Système• UAC – User Account Control
Fondations Windows Vista
Apport de Windows 7
• UAC optimisé• Audit Amélioré
User Account Control Amélioration de l’auditing
Pourquoi UAC ?
• Tout exécuter comme administrateur
– Le défaut avec Windows XP et versions antérieures– Commode : l’utilisateur peut faire n’importe quoi, tout de suite !– Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout
de suite !• User Account Control
– Introduit avec Windows Vista– Séparation des privilèges et des tâches que peut réaliser l’utilisateur
standard de ceux qui nécessitent un accès administrateur– Augmentation de la sécurité en vous permettant de faire de
l’utilisateur standard l’utilisateur par défaut pour une utilisation quotidienne
– Une nouvelles idée puissante mais qui va mettre du temps à faire son chemin…
Un changement de paradigme pour Windows
• Les utilisateurs UNIX ont connu un tel fonctionnement depuis le commencement– Ne lisez jamais votre mail ou ne naviguez jamais sur le Web
comme root– Le système encourage à cela ; si vous lisez un mail comme root, vous lisez le mail de root au lieu de votre propre mail…
• L’écosystème Windows doit s’adapter– Les utilisateurs ont besoin de comprendre que certains
changements du système nécessitent l’utilisation de privilèges pour une bonne raison
– Les applications ont besoin de ne pas faire des opérations privilégiées pour un oui ou pour un non, par exemple modifier les clés de la base de registre de l’OS
Hors service par défaut avec Vista
Le plus sécurisé – Meilleur choix IT
Nouveau avec Vista – Le défaut
Le défaut pour XP
Les types d'utilisateurs Windows
• L’administrateur
– Le compte nommé ‘Administrateur’
• Un administrateur
– Votre nom avec des privilèges d’administration
• Administrateur protégé
– Votre nom avec un accès aisé aux privilèges admin
• Utilisateur Standard
– Votre nom sans privilèges admin
Administrateur protégé - Vista
• Fournit un accès commode aux privilèges administrateur
• Demande de consentement pour élever les privilèges– Passage à un bureau protégé afin d’éviter les attaques en
usurpation de la demande de consentement elle-même– Utilisation du jeton administrateur embarqué au sein du
processus pour gagner l’accès aux privilèges d’administration
Elévation de privilèges pour l'utilisateur standard – Vista
• Confirmation dite « Over the Shoulder » (OTS)• Vous fait passer dans un bureau protégé afin d’éviter les
attaques contre le dialogue de confirmation• Vous demande un mode passe pour un compte
administrateur– OTS présuppose qu’une autre
personne détient le mot de passe administrateur
– Mot de passe requis – l’utilisateur standard ne dispose pas d’un jeton administrateur au sein de son processus
Que sont ces élévations ?
• Certaines sont nécessaires– Installer ou désinstaller du logiciel– Changer le paramétrage du pare-feu– Changer l’heure et la date du système– On ne veut pas qu’un malware puisse nuire sans consentement
• Certaines ne sont pas si nécessaires– Utilisation par les applications de clés inappropriées de la base de
registre– Changement d’une time zone– Visualiser le paramétrage du système
La fatigue induite par des consentements trop nombreux…
• Les utilisateurs expriment souvent leur frustration avec les demandes de consentement UAC
• Que veut dire « trop nombreux » ?– Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule
est déjà trop…– Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que
cela me poserait problème si un malware faisait cela derrière mon dos ? »
• Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait que certaines opérations nécessitent des privilèges
• Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela soit vraiment nécessaire
Amélioration des applications au cours du temps
Windows Vista Windows 7Le système fonctionne pour un utilisateur standardTous les utilisateurs, y compris les administrateurs protégés tournent sans privilèges d’administration par défautLes administrateurs utilisent les pleins privilèges uniquement pour les taches administratives ou les applications qui en ont besoin
DéfisL’utilisateur doit fournir un consentement explicite avant d’élever ses privilègesMettre hors service UAC supprime les protections, pas seulement la demande de consentement
UAC Windows 7
Rationalise UACRéduit le nombre d’applications de l’OS et de tâches qui requièrent une élévationRefactorise les applications en éléments nécessitant une élévation/ne le nécessitant pasComportement flexible de la demande de consentement pour les administrateurs
Apport pour les utilisateurs Les utilisateurs peuvent faire davantage de choses comme un utilisateur standardLes administrateurs verront moins de demandes de consentement d’élévation par UAC
Les niveaux possibles de confirmation d’UAC
• High (Le plus sécurisé)– Demande confirmation pour toutes les actions d’élévation
• Medium High– Demande confirmation pour toutes les actions d’élévation– Le bureau sécurisé est mis hors service
• Medium– Ne demande pas de confirmation pour les binaires Windows
• Bloque toujours les élévations des binaires Windows avec des appelants de niveau d’intégrité basse (ex : navigateurs)
• Demande confirmation pour tous les binaires tiers– Le bureau sécurisé est mis hors service
• Low (le moins sécurisé)– UAC s’exécute en mode silencieux (la politique existe avec Vista)– Ne demande confirmation que pour les binaires bloqués– Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC
• Panneau de configuration\Système et sécurité\Centre de maintenance
DEMONSTRATION
UAC et version bêta de Windows 7
• A partir de la RC– Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut
niveau d’intégrité et requerra donc une élévation de privilèges• Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de
SendKeys et des équivalents puissent fonctionner – Le changement du niveau d’UAC nécessitera un consentement explicite
Audit
Configuration simplifiée pour un TCO plus basPossibilité de démontrer pourquoi une personne a eu accès à une information spécifiquePossibilité de comprendre pourquoi une personne s’est vue refuser l’accès à une information spécifiquePossibilité de tracer tous les changements effectués par des personnes spécifiques ou des groupes
Amélioration de l’auditing
La configuration d’un auditing granulaire est complexeAuditer l’accès et les privilèges pour un groupe d’utilisateurs est problématique
Les défis
Nouveaux événements basés XMLSupport d’un auditing à grain fin des l’utilisation des privilèges d’administrationFiltrage simplifié du « bruit » pour trouver l’événement que l’on rechercheLiaison des tâches avec les événements
Windows Vista Windows 7
Les principales raisons pour auditer
• Conformité réglementaire– SOX : protéger les données financières– HIPAA : protéger les données patients/médicales– PCI : protéger les cartes de crédit/les données des clients– …
• Surveillance de la sécurité– Activité système, utilisateur et données
• Investigations/Analyses légales– Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit• Pourquoi a-t-on besoin d’une politique d’audit ?– Quelles sont les activités/les événements qui intéressent
l’entreprise ?
• Pourquoi n’enregistre-t-on pas tout ?– Coûteux : Générer, collecter et stocker les événements– Utilisation de ressources : CPU, disque, etc.
Architectes sécurité
Conformité
Métiers
Besoins légaux
RH
…
Besoins
Administrateur
Budget
Opérations
Politique d’audit
Politique d’audit avec Windows XP
• Politique d’audit XP/Windows Server 2003– 9 catégories d’audit
ProblèmesTaille limitée du journal d’événement (300 MO)Faible granularité
Les événements de faible et de grand volume appartiennent à la même catégorie
Politique d'audit Windows Vista
Windows 2003Windows Vista
• Taille configurable du journal d’événement• Politique d’Audit Granulaires (PAG)
– 9 catégories et ~50 sous-catégories
Les limites de la politique d'audit avec Windows Vista
–PAG non intégré avec les politiques de groupe• Uniquement déployé avec des scripts de logon grâce à auditpol.exe :
http://support.microsoft.com/kb/921469
auditpol /set /subcategory:"user account management" /success:enable /failure:enable...
auditpol /backup /file:auditpolicy.txt
xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.*
auditpol /restore /file:auditpolicy.txt
L’administrateur crée un fichier de politique
La politique est appliquée pendant le logon
Politique d'audit avec Windows 7Intégration de PAG avec les PG
• Création des politiques de groupe granulaires– Expérience de la console d’administration des politiques des groupes– Modélisation
• Déploiement– Fusion de politique pour des environnements complexes
• Politiques d’audit par domaine, site ou OU• Rapports pour conformité et diagnostics• Gestion centralisée
Les données d'audit avec Windows Vista
WinWord
Noyau
NTFS
Ouvrir Document
Ouvrir fichier
Access Control
SecurityDescriptor
Audit Module
Journal événements de sécurité
Contexte utilisateur et objet
DACL
SACL
Politique d’audit
Activités relatives aux données d'audit avec Vista – Problèmes
• Large écart entre les règles métiers et les politiques d’audit– Exemples :
• Conformité SOX : « tracer toutes les acticités du groupe administrateur sur les serveurs avec des informations financières »
• Légal : « tracer tous les fichiers accédés par des employés suspects »– Configuration
• Chaque objet (fichier, répertoire, clé de registre) dans le système a la bonne SACL
• On peut utiliser des modèles de sécurité mais :– La propagation est coûteuse– L’unité maximale de configuration est un disque ou une ruche de la base de
registre– Il est à peu près impossible de revenir en arrière
– Rapport• Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données d'audit avec Windows 7 – Global Access Object Auditing
• Application d’une SACL sur un gestionnaire de ressource entier– Système de fichiers– Base de registre
WinWord
Noyau
NTFS
Ouvrir Document
Ouvrir fichier
Access Control
SecurityDescriptor
Audit Module
Journal d’évènement sécurité
Contexte utilisateur et objet
DACL
SACL
Politique d’auditSACL ressource
SACL système de fichiers
Activités relatives aux données d'audit avec Windows 7 – Global
Access Object Auditing• On ne peut passer outre sur des objets individuels– Les SACL de ressources s’appliquent à tous les objets
• Pas de besoin de propagation de SACL– La mise à exécution est dynamique
• Facile à défaire et à mettre à jour• Rapport aisé pour la conformité
Conformité SOX : « tracer toutes les activité du groupe administrateur sur les serveurs disposant d’informations financières »
Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder
WinWord
Noyau
NTFS
Ouvrir Document
Ouvrir fichier
Access ControlSecurity
Descriptor
Audit Module
Journal d’évènement sécurité
Contexte utilisateur et objet
DACL
SACL
Politique d’audit SACL ressource
SACL système de fichiers
Raison d’accès
• Pierre a mis à jour jan2009_sales.xls– Comment en a-t-il obtenu la permission ???
Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder
A handle to an object was requested.
Subject:Security ID: CONTOSO-DEMO\PierreAccount Name: PeteAccount Domain: CONTOSO-DEMOLogon ID: 0x352af
Object:Object Server: SecurityObject Type: FileObject Name: C:\Sales\jan2009_sales.xlsHandle ID: 0x120
Process Information:Process ID: 0x1a7cProcess Name: C:\Program Files (x86)\Microsoft Office\Office12\excel.exe
Access Request Information:Transaction ID: {00000000-0000-0000-0000-000000000000}Accesses: READ_CONTROL
SYNCHRONIZEReadData (or ListDirectory)WriteData (or AddFile)AppendData (or AddSubdirectory or CreatePipeInstance)ReadEAWriteEAReadAttributesWriteAttributes
Access Reasons: READ_CONTROL: Granted by OwnershipSYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadData (or ListDirectory): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteData (or AddFile): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)AppendData (or AddSubdirectory or CreatePipeInstance): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)ReadAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)WriteAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435)
Requête d’accès dans un événement Open Handle avant Windows 7
Raisons d’accès événement Open Handle Windows 7
Sécurité réseau DirectAccessTM
Assurer que seules les machines en « bonne santé » peuvent accéder aux données de l’entreprise
Permettre aux machines « en mauvaise santé » de se « réparer » avant d’avoir accès
Network Access Protection
Connexion sécurisée, sans couture et toujours disponible au réseau d’entreprise
Amélioration de la gestion des utilisateurs distants
Sécurité cohérente pour tous les scénarios d’accès
Sécuriser les accès depuis n’importe où
Segmentation du réseau fondée sur des politiques pour des réseaux plus sécurisés et isolés logiquement
Différents profils de pare-feu actifs
Support de DNSSEC
Audit de l’Accès Global aux Fichiers
• Audit de l’Accès GlobalPossibilité de déterminer quels sont les fichiers consultés par un groupe d’utilisateurs sur l’ensemble du SI.
Amélioration de l’auditing
DEMONSTRATION
Introduction au pare-feu Windows
Panneau de contrôle du pare-feu Windows• Configuration destinée à l’utilisateur final• Permet une gestion facile
Profils des emplacements réseau et du pare-feu• Public : Hot Spots publics tels que les aéroports ou les cafés• Maison ou Bureau (Privé) : Réseau d’une petite entreprise
ou à la maison• Domaine : Détecté automatiquement
• Seul un profil est actif à un instant donné
• Plusieurs réseaux : le profil le plus sécurisé est appliqué (le plus restrictif)
Plusieurs profils de pare-feu actifs
•Plusieurs profils actifs en même temps
Paneau de contrôle pare-feu VistaPanneau de contrôle pare-feu Windows 7
En résumé
• Vista : Un seul profil de pare-feu actif– Règles obligatoires en fonction de l’emplacement réseau le plus
restrictif– Contournement administrateur encombrant pour les scénarios VPN
• Windows 7 : Plusieurs profils de pare-feu actifs– Règles obligatoires en fonction des emplacements réseau respectifs– Résout les difficultés de déploiement lors de scénario VPN
Amélioration quand on est connecté à un seul ou à pluisieurs réseauxL’IHM ne liste que les paramétrages du profil courant
Vista : Page des programmes autorisés Windows 7 : Page des programmes autorisés
Vista : Paramétrage du pare-feuWindows 7 : Paramétrage du pare-feu
Windows 7 :
L’utilisateur peut autoriser les programmes pour tous les réseaux et éviter ainsi les demandes de consentement
Vista :
Seul le profil courant est affiché
Notification applicative
Nouveaux liens vers : Advanced settings and Troubleshoot network
Restauration du paramétragepar défaut
Troubleshooting
Windows 7 : Liens additionnels
Windows Firewall with Advanced Security (WFAS)
• Accédé à travers– Le bouton Advanced settings dans le panneau de contrôle du
pare-feu– MMC=> Snap-in Add Windows Firewall with Advanced Security
• Configurer le pare-feu en utilisant WFAS :– En local– Ordinateurs distants– Politique de groupe (GPO)
• Supporte plusieurs profils actifs de pare-feu• Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de précédance
• Evitement authentifié• Bloquer• Autoriser• Action par défaut
• Action par défaut en entrant – bloque pour tous les profils
• Action par défaut en sortant – autorisé pour tous les profils
Ordre d’évaluation
Page d'accueil WFAS– Gestion intégrée du pare-feu et des politiques de sécurité des
connexions (IPsec)– Affiche quels profils et leurs réseaux associés sont actifs
Filtrage sortant WFAS – Peut être mis en service
Support WFAS pour les exceptions utilisateur et ordinateur
• Ajoute la possibilité de dénier l’accès des utilisateurs ou des ordinateurs (et les security principals) aux applications à travers les règles du pare-feu
Configuration WFAS pour les plages de ports
• Maintenant support des plages de ports dans les règles du pare-feu• Vista et Windows Server 2008 ne supportaient qu’une liste de ports
séparés par des virgules
Page de surveillance WFAS
– Le mode de surveillance affiche l’état courant du pare-feu et les règles actives à n’importe quel instant
Coexistence avec un pare-feu tiers
• Permet aux applications tierces de prendre le contrôle et de gérer des portions du pare-feu Windows– Politique du pare-feu– Politique IPsec– Politique au moment de l’amorçage– Renforcement des services Windows
• Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels
Pare-feu : Ouvrir event viewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security FirewallSécurité des connexions : Open event viewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security ConectionSecurity
Au-delà des Frontières de l’Entreprise
• Sécurité Réseau• NAP• Direct Access
Qu’est-ce que Direct Access ?
• Une solution complète d’accès depuis n’importe quel lieu disponible au sein de Windows 7 et Windows Server 2008 R2– Fournit une connectivité sans couture, toujours disponible et sécurisée aux
utilisateurs au sein de l’entreprise comme aux utilisateurs distants– Elimine le besoin de se connecter de manière explicite au réseau corporate
quand on est à distance– Facilite une communication et une collaboration sécurisée, de bout en bout– Tire parti d’une approche d’accès au réseau fondée sur des politiques– Permet à l’informatique de servir/sécuriser/provisionner des PC portables,
qu’ils soient à l’intérieur ou à l’extérieur du réseau
Serveur de prévention des DoS(Futur : UAG)
Client conforme
Client conforme
IPsec/IPv6
Data Center et ressources critiques
Serveurs NAP / NPS
Internet
Utilisateur ENTREPRISE
Réseau ENTREPRISE conforme
Utilisateur ENTREPRISE
IPsec/IPv6
IPsec/IPv6
Présuppose que le réseau sous-jacent est toujours non sécurisé
Redéfinit la frontière du réseau ENTREPRISE pour isoler les Datacenter et les ressources métier critiques
Direct Access
Tunnel au-dessus de IPv4 UDP, TLS, etc.
Les bénéfices de Direct Access
• Apporter le réseau de l’entreprise à l’utilisateur
Accès permanent au réseau de l’entreprise alors qu’on est en déplacementPas d’action explicite de l’utilisateur – « it just works »Même expérience utilisateur au sein des murs de l’entreprise et en dehors
Gestion à distance simplifiée des ressources mobiles comme si elles étaient sur le LANMeilleurs coûts de possession total (TCO) avec une infrastructure « toujours gérée »Accès sécurisé unifié pour tous les scénarios et tous les réseauxAdministration intégrée de tous les mécanismes de connexion
Plus de productivité Plus de sécurité Plus facile à gérer à meilleur coût
Terminal en bonne santé et digne de confiance quel que soit le réseauContrôle à « grain fin » des politiques par application et serveursPolitique de contrôle plus riche et proche du terminal à gérerPossibilité d’étendre la conformité réglementaire aux PC en mouvement permanentChemin de déploiement incrémental vers IPv6
AppLockerTM Récupération des données
Protège les utilisateurs contre l’ingénierie sociale et les attaques de la vie privés
Protèges les utilisateurs contre les exploits navigateurs
Protège les utilisateurs contre les exploits serveur
Internet Explorer 8
Sauvegarde et restauration de fichiersSauvegarde image CompletePC™Restauration systèmeCopies miroirs de volumesRetour en arrière sur volume
Protéger les utilisateur et l’infrastructure
Permet la standardisation des applications au sein de l’entreprise sans augmenter le TCO
Améliore la sécurité pour protéger contre les pertes de données et de vie privée
Supporte la mise en vigueur de la conformité
Application Locker
Élimination des applications inconnues/indésirables du réseauRenforce la standardisation des applications dans toute l'entrepriseCréation et administration simples de règles via la stratégie de groupe
DEMONSTRATION
Protéger des données des utilisateurs non autorisés
• RMS• EFS• Bitlocker
Bitlocker
• Vista– Cryptage d’un volume
• Vista SP1– Cryptage de plusieurs volumes
• Seven– Cryptage de plusieurs volumes– Cryptage de supports amovibles– « BitLocker to Go »
+Protection des données sur les disques internes et amoviblesObligation du chiffrement via les stratégies de groupeStockage des informations de récupération dans Active DirectorySimplification de la mise en œuvre de BitLocker et de la configuration du disque dur principal
DEMONSTRATION
Gestion du Poste de Travail
• Intégration avec Windows Server 2008• Le PowerShell• Journaux• PSR – Enregistrement d’Actions Utilisateurs
DEMONSTRATION
Intégration avec Windows Server 2008
DEMONSTRATION
Le PowerShell
DEMONSTRATION
Les Outils de Diagnostic
DEMONSTRATION
Le Support