Nouveautés de sécurité de Windows Vista

Nouveautés de sécurité de Windows Vista

Nouveauts de scurit de Windows Vista Pascal Sauliere Consultant Principal Scurit Microsoft France Cyril Voisin Chef de programme Scurit Microsoft France https://blogs.technet.com/voy Fondamentaux Security Development Lifecycle (dont modlisation des menaces et revues de code) Renforcement des services Windows Scurit du noyau Mises jour Matrise des priphriques Attnuation des menaces et des Mode protg

dInternet vulnrabilits Explorer Windows Defender Network Access Protection (NAP) Pare-feu Restauration Securit et conformit Identit & contrle daccs Contrle de comptes utilisateurs (User Account Control - UAC) Support natif des cartes puce Audit granulaire Protection des donnes BitLocker Drive Encryption EFS avec cartes puce Client RMS

Fondamentaux Fondamentaux Intgrit du code pour protger les fichiers de lOS Signature des pilotes de priphriques (obligatoire en 64 bits) Protection du noyau (mode 64 bits seulement) Amlioration du Centre de scurit Facilit dobtention dun statut sur la scurit (agent danalyse de la scurit unique : Windows Update Agent) Dmo Rduction du nombre de redmarrages Application de mises jour grce lAPI Restart Manager Durcissement des services Windows Dfense en profondeur

tablissement dun profil pour les services Windows indiquant les actions autorises pour le rseau, le systme de fichiers et le registre Conu pour bloquer les tentatives de dtournement dun service Windows pour crire un endroit qui ne fait pas partie du profil du service Rduit le risque de propagation dun logiciel Durcissement de services Systme de fichiers Registre Rseau Gouverner lusage des priphriques Ajouter la prise en charge de priphriques

et autoriser ou interdire leur installation Les pilotes approuvs par le service informatique peuvent tre ajouts dans le Trusted Driver Store (staging) Les Driver Store Policies (stratgies de groupe) dterminent le comportement pour les packages de pilote qui ne sont pas dans le Driver Store. Par exemple : Pilotes qui ne sont pas aux standards de lentreprise Pilotes non signs Attnuation des menaces et des vulnrabilits Protection contre les logiciels malveillants et les intrusions Internet Explorer 7 Protections contre lingnierie sociale Filtre antiphishing & barre dadresse colore Notification des paramtres dangereux Paramtres par

dfaut scuriss pour les noms de domaine internationaux Protection contre les exploitations Traitement unifi des URL Amliorations de la qualit du code Choix explicite des ActiveX excuter Mode protg IEAdmin Accs Accs droits droits admin admin Installation dun contrle ActiveX HKLM

HKCR Program Files IEUser Contrle dintgrit IExplore Redirecteur compatibilit IE7 en mode protg (Vista uniquement) Changement de paramtres, Enregistreme nt dune image Mise en cache du contenu Web Paramtres et fichiers redirigs Accs

Accs droits droits utilisateur utilisateur HKCU Documents Dossier de dmarrage Fichiers Fichiers temporaires temporaires Fichiers et paramtres de dfiance Fonctions intgres antimalware Windows Defender Fonctions intgres de dtection, nettoyage, et blocage en temps rel des spywares (dont intgration avec Internet Explorer pour fournir une analyse antispyware avant tlchargement) 9 agents de surveillance Systme de scan rapide intelligent Cibl pour les consommateurs (pas de fonctions de gestion en entreprise) La gestion en entreprise est possible avec le produit payant spar Microsoft Client Protection MSRT (Microsoft Malicious Software Removal Tool)

intgr permet de supprimer virus, bots, et chevaux de Troie pendant une mise jour et sur une base mensuelle Dmo IE7 & Windows Defender Buffer overflow Dterminent le flux dexcution Gestionnaire dexception Adresse de Pointeurs de fonction retour de Mthodes virtuelles fonction P ! t a 1r EIP EBP

Code Tampon assembleur Autres vars Arguments void bar(char *p, int i) { int j = 0; CBidule bidule; int (*fp)(int) = &bar; char b[128]; strcpy(b,p); } Si p pointe vers des donnes plus longues que b Fonctionnalits techniques Prvention de lexcution des donnes (DEP) Address Space Layout Randomization (ASLR) Compilation avec Visual Studio 2005 (cf MS07-004) et /GS

Pare-feu Windows avec fonctions avances de scurit Gestion combine dIPsec et du parefeu Nouvelle MMC (Windows Firewall with Advanced Security) Nouvelles commandes en ligne (netsh advfirewall) Politique de protection simplifie Rduit de manire spectaculaire le nombre dexemptions IPsec ncessaires dans un dploiement de grande ampleur Gestion distance Segmentation dynamique base sur une politique Rseau dentreprise Serveur de Contrleur de domaine Active Directory ressources de

confiance X Poste de travail RH Ordinateur non gr ou intrus X Serveurs avec des donnes sensibles Isolation de serveur Dfiance Ordinate ur gr Ordinate ur gr Isolation

de domaine Blocage des connexions entrantes depuis Accs compartiment aux ressources sensi Les ordinateurs grs peuvent communiqu Dfinition Distribution des des frontires politiques de et lisolation lettres de logiq cr des machines non gres

Network Access Protection La surcouche sant des rseaux Aperu de NAP Validation vis vis de la politique Dtermine si oui ou non les machines sont conformes avec la politique de scurit de lentreprise. Les machines conformes sont dites saines (ou en bonne sant ) Restriction rseau Restreint laccs au rseau selon ltat de sant des machines Mise niveau Fournit les mises jour ncessaires pour permettre la machine de devenir saine. Une fois en bonne sant, les restrictions rseau sont leves Maintien de la conformit Les changements de la politique de scurit de lentreprise ou de ltat de sant des machines peuvent rsulter dynamiquement en des restrictions rseau NAP : principe de fonctionnement Rseau de lentreprise

Rseau restreint Serveurs de remdes Serveurs de politique Vous pouvez Puis-je avoir les mises jour ? Puis-je avoir accs ? Demande daccs Voici mon tat nouvel de sant Voicimon tat de sant Vous avez un accs Client restreint tant que vous navez pas amlior les choses

Mises jour de politique en cours sur le serveur RADIUS (NPS) Ce client doit-il tre restreint en fonction de sa sant ? Priphrique Daprs En accord la politique, avec la daccs le client nest politique, le client pas est rseau Server jour jour (DHCP, RADIUS (NPS) Mise enaccord VPN,Accs

On donne accs quarantaine du au poste client 802.1X, lintranet client, lui demandant IPsec, deTS) se mettre jour passerelle Rcupration : restaurer dans un tat connu comme bon Sauvegarde et restauration de fichiers Sauvegarde dune image CompletePC Restauration du systme Versions prcdentes (clichs instantans ou Volume Shadow Copies) Identit et contrle daccs Accs scuris aux informations

User Account Control (UAC) Dfis La plupart des utilisateurs utilisent tous les privilges administrateurs de manire permanente Risqu p/r aux logiciels malveillants Empche la gestion des postes de travail pour faire respecter la politique Coteux Difficile dtre vraiment utilisateur standard Certaines tches ne fonctionnent pas De nombreuses applications ne sexcutent pas Solution Windows Vista Plus facile dtre utilisateur standard Plus dautonomie : Fuseau horaire, gestion de lalimentation, VPN, Wi-Fi et

+ Installation de priphriques approuvs Commandes administratives clairement indiques Meilleure compatibilit applicative Virtualisation Fichiers et Registre Meilleure protection pour Admins Par dfaut, moindre privilge Demande de consentement avant lvation Modle dlvation Privilges dadministrateur (par dfaut) Compte administrate ur

Privilges Comment demander lvation: Marquage application Dtection installation Correctif compatibilit (shim) Assistant compatibilit Excuter en tant dutilisateur standard quadministrateur Compte utilisateur standard Interface utilisateur Application systme Application non signe Application signe Protection des donnes Protection de la proprit

intellectuelle dentreprise et des donnes clients Protection de linformation Les besoins mtier Les documents doivent tre protgs quel que soit lendroit o ils voyagent Les donnes sur les partages doivent tre chiffres pour les protger contre des accs non autoriss Les biens des entreprises tels que les PC portables ou les serveurs en agence doivent tre protgs contre une compromission physique Solution = RMS, EFS, BitLocker Dfinition dune politique de scurit et obligation de respecter cette politique faite au niveau de la plateforme (inclusion du client RMS) Chiffrement des fichiers par utilisateur (nouvel EFS) Chiffrement de disque reposant sur des mcanismes matriels (Bitlocker Drive Encryption) La valeur apporte par Bitlocker Amliore la scurit du registre, des fichiers de configuration, de pagination et dhibernation La destruction de la cl racine permet

le redploiement du matriel existant en toute scurit Rcupration possible pour toute personne disposant dun tlphone lui permettant daccder son administrateur Facilit dutilisation et scurit : un quilibre trouver TPM Seul Ce que cest Protge contre : Attaque logiciel seul Vulnrable : attaques matrielles (y compris des attaques potentiellement faciles ) Cl Seule Ce que vous avez Protge contre : Toutes les

attaques hardware Vulnerable : Perte de la cl Attaque pre-OS ****** * TPM + PIN Ce que vous savez Protge contre : De nombreuses attaques hardware Vulnrable : des attaques pour casser le TPM Scurit TPM + Cl Deux choses que je possde Protge contre : De nombreuses attaques hardware

Vulnerable : des attaques hardware Architecture de Secure Startup SRTM des premiers composants Avant lOS Dmarrage de lOS (statique) Tous les blobs de Le blob du volume de ncessaires pour lOS cible est dverrouill lamorage lamorage sont dverrouills TPM Init BIOS MBR BootSector BootBlock BootManager OS Loader

Dmarrage de l OS Dmo Bitlocker : chiffrement de partition transparent Explorateur Diskscape EFS (Encrypting File System) Chiffre individuellement chaque fichier Transparent pour lutilisateur Protge les fichiers de donnes dsigns contre les attaques offline Nouveau dans Windows Vista Support de la carte puce Possibilit de chiffrement ct client de fichiers stocks sur un serveur de fichiers Positionnement des diffrentes solutions Scnario Respect distance de la politique pour documents

Protection du contenu en transit Protection du contenu durant la collaboration Protection locale des fichiers et dossiers sur une machine partage par plusieurs utilisateurs Protection des fichiers et dossiers distants Administrateur rseau de dfiance Protection de portable Serveur dans une filiale Protection de fichiers et dossiers dans un contexte mono utilisateur RMS EFS BitLockerTM En rsum Les grandes nouveauts Ingnierie pour la scurit

IE en mode protg Windows Defender Authentification Renforcement des services Windows Scurit du noyau Pare-feu Windows Contrle des comptes dutilisateurs (UAC) Network Access Protection

(NAP) Centre de scurit Windows Autres sessions Ecrire du code scuris : un regard sur les bonnes pratiques d'implmentation sur Vista Windows Vista Kernel Changes User Account Control Dvelopper des applications Windows Vista dans le respect d'UAC Bitlocker Deep Dive Nouveauts Wi-Fi avec Windows Vista Se prparer NAP Windows Vista : amliorations du firewall et IPsec Contrle de compte

utilisateur UAC : excuter Windows Vista dans le respect du principe de moindre privilge Protection des donnes dans Windows Vista (Bitlocker, EFS, RMS) Liens Guide de scurit Windows Vista http://go.microsoft.com/?linkid=563987 4 http://www.microsoft.com/france/securit e https://blogs.technet.com/voy Rfrences Blog UAC http://blogs.msdn.com/uac/ Utiliser le kit de compatibilit applicative ACT http://www.microsoft.com/technet/wi ndowsvista/deploy/appcompat/acshi ms.mspx

http://www.microsoft.com/technet/wi ndowsvista/security/uacppr.mspx http://www.microsoft.com/technet/wi ndowsvista/library/0d75f774-8514-4c Rfrences Using Application Compatibility Tools for Marking Legacy Applications with Elevated Run Levels on Microsoft Windows Vista http://www.microsoft.com/technet/wi ndowsvista/deploy/appcompat/acshi ms.mspx http://www.microsoft.com/technet/wi ndowsvista/security/bitlockr.mspx http://blogs.technet.com/bitlocker Windows Vista ? WS-Management Aero Restart Manager Sync Center Windows Feedback ServicesWindows SideBar Monad Network Access Protection Ink Analysis Windows Presentation Foundation Ad-hoc Meeting Networks

Secure Startup Reading Pane Windows Imaging Format Protected Mode IE Presentation Settings Parental Controls Windows Communication Foundation High Resolution/High DPI Cancelable I/O MMC 3.0 Registry/File System Virtualization Network Location Stacks People Near Me Quick Search IPv6 Awareness Single binary Shell Property System Power Management Windows Service HardeningLive Icons Crypto Next Generation Glass SuperFetch Peer Name Resolution Protocol Preview Pane Split Tokens Windows Vista Display Driver Model

Transactional Registry Winlogon Rearchitecture Windows Resource Protection Search Folders Taskbar Thumbnails Desktop Window Manager Startup Repair Toolkit Memory Diagnostics User Mode Driver Framework Windows Workflow Foundation Function Discovery API Windows Filtering Platform Flip3D Credential Providers Windows Installer 4.0 Open Package Specification RSS Platform Windows Defender Mandatory Integrity Control CardSpace Wizard Framework Segoe UI Font New Open/Save Dialogs XAML Windows SideshowTransactional File System Eventing and Instrumentation New Explorers Resource Exhaustion Diagnostics XML Paper Specification

UI Privilege Isolation Confident | Clear | Connected Windows Disk Diagnostics User Account Control Security Development Lifecycle Processus et standard dentreprise pour la scurit lors de la conception et du dveloppement Promu en interne via des formations Vrifi par audit avant la sortie du produit Livre The Security Security Development Lifecycle Prrequis Dmarrage du produit

Assigner un conseiller en scurit Identifier les tapes cls pour la scurit Planifier lintgrati on de la scurit dans le produit Conception Conception Dfinir les directives darchitec ture et de conceptio n de la scurit Document

er les lments de la surface dattaque du logiciel Modlisati on des menaces Mise en oeuvre Standards, bonnes pratiques, et outils Appliquer les standards de dveloppement et de test Utiliser les outils de scurit

(fuzzing, analyse statique, ) Vrification Push scurit Revues de code Tests de scurit Revue des nouvelles menaces Conformit avec les critres de sortie Sortie Revue de scurit finale Revue

indpenda nte conduite par lquipe scurit Tests de pntratio n Archivage des informatio ns de conformit Sortie et Rponse Rponse scurit Plan et processus en place Boucle de retour vers le processus

de dveloppement Postmorte ms Restart Manager Rduction du nombre de redmarrages (nouvelle API) lis lapplication de correctifs de scurit Exemple : les applications Office 2007 tirent parti des API de notifications darrt et de redmarrage permet la rcupration de ltat et du document aprs un redmarrage applicatif Shutdown API Sauvegarde du fichier de travail, des tats Restart API Fermeture de lapplication Redmarrag e de lapplication Reprend le

fichier de travail, les IE6 sexcutant avec les droits dadministration (XP) Accs Accs droits droits admin admin Installation dun pilote, excution de Windows Update Exploitation peut installer MALWARE IE6 Modification des paramtres, tlchargement dune image Exploitation peut installer MALWARE Mise en cache du

contenu Web HKLM Program Files Accs Accs droits droits utilisateur utilisateur HKCU Mes Documents Dossier de dmarrage Fichiers Fichiers temporaires temporaires Fichiers et paramtres de dfiance Modle dadministration pare-feu Windows XP SP2/Windows 2003 SP1: Bloque par dfaut les connexions entrantes non sollicites Les exceptions autorisent des ports ou des programmes, pour certaines adresses sources ou sous-rseau

Windows Vista/Windows Server Longhorn: Les rgles de pare-feu deviennent plus intelligentes: Spcification de groupes dutilisateurs ou de machines Active Directory Spcification de prrequis de scurit comme lauthentification ou le chiffrement Isolation de domaine et de serveur Isolation de serveur Isolation de domaine Segmentation dynamique de votre environnement Labos Windows en des Invits non rseaux plus grs scuriss et isols logiquement,

daprs une politique Protger des serveurs et des donnes spcifiques de grande valeur Protger des machines gres des machines non gres ou des intrus (machines ou utilisateurs) Fonctionnalits du pare-feu avanc Filtrage entrant et sortant avec tables dtat pour IPv4 et IPv6 Rgles par dfaut configurables : Par dfaut les flux entrants sont bloqus Par dfaut les flux sortants sont autoriss ICMPv4 et ICMPv6 Filtrage de protocoles IP personnaliss Rgles pour les programmes en utilisant le chemin ou le nom de service Support des types dinterface (RAS, LAN, Wi-Fi) Possibilit de contournement administratif du pare-feu

Plateforme fondamentalement scurise Investisseme nts technologique s Ingnierie pour la scurit Processus SDL (Security Development Lifecycle ) amlior Modlisation des menaces et revues de code Certification selon les Critres Communs (CC) Renforcement des services Windows Excute les services

avec des privilges rduits Les services ont des profils dactivits autorises pour le systme de fichiers, le registre et le rseau (rgles de pare-feu et permissions) Scurit du noyau Rendre plus difficile le camouflage de rootkit Signature de pilotes x64 Obligatoire pour les pilotes en mode noyau Protection contre la modification du noyau Dsactivation dtournements sauvages du noyau par applications Attnuation des menaces et des

vulnrabilits Investisseme nts technologique s IE en mode protg Protge contre les dommages occasionns par linstallation dun logiciel malveillant Processus IE enferm pour protger lOS Conu pour la scurit et la compatibilit Windows Defender Dtection et suppression des

spywares et autres logiciels indsirables Protection des points dextensibilit du systme dexploitation Pare-feu Windows Pare-feu bidirectionnel activ par dfaut Composant cl pour le renforcement de service Intgration IPsec Peut tre dsactiv par un pare-feu dune tierce partie Centre de scurit

Windows Tableau de bord indiquant le statut des paramtres et logiciels de scurit Surveille plusieurs solutions de scurit de multiples fournisseurs et indiques celles qui sont actives et jour Accs scuris Investisseme nts technologique s Authentificatio n

Contrle des comptes dutilisateurs (UAC) Nouvelle architecture remplaant GINA Authentification forte Support natif de cartes puce intgr Windows CardSpace Excution en tant quutilisateur standard plus facile Contrle parental Meilleure protection pour les administrateurs Network

Access Protection (NAP) Assure que seules les machines saines peuvent accder aux donnes de lentreprise Permet aux machines non saines dtre mises en Protection des donnes Investisseme nts technologique s Dfinition et respect dune politique Protge linformation o quelle voyage Nouveau : client RMS intgr dans Windows

Vista Nouveau : protection de bibliothques de docu-ments dans Sharepoint Chiffrement de fichiers et de dossiers par utilisateur Nouveau : possibilit de stocker les cls EFS dans une carte puce avec Windows Vista Protection des donnes grce au matriel Fournit un chiffrement intgral de volume Scnarios pour portables ou serveurs

Recently Viewed Presentations

  • Venous Pressure AND Heart Sound

    Venous Pressure AND Heart Sound

    We have all heard the heart make the usual sounds. LUB-----DUB Lub is the first sound or S1 Dub is the second heart sound or S2 First heart sound S1 The "lub" in the lub - dub. This sound is...
  • Open Access policies in Europe and in the

    Open Access policies in Europe and in the

    Peter Suber wrote (in the SPARC Open Access Newsletter, issue #141, January 2, 2010) that "2009 was Open Access Year in the Netherlands, but it might have been Open Access Year worldwide. The growth on every front was extraordinary."
  • Nouns - WordPress.com

    Nouns - WordPress.com

    wolf. wolf's. Change the following plural nouns to singular nouns: Plural noun to Singular noun. children. child. Plural noun to Singular noun. libraries. library. Change the following Singular nouns to Plural nouns. Singular Noun to Plural Noun. foot. feet. Singular...
  • Chapter 13 Changing the Living World - Meisner Science

    Chapter 13 Changing the Living World - Meisner Science

    Selective Breeding. Selective breeding: when humans allow only the organisms with desired characteristics to breed. Domestication. Nearly ALL domestic animals and plants have been produced by selective breeding.
  • How to prescribe antibiotics: maybe it's not as simple as you ...

    How to prescribe antibiotics: maybe it's not as simple as you ...

    -haemolytic Streptococcii, Clostridium perfringens, Synergistic gangrene. Necrotising Fasciitis Treatment. Surgical. Remove all dead or diseased tissue. Antibiotics. Combination of b-lactam plus Clindamycin. Adjuncts. Immunoglobulin. How do you choose an antibiotic?
  • Behavior Models of Leadership - Siue

    Behavior Models of Leadership - Siue

    ABILITY TO MAKE GOOD DECISIONS NORMAL LEADER BEHAVIOR Lewin, Lippit, Whyte Satisfaction Productivity LEADER BEHAVIOR Ohio State INIATING STRUCTURE: STRESS GOALS DEFINES, STRUCTURES ROLES CONSIDERATION CONCERN FOR SUBORDINATE'S NEEDS, FEELSINGS BEHAVIOR MODELS OF LEADERSHIP LIFE CYCLE Hersey & Blanchard PATH...
  • WHAT IS IDENTITY?  https://www.youtube.com/watch?v=i-h_fJFQcds WHAT DOES POP CULTURE

    WHAT IS IDENTITY? https://www.youtube.com/watch?v=i-h_fJFQcds WHAT DOES POP CULTURE

    Three Levels of Government. Municipal - local government. In a town or city, the government leader is the mayor and other elected members are councilors and make up the governing body called a council
  • MODULAR MAMMOGRAPHY PROGRAM (MMP) Taking Mammography Screening to

    MODULAR MAMMOGRAPHY PROGRAM (MMP) Taking Mammography Screening to

    The Modular Mammography Program focuses on Primary Care Providers ( in family practice), community health centers and health units to ensure that women who have abnormal readings receive continuing care. The Modular mammography Program works closely with the ACRC Mammography...