SlideShare ist ein Scribd-Unternehmen logo

Mécanismes internes de la sécurité de Windows 8

Als PPTX, PDF herunterladen
Microsoft Technet France
Microsoft Technet France

Cette présentation aborde les nouveautés de Windows 8 concernant les mécanismes internes de la sécurité : l'ouverture de session, les méthodes d'authentification, les cartes à puces virtuelles, les autorisations, le contrôle d'accès, ainsi que les mécanismes d'isolation des applications Windows 8.

Technologie
1 von 53
CLI301 – Mécanismes internes de la sécurité de Windows 8 Arnaud Jumelet – Consultant Sécurité http://aka.ms/arjum Pascal Sauliere – Architecte Infrastructure http://aka.ms/pascals Microsoft France Entreprise / IT / Serveurs / Réseaux / Sécurité
Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
Agenda • Démarrage du système • Ouverture de session • Contrôle d’accès • Isolation des applications modernes • Protection du poste de travail • Sessions complémentaires – SEC302 Windows 8 et la sécurité – SEC313 Le modèle de sécurité des Windows Apps
DÉMARRAGE DU SYSTÈME
Qu’est-ce qu’un firmware ? • Il s’agit du premier programme qui s’exécute sur un ordinateur lors de sa mise sous tension électrique. • Le firmware identifie les composants, les initialise, vérifie le bon fonctionnement puis transfère l’exécution au programme stocké sur le premier périphérique de démarrage disponible. • Le firmware permet aux programmes de démarrage d’interagir avec le matériel par l’intermédiaire d’interfaces de programmation standardisées. Lors de son démarrage, Windows s’appuie sur les services du firmware pour dialoguer avec le matériel. • Deux types de firmware : BIOS (début 1980) et UEFI (2005)
Boot sécurisé : BIOS vs. UEFI • Le BIOS lance n’importe quel OS loader, même du malware • Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance • L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement • UEFI ne lancera qu’un OS Loader vérifié. En substance, un malware ne peut remplacer le boot loader
UEFI – Secure Boot • Le Secure Boot vérifie la signature ou l’empreinte numérique de tout code avant d’autoriser son exécution. Pour arriver à ce résultat, le Secure Boot conserve une base de données (DB) des programmes qui sont pré-approuvés pour s’exécuter lors du démarrage de l’ordinateur. • Si l’image UEFI n’est pas déclarée dans la liste blanche ou bien présente dans la liste noire alors son exécution est bloquée.  Le Secure Boot (démarrage sécurisé) nécessite un firmware UEFI en version 2.3.1 au minimum.  Le Secure Boot ne requiert pas la présence d’un module de plateforme sécurisée (TPM).
UEFI – Secure Boot PowerShell PK KEK PK KEK, DB et DBX DB DBX
UEFI – Base des signatures (1/2) • La spécification UEFI introduit la notion de clé de plateforme (Platform Key - PK) qui est conçu pour être contrôlée par le propriétaire de plate-forme (celui qui possède le matériel) et un ensemble de clés pour l’échange de clés (Key- Exchange Keys - KEKs) qui est conçu pour être contrôlé par les fabricants de matériel (OEM) et les éditeurs de système d’exploitation. • Cette séparation à deux niveaux, PK et KEK, apporte de la flexibilité. Le propriétaire de la plate-forme installe la clé publique KEK sans compromettre la sécurité du modèle et sans avoir à connaitre la clé privée associée. • La base KEK est une base de signature qui contient les certificats des fabricants matériels (OEM) et éditeurs logiciels (OS) autorisés. Une entité autorisée est celle qui possède une clé d'échange de clés (KEK). Cette clé privée est utilisée pour signer les modifications des bases de signatures DB et DBX.
UEFI – Base des signatures (2/2) • La base de signature DB répertorie les empreintes (SHA-1 ou SHA- 256) des images UEFI qui peuvent être exécutées. De plus, la base DB contient les signataires de confiance, c’est-à-dire les certificats numériques servant à vérifier la signature d’une image UEFI. • La base de signature DBX répertorie les images UEFI révoquées dont le code n’est plus digne de confiance. La base DBX contient les empreintes (SHA-1 ou SHA-256) des images UEFI qui ne peuvent plus être exécutées. De plus, la base DBX liste les certificats numériques considérés comme révoqués ; ils ne permettent plus de vérifier la signature d’une image UEFI.
UEFI – Mode de fonctionnement • Une fois que ces différentes bases de données ont été peuplées, le fabricant verrouille le firmware en empêchant sa modification en important la clé de plateforme PK (Platform Key). Pour rappel, la PK permet de mettre à jour la base KEK ou bien de désactiver le Secure Boot. • Dès lors qu’une clé de plateforme PK est installée, alors le firmware fonctionne en mode utilisateur et ne voudra démarrer que les images UEFI ayant une signature numérique valide (c’est-à-dire que lors de la vérification de la signature, un élément de la chaine de certificat doit être déclaré dans la base DB ou KEK). Si l’image UEFI ne possède pas de signature numérique alors son empreinte doit avoir été déclarée dans la base DB.
UEFI – Secure Boot
UEFI – Secure Boot - Divers • Sur les architectures x86/x64, le constructeur d’ordinateur doit donner à l’utilisateur la possibilité de désactiver le Secure Boot en naviguant dans le menu du firmware. • En architecture ARM, la désactivation du Secure Boot par l’utilisateur n’est pas
Pourquoi UEFI ? • Bénéfices clés pour la sécurité – Boot sécurisé – Support eDrive pour BitLocker – Support du déverrouillage réseau pour BitLocker – Support multicast pour WDS • Une exigence pour obtenir le logo Windows 8 et Windows RT • Autres bénéfices – Support SOC (ARM et Intel) – Meilleure expérience utilisateur • Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc. – Support des disques système de plus de 2.2 TO
OUVERTURE DE SESSION
Compte Microsoft
Compte Microsoft • Identité live.com ou hotmail.com – Email, calendrier, documents, photos etc. – Synchronisation de paramètres • Accès aux services sans réauthentification – Email etc. – SkyDrive – Autres services utilisant le compte Microsoft
Compte Microsoft
Types de comptes Type de compte Description Compte local Authentification nécessaire pour les services utilisant les comptes Microsoft Compte Microsoft Accès transparent à ces services + Synchronisation Compte de domaine Classique, authentification nécessaire sur les services utilisant les comptes Microsoft Compte de domaine avec compte Avantages des comptes de domaine et Microsoft lié des comptes Microsoft
Compte Microsoft
Compte de domaine avec un compte Microsoft
Compte de domaine avec un compte Microsoft
Compte Microsoft connecté à un compte de domaine • Uniquement pour applications et services web acceptant ce type d’identité • Paramètres synchronisés : – Paramètres Windows – Paramètres Apps et IE – Mots de passe : sauf pour les mots de passe enregistrés sur le poste du domaine, qui ne quittent pas le poste
Modes d’authentification • Mot de passe • Mot de passe image (nouveau) • Code confidentiel (nouveau) • Carte à puce • Carte à puce virtuelle (nouveau)
Choix du mode d’authentification
Mot de passe image • Adapté aux tablettes • 3 gestes sur une image • Types de gestes – Cercle : position, taille, sens – Ligne : position des deux points, sens – Point : position • Autorisé pour comptes locaux et Microsoft • Autorisé par défaut pour comptes de domaine (GPO)
Sécurité du mot de passe image • Grille de 100x100 • Score • Entropie > mot de passe de 5 caractères simples • Déverrouille le mot de passe standard • Verrouillé après 5 tentatives – Retour au mot de passe standard
Code confidentiel • Adapté aux tablettes • Code à 4 chiffres • Même principe que le mot de passe image • Interdit par défaut pour les comptes de domaine
Carte à puce virtuelle • Propriétés des cartes à puces : – Non exportabilité (clés privées) – Cryptographie isolée (opérations dans la carte) – Anti « force brute » (carte bloquée après N tentatives) • Cartes à puces virtuelles : – Mêmes propriétés en utilisant le TPM – Moins cher ! – Transparent pour les applications – 1 utilisateur = 1 carte virtuelle par PC
Cartes physiques et virtuelles Carte à puce Carte à puce virtuelle Fonctions crypto Carte TPM Clé privée Dans la carte Sur le disque, chiffrée par le TPM Anti brute force Carte TPM Matériel PC + lecteur + carte PC 1 utilisateur, La même carte sur plusieurs Une carte virtuelle sur chaque PC plusieurs PC PC Plusieurs Chaque utilisateur utilise sa Chaque utilisateur a une carte utilisateurs, 1 PC carte virtuelle sur le PC Risques particuliers PC sans surveillance Pas de politique « retrait de la carte » Coût Lecteurs + cartes + pertes PC avec TPM
Procédure • Modèle de certificat • Créer la carte virtuelle sur le poste client – tpmvscmgr.exe • Enrôlement du certificat • Test !
Création de la carte à puce
demo Virtual Smart Card MISE EN SERVICE D’UNE CARTE À PUCE VIRTUELLE AVEC VERSATILE SECURITY
Gestion des Virtual Smart Cards avec vSEC:CMS T- Series • Gestion du cycle de vie de la carte et de ses certificats – Création/destruction de la carte à puce virtuelle – Diversification du code administrateur – Politique de code PIN utilisateur – Réinitilisation du code PIN – Enrôlement, renouvellement, rapports sur les certificats émis • Intégration simple et rapide – Support de la PKI ADCS (Active Directory Certificate Services) • versatilesecurity.com Contact : William HOURY
Ouverture de session
CONTRÔLE D’ACCÈS
Contrôle d’accès sous Windows – Un bref rappel Accès à la Windows Ressource ressource Jeton d’accès Descripteur de sécurité de la ressource
Le jeton d’accès Accès à la Windows Ressource ressource Jeton d’accès Descripteur de sécurité de la ressource
Evolutions du jeton d’accès sous Windows 8
demo Jeton d’accès CONTENU DU JETON D’ACCÈS SOUS WINDOWS 8
Politiques d’accès centralisées AD DS File Server Revendications Revendications Propriétés de la Utilisateurs Périphérique Ressource User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUES D’ACCES S’applique à: @File.Impact = High Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed == True)
Contrôle d’accès Share Security Descriptor Share Permissions Active Directory (cached in local Registry) Cached Central Access Policy Definition File/Folder Security Descriptor Cached Central Access Rule Central Access Policy Reference Cached Central Access Rule NTFS Permissions Cached Central Access Rule Décision de contrôle d’accès : 1) Vérification – permissions sur le partage si applicable 2) Vérification – permissions sur le fichier 3) Vérification – Chaque règle d’accès centralisée dans la politique d’accès centralisée
ISOLATION DES APPLICATIONS MODERNES
Modèle de sécurité de Windows 8  Le modèle de sécurité de Windows 8 évolue et introduit le concept de conteneur isolé.  Basé sur le principe du moindre privilège et utilise des niveaux d'isolation.  Le format du jeton de sécurité sous Windows 8 évolue. Il contient des capacités, des packages SID, des claims et des devices groups.  Chaque App sur Windows 8 s'exécute dans son propre AppContainer isolé qui est défini par les capacités déclarées comme requises par l'application pour fonctionner.  Un AppContainer offre des niveaux d'isolation dans lequel un processus peut s'exécuter. De plus, un AppContainer est défini et mis en œuvre à l'aide d'un système de politique (le manifeste). La politique de sécurité d'un AppContainer définit les capacités que les processus peuvent utiliser.  Une capacité est une ressource pour laquelle la sécurité, la vie privée ou bien le coût financier est en jeu. Des exemples de capacités comprennent des informations de localisation géographique, la caméra, le microphone, l'accès au réseau local, l'envoi de SMS, etc.
Renforcement de l’isolation : lorsque les accès proviennent d’un AppContainer
Le modèle de sécurité des Windows Apps • Contrôle et consentement utilisateur • Chaque App divulgue ses capacités à l'utilisateur sur la page des détails sur le Windows Store. La première fois qu’une App utilise une capacité matérielle pouvant porter atteinte à la vie privée, l’utilisateur doit donner explicitement son consentement • Réduction de la surface d'attaque • Chaque App reçoit les capacités nécessaires pour son bon fonctionnement, mais pas plus. Pour pouvoir être publiées sur le Windows Store, les Apps qui demandent des capacités spéciales requièrent une licence « développeur d’entreprise ». De plus les Apps s’exécutent dans un environnement d’exécution restreint. • Isolation • Les Apps sont isolées les unes des autres et ne peuvent pas accéder à la mémoire utilisée et aux données stockées par d'autres applications. Aucun canal de communication direct n’existe entre les Apps autrement que par le Cloud (capacité réseau) et les capacités de stockage.
PROTECTION DU POSTE DE TRAVAIL
Windows SmartScreen ou comment prendre la bonne décision • Les techniques des cybercriminels évoluent. Les cybercriminels conçoivent des séries de programmes malveillants à faible diffusion. • Une attaque ciblée utilise une version non détectée d’une boîte à outils / d’un malware qui ne sera pas détecté par votre antivirus. • Le principe de Windows SmartScreen est qu’une application n’ayant aucune réputation est susceptible de contenir du code malveillant. • Si l’application n’est pas fréquemment téléchargée et ne possède pas de réputation, alors un message s’affiche vous invitant à faire preuve de prudence.
demo Windows SmartScreen APPLICATION SANS REPUTATION
Windows SmartScreen – Réputation des applications Traite le reste avec suspicion
En résumé • Protection de la plateforme Contrôler l’exécution du code avant que Windows démarre tout en vérifiant son intégrité • Contrôle d’accès moderne Moderniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation • Résistance contre les malwares Protéger l’appareil, les données et les ressources de l’organisation en rendant la plateforme moins vulnérable aux effets d’un malware
4 ouvrages écrits par 13 Microsoftees http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
Développeurs Pros de l’IT http://aka.ms/generation-app Formez-vous en ligne www.microsoftvirtualacademy.com http://aka.ms/evenements- developpeurs Retrouvez nos évènements http://aka.ms/itcamps-france Les accélérateurs Faites-vous accompagner Windows Azure, Windows Phone, gratuitement Windows 8 Essayer gratuitement nos http://aka.ms/telechargements solutions IT La Dev’Team sur MSDN Retrouver nos experts L’IT Team sur TechNet http://aka.ms/devteam Microsoft http://aka.ms/itteam

Empfohlen

Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Microsoft Technet France
 
Windows 8 et la sécurité
Windows 8 et la sécuritéWindows 8 et la sécurité
Windows 8 et la sécurité
Microsoft Décideurs IT
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft Décideurs IT
 
Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?
Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?
Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?
Ivanti
 
Maconfig
MaconfigMaconfig
Maconfig
guesteb5576
 
Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]
UltraUploader
 
Deploiement Windows Xp
Deploiement Windows XpDeploiement Windows Xp
Deploiement Windows Xp
emantoine
 
Win8 architecture for developers
Win8 architecture for developersWin8 architecture for developers
Win8 architecture for developers
Robert MacLean
 

Empfohlen

Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Gérer le chiffrement de vos disques en entreprise avec Microsoft BitLocker Ad...
Microsoft Technet France
 
Windows 8 et la sécurité
Windows 8 et la sécuritéWindows 8 et la sécurité
Windows 8 et la sécurité
Microsoft Décideurs IT
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft Décideurs IT
 
Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?
Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?
Webinar Ivanti - FR - EOL Windows 7 : Quelle est votre Stratégie ?
Ivanti
 
Maconfig
MaconfigMaconfig
Maconfig
guesteb5576
 
Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]Backdoors et rootkits_avancees_[slides]
Backdoors et rootkits_avancees_[slides]
UltraUploader
 
Deploiement Windows Xp
Deploiement Windows XpDeploiement Windows Xp
Deploiement Windows Xp
emantoine
 
Win8 architecture for developers
Win8 architecture for developersWin8 architecture for developers
Win8 architecture for developers
Robert MacLean
 
Déploiement de Windows 8
Déploiement de Windows 8Déploiement de Windows 8
Déploiement de Windows 8
Microsoft Technet France
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
Microsoft Technet France
 
Le modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows AppsLe modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows Apps
Microsoft
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft Technet France
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft
 
Windows RT en entreprise
Windows RT en entrepriseWindows RT en entreprise
Windows RT en entreprise
Microsoft Technet France
 
La signature de code - Code signing
La signature de code - Code signingLa signature de code - Code signing
La signature de code - Code signing
Alice and Bob
 
Périphériques non-Windows et SCCM – Intégrations et management
Périphériques non-Windows et SCCM – Intégrations et managementPériphériques non-Windows et SCCM – Intégrations et management
Périphériques non-Windows et SCCM – Intégrations et management
Microsoft Technet France
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Décideurs IT
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LINAGORA
 
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Microsoft
 
Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb
Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 MbChapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb
Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb
adel865025
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Microsoft Technet France
 
Powershell et les techniques de remoting
Powershell et les techniques de remoting Powershell et les techniques de remoting
Powershell et les techniques de remoting
Microsoft Technet France
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Philippe Beraud
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 
La diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud AzureLa diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud Azure
Microsoft
 
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Microsoft Technet France
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
Microsoft Technet France
 

Weitere ähnliche Inhalte

Ähnlich wie Mécanismes internes de la sécurité de Windows 8

BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft Technet France
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
Microsoft
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Technet France
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
Microsoft Décideurs IT
 
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Microsoft
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Microsoft Technet France
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
depinfo
 

Ähnlich wie Mécanismes internes de la sécurité de Windows 8 (20)

Déploiement de Windows 8
Déploiement de Windows 8Déploiement de Windows 8
Déploiement de Windows 8
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Windows Phone 8 et la sécurité
Windows Phone 8 et la sécuritéWindows Phone 8 et la sécurité
Windows Phone 8 et la sécurité
 
Le modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows AppsLe modèle de sécurité des Windows Apps
Le modèle de sécurité des Windows Apps
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
BYOD : les nouveaux scénarios d’authentification adaptés au monde de l’entrep...
 
Windows RT en entreprise
Windows RT en entrepriseWindows RT en entreprise
Windows RT en entreprise
 
La signature de code - Code signing
La signature de code - Code signingLa signature de code - Code signing
La signature de code - Code signing
 
Périphériques non-Windows et SCCM – Intégrations et management
Périphériques non-Windows et SCCM – Intégrations et managementPériphériques non-Windows et SCCM – Intégrations et management
Périphériques non-Windows et SCCM – Intégrations et management
 
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
Identity Days 2020 - Mettre en oeuvre AD-CS en respectant les meilleures prat...
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?Windows 10: vers la fin des mots de passe ?
Windows 10: vers la fin des mots de passe ?
 
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
LinPKI EJBCA : une PKI open source en route vers la certification Critères Co...
 
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
Bornes, écrans, automates: ce qui se cache derrière les systèmes embarqués qu...
 
Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb
Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 MbChapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb
Chapitre_2_-Planification_et_implementation_de_BitLocker-v2.pptx 0.58 Mb
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
Powershell et les techniques de remoting
Powershell et les techniques de remoting Powershell et les techniques de remoting
Powershell et les techniques de remoting
 
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
Protéger vos données dans un contexte BYOD/Office 365 avec le nouveau service...
 
chap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdfchap 4 Sécurité des accès.pdf
chap 4 Sécurité des accès.pdf
 
La diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud AzureLa diffusion vidéo avec le Cloud Azure
La diffusion vidéo avec le Cloud Azure
 

Mehr von Microsoft Technet France

Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Microsoft Technet France
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
Microsoft Technet France
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Microsoft Technet France
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
Microsoft Technet France
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Microsoft Technet France
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
Microsoft Technet France
 

Mehr von Microsoft Technet France (20)

Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
Automatisez, visualisez et améliorez vos processus d’entreprise avec Nintex
 
Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10Comment réussir votre déploiement de Windows 10
Comment réussir votre déploiement de Windows 10
 
OMS log search au quotidien
OMS log search au quotidienOMS log search au quotidien
OMS log search au quotidien
 
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col... Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
Fusion, Acquisition - Optimisez la migration et la continuité des outils col...
 
Wavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semainesWavestone déploie son portail Powell 365 en 5 semaines
Wavestone déploie son portail Powell 365 en 5 semaines
 
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités AzureRetour d’expérience sur le monitoring et la sécurisation des identités Azure
Retour d’expérience sur le monitoring et la sécurisation des identités Azure
 
Scénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + SecurityScénarios de mobilité couverts par Enterprise Mobility + Security
Scénarios de mobilité couverts par Enterprise Mobility + Security
 
SharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle générationSharePoint Framework : le développement SharePoint nouvelle génération
SharePoint Framework : le développement SharePoint nouvelle génération
 
Stockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le mondeStockage Cloud : il y en aura pour tout le monde
Stockage Cloud : il y en aura pour tout le monde
 
Bien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a ServiceBien appréhender le concept de Windows As a Service
Bien appréhender le concept de Windows As a Service
 
Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365Protéger vos données avec le chiffrement dans Azure et Office 365
Protéger vos données avec le chiffrement dans Azure et Office 365
 
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
Protéger votre patrimoine informationnel dans un monde hybride avec Azure Inf...
 
Comprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de MicrosoftComprendre la stratégie identité de Microsoft
Comprendre la stratégie identité de Microsoft
 
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...Vous avez dit « authentification sans mot de passe » : une illustration avec ...
Vous avez dit « authentification sans mot de passe » : une illustration avec ...
 
Sécurité des données
Sécurité des donnéesSécurité des données
Sécurité des données
 
Déploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloudDéploiement hybride, la téléphonie dans le cloud
Déploiement hybride, la téléphonie dans le cloud
 
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
Supervisez la qualité des appels Skype for Business Online à l'aide de Call Q...
 
SharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybridesSharePoint 2016 : architecture, déploiement et topologies hybrides
SharePoint 2016 : architecture, déploiement et topologies hybrides
 
Gestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderneGestion de Windows 10 et des applications dans l'entreprise moderne
Gestion de Windows 10 et des applications dans l'entreprise moderne
 
Office 365 dans votre Système d'Informations
Office 365 dans votre Système d'InformationsOffice 365 dans votre Système d'Informations
Office 365 dans votre Système d'Informations
 

Mécanismes internes de la sécurité de Windows 8

  • 1. CLI301 – Mécanismes internes de la sécurité de Windows 8 Arnaud Jumelet – Consultant Sécurité http://aka.ms/arjum Pascal Sauliere – Architecte Infrastructure http://aka.ms/pascals Microsoft France Entreprise / IT / Serveurs / Réseaux / Sécurité
  • 2. Donnez votre avis ! Depuis votre smartphone, sur : http://notes.mstechdays.fr De nombreux lots à gagner toutes les heures !!! Claviers, souris et jeux Microsoft… Merci de nous aider à améliorer les TechDays http://notes.mstechdays.fr
  • 3. Agenda • Démarrage du système • Ouverture de session • Contrôle d’accès • Isolation des applications modernes • Protection du poste de travail • Sessions complémentaires – SEC302 Windows 8 et la sécurité – SEC313 Le modèle de sécurité des Windows Apps
  • 5. Qu’est-ce qu’un firmware ? • Il s’agit du premier programme qui s’exécute sur un ordinateur lors de sa mise sous tension électrique. • Le firmware identifie les composants, les initialise, vérifie le bon fonctionnement puis transfère l’exécution au programme stocké sur le premier périphérique de démarrage disponible. • Le firmware permet aux programmes de démarrage d’interagir avec le matériel par l’intermédiaire d’interfaces de programmation standardisées. Lors de son démarrage, Windows s’appuie sur les services du firmware pour dialoguer avec le matériel. • Deux types de firmware : BIOS (début 1980) et UEFI (2005)
  • 6. Boot sécurisé : BIOS vs. UEFI • Le BIOS lance n’importe quel OS loader, même du malware • Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance • L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement • UEFI ne lancera qu’un OS Loader vérifié. En substance, un malware ne peut remplacer le boot loader
  • 7. UEFI – Secure Boot • Le Secure Boot vérifie la signature ou l’empreinte numérique de tout code avant d’autoriser son exécution. Pour arriver à ce résultat, le Secure Boot conserve une base de données (DB) des programmes qui sont pré-approuvés pour s’exécuter lors du démarrage de l’ordinateur. • Si l’image UEFI n’est pas déclarée dans la liste blanche ou bien présente dans la liste noire alors son exécution est bloquée.  Le Secure Boot (démarrage sécurisé) nécessite un firmware UEFI en version 2.3.1 au minimum.  Le Secure Boot ne requiert pas la présence d’un module de plateforme sécurisée (TPM).
  • 8. UEFI – Secure Boot PowerShell PK KEK PK KEK, DB et DBX DB DBX
  • 9. UEFI – Base des signatures (1/2) • La spécification UEFI introduit la notion de clé de plateforme (Platform Key - PK) qui est conçu pour être contrôlée par le propriétaire de plate-forme (celui qui possède le matériel) et un ensemble de clés pour l’échange de clés (Key- Exchange Keys - KEKs) qui est conçu pour être contrôlé par les fabricants de matériel (OEM) et les éditeurs de système d’exploitation. • Cette séparation à deux niveaux, PK et KEK, apporte de la flexibilité. Le propriétaire de la plate-forme installe la clé publique KEK sans compromettre la sécurité du modèle et sans avoir à connaitre la clé privée associée. • La base KEK est une base de signature qui contient les certificats des fabricants matériels (OEM) et éditeurs logiciels (OS) autorisés. Une entité autorisée est celle qui possède une clé d'échange de clés (KEK). Cette clé privée est utilisée pour signer les modifications des bases de signatures DB et DBX.
  • 10. UEFI – Base des signatures (2/2) • La base de signature DB répertorie les empreintes (SHA-1 ou SHA- 256) des images UEFI qui peuvent être exécutées. De plus, la base DB contient les signataires de confiance, c’est-à-dire les certificats numériques servant à vérifier la signature d’une image UEFI. • La base de signature DBX répertorie les images UEFI révoquées dont le code n’est plus digne de confiance. La base DBX contient les empreintes (SHA-1 ou SHA-256) des images UEFI qui ne peuvent plus être exécutées. De plus, la base DBX liste les certificats numériques considérés comme révoqués ; ils ne permettent plus de vérifier la signature d’une image UEFI.
  • 11. UEFI – Mode de fonctionnement • Une fois que ces différentes bases de données ont été peuplées, le fabricant verrouille le firmware en empêchant sa modification en important la clé de plateforme PK (Platform Key). Pour rappel, la PK permet de mettre à jour la base KEK ou bien de désactiver le Secure Boot. • Dès lors qu’une clé de plateforme PK est installée, alors le firmware fonctionne en mode utilisateur et ne voudra démarrer que les images UEFI ayant une signature numérique valide (c’est-à-dire que lors de la vérification de la signature, un élément de la chaine de certificat doit être déclaré dans la base DB ou KEK). Si l’image UEFI ne possède pas de signature numérique alors son empreinte doit avoir été déclarée dans la base DB.
  • 13. UEFI – Secure Boot - Divers • Sur les architectures x86/x64, le constructeur d’ordinateur doit donner à l’utilisateur la possibilité de désactiver le Secure Boot en naviguant dans le menu du firmware. • En architecture ARM, la désactivation du Secure Boot par l’utilisateur n’est pas
  • 14. Pourquoi UEFI ? • Bénéfices clés pour la sécurité – Boot sécurisé – Support eDrive pour BitLocker – Support du déverrouillage réseau pour BitLocker – Support multicast pour WDS • Une exigence pour obtenir le logo Windows 8 et Windows RT • Autres bénéfices – Support SOC (ARM et Intel) – Meilleure expérience utilisateur • Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc. – Support des disques système de plus de 2.2 TO
  • 17. Compte Microsoft • Identité live.com ou hotmail.com – Email, calendrier, documents, photos etc. – Synchronisation de paramètres • Accès aux services sans réauthentification – Email etc. – SkyDrive – Autres services utilisant le compte Microsoft
  • 19. Types de comptes Type de compte Description Compte local Authentification nécessaire pour les services utilisant les comptes Microsoft Compte Microsoft Accès transparent à ces services + Synchronisation Compte de domaine Classique, authentification nécessaire sur les services utilisant les comptes Microsoft Compte de domaine avec compte Avantages des comptes de domaine et Microsoft lié des comptes Microsoft
  • 21. Compte de domaine avec un compte Microsoft
  • 22. Compte de domaine avec un compte Microsoft
  • 23. Compte Microsoft connecté à un compte de domaine • Uniquement pour applications et services web acceptant ce type d’identité • Paramètres synchronisés : – Paramètres Windows – Paramètres Apps et IE – Mots de passe : sauf pour les mots de passe enregistrés sur le poste du domaine, qui ne quittent pas le poste
  • 24. Modes d’authentification • Mot de passe • Mot de passe image (nouveau) • Code confidentiel (nouveau) • Carte à puce • Carte à puce virtuelle (nouveau)
  • 25. Choix du mode d’authentification
  • 26. Mot de passe image • Adapté aux tablettes • 3 gestes sur une image • Types de gestes – Cercle : position, taille, sens – Ligne : position des deux points, sens – Point : position • Autorisé pour comptes locaux et Microsoft • Autorisé par défaut pour comptes de domaine (GPO)
  • 27. Sécurité du mot de passe image • Grille de 100x100 • Score • Entropie > mot de passe de 5 caractères simples • Déverrouille le mot de passe standard • Verrouillé après 5 tentatives – Retour au mot de passe standard
  • 28. Code confidentiel • Adapté aux tablettes • Code à 4 chiffres • Même principe que le mot de passe image • Interdit par défaut pour les comptes de domaine
  • 29. Carte à puce virtuelle • Propriétés des cartes à puces : – Non exportabilité (clés privées) – Cryptographie isolée (opérations dans la carte) – Anti « force brute » (carte bloquée après N tentatives) • Cartes à puces virtuelles : – Mêmes propriétés en utilisant le TPM – Moins cher ! – Transparent pour les applications – 1 utilisateur = 1 carte virtuelle par PC
  • 30. Cartes physiques et virtuelles Carte à puce Carte à puce virtuelle Fonctions crypto Carte TPM Clé privée Dans la carte Sur le disque, chiffrée par le TPM Anti brute force Carte TPM Matériel PC + lecteur + carte PC 1 utilisateur, La même carte sur plusieurs Une carte virtuelle sur chaque PC plusieurs PC PC Plusieurs Chaque utilisateur utilise sa Chaque utilisateur a une carte utilisateurs, 1 PC carte virtuelle sur le PC Risques particuliers PC sans surveillance Pas de politique « retrait de la carte » Coût Lecteurs + cartes + pertes PC avec TPM
  • 31. Procédure • Modèle de certificat • Créer la carte virtuelle sur le poste client – tpmvscmgr.exe • Enrôlement du certificat • Test !
  • 32. Création de la carte à puce
  • 33. demo Virtual Smart Card MISE EN SERVICE D’UNE CARTE À PUCE VIRTUELLE AVEC VERSATILE SECURITY
  • 34. Gestion des Virtual Smart Cards avec vSEC:CMS T- Series • Gestion du cycle de vie de la carte et de ses certificats – Création/destruction de la carte à puce virtuelle – Diversification du code administrateur – Politique de code PIN utilisateur – Réinitilisation du code PIN – Enrôlement, renouvellement, rapports sur les certificats émis • Intégration simple et rapide – Support de la PKI ADCS (Active Directory Certificate Services) • versatilesecurity.com Contact : William HOURY
  • 37. Contrôle d’accès sous Windows – Un bref rappel Accès à la Windows Ressource ressource Jeton d’accès Descripteur de sécurité de la ressource
  • 38. Le jeton d’accès Accès à la Windows Ressource ressource Jeton d’accès Descripteur de sécurité de la ressource
  • 39. Evolutions du jeton d’accès sous Windows 8
  • 40. demo Jeton d’accès CONTENU DU JETON D’ACCÈS SOUS WINDOWS 8
  • 41. Politiques d’accès centralisées AD DS File Server Revendications Revendications Propriétés de la Utilisateurs Périphérique Ressource User.Department = Finance Device.Department = Finance Resource.Department = Finance User.Clearance = High Device.Managed = True Resource.Impact = High POLITIQUES D’ACCES S’applique à: @File.Impact = High Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed == True)
  • 42. Contrôle d’accès Share Security Descriptor Share Permissions Active Directory (cached in local Registry) Cached Central Access Policy Definition File/Folder Security Descriptor Cached Central Access Rule Central Access Policy Reference Cached Central Access Rule NTFS Permissions Cached Central Access Rule Décision de contrôle d’accès : 1) Vérification – permissions sur le partage si applicable 2) Vérification – permissions sur le fichier 3) Vérification – Chaque règle d’accès centralisée dans la politique d’accès centralisée
  • 44. Modèle de sécurité de Windows 8  Le modèle de sécurité de Windows 8 évolue et introduit le concept de conteneur isolé.  Basé sur le principe du moindre privilège et utilise des niveaux d'isolation.  Le format du jeton de sécurité sous Windows 8 évolue. Il contient des capacités, des packages SID, des claims et des devices groups.  Chaque App sur Windows 8 s'exécute dans son propre AppContainer isolé qui est défini par les capacités déclarées comme requises par l'application pour fonctionner.  Un AppContainer offre des niveaux d'isolation dans lequel un processus peut s'exécuter. De plus, un AppContainer est défini et mis en œuvre à l'aide d'un système de politique (le manifeste). La politique de sécurité d'un AppContainer définit les capacités que les processus peuvent utiliser.  Une capacité est une ressource pour laquelle la sécurité, la vie privée ou bien le coût financier est en jeu. Des exemples de capacités comprennent des informations de localisation géographique, la caméra, le microphone, l'accès au réseau local, l'envoi de SMS, etc.
  • 45. Renforcement de l’isolation : lorsque les accès proviennent d’un AppContainer
  • 46. Le modèle de sécurité des Windows Apps • Contrôle et consentement utilisateur • Chaque App divulgue ses capacités à l'utilisateur sur la page des détails sur le Windows Store. La première fois qu’une App utilise une capacité matérielle pouvant porter atteinte à la vie privée, l’utilisateur doit donner explicitement son consentement • Réduction de la surface d'attaque • Chaque App reçoit les capacités nécessaires pour son bon fonctionnement, mais pas plus. Pour pouvoir être publiées sur le Windows Store, les Apps qui demandent des capacités spéciales requièrent une licence « développeur d’entreprise ». De plus les Apps s’exécutent dans un environnement d’exécution restreint. • Isolation • Les Apps sont isolées les unes des autres et ne peuvent pas accéder à la mémoire utilisée et aux données stockées par d'autres applications. Aucun canal de communication direct n’existe entre les Apps autrement que par le Cloud (capacité réseau) et les capacités de stockage.
  • 47. PROTECTION DU POSTE DE TRAVAIL
  • 48. Windows SmartScreen ou comment prendre la bonne décision • Les techniques des cybercriminels évoluent. Les cybercriminels conçoivent des séries de programmes malveillants à faible diffusion. • Une attaque ciblée utilise une version non détectée d’une boîte à outils / d’un malware qui ne sera pas détecté par votre antivirus. • Le principe de Windows SmartScreen est qu’une application n’ayant aucune réputation est susceptible de contenir du code malveillant. • Si l’application n’est pas fréquemment téléchargée et ne possède pas de réputation, alors un message s’affiche vous invitant à faire preuve de prudence.
  • 50. Windows SmartScreen – Réputation des applications Traite le reste avec suspicion
  • 51. En résumé • Protection de la plateforme Contrôler l’exécution du code avant que Windows démarre tout en vérifiant son intégrité • Contrôle d’accès moderne Moderniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation • Résistance contre les malwares Protéger l’appareil, les données et les ressources de l’organisation en rendant la plateforme moins vulnérable aux effets d’un malware
  • 52. 4 ouvrages écrits par 13 Microsoftees http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
  • 53. Développeurs Pros de l’IT http://aka.ms/generation-app Formez-vous en ligne www.microsoftvirtualacademy.com http://aka.ms/evenements- developpeurs Retrouvez nos évènements http://aka.ms/itcamps-france Les accélérateurs Faites-vous accompagner Windows Azure, Windows Phone, gratuitement Windows 8 Essayer gratuitement nos http://aka.ms/telechargements solutions IT La Dev’Team sur MSDN Retrouver nos experts L’IT Team sur TechNet http://aka.ms/devteam Microsoft http://aka.ms/itteam

Hinweis der Redaktion

  1. Notation
  2. Nous ne parlerons pas de de BitLocker, ni d’ELAM, ni de Windows Defender, ni du renforcement du noyau, ni de Group Protected PFX, ni de DAC.
  3. Win + Rcmdcd downloadsdir /RnotepadFunnyVideo.exe:Zone.Identifier
  4. http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels/