mécanismes internes de la sécurité de windows 8

CLI301 – Mécanismes

internes de la sécurité de Windows 8

Arnaud Jumelet – Consultant Sécurité

http://aka.ms/arjum

Pascal Sauliere – Architecte Infrastructure

http://aka.ms/pascals

Microsoft FranceEntreprise / IT / Serveurs / Réseaux / Sécurité

Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr

De nombreux lots à gagner toutes les heures !!!

Claviers, souris et jeux Microsoft…

Merci de nous aider à améliorer les TechDays

http://notes.mstechdays.fr

• Démarrage du système• Ouverture de session• Contrôle d’accès• Isolation des applications modernes• Protection du poste de travail

• Sessions complémentaires– SEC302 Windows 8 et la sécurité– SEC313 Le modèle de sécurité des Windows Apps

Agenda

DÉMARRAGE DU SYSTÈME

Qu’est-ce qu’un firmware ?• Il s’agit du premier programme qui s’exécute sur un ordinateur lors de

sa mise sous tension électrique.

• Le firmware identifie les composants, les initialise, vérifie le bon fonctionnement puis transfère l’exécution au programme stocké sur le premier périphérique de démarrage disponible.

• Le firmware permet aux programmes de démarrage d’interagir avec le matériel par l’intermédiaire d’interfaces de programmation standardisées. Lors de son démarrage, Windows s’appuie sur les services du firmware pour dialoguer avec le matériel.

• Deux types de firmware : BIOS (début 1980) et UEFI (2005)

Boot sécurisé : BIOS vs. UEFI

UEFI 2.3.1 natif

OS Loader vérifié

seulement

Démarrage de l’OS

Boot sécuriséWindows 8

Les processus de boot existants

BIOS Tout code d’OS Loader

Démarrage de l’OS

• Le BIOS lance n’importe quel OS loader, même du malware

• Le BIOS lance n’importe quel OS loader, même du malware

• Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance

• L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement

• UEFI ne lancera qu’un OS Loader vérifié. En substance, un malware ne peut remplacer le boot loader

• Le Secure Boot vérifie la signature ou l’empreinte numérique de tout code avant d’autoriser son exécution. Pour arriver à ce résultat, le Secure Boot conserve une base de données (DB) des programmes qui sont pré-approuvés pour s’exécuter lors du démarrage de l’ordinateur.

• Si l’image UEFI n’est pas déclarée dans la liste blanche ou bien présente dans la liste noire alors son exécution est bloquée.

Le Secure Boot (démarrage sécurisé) nécessite un firmware UEFI en version 2.3.1 au minimum.

Le Secure Boot ne requiert pas la présence d’un module de plateforme sécurisée (TPM).

UEFI – Secure Boot

UEFI – Secure Boot

PowerShellUEFI 2.3.1

PK KEK, DB et

DBX Authenticode

PK KEK

DB DBX

• La spécification UEFI introduit la notion de clé de plateforme (Platform Key - PK) qui est conçu pour être contrôlée par le propriétaire de plate-forme (celui qui possède le matériel) et un ensemble de clés pour l’échange de clés (Key-Exchange Keys - KEKs) qui est conçu pour être contrôlé par les fabricants de matériel (OEM) et les éditeurs de système d’exploitation.

• Cette séparation à deux niveaux, PK et KEK, apporte de la flexibilité. Le propriétaire de la plate-forme installe la clé publique KEK sans compromettre la sécurité du modèle et sans avoir à connaitre la clé privée associée.

• La base KEK est une base de signature qui contient les certificats des fabricants matériels (OEM) et éditeurs logiciels (OS) autorisés. Une entité autorisée est celle qui possède une clé d'échange de clés (KEK). Cette clé privée est utilisée pour signer les modifications des bases de signatures DB et DBX.

UEFI – Base des signatures (1/2)

• La base de signature DB répertorie les empreintes (SHA-1 ou SHA-256) des images UEFI qui peuvent être exécutées. De plus, la base DB contient les signataires de confiance, c’est-à-dire les certificats numériques servant à vérifier la signature d’une image UEFI.

• La base de signature DBX répertorie les images UEFI révoquées dont le code n’est plus digne de confiance. La base DBX contient les empreintes (SHA-1 ou SHA-256) des images UEFI qui ne peuvent plus être exécutées. De plus, la base DBX liste les certificats numériques considérés comme révoqués ; ils ne permettent plus de vérifier la signature d’une image UEFI.

UEFI – Base des signatures (2/2)

• Une fois que ces différentes bases de données ont été peuplées, le fabricant verrouille le firmware en empêchant sa modification en important la clé de plateforme PK (Platform Key). Pour rappel, la PK permet de mettre à jour la base KEK ou bien de désactiver le Secure Boot.

• Dès lors qu’une clé de plateforme PK est installée, alors le firmware fonctionne en mode utilisateur et ne voudra démarrer que les images UEFI ayant une signature numérique valide (c’est-à-dire que lors de la vérification de la signature, un élément de la chaine de certificat doit être déclaré dans la base DB ou KEK). Si l’image UEFI ne possède pas de signature numérique alors son empreinte doit avoir été déclarée dans la base DB.

UEFI – Mode de fonctionnement

UEFI – Secure Boot

• Sur les architectures x86/x64, le constructeur d’ordinateur doit donner à l’utilisateur la possibilité de désactiver le Secure Boot en naviguant dans le menu du firmware.

• En architecture ARM, la désactivation du Secure Boot par l’utilisateur n’est pas possible.

UEFI – Secure Boot - Divers

• Bénéfices clés pour la sécurité– Boot sécurisé– Support eDrive pour BitLocker– Support du déverrouillage réseau pour BitLocker– Support multicast pour WDS

• Une exigence pour obtenir le logo Windows 8 et Windows RT

• Autres bénéfices– Support SOC (ARM et Intel)– Meilleure expérience utilisateur

• Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc.

– Support des disques système de plus de 2.2 TO

Pourquoi UEFI ?

OUVERTURE DE SESSION

Compte Microsoft

• Identité live.com ou hotmail.com– Email, calendrier, documents, photos etc.– Synchronisation de paramètres

• Accès aux services sans réauthentification– Email etc.– SkyDrive– Autres services utilisant le compte Microsoft

Compte Microsoft

Compte Microsoft

Type de compte Description

Compte local Authentification nécessaire pour les services utilisant les comptes Microsoft

Compte Microsoft Accès transparent à ces services+ Synchronisation

Compte de domaine Classique, authentification nécessaire sur les services utilisant les comptes Microsoft

Compte de domaine avec compte Microsoft lié

Avantages des comptes de domaine et des comptes Microsoft

Types de comptes

Compte Microsoft

Compte de domaine avec un compte Microsoft

Compte de domaine avec un compte Microsoft

• Uniquement pour applications et services web acceptant ce type d’identité

• Paramètres synchronisés :– Paramètres Windows– Paramètres Apps et IE– Mots de passe : sauf pour les mots de passe

enregistrés sur le poste du domaine, qui ne quittent pas le poste

Compte Microsoft connecté à un compte de domaine

• Mot de passe• Mot de passe image (nouveau)• Code confidentiel (nouveau)• Carte à puce• Carte à puce virtuelle (nouveau)

Modes d’authentification

Choix du mode d’authentification

• Adapté aux tablettes• 3 gestes sur une image• Types de gestes

– Cercle : position, taille, sens– Ligne : position des deux points, sens– Point : position

• Autorisé pour comptes locaux et Microsoft• Autorisé par défaut pour comptes de

domaine (GPO)

Mot de passe image

• Grille de 100x100• Score• Entropie > mot de passe de 5

caractères simples• Déverrouille le mot de passe standard• Verrouillé après 5 tentatives– Retour au mot de passe standard

Sécurité du mot de passe image

• Adapté aux tablettes• Code à 4 chiffres• Même principe que le mot de passe

image• Interdit par défaut pour les comptes

de domaine

Code confidentiel

• Propriétés des cartes à puces :– Non exportabilité (clés privées)– Cryptographie isolée (opérations dans la carte)– Anti « force brute » (carte bloquée après N tentatives)

• Cartes à puces virtuelles :– Mêmes propriétés en utilisant le TPM– Moins cher !– Transparent pour les applications– 1 utilisateur = 1 carte virtuelle par PC

Carte à puce virtuelle

Carte à puce Carte à puce virtuelle

Fonctions crypto Carte TPM

Clé privée Dans la carte Sur le disque, chiffrée par le TPM

Anti brute force Carte TPM

Matériel PC + lecteur + carte PC

1 utilisateur, plusieurs PC

La même carte sur plusieurs PC

Une carte virtuelle sur chaque PC

Plusieurs utilisateurs, 1 PC

Chaque utilisateur utilise sa carte

Chaque utilisateur a une carte virtuelle sur le PC

Risques particuliers

PC sans surveillancePas de politique « retrait de la carte »

Coût Lecteurs + cartes + pertes

PC avec TPM

Cartes physiques et virtuelles

• Modèle de certificat• Créer la carte virtuelle sur le poste

client– tpmvscmgr.exe

• Enrôlement du certificat• Test !

Procédure

Création de la carte à puce

demoMISE EN SERVICE D’UNE CARTE À PUCE VIRTUELLE AVEC VERSATILE SECURITY

Virtual Smart Card

Gestion des Virtual Smart Cards avec vSEC:CMS T-Series

• Gestion du cycle de vie de la carte et de ses certificats– Création/destruction de la carte à puce virtuelle– Diversification du code administrateur– Politique de code PIN utilisateur– Réinitilisation du code PIN– Enrôlement, renouvellement, rapports sur les certificats émis

• Intégration simple et rapide– Support de la PKI ADCS (Active Directory Certificate Services)

• versatilesecurity.comContact : William HOURY

Ouverture de session

CONTRÔLE D’ACCÈS

Contrôle d’accès sous Windows – Un bref rappel

RessourceWindows

Jetond’accè

s

Descripteur de sécurité de la ressource

Accès à la ressource

Le jeton d’accès

RessourceWindows

Jetond’acc

ès

Descripteur de sécurité de la ressource

Accès à la ressource

Evolutions du jeton d’accès sous Windows 8

Processus

Identity and Authorization Attributes

User SIDUser’s Group SIDsIntegrity Label SID

AppContainerSid

Capability SIDs

AppContainer Number

Privileges

Logon Session ID

Default DACL

Tokens FlagsOwner SIDMandatoryPolic

y: NO_WRITE_UP

Group SID

Device Group SIDs

Device’s Claims

User’s Claims

demoCONTENU DU JETON D’ACCÈS SOUS WINDOWS 8

Jeton d’accès

Politiques d’accès centralisées

Revendications Utilisateurs

User.Department = FinanceUser.Clearance = High

POLITIQUES D’ACCES

S’applique à: @File.Impact = HighAutoriser| Lecture, Ecriture | si (@User.Department == @File.Department)

ET(@Device.Managed == True)

Revendications Périphérique

Device.Department = FinanceDevice.Managed = True

Propriétés de la Ressource

Resource.Department = Finance

Resource.Impact = High

AD DS File Server

Contrôle d’accès

File/FolderSecurity Descriptor

Central Access Policy ReferenceNTFS Permissions

Active Directory (cached in local Registry)

Cached Central Access Policy Definition

Décision de contrôle d’accès :1) Vérification – permissions sur le partage si applicable2) Vérification – permissions sur le fichier3) Vérification – Chaque règle d’accès centralisée dans la

politique d’accès centralisée

ShareSecurity Descriptor

Share Permissions

Cached Central Access Rule

Cached Central Access Rule

Cached Central Access Rule

ISOLATION DES APPLICATIONS MODERNES

Le modèle de sécurité de Windows 8 évolue et introduit le concept de conteneur isolé.

Basé sur le principe du moindre privilège et utilise des niveaux d'isolation. Le format du jeton de sécurité sous Windows 8 évolue.

Il contient des capacités, des packages SID, des claims et des devices groups.

Chaque App sur Windows 8 s'exécute dans son propre AppContainer isolé qui est défini par les capacités déclarées comme requises par l'application pour fonctionner.

Un AppContainer offre des niveaux d'isolation dans lequel un processus peut s'exécuter. De plus, un AppContainer est défini et mis en œuvre à l'aide d'un système de politique (le manifeste). La politique de sécurité d'un AppContainer définit les capacités que les processus peuvent utiliser.

Une capacité est une ressource pour laquelle la sécurité, la vie privée ou bien le coût financier est en jeu. Des exemples de capacités comprennent des informations de localisation géographique, la caméra, le microphone, l'accès au réseau local, l'envoi de SMS, etc.

Modèle de sécurité de Windows 8

Renforcement de l’isolation :lorsque les accès proviennent d’un AppContainer

App container

UIPI, No Read-Up, Shadow BNO, Private RPC Control, Network Isolation, …

Low

Applications administrateurHigh

Medium

App container

App container

Données utilisateurs Brokers

System Windows 8

Man

ifest

App

• Contrôle et consentement utilisateur• Chaque App divulgue ses capacités à l'utilisateur sur la page des détails sur le

Windows Store. La première fois qu’une App utilise une capacité matérielle pouvant porter atteinte à la vie privée, l’utilisateur doit donner explicitement son consentement

• Réduction de la surface d'attaque• Chaque App reçoit les capacités nécessaires pour son bon fonctionnement, mais pas

plus. Pour pouvoir être publiées sur le Windows Store, les Apps qui demandent des capacités spéciales requièrent une licence « développeur d’entreprise ». De plus les Apps s’exécutent dans un environnement d’exécution restreint.

• Isolation• Les Apps sont isolées les unes des autres et ne peuvent pas accéder à la mémoire

utilisée et aux données stockées par d'autres applications. Aucun canal de communication direct n’existe entre les Apps autrement que par le Cloud (capacité réseau) et les capacités de stockage.

Le modèle de sécurité des Windows Apps

PROTECTION DU POSTE DE TRAVAIL

Windows SmartScreen ou comment prendre la bonne décision

• Les techniques des cybercriminels évoluent. Les cybercriminels conçoivent des séries de programmes malveillants à faible diffusion.

• Une attaque ciblée utilise une version non détectée d’une boîte à outils / d’un malware qui ne sera pas détecté par votre antivirus.

• Le principe de Windows SmartScreen est qu’une application n’ayant aucune réputation est susceptible de contenir du code malveillant.

• Si l’application n’est pas fréquemment téléchargée et ne possède pas de réputation, alors un message s’affiche vous invitant à faire preuve de prudence.

demoAPPLICATION SANS REPUTATIONWindows SmartScreen

Windows SmartScreen – Réputation des applications

Identifie les applications connues pour être malveillante

Transparent pour les applications ayant une bonne réputation

Traite le reste avec suspicion

25% des avertissements concernent des malwares

• Protection de la plateformeContrôler l’exécution du code avant que Windows démarre tout en vérifiant son intégrité

• Contrôle d’accès moderneModerniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation

• Résistance contre les malwaresProtéger l’appareil, les données et les ressources de l’organisation en rendant la plateforme moins vulnérable aux effets d’un malware

En résumé

4 ouvrages écrits par 13 Microsoftees

http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels

Formez-vous en ligne

Retrouvez nos évènements

Faites-vous accompagner gratuitement

Essayer gratuitement nos solutions IT

Retrouver nos experts Microsoft

Pros de l’ITDéveloppeurs

www.microsoftvirtualacademy.com

http://aka.ms/generation-app

http://aka.ms/evenements-developpeurs

http://aka.ms/itcamps-france

Les accélérateursWindows Azure, Windows Phone,

Windows 8

http://aka.ms/telechargements

La Dev’Team sur MSDNhttp://aka.ms/devteam

L’IT Team sur TechNethttp://aka.ms/itteam