Cette présentation aborde les nouveautés de Windows 8 concernant les mécanismes internes de la sécurité : l'ouverture de session, les méthodes d'authentification, les cartes à puces virtuelles, les autorisations, le contrôle d'accès, ainsi que les mécanismes d'isolation des applications Windows 8.
1. CLI301 – Mécanismes
internes de la sécurité
de Windows 8
Arnaud Jumelet – Consultant Sécurité
http://aka.ms/arjum
Pascal Sauliere – Architecte Infrastructure
http://aka.ms/pascals
Microsoft France
Entreprise / IT / Serveurs / Réseaux / Sécurité
2. Donnez votre avis !
Depuis votre smartphone, sur :
http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
3. Agenda
• Démarrage du système
• Ouverture de session
• Contrôle d’accès
• Isolation des applications modernes
• Protection du poste de travail
• Sessions complémentaires
– SEC302 Windows 8 et la sécurité
– SEC313 Le modèle de sécurité des Windows Apps
5. Qu’est-ce qu’un firmware ?
• Il s’agit du premier programme qui s’exécute sur un ordinateur lors de sa mise
sous tension électrique.
• Le firmware identifie les composants, les initialise, vérifie le bon fonctionnement
puis transfère l’exécution au programme stocké sur le premier périphérique de
démarrage disponible.
• Le firmware permet aux programmes de démarrage d’interagir avec le matériel
par l’intermédiaire d’interfaces de programmation standardisées. Lors de son
démarrage, Windows s’appuie sur les services du firmware pour dialoguer avec
le matériel.
• Deux types de firmware : BIOS (début 1980) et UEFI (2005)
6. Boot sécurisé : BIOS vs. UEFI
• Le BIOS lance n’importe quel OS loader, même du malware
• Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders
dignes de confiance
• L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement
• UEFI ne lancera qu’un OS Loader vérifié. En substance, un malware ne peut remplacer le boot
loader
7. UEFI – Secure Boot
• Le Secure Boot vérifie la signature ou l’empreinte numérique de tout
code avant d’autoriser son exécution. Pour arriver à ce résultat, le
Secure Boot conserve une base de données (DB) des programmes qui
sont pré-approuvés pour s’exécuter lors du démarrage de l’ordinateur.
• Si l’image UEFI n’est pas déclarée dans la liste blanche ou bien
présente dans la liste noire alors son exécution est bloquée.
Le Secure Boot (démarrage sécurisé) nécessite un firmware UEFI en
version 2.3.1 au minimum.
Le Secure Boot ne requiert pas la présence d’un module de plateforme
sécurisée (TPM).
8. UEFI – Secure Boot
PowerShell
PK KEK
PK
KEK, DB et
DBX DB DBX
9. UEFI – Base des signatures (1/2)
• La spécification UEFI introduit la notion de clé de plateforme (Platform Key -
PK) qui est conçu pour être contrôlée par le propriétaire de plate-forme (celui
qui possède le matériel) et un ensemble de clés pour l’échange de clés (Key-
Exchange Keys - KEKs) qui est conçu pour être contrôlé par les fabricants de
matériel (OEM) et les éditeurs de système d’exploitation.
• Cette séparation à deux niveaux, PK et KEK, apporte de la flexibilité.
Le propriétaire de la plate-forme installe la clé publique KEK sans
compromettre la sécurité du modèle et sans avoir à connaitre la clé privée
associée.
• La base KEK est une base de signature qui contient les certificats des
fabricants matériels (OEM) et éditeurs logiciels (OS) autorisés. Une entité
autorisée est celle qui possède une clé d'échange de clés (KEK). Cette clé
privée est utilisée pour signer les modifications des bases de signatures DB
et DBX.
10. UEFI – Base des signatures (2/2)
• La base de signature DB répertorie les empreintes (SHA-1 ou SHA-
256) des images UEFI qui peuvent être exécutées. De plus, la base
DB contient les signataires de confiance, c’est-à-dire les certificats
numériques servant à vérifier la signature d’une image UEFI.
• La base de signature DBX répertorie les images UEFI révoquées
dont le code n’est plus digne de confiance. La base DBX contient les
empreintes (SHA-1 ou SHA-256) des images UEFI qui ne peuvent
plus être exécutées. De plus, la base DBX liste les certificats
numériques considérés comme révoqués ; ils ne permettent plus de
vérifier la signature d’une image UEFI.
11. UEFI – Mode de fonctionnement
• Une fois que ces différentes bases de données ont été peuplées, le
fabricant verrouille le firmware en empêchant sa modification en
important la clé de plateforme PK (Platform Key). Pour rappel, la PK
permet de mettre à jour la base KEK ou bien de désactiver le Secure
Boot.
• Dès lors qu’une clé de plateforme PK est installée, alors le firmware
fonctionne en mode utilisateur et ne voudra démarrer que les images
UEFI ayant une signature numérique valide (c’est-à-dire que lors de
la vérification de la signature, un élément de la chaine de certificat
doit être déclaré dans la base DB ou KEK). Si l’image UEFI ne
possède pas de signature numérique alors son empreinte doit avoir
été déclarée dans la base DB.
13. UEFI – Secure Boot - Divers
• Sur les architectures x86/x64, le
constructeur d’ordinateur doit donner à
l’utilisateur la possibilité de désactiver le
Secure Boot en naviguant dans le menu du
firmware.
• En architecture ARM, la désactivation du
Secure Boot par l’utilisateur n’est pas
14. Pourquoi UEFI ?
• Bénéfices clés pour la sécurité
– Boot sécurisé
– Support eDrive pour BitLocker
– Support du déverrouillage réseau pour BitLocker
– Support multicast pour WDS
• Une exigence pour obtenir le logo
Windows 8 et Windows RT
• Autres bénéfices
– Support SOC (ARM et Intel)
– Meilleure expérience utilisateur
• Boot rapide, logo de l’OEM, pas de
nécessité de flashage arrière, etc.
– Support des disques système de plus de 2.2 TO
17. Compte Microsoft
• Identité live.com ou hotmail.com
– Email, calendrier, documents, photos etc.
– Synchronisation de paramètres
• Accès aux services sans réauthentification
– Email etc.
– SkyDrive
– Autres services utilisant le compte Microsoft
19. Types de comptes
Type de compte Description
Compte local Authentification nécessaire pour les
services utilisant les comptes Microsoft
Compte Microsoft Accès transparent à ces services
+ Synchronisation
Compte de domaine Classique, authentification nécessaire
sur les services utilisant les comptes
Microsoft
Compte de domaine avec compte Avantages des comptes de domaine et
Microsoft lié des comptes Microsoft
23. Compte Microsoft connecté à un compte de domaine
• Uniquement pour applications et services
web acceptant ce type d’identité
• Paramètres synchronisés :
– Paramètres Windows
– Paramètres Apps et IE
– Mots de passe : sauf pour les mots de passe
enregistrés sur le poste du domaine, qui ne quittent
pas le poste
24. Modes d’authentification
• Mot de passe
• Mot de passe image (nouveau)
• Code confidentiel (nouveau)
• Carte à puce
• Carte à puce virtuelle (nouveau)
26. Mot de passe image
• Adapté aux tablettes
• 3 gestes sur une image
• Types de gestes
– Cercle : position, taille, sens
– Ligne : position des deux points, sens
– Point : position
• Autorisé pour comptes locaux et Microsoft
• Autorisé par défaut pour comptes de domaine
(GPO)
27. Sécurité du mot de passe image
• Grille de 100x100
• Score
• Entropie > mot de passe de 5 caractères
simples
• Déverrouille le mot de passe standard
• Verrouillé après 5 tentatives
– Retour au mot de passe standard
28. Code confidentiel
• Adapté aux tablettes
• Code à 4 chiffres
• Même principe que le mot de passe image
• Interdit par défaut pour les comptes de
domaine
29. Carte à puce virtuelle
• Propriétés des cartes à puces :
– Non exportabilité (clés privées)
– Cryptographie isolée (opérations dans la carte)
– Anti « force brute » (carte bloquée après N tentatives)
• Cartes à puces virtuelles :
– Mêmes propriétés en utilisant le TPM
– Moins cher !
– Transparent pour les applications
– 1 utilisateur = 1 carte virtuelle par PC
30. Cartes physiques et virtuelles
Carte à puce Carte à puce virtuelle
Fonctions crypto Carte TPM
Clé privée Dans la carte Sur le disque, chiffrée par le TPM
Anti brute force Carte TPM
Matériel PC + lecteur + carte PC
1 utilisateur, La même carte sur plusieurs Une carte virtuelle sur chaque PC
plusieurs PC PC
Plusieurs Chaque utilisateur utilise sa Chaque utilisateur a une carte
utilisateurs, 1 PC carte virtuelle sur le PC
Risques particuliers PC sans surveillance
Pas de politique « retrait de la carte »
Coût Lecteurs + cartes + pertes PC avec TPM
31. Procédure
• Modèle de certificat
• Créer la carte virtuelle sur le poste client
– tpmvscmgr.exe
• Enrôlement du certificat
• Test !
34. Gestion des Virtual Smart Cards avec vSEC:CMS T-
Series
• Gestion du cycle de vie de la carte et de ses certificats
– Création/destruction de la carte à puce virtuelle
– Diversification du code administrateur
– Politique de code PIN utilisateur
– Réinitilisation du code PIN
– Enrôlement, renouvellement, rapports sur les certificats émis
• Intégration simple et rapide
– Support de la PKI ADCS (Active Directory Certificate Services)
• versatilesecurity.com Contact : William HOURY
41. Politiques d’accès centralisées
AD DS File
Server
Revendications Revendications Propriétés de la
Utilisateurs Périphérique Ressource
User.Department = Finance Device.Department = Finance Resource.Department = Finance
User.Clearance = High Device.Managed = True Resource.Impact = High
POLITIQUES D’ACCES
S’applique à: @File.Impact = High
Autoriser| Lecture, Ecriture | si (@User.Department == @File.Department) ET(@Device.Managed ==
True)
42. Contrôle d’accès
Share
Security Descriptor
Share Permissions
Active Directory
(cached in local Registry)
Cached Central Access Policy Definition
File/Folder
Security Descriptor Cached Central Access Rule
Central Access Policy Reference Cached Central Access Rule
NTFS Permissions
Cached Central Access Rule
Décision de contrôle d’accès :
1) Vérification – permissions sur le partage si applicable
2) Vérification – permissions sur le fichier
3) Vérification – Chaque règle d’accès centralisée dans la politique
d’accès centralisée
44. Modèle de sécurité de Windows 8
Le modèle de sécurité de Windows 8 évolue et introduit le concept de conteneur
isolé.
Basé sur le principe du moindre privilège et utilise des niveaux d'isolation.
Le format du jeton de sécurité sous Windows 8 évolue.
Il contient des capacités, des packages SID, des claims et des devices groups.
Chaque App sur Windows 8 s'exécute dans son propre AppContainer isolé qui est
défini par les capacités déclarées comme requises par l'application pour
fonctionner.
Un AppContainer offre des niveaux d'isolation dans lequel un processus peut s'exécuter. De plus, un
AppContainer est défini et mis en œuvre à l'aide d'un système de politique (le manifeste). La
politique de sécurité d'un AppContainer définit les capacités que les processus peuvent utiliser.
Une capacité est une ressource pour laquelle la sécurité, la vie privée ou bien le coût financier est en
jeu. Des exemples de capacités comprennent des informations de localisation géographique, la
caméra, le microphone, l'accès au réseau local, l'envoi de SMS, etc.
46. Le modèle de sécurité des Windows Apps
• Contrôle et consentement utilisateur
• Chaque App divulgue ses capacités à l'utilisateur sur la page des détails sur le
Windows Store. La première fois qu’une App utilise une capacité matérielle pouvant
porter atteinte à la vie privée, l’utilisateur doit donner explicitement son
consentement
• Réduction de la surface d'attaque
• Chaque App reçoit les capacités nécessaires pour son bon fonctionnement, mais
pas plus. Pour pouvoir être publiées sur le Windows Store, les Apps qui demandent
des capacités spéciales requièrent une licence « développeur d’entreprise ». De
plus les Apps s’exécutent dans un environnement d’exécution restreint.
• Isolation
• Les Apps sont isolées les unes des autres et ne peuvent pas accéder à la mémoire
utilisée et aux données stockées par d'autres applications. Aucun canal de
communication direct n’existe entre les Apps autrement que par le Cloud (capacité
réseau) et les capacités de stockage.
48. Windows SmartScreen ou comment prendre la bonne décision
• Les techniques des cybercriminels évoluent. Les cybercriminels
conçoivent des séries de programmes malveillants à faible diffusion.
• Une attaque ciblée utilise une version non détectée d’une boîte à outils /
d’un malware qui ne sera pas détecté par votre antivirus.
• Le principe de Windows SmartScreen est qu’une application n’ayant
aucune réputation est susceptible de contenir du code malveillant.
• Si l’application n’est pas fréquemment téléchargée et ne possède pas de
réputation, alors un message s’affiche vous invitant à faire preuve de
prudence.
51. En résumé
• Protection de la plateforme
Contrôler l’exécution du code avant que Windows démarre
tout en vérifiant son intégrité
• Contrôle d’accès moderne
Moderniser le contrôle d’accès et la gestion des données tout
en augmentant la sécurité des données au sein de
l’organisation
• Résistance contre les malwares
Protéger l’appareil, les données et les ressources de
l’organisation en rendant la plateforme moins vulnérable aux
effets d’un malware
52. 4 ouvrages écrits par 13 Microsoftees
http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
53. Développeurs Pros de l’IT
http://aka.ms/generation-app Formez-vous en ligne www.microsoftvirtualacademy.com
http://aka.ms/evenements-
developpeurs Retrouvez nos évènements http://aka.ms/itcamps-france
Les accélérateurs
Faites-vous accompagner
Windows Azure, Windows Phone,
gratuitement
Windows 8
Essayer gratuitement nos http://aka.ms/telechargements
solutions IT
La Dev’Team sur MSDN Retrouver nos experts L’IT Team sur TechNet
http://aka.ms/devteam Microsoft http://aka.ms/itteam
Hinweis der Redaktion
Notation
Nous ne parlerons pas de de BitLocker, ni d’ELAM, ni de Windows Defender, ni du renforcement du noyau, ni de Group Protected PFX, ni de DAC.