640 likes | 744 Views
Séminaire Windows Seven. Mardi 16 Juin 2009 Diagora Toulouse. Frédéric AGNES. Christopher MANEU. Fondamentaux de la Sécurité. Nouveautés Sécurité Vista UAC Audit Renforcé Pare-Feu. Reprise des Fonctionnalités de Sécurité de Windows Vista. Fondations Windows Vista.
E N D
Séminaire Windows Seven Mardi 16 Juin 2009DiagoraToulouse Frédéric AGNES Christopher MANEU
Fondamentaux de la Sécurité Nouveautés Sécurité Vista UAC Audit Renforcé Pare-Feu
Reprise des Fonctionnalités de Sécurité de Windows Vista Fondations Windows Vista Code Sécurisé dès la conception Protection du Système UAC – User Account Control
Apport de Windows 7 User Account Control Amélioration de l’auditing UAC optimisé Audit Amélioré
Pourquoi UAC ? • Tout exécuter comme administrateur • Le défaut avec Windows XP et versions antérieures • Commode : l’utilisateur peut faire n’importe quoi, tout de suite ! • Non sécurisé : les malwares peuvent aussi faire n’importe quoi, tout de suite ! • User Account Control • Introduit avec Windows Vista • Séparation des privilèges et des tâches que peut réaliser l’utilisateur standard de ceux qui nécessitent un accès administrateur • Augmentation de la sécurité en vous permettant de faire de l’utilisateur standard l’utilisateur par défaut pour une utilisation quotidienne • Une nouvelles idée puissante mais qui va mettre du temps à faire son chemin…
Un changement de paradigme pour Windows • Les utilisateurs Unix ont connu un tel fonctionnement depuis le commencement • Ne lisez jamais votre mail ou ne naviguez jamais sur le Web comme root • Le système encourage à cela ; si vous lisez un mail comme root, vous lisez le mail de root au lieu de votre propre mail… • L’écosystème Windows doit s’adapter • Les utilisateurs ont besoin de comprendre que certains changements du système nécessitent l’utilisation de privilèges pour une bonne raison • Les applications ont besoin de ne pas faire des opérations privilégiées pour un oui ou pour un non, par exemple modifier les clés de la base de registre de l’OS
Les types d'utilisateurs Windows Hors service par défaut avec Vista Le défaut pour XP Nouveau avec Vista – Le défaut Le plus sécurisé – Meilleur choix IT • L’administrateur • Le compte nommé ‘Administrateur’ • Un administrateur • Votre nom avec des privilèges d’administration • Administrateur protégé • Votre nom avec un accès aisé aux privilèges admin • Utilisateur Standard • Votre nom sans privilèges admin
Administrateur protégé - Vista • Fournit un accès commode aux privilèges administrateur • Demande de consentement pour élever les privilèges • Passage à un bureau protégé afin d’éviter les attaques en usurpation de la demande de consentement elle-même • Utilisation du jeton administrateur embarqué au sein du processus pour gagner l’accès aux privilèges d’administration
Elévation de privilèges pour l'utilisateur standard – Vista • Confirmation dite « Over the Shoulder » (OTS) • Vous fait passer dans un bureau protégé afin d’éviter les attaques contre le dialogue de confirmation • Vous demande un mode passe pour un compte administrateur • OTS présuppose qu’une autre personne détient le mot de passe administrateur • Mot de passe requis – l’utilisateur standard ne dispose pas d’un jeton administrateur au sein de son processus
Que sont ces élévations ? • Certaines sont nécessaires • Installer ou désinstaller du logiciel • Changer le paramétrage du pare-feu • Changer l’heure et la date du système • On ne veut pas qu’un malware puisse nuire sans consentement • Certaines ne sont pas si nécessaires • Utilisation par les applications de clés inappropriées de la base de registre • Changement d’une time zone • Visualiser le paramétrage du système
La fatigue induite par des consentements trop nombreux… • Les utilisateurs expriment souvent leur frustration avec les demandes de consentement UAC • Que veut dire « trop nombreux » ? • Puisqu’aucune demande n’existait avec XP, certain diront qu’une seule est déjà trop… • Mais pour n’importe quelle demande UAC, demandez-vous « est-ce que cela me poserait problème si un malware faisait cela derrière mon dos ? » • Habitudes des utilisateurs : les utilisateurs ont besoin de s’habituer au fait que certaines opérations nécessitent des privilèges • Les applications ont besoin d’arrêter d’utiliser des privilèges sans que cela soit vraiment nécessaire
UAC Windows 7 Windows 7 Windows Vista • Rationalise UAC • Réduit le nombre d’applications de l’OS et de tâches qui requièrent une élévation • Refactorise les applications en éléments nécessitant une élévation/ne le nécessitant pas • Comportement flexible de la demande de consentement pour les administrateurs • Apport pour les utilisateurs • Les utilisateurs peuvent faire davantage de choses comme un utilisateur standard • Les administrateurs verront moins de demandes de consentement d’élévation par UAC • Le système fonctionne pour un utilisateur standard • Tous les utilisateurs, y compris les administrateurs protégés tournent sans privilèges d’administration par défaut • Les administrateurs utilisent les pleins privilèges uniquement pour les taches administratives ou les applications qui en ont besoin • Défis • L’utilisateur doit fournir un consentement explicite avant d’élever ses privilèges • Mettre hors service UAC supprime les protections, pas seulement la demande de consentement
Les niveaux possibles de confirmation d’UAC • High (Le plus sécurisé) • Demande confirmation pour toutes les actions d’élévation • Medium High • Demande confirmation pour toutes les actions d’élévation • Le bureau sécurisé est mis hors service • Medium • Ne demande pas de confirmation pour les binaires Windows • Bloque toujours les élévations des binaires Windows avec des appelants de niveau d’intégrité basse (ex : navigateurs) • Demande confirmation pour tous les binaires tiers • Le bureau sécurisé est mis hors service • Low(le moins sécurisé) • UAC s’exécute en mode silencieux (la politique existe avec Vista) • Ne demande confirmation que pour les binaires bloqués • Ceci laisse le mode protégé d’IE en service
Réglage de l’UAC • Panneau de configuration\Système et sécurité\Centre de maintenance
UAC et version bêta de Windows 7 • A partir de la RC • Le panneau de contrôle d’UAC s’exécutera au sein d’un processus à haut niveau d’intégrité et requerra donc une élévation de privilèges • Ceci permettra d’éviter que toutes les opérations autour de l’utilisation de SendKeys et des équivalents puissent fonctionner • Le changement du niveau d’UAC nécessitera un consentement explicite
Audit Windows 7 Windows Vista Amélioration de l’auditing • Nouveaux événements basés XML • Support d’un auditing à grain fin des l’utilisation des privilèges d’administration • Filtrage simplifié du « bruit » pour trouver l’événement que l’on recherche • Liaison des tâches avec les événements • Configuration simplifiée pour un TCO plus bas • Possibilité de démontrer pourquoi une personne a eu accès à une information spécifique • Possibilité de comprendre pourquoi une personne s’est vue refuser l’accès à une information spécifique • Possibilité de tracer tous les changements effectués par des personnes spécifiques ou des groupes Les défis • La configuration d’un auditing granulaire est complexe • Auditer l’accès et les privilèges pour un groupe d’utilisateurs est problématique
Les principales raisons pour auditer • Conformité réglementaire • SOX : protéger les données financières • HIPAA : protéger les données patients/médicales • PCI : protéger les cartes de crédit/les données des clients • … • Surveillance de la sécurité • Activité système, utilisateur et données • Investigations/Analyses légales • Qui, Quoi, Quand, Où, Comment, Pourquoi ?
Politique d'audit Métiers Opérations Conformité Budget Politique d’audit Architectes sécurité Besoins légaux Besoins RH Administrateur … • Pourquoi a-t-on besoin d’une politique d’audit ? • Quelles sont les activités/les événements qui intéressent l’entreprise ? • Pourquoi n’enregistre-t-on pas tout ? • Coûteux : Générer, collecter et stocker les événements • Utilisation de ressources : CPU, disque, etc.
Politique d’audit avec Windows XP • Problèmes • Taille limitée du journal d’événement (300 MO) • Faible granularité • Les événements de faible et de grand volume appartiennent à la même catégorie • Politique d’audit XP/Windows Server 2003 • 9 catégories d’audit
Politique d'audit Windows Vista Windows Vista Windows 2003 • Taille configurable du journal d’événement • Politique d’Audit Granulaires (PAG) • 9 catégories et ~50 sous-catégories
Les limites de la politique d'audit avec Windows Vista L’administrateur crée un fichier de politique auditpol /set /subcategory:"user account management" /success:enable /failure:enable ... auditpol /backup /file:auditpolicy.txt La politique est appliquée pendant le logon xcopy \\%machinedomain%\netlogon\%AuditPolicyTxt% %systemroot%\temp\*.* auditpol /restore /file:auditpolicy.txt • PAG non intégré avec les politiques de groupe • Uniquement déployé avec des scripts de logon grâce à auditpol.exe : http://support.microsoft.com/kb/921469
Politique d'audit avec Windows 7Intégration de PAG avec les PG • Création des politiques de groupe granulaires • Expérience de la console d’administration des politiques des groupes • Modélisation • Déploiement • Fusion de politique pour des environnements complexes • Politiques d’audit par domaine, site ou OU • Rapports pour conformité et diagnostics • Gestion centralisée
Les données d'audit avec Windows Vista Politique d’audit WinWord Ouvrir Document Ouvrir fichier Contexte utilisateur et objet Noyau Access Control Security Descriptor DACL NTFS Audit Module SACL Journal événements de sécurité
Activités relatives aux données d'audit avec Vista – Problèmes • Large écart entre les règles métiers et les politiques d’audit • Exemples : • Conformité SOX : « tracer toutes les acticités du groupe administrateur sur les serveurs avec des informations financières » • Légal : « tracer tous les fichiers accédés par des employés suspects » • Configuration • Chaque objet (fichier, répertoire, clé de registre) dans le système a la bonne SACL • On peut utiliser des modèles de sécurité mais : • La propagation est coûteuse • L’unité maximale de configuration est un disque ou une ruche de la base de registre • Il est à peu près impossible de revenir en arrière • Rapport • Pour la conformité : comment prouver qu’un activité donnée est tracée ?
Activités relatives aux données d'audit avec Windows 7 – Global Access Object Auditing Politique d’audit SACL ressource WinWord Ouvrir Document Ouvrir fichier Contexte utilisateur et objet Noyau SACL système de fichiers Access Control Security Descriptor DACL NTFS Audit Module SACL Journal d’évènement sécurité • Application d’une SACL sur un gestionnaire de ressource entier • Système de fichiers • Base de registre
Activités relatives aux données d'audit avec Windows 7 – Global Access Object Auditing Conformité SOX : « tracer toutes les activité du groupe administrateur sur les serveurs disposant d’informations financières » • On ne peut passer outre sur des objets individuels • Les SACL de ressources s’appliquent à tous les objets • Pas de besoin de propagation de SACL • La mise à exécution est dynamique • Facile à défaire et à mettre à jour • Rapport aisé pour la conformité
Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder Politique d’audit SACL ressource WinWord Ouvrir Document Ouvrir fichier Contexte utilisateur et objet Noyau SACL système de fichiers Access Control Security Descriptor DACL NTFS Raison d’accès Audit Module SACL Journal d’évènement sécurité • Pierre a mis à jour jan2009_sales.xls • Comment en a-t-il obtenu la permission ???
Activités relatives aux données d'audit avec Windows 7 – Raison pour accéder Requête d’accès dans un événement Open Handle avant Windows 7 A handle to an objectwasrequested. Subject: Security ID: CONTOSO-DEMO\Pierre Account Name: Pete Account Domain: CONTOSO-DEMO Logon ID: 0x352af Object: Object Server: Security Object Type: File Object Name: C:\Sales\jan2009_sales.xls Handle ID: 0x120 Process Information: Process ID: 0x1a7c Process Name: C:\Program Files (x86)\Microsoft Office\Office12\excel.exe Access Request Information: Transaction ID: {00000000-0000-0000-0000-000000000000} Accesses: READ_CONTROL SYNCHRONIZE ReadData (or ListDirectory) WriteData (or AddFile) AppendData (or AddSubdirectory or CreatePipeInstance) ReadEA WriteEA ReadAttributes WriteAttributes Access Reasons: READ_CONTROL: Granted by Ownership SYNCHRONIZE: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) ReadData (or ListDirectory): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) WriteData (or AddFile): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) AppendData (or AddSubdirectory or CreatePipeInstance): Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) ReadEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) WriteEA: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) ReadAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) WriteAttributes: Granted by D:(A;ID;FA;;;S-1-5-21-2127521184-1604012920-1887927527-673435) Raisons d’accès événement Open HandleWindows 7
Sécuriser les accès depuis n’importe où Sécurité réseau Network Access Protection DirectAccessTM Segmentation du réseau fondée sur des politiques pour des réseaux plus sécurisés et isolés logiquement Différents profils de pare-feu actifs Support de DNSSEC Assurer que seules les machines en « bonne santé » peuvent accéder aux données de l’entreprise Permettre aux machines « en mauvaise santé » de se « réparer » avant d’avoir accès Connexion sécurisée, sans couture et toujours disponible au réseau d’entreprise Amélioration de la gestion des utilisateurs distants Sécurité cohérente pour tous les scénarios d’accès
Audit de l’Accès Global aux Fichiers Amélioration de l’auditing Audit de l’Accès GlobalPossibilité de déterminer quels sont les fichiers consultés par un groupe d’utilisateurs sur l’ensemble du SI.
Introduction au pare-feu Windows Panneau de contrôle du pare-feu Windows • Configuration destinée à l’utilisateur final • Permet une gestion facile Profils des emplacements réseau et du pare-feu • Public : Hot Spots publics tels que les aéroports ou les cafés • Maison ou Bureau (Privé) : Réseau d’une petite entreprise ou à la maison • Domaine : Détecté automatiquement
Panneau de contrôle pare-feu Windows 7 Paneau de contrôle pare-feu Vista • Seul un profilestactif à un instant donné • Plusieursréseaux : le profil le plus sécuriséest appliqué (le plus restrictif) • Plusieursprofils de pare-feuactifs • Plusieursprofilsactifs en même temps
En résumé • Vista : Un seul profil de pare-feu actif • Règles obligatoires en fonction de l’emplacement réseau le plus restrictif • Contournement administrateur encombrant pour les scénarios VPN • Windows 7 : Plusieurs profils de pare-feu actifs • Règles obligatoires en fonction des emplacements réseau respectifs • Résout les difficultés de déploiement lors de scénario VPN
Vista : Page des programmes autorisés Windows 7 : Page des programmes autorisés • Amélioration quand on est connecté à un seul ou à pluisieurs réseaux • L’IHM ne liste que les paramétrages du profil courant
Vista : Paramétrage du pare-feu Windows 7 : Paramétrage du pare-feu
Notification applicative • Vista : • Seul le profil courant est affiché • Windows 7 : • L’utilisateur peut autoriser les programmes pour tous les réseaux et éviter ainsi les demandes de consentement
Windows 7 : Liens additionnels Nouveaux liens vers : Advanced settings and Troubleshoot network Restauration du paramétragepar défaut Troubleshooting
Windows Firewall with Advanced Security (WFAS) • Accédé à travers • Le bouton Advanced settings dans le panneau de contrôle du pare-feu • MMC=> Snap-in Add Windows Firewall with Advanced Security • Configurer le pare-feu en utilisant WFAS : • En local • Ordinateurs distants • Politique de groupe (GPO) • Supporte plusieurs profils actifs de pare-feu • Supporte des règles granulaires (en entrée et en sortie)
Règles du pare-feu – ordre de précédance Ordre d’évaluation Evitement authentifié Bloquer Autoriser Action par défaut Action par défaut en entrant – bloque pour tous les profils Action par défaut en sortant – autorisé pour tous les profils
Page d'accueil WFAS • Gestion intégrée du pare-feu et des politiques de sécurité des connexions (IPsec) • Affiche quels profils et leurs réseaux associés sont actifs
Support WFAS pour les exceptions utilisateur et ordinateur Ajoute la possibilité de dénier l’accès des utilisateurs ou des ordinateurs (et les securityprincipals) aux applications à travers les règles du pare-feu
Configuration WFAS pour les plages de ports • Maintenant support des plages de ports dans les règles du pare-feu • Vista et Windows Server 2008 ne supportaient qu’une liste de ports séparés par des virgules
Page de surveillance WFAS • Le mode de surveillance affiche l’état courant du pare-feu et les règles actives à n’importe quel instant
Coexistence avec un pare-feu tiers • Permet aux applications tierces de prendre le contrôle et de gérer des portions du pare-feu Windows • Politique du pare-feu • Politique IPsec • Politique au moment de l’amorçage • Renforcement des services Windows • Nouvelles API publiques pour les fournisseurs de pare-feu
Les logs opérationnels Pare-feu : Ouvrir eventviewer Applications and Services LogsMicrosoftWindowsWindows Firewall with Advanced Security Firewall Sécurité des connexions: Open eventviewerApplications and Services LogsMicrosoftWindowsWindows Firewall with Advanced SecurityConectionSecurity
Au-delà des Frontières de l’Entreprise Sécurité Réseau NAP Direct Access