mécanismes internes de la sécurité de windows 8
DESCRIPTION
Cette présentation aborde les nouveautés de Windows 8 concernant les mécanismes internes de la sécurité : l'ouverture de session, les méthodes d'authentification, les cartes à puces virtuelles, les autorisations, le contrôle d'accès, ainsi que les mécanismes d'isolation des applications Windows 8.TRANSCRIPT
CLI301 – Mécanismes
internes de la sécurité de Windows 8
Arnaud Jumelet – Consultant Sécurité
http://aka.ms/arjum
Pascal Sauliere – Architecte Infrastructure
http://aka.ms/pascals
Microsoft FranceEntreprise / IT / Serveurs / Réseaux / Sécurité
Donnez votre avis !Depuis votre smartphone, sur : http://notes.mstechdays.fr
De nombreux lots à gagner toutes les heures !!!
Claviers, souris et jeux Microsoft…
Merci de nous aider à améliorer les TechDays
http://notes.mstechdays.fr
• Démarrage du système• Ouverture de session• Contrôle d’accès• Isolation des applications modernes• Protection du poste de travail
• Sessions complémentaires– SEC302 Windows 8 et la sécurité– SEC313 Le modèle de sécurité des Windows Apps
Agenda
DÉMARRAGE DU SYSTÈME
Qu’est-ce qu’un firmware ?• Il s’agit du premier programme qui s’exécute sur un ordinateur lors de
sa mise sous tension électrique.
• Le firmware identifie les composants, les initialise, vérifie le bon fonctionnement puis transfère l’exécution au programme stocké sur le premier périphérique de démarrage disponible.
• Le firmware permet aux programmes de démarrage d’interagir avec le matériel par l’intermédiaire d’interfaces de programmation standardisées. Lors de son démarrage, Windows s’appuie sur les services du firmware pour dialoguer avec le matériel.
• Deux types de firmware : BIOS (début 1980) et UEFI (2005)
Boot sécurisé : BIOS vs. UEFI
UEFI 2.3.1 natif
OS Loader vérifié
seulement
Démarrage de l’OS
Boot sécuriséWindows 8
Les processus de boot existants
BIOS Tout code d’OS Loader
Démarrage de l’OS
• Le BIOS lance n’importe quel OS loader, même du malware
• Le BIOS lance n’importe quel OS loader, même du malware
• Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance
• L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement
• UEFI ne lancera qu’un OS Loader vérifié. En substance, un malware ne peut remplacer le boot loader
• Le Secure Boot vérifie la signature ou l’empreinte numérique de tout code avant d’autoriser son exécution. Pour arriver à ce résultat, le Secure Boot conserve une base de données (DB) des programmes qui sont pré-approuvés pour s’exécuter lors du démarrage de l’ordinateur.
• Si l’image UEFI n’est pas déclarée dans la liste blanche ou bien présente dans la liste noire alors son exécution est bloquée.
Le Secure Boot (démarrage sécurisé) nécessite un firmware UEFI en version 2.3.1 au minimum.
Le Secure Boot ne requiert pas la présence d’un module de plateforme sécurisée (TPM).
UEFI – Secure Boot
UEFI – Secure Boot
PowerShellUEFI 2.3.1
PK KEK, DB et
DBX Authenticode
PK KEK
DB DBX
• La spécification UEFI introduit la notion de clé de plateforme (Platform Key - PK) qui est conçu pour être contrôlée par le propriétaire de plate-forme (celui qui possède le matériel) et un ensemble de clés pour l’échange de clés (Key-Exchange Keys - KEKs) qui est conçu pour être contrôlé par les fabricants de matériel (OEM) et les éditeurs de système d’exploitation.
• Cette séparation à deux niveaux, PK et KEK, apporte de la flexibilité. Le propriétaire de la plate-forme installe la clé publique KEK sans compromettre la sécurité du modèle et sans avoir à connaitre la clé privée associée.
• La base KEK est une base de signature qui contient les certificats des fabricants matériels (OEM) et éditeurs logiciels (OS) autorisés. Une entité autorisée est celle qui possède une clé d'échange de clés (KEK). Cette clé privée est utilisée pour signer les modifications des bases de signatures DB et DBX.
UEFI – Base des signatures (1/2)
• La base de signature DB répertorie les empreintes (SHA-1 ou SHA-256) des images UEFI qui peuvent être exécutées. De plus, la base DB contient les signataires de confiance, c’est-à-dire les certificats numériques servant à vérifier la signature d’une image UEFI.
• La base de signature DBX répertorie les images UEFI révoquées dont le code n’est plus digne de confiance. La base DBX contient les empreintes (SHA-1 ou SHA-256) des images UEFI qui ne peuvent plus être exécutées. De plus, la base DBX liste les certificats numériques considérés comme révoqués ; ils ne permettent plus de vérifier la signature d’une image UEFI.
UEFI – Base des signatures (2/2)
• Une fois que ces différentes bases de données ont été peuplées, le fabricant verrouille le firmware en empêchant sa modification en important la clé de plateforme PK (Platform Key). Pour rappel, la PK permet de mettre à jour la base KEK ou bien de désactiver le Secure Boot.
• Dès lors qu’une clé de plateforme PK est installée, alors le firmware fonctionne en mode utilisateur et ne voudra démarrer que les images UEFI ayant une signature numérique valide (c’est-à-dire que lors de la vérification de la signature, un élément de la chaine de certificat doit être déclaré dans la base DB ou KEK). Si l’image UEFI ne possède pas de signature numérique alors son empreinte doit avoir été déclarée dans la base DB.
UEFI – Mode de fonctionnement
UEFI – Secure Boot
• Sur les architectures x86/x64, le constructeur d’ordinateur doit donner à l’utilisateur la possibilité de désactiver le Secure Boot en naviguant dans le menu du firmware.
• En architecture ARM, la désactivation du Secure Boot par l’utilisateur n’est pas possible.
UEFI – Secure Boot - Divers
• Bénéfices clés pour la sécurité– Boot sécurisé– Support eDrive pour BitLocker– Support du déverrouillage réseau pour BitLocker– Support multicast pour WDS
• Une exigence pour obtenir le logo Windows 8 et Windows RT
• Autres bénéfices– Support SOC (ARM et Intel)– Meilleure expérience utilisateur
• Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc.
– Support des disques système de plus de 2.2 TO
Pourquoi UEFI ?
OUVERTURE DE SESSION
Compte Microsoft
• Identité live.com ou hotmail.com– Email, calendrier, documents, photos etc.– Synchronisation de paramètres
• Accès aux services sans réauthentification– Email etc.– SkyDrive– Autres services utilisant le compte Microsoft
Compte Microsoft
Compte Microsoft
Type de compte Description
Compte local Authentification nécessaire pour les services utilisant les comptes Microsoft
Compte Microsoft Accès transparent à ces services+ Synchronisation
Compte de domaine Classique, authentification nécessaire sur les services utilisant les comptes Microsoft
Compte de domaine avec compte Microsoft lié
Avantages des comptes de domaine et des comptes Microsoft
Types de comptes
Compte Microsoft
Compte de domaine avec un compte Microsoft
Compte de domaine avec un compte Microsoft
• Uniquement pour applications et services web acceptant ce type d’identité
• Paramètres synchronisés :– Paramètres Windows– Paramètres Apps et IE– Mots de passe : sauf pour les mots de passe
enregistrés sur le poste du domaine, qui ne quittent pas le poste
Compte Microsoft connecté à un compte de domaine
• Mot de passe• Mot de passe image (nouveau)• Code confidentiel (nouveau)• Carte à puce• Carte à puce virtuelle (nouveau)
Modes d’authentification
Choix du mode d’authentification
• Adapté aux tablettes• 3 gestes sur une image• Types de gestes
– Cercle : position, taille, sens– Ligne : position des deux points, sens– Point : position
• Autorisé pour comptes locaux et Microsoft• Autorisé par défaut pour comptes de
domaine (GPO)
Mot de passe image
• Grille de 100x100• Score• Entropie > mot de passe de 5
caractères simples• Déverrouille le mot de passe standard• Verrouillé après 5 tentatives– Retour au mot de passe standard
Sécurité du mot de passe image
• Adapté aux tablettes• Code à 4 chiffres• Même principe que le mot de passe
image• Interdit par défaut pour les comptes
de domaine
Code confidentiel
• Propriétés des cartes à puces :– Non exportabilité (clés privées)– Cryptographie isolée (opérations dans la carte)– Anti « force brute » (carte bloquée après N tentatives)
• Cartes à puces virtuelles :– Mêmes propriétés en utilisant le TPM– Moins cher !– Transparent pour les applications– 1 utilisateur = 1 carte virtuelle par PC
Carte à puce virtuelle
Carte à puce Carte à puce virtuelle
Fonctions crypto Carte TPM
Clé privée Dans la carte Sur le disque, chiffrée par le TPM
Anti brute force Carte TPM
Matériel PC + lecteur + carte PC
1 utilisateur, plusieurs PC
La même carte sur plusieurs PC
Une carte virtuelle sur chaque PC
Plusieurs utilisateurs, 1 PC
Chaque utilisateur utilise sa carte
Chaque utilisateur a une carte virtuelle sur le PC
Risques particuliers
PC sans surveillancePas de politique « retrait de la carte »
Coût Lecteurs + cartes + pertes
PC avec TPM
Cartes physiques et virtuelles
• Modèle de certificat• Créer la carte virtuelle sur le poste
client– tpmvscmgr.exe
• Enrôlement du certificat• Test !
Procédure
Création de la carte à puce
demoMISE EN SERVICE D’UNE CARTE À PUCE VIRTUELLE AVEC VERSATILE SECURITY
Virtual Smart Card
Gestion des Virtual Smart Cards avec vSEC:CMS T-Series
• Gestion du cycle de vie de la carte et de ses certificats– Création/destruction de la carte à puce virtuelle– Diversification du code administrateur– Politique de code PIN utilisateur– Réinitilisation du code PIN– Enrôlement, renouvellement, rapports sur les certificats émis
• Intégration simple et rapide– Support de la PKI ADCS (Active Directory Certificate Services)
• versatilesecurity.comContact : William HOURY
Ouverture de session
CONTRÔLE D’ACCÈS
Contrôle d’accès sous Windows – Un bref rappel
RessourceWindows
Jetond’accè
s
Descripteur de sécurité de la ressource
Accès à la ressource
Le jeton d’accès
RessourceWindows
Jetond’acc
ès
Descripteur de sécurité de la ressource
Accès à la ressource
Evolutions du jeton d’accès sous Windows 8
Processus
Identity and Authorization Attributes
User SIDUser’s Group SIDsIntegrity Label SID
AppContainerSid
Capability SIDs
AppContainer Number
Privileges
Logon Session ID
Default DACL
Tokens FlagsOwner SIDMandatoryPolic
y: NO_WRITE_UP
Group SID
Device Group SIDs
Device’s Claims
User’s Claims
demoCONTENU DU JETON D’ACCÈS SOUS WINDOWS 8
Jeton d’accès
Politiques d’accès centralisées
Revendications Utilisateurs
User.Department = FinanceUser.Clearance = High
POLITIQUES D’ACCES
S’applique à: @File.Impact = HighAutoriser| Lecture, Ecriture | si (@User.Department == @File.Department)
ET(@Device.Managed == True)
Revendications Périphérique
Device.Department = FinanceDevice.Managed = True
Propriétés de la Ressource
Resource.Department = Finance
Resource.Impact = High
AD DS File Server
Contrôle d’accès
File/FolderSecurity Descriptor
Central Access Policy ReferenceNTFS Permissions
Active Directory (cached in local Registry)
Cached Central Access Policy Definition
Décision de contrôle d’accès :1) Vérification – permissions sur le partage si applicable2) Vérification – permissions sur le fichier3) Vérification – Chaque règle d’accès centralisée dans la
politique d’accès centralisée
ShareSecurity Descriptor
Share Permissions
Cached Central Access Rule
Cached Central Access Rule
Cached Central Access Rule
ISOLATION DES APPLICATIONS MODERNES
Le modèle de sécurité de Windows 8 évolue et introduit le concept de conteneur isolé.
Basé sur le principe du moindre privilège et utilise des niveaux d'isolation. Le format du jeton de sécurité sous Windows 8 évolue.
Il contient des capacités, des packages SID, des claims et des devices groups.
Chaque App sur Windows 8 s'exécute dans son propre AppContainer isolé qui est défini par les capacités déclarées comme requises par l'application pour fonctionner.
Un AppContainer offre des niveaux d'isolation dans lequel un processus peut s'exécuter. De plus, un AppContainer est défini et mis en œuvre à l'aide d'un système de politique (le manifeste). La politique de sécurité d'un AppContainer définit les capacités que les processus peuvent utiliser.
Une capacité est une ressource pour laquelle la sécurité, la vie privée ou bien le coût financier est en jeu. Des exemples de capacités comprennent des informations de localisation géographique, la caméra, le microphone, l'accès au réseau local, l'envoi de SMS, etc.
Modèle de sécurité de Windows 8
Renforcement de l’isolation :lorsque les accès proviennent d’un AppContainer
App container
UIPI, No Read-Up, Shadow BNO, Private RPC Control, Network Isolation, …
Low
Applications administrateurHigh
Medium
App container
App container
Données utilisateurs Brokers
System Windows 8
Man
ifest
App
• Contrôle et consentement utilisateur• Chaque App divulgue ses capacités à l'utilisateur sur la page des détails sur le
Windows Store. La première fois qu’une App utilise une capacité matérielle pouvant porter atteinte à la vie privée, l’utilisateur doit donner explicitement son consentement
• Réduction de la surface d'attaque• Chaque App reçoit les capacités nécessaires pour son bon fonctionnement, mais pas
plus. Pour pouvoir être publiées sur le Windows Store, les Apps qui demandent des capacités spéciales requièrent une licence « développeur d’entreprise ». De plus les Apps s’exécutent dans un environnement d’exécution restreint.
• Isolation• Les Apps sont isolées les unes des autres et ne peuvent pas accéder à la mémoire
utilisée et aux données stockées par d'autres applications. Aucun canal de communication direct n’existe entre les Apps autrement que par le Cloud (capacité réseau) et les capacités de stockage.
Le modèle de sécurité des Windows Apps
PROTECTION DU POSTE DE TRAVAIL
Windows SmartScreen ou comment prendre la bonne décision
• Les techniques des cybercriminels évoluent. Les cybercriminels conçoivent des séries de programmes malveillants à faible diffusion.
• Une attaque ciblée utilise une version non détectée d’une boîte à outils / d’un malware qui ne sera pas détecté par votre antivirus.
• Le principe de Windows SmartScreen est qu’une application n’ayant aucune réputation est susceptible de contenir du code malveillant.
• Si l’application n’est pas fréquemment téléchargée et ne possède pas de réputation, alors un message s’affiche vous invitant à faire preuve de prudence.
demoAPPLICATION SANS REPUTATIONWindows SmartScreen
Windows SmartScreen – Réputation des applications
Identifie les applications connues pour être malveillante
Transparent pour les applications ayant une bonne réputation
Traite le reste avec suspicion
25% des avertissements concernent des malwares
• Protection de la plateformeContrôler l’exécution du code avant que Windows démarre tout en vérifiant son intégrité
• Contrôle d’accès moderneModerniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation
• Résistance contre les malwaresProtéger l’appareil, les données et les ressources de l’organisation en rendant la plateforme moins vulnérable aux effets d’un malware
En résumé
4 ouvrages écrits par 13 Microsoftees
http://www.editions-eyrolles.com/livres/Windows-8-pour-les-professionnels
Formez-vous en ligne
Retrouvez nos évènements
Faites-vous accompagner gratuitement
Essayer gratuitement nos solutions IT
Retrouver nos experts Microsoft
Pros de l’ITDéveloppeurs
www.microsoftvirtualacademy.com
http://aka.ms/generation-app
http://aka.ms/evenements-developpeurs
http://aka.ms/itcamps-france
Les accélérateursWindows Azure, Windows Phone,
Windows 8
http://aka.ms/telechargements
La Dev’Team sur MSDNhttp://aka.ms/devteam
L’IT Team sur TechNethttp://aka.ms/itteam