Face à la prolifération des menaces qui pèsent sur le système d’information, l’axe de réponse passe par la sécurité du poste de travail. Au cours de cette session, un panorama des menaces et des contre-mesures sera dressé. Vous verrez, ensuite, comment mettre en œuvre les principes de base : configurations de sécurité, gestion des correctifs, audit et contrôle de la conformité… Enfin, différents scénarios d’amélioration seront présentés.
3. Qu'est-ce qu'un poste de
travail sécurisé ? (CLI201)
09/02/2012
Arnaud JUMELET / Christophe CYGAN
Consultant sécurité / Ingénieur avant-vente
Microsoft France
4. Le PC dans l’entreprise en 2012
Fixe / Portable / Virtuel / Tablette
Connecté : Wifi, 3G,...
Avec du stockage local / dans le SI / dans le Nuage
Avec des applications locales / distantes /
virtualisées
Avec des périphériques complémentaires
5. Les bénéfices d’un poste de travail
sécurisé risques Augmentation de la
Réduction des Permettre de
et des coûts productivité nouveaux scénarios
Réduction des coûts liés Réduction du temps Accès transparent au SI en
aux vols de propriété passé à mettre à jour ou situation de mobilité avec
intellectuelle et aux réparer les systèmes Direct Access.
opérations urgentes lors compromis.
des brèches du SI. Garantir l’accessibilité et Consommer des services
Moins d’interruption de la disponibilité des hébergés dans le Cloud.
services dues aux ressources critiques.
attaques.
11. Quelques mesures de contrôle
Authentification forte
Moindre privilèges
Utilisateur Contrôle des applications
Gestion des correctifs
Configurations de sécurité
Application
Chiffrement des données
Droits numériques
Données
Chiffrement du disque
Système Anti-malware
Gestion des correctifs
Configurations de sécurité
Réseau
Pare-feu
Contrôle de conformité
Contrôle d'accès réseau
12. Correctifs
Anti-malware
Client SCCM
Forefront Endpoint Protection
Microsoft Update
Internet Explorer 9
(SmartScreen)
Système et
Applications
Réseau DirectAccess
Security Compliance
Client SCCM (DCM)
Network Access Protection
Données
Manager
AppLocker
Authentification 802.1x
AD RMS / EFS UAC
IPSec
BitLocker avec MBAM Configuration des
Windows Local Firewall applications (IE et Office)
BitLocker & BitLocker To Go Configuration Windows 7
13. Une histoire en 4 actes
Configurations de sécurité
La gestion des droits et des privilèges
Protection des données stockées
14. Protection de la plateforme
Authentification Principe du moindre privilèg
Politique de mot de passe Utilisateur Standard
Forte (carte à puce, etc.) User Account Control (UAC)
Protection des données Contrôle des périphériques
BitLocker / MBAM Désactiver l’autorun
EFS Restriction des interfaces
ADRMS
Configurations de sécurité
Group Policy Object (GPO)
Security Compliance Manager (SCM)
16. Une histoire en 4 actes
L'authentification au niveau du réseau
Protection des communications
Contrôle des communications
17. Protection Réseau
Authentification réseau
802.1x (filaire, wifi)
Protection des communications
IPSec
Contrôle des communications
Windows Local Firewall
18. Une histoire en 4 actes
Contrôle des vulnérabilités techniques
Contrôles contre les codes malveillants
Contrôle des applications autorisées à
s’exécuter
19. Protection et contrôle des
applications
Application des correctifs :
System Center Configuration Manager (SCCM)
System Center Updates Publisher (SCUP)
Windows Server Update Services (WSUS)
Contrôle des applications :
AppLocker
Anti-malware (Forefront Endpoint Protection)
Protection des applications :
Enhanced Mitigation Experience Toolkit (EMET)
Microsoft Office Isolated Conversion Environment
(MOICE)
21. Une histoire en 4 actes
Protection des informations du journal
Revue des journaux d'événement
Audit des mesures de sécurité
22. Audit et conformité
Audit et conformité
Evénements et traces
System Center Desktop Error Monitoring
(SCDEM)
Auditer les configurations de sécurité
Desired Configuration Management (DCM)
Contrôle continu des mesures de sécurité
Network Access Protection (NAP)
DirectAccess
Mise à jour des configurations de sécurité
25. System Center 2012 Endpoint
Protection
Nouvelle generation de Forefront Endpoint Protection
2010
Infrastructure unifiée Protection Renforcée Administration
Simplifiée
Réduction des coûts de Protection contre les
gestion de la sécurité menaces connues et L’interface commune pour la
grâce à consolidation inconnues grâce aux protection et la gestion des
de l’infrastructure de contrôles postes de travail et serveurs
sécurité et de gestion comportementales, applicativ
du parc es et réseau
26. Les couches de Protection
intégrées
Dans SCEP 2012
Protections Réactives Protections Proactives
(Contre des menaces (Contre des menaces encore
Dans Windows 7
connues) inconnues)
Couche Analyse Comportementale
Microsoft Malware
Dynamic Signature
Protection Center
Applicative Data Execution Address Space Layer Windows Resource
Applocker
Protection Randomization Protection
Service
Dynamic Translation &
Couche Antimalware Emulation
Système de Fichiers Internet Explorer 8/9
BitLocker
SmartScreen
Couche Protection contre les vulnérabilités réseau (NIS)
Résau Gestion centralisée du Firewall Windows
27. Nouveautés de SCEP 2012
Scenarios Forefront Endpoint Protection 2010 System Center 2012 Endpoint Protection
Infrastructure unifiée System Center Configuration Manager 2007 System Center 2012 Configuration Manager
Consolidation
installation Séparée Unifiée
Déploiement des Client Processus de distribution de ConfigMgr Intégrée
Mises à jour des signatures Multiples sources (WSUS, File Share, Microsoft Multiples sources avec les règles de déploiement
Update) automatiques depuis la console ConfigMgr
Protection
Protection proactive
Gestion du Firewall Windows
Délégation d’administration
Simplification
Alertes et supervision Les alertes en temps réel
Rapports Les rapports additionnels autour de la gestion des
utilisateurs
28. Protection contre les menaces
réseau
• Inspection du traffic HTTPS
• Filtrage d’URLs
• Analyse Anti-Virus en bordure du réseau
29. Mettez toutes les chances de
votre coté
http://www.nsslabs.com/assets/noreg-
reports/2012/Did%20Google%20pull%
20a%20fast%20one%20on%20Firefox%
20and%20Safari%20users_.pdf
30. Gestion des accès réseau
Réseau d’Entreprise
Exchange
CRM
Tablettes/
Smartphones SharePoint
IIS
Télétravail / IBM, SAP, Oracle
Cybercafé Layer3 VPN Terminal / Remote
Desktop Services
HTTPS (443)
Internet
DirectAccess
Non web
Partenaires / AD, ADFS,
soustraitants RADIUS, LDAP….
NPS, ILM
Machines gerés par l’entreprise
31. Gestion de la sécurité sans
infrastructure
En ligne Hébergé
32. Administrez et sécurisez les PC à distance
Protection contre les logiciels malveillants
Gestion des mises à jour
Administration proactive des PC
Assistance à distance
Inventaire matériel et logiciel
Règles de sécurité
Solutions de mobilité
Des PC sécurisés et administrés, que l’utilisateur soit au bureau ou en
déplacement
Les administrateurs et les partenaires peuvent également intervenir à
distance
34. La Solution Poste de Travail
Protection contre le
Sécurisé de
Protection
L’ accès sécurisée
malware l’information
Protection multicouches Protection des données Accès sécurisés et
contre les malwares et les critiques quelle que soient permanents
menaces en provenance leur emplacement
du WEB
La Gestion Simplifiée
Intégration avec les technologies Microsoft éprouvées
35. Protection système
Malware
Accès Chiffrement Utilisateur
réseau disque standard
Contrôle
des applications Configuration
de sécurité
Pare-feu
Protection lorsque le malware
Anti-malware s’exécute
Correctifs
Protection avant que
le malware ne s’exécute
Contrôle de
conformité
Protection avant l’arrivée
du malware sur le poste
36. Malware
BitLocker IE Protected Mode
802.1x IE SmartScreen
UAC
Direct Access FEP
DEP, ASLR,
Windows WRP, MIC, KPP EMET
Signature du code
Firewall
WSUS
SCCM Protection lorsque le malware
AppLocker s’exécute
IPSec
NAP Protection avant que
le malware ne s’exécute
Audit DCM
Protection avant l’arrivée
du malware sur le poste
38. Bonnes pratiques
Mettre en place les principes de base de la sécurité !
Correctifs de sécurité (pas uniquement Microsoft)
Utilisateur non administrateur local
Ne pas accéder à Internet en tant qu’administrateur!
Réduction des privilèges avec UAC
Augmenter l’utilisation des configurations de sécurité par GPO
Utilisation du pare-feu embarqué
Anti-malware
Versions OS plus récentes
Chiffrement des postes mobiles (BitLocker)
EMET pour protection des applications « legacy »
Désactiver l’autorun
Gestion du changement / formation pour les administrateurs
Est-cequel’ondoitappliquertoutesces techno à l’ensemble des postes de travail ?
Qui a déjà déployé SCM ?
Qui connait EMET ?
Gestion de la sécurité: mise en pratique et le suivi d’application de vos stratégies – vos stratégies peuvent être complétés par les modèles proposés par Microsoft (Microsoft Security Compliance Manager), suivi des stratégies et de la remédiation (DCM), suivi de l’état d’application des patches de sécurité, d’état de chiffrement des disques avec Bitlocker, des mises à jour des signatures d’antivirus et des infections en cours…
Automatic deployment rules – using a rich set of criteria you can define the types of updates that you want to automatically approve and deploy within your environment. Configuration Manager will automatically check with Windows Update or Microsoft Update to see if there are any new updates that match your rule definition. This type of functionality is a great way to keep your environment up-to-date with the latest updates. It is especially important for scenarios such as definition updates, since these are released multiple times a day.Role-based administration – both Configuration Manager 2012 and Endpoint Protection 2012 now fully support role-based administration. This allows you to securely designate specific tasks to your security administrators and management administrators.Real time malware alerts – everyone that has been around for a security issue knows that time is very important. The quicker you know means the higher the chance that you can mitigate the impact of an issue. To help with this Endpoint Protection now provides real-time alerts for malware activity. This means from the console you can quickly get status from all your clients if there is a malware outbreak.Email subscriptions –now that we get the alerts to the console quickly, we also looked for ways to cut the figurative tether between you and the console. To help with this we added in email subscriptions. This means that you can subscribe to events like malware alerts and receive these alerts on your mobile device.
UAG provides services to four types of audiences (from bottom up):Employees that are roamed with their laptops and need access. There are few reasons why they need UAG and not traditional VPN:Behind firewall most IPSec VPNs doesn’t work because they are UDP.Having the portal as one entry point for all corporate resources.No need to install and configure VPN client.Strong authentication (see next slides)Business partners / sub-contractors: today companies either provide them full VPN access which is almost irresponsible thing to do or just collaborate with them over e-mail. See the study in the end-point health slides for example about the risk of open the network for partners. Hostile environments like home PC, friends PC, Kiosk. “In any home where there is a teenager, the home PC is hostile environment….”Mobile devices – they are always outside the network.UAG Supports three types of applications delivery:Web / HTTP based where it acts as a reverse proxy. Among the tens of applications that are supported are:Exchange: Outlook Web Access, Outlook Anywhere (RPCoHTTP) and Exchange ActiveSync.SharePoint (all versions including 2007)Microsoft Dynamics CRM (3.0 and 4.0)Non-Microsoft applications such as IBM Lotus, IBM Domino, SAP portals, Oracle PeopleSoft, etcFor full list of applications that are supported today with IAG 2007 look here: http://technet.microsoft.com/en-us/library/cc303258.aspxTerminal Services applications that are served via Terminal Services Gateway that is embedded within UAG. UAG supports RemoteApp and RemoteDesktopNon-Web/HTTP applications by providing ad-hoc tunneling.
Administration dans le cloud pour les appareils WindowsAvantagesAucune infrastructure sur site n’estrequiseVousbénéficieztoujours des dernièresfonctionnalitésSurveillance et rapports simplifiésL’administrateurpeutgérer la sécurité et les mises à jour depuisn’importequel emplacement
Enterprise employees and partners—both within a single organization and across multiple entities—need to connect and collaborate securely from virtually any location and on any device. At the same time, they must prevent unauthorized use of confidential information wherever it resides—on servers, in documents, on portable devices, or elsewhere. Additionally, IT groups need to secure infrastructure from Web-based threats, intrusions, and attacks. Microsoft’s Secure Desktop solution provides comprehensive protection encompassing three core scenarios- Malware ProtectionProvide defense in depth security against malware and constantly evolving web based threats. This is achieved by using Microsoft technologies at the edge of the network as well as on the client itself. Information ProtectionInformation must be protected while on the desktop, as it leaves the desktop in digital form, or on external drives.Uniform and consistent policies must be established and enforced with automated tools. Secure AccessLet users securely connect to information from any device or location—This includes providing protection across multiple layers and enabling secure remote access to an increasingly distributed workforce and business ecosystem. Secure Desktop solution provides an always-on, seamless remote connection for employees while enabling a secure way for partners and customers to collaborate.While Malware Protection, Information Protection, and Secure Access are the primary tenets of a Secure Desktop, there are two foundations that help contribute to its success: Simplified management – This focuses on creating a simplified experience for managing the components within the Secure Desktop Solution. The goal is to provide a unified console for managing and securing endpoints and improving visibility for identifying and remediating potentially vulnerable endpoints. Integration with proven Microsoft technologies – Security needs to be built in (not just bolted on) to the infrastructure and work across multiple platforms and environments. It should interoperate with existing IT and security infrastructure, and it should extend its capabilities to all servers and clients on the network, whether on the local area network (LAN) or at other organizations entirely. The components in Secure Desktop solution integrate well with the other Microsoft technologies to provide benefits of using existing infrastructure and reducing overall infrastructure costs. Each aspect of the Microsoft Business Ready Security solutions is exemplified by the features and benefits of the core products and technologies in the Forefront family.
La méthode de propagation des malwares la plus répondue en 2011 ?Quel est l’outil pour la gestion centralisée deBitlocker ?Quel est le meilleur l’outil de gestion de la sécurité des postes de travail Windows ?Quel est le navigateur internet le plus sécurisé ?Citez 2 ou 3 bonnes pratique de la sécurité.