windows 10 sécuritédownload.microsoft.com/documents/france/windows/2016/w10...la machine d‘un it...

Windows 10 Sécurité

Octobre 2015

Les 4 piliers de Windows 10 pour l’entreprise

Conçu pour favoriser

l’innovation continue

Upgrade & provisioning

Windows As a Service

Protégé face aux

nouvelles menaces de

sécurité

Device GuardEnterprise

Data Protection

Des appareils innovants

pour l’entreprise

Continuum, Pen,

BiometricsIoT

Edge, Office

IntuitifMenu démarrer

Applications universelles

Surface Hub

Hololens

Windows Hello

Store privé

Vue d'ensemble de la sécurité Windows 10

Protection de l'identité

Microsoft Passport

Virtual Secure Mode (VSM)

Windows Hello


Voici

Microsoft "Passport"

Remplacer les mots de passe avec une clef privée

accessible uniquement via un “geste utilisateur”

(PIN, Windows Hello, appareil distant, etc.)

OBJECTIFS

Support de Passport (en local) et également de

Passport2Go (téléphone, dongle USB, etc.)

Passport est conçu pour être facile à utiliser tout en

étant sécurisé; l’expérience utilisateur doit être au

moins aussi bonne qu’avec les mots de passe

Utiliser


CREDENTIALSLa clef publique de Passeport est

reliée à un compte utilisateur

Sécurité de l’initialisation avec OTP,

Code et Azure MFA …

Pour l’utilisateur, c’est familier via

Windows Hello ou un code PIN

Pour l’IT, la technologie est connue,

car basée sur un certificat ou une

paire de clés asymétriques


Utiliser


L’USAGE

Les clefs sont d’abord idéalement générées dans le

matériel (TPM), puis par logiciel en dernier recours

(configurable)

Les clefs liées au matériel peuvent être attestés

Support des navigateurs à travers des API

JS/Webcrypto qui permettent de créer et d’utiliser

Passport pour les utilisateurs

Un simple «geste utilisateur » déverrouille l’accès à

plusieurs credentials (informations d‘authentification)

qui sont isolés


Une nouvelle approche

MicrosoftPassport

IDP

Active Directory

Azure AD

Google

Facebook

Microsoft Account

L’utilisateur prouve son identité1

“Voici ma clé publique”2

“Voici votre jeton

d'authentification”3« Nous avons confiance

dans les jetons de cet IDP »4

Windows10

Intranet

resources


Accéder aux informations de connexion


Microsoft Passport Windows Hello

Vos informations de connexion pour les réseaux,

les sites et services

Déverrouille votre appareil avec de la biométrie et donne accès à votre

« Microsoft Passport »

Voici Windows Hello

Simple à mettre en œuvreFonctionne avec tous les appareilsExpérience familière

PIN

Permet le multi-facteurs Facilité d'utilisation Impossible à oublier

Biométrie


Windows Hello


Windows Hello est une authentification biométrique utilisant la reconnaissance faciale, de l’iris ou d’empreinte digitale

Ouverture de session sur appareil Windows et authentification forte de l’utilisateur

Expérience intégrée de l’enregistrement et de l’utilisation indépendamment du périphérique biométrique

Lenovo Yoga 15

Dell Inspiron 15

HP Envy 15

Kinect V2

Caméra RealSense

Intel RealSense Dev Kit

La plupart des appareils Windows 8 et 8.1

Lenovo ThinkPad Carbon X1

Reconnaissance faciale Empreinte digitale

Prérequis Windows Hello

Microsoft Passport & Windows Hello


Windows 10 embarque le monde vers une expérience plus sécurisée, sans mots de passe, avec Microsoft Passport et la biométrie…

• Microsoft Passport est la solution de remplacement du mot de passe axée sur la facilité d’utilisation et la sécurité

• Windows Hello c’est votre visage, iris ou empreinte digitale

• Windows Hello et le code PIN sont les “gestes” Microsoft Passport qui fournissent une véritable authentification double-facteur, intégré dans le système

Dispositif multi-facteur basé sur la matériel

Utilisation d’appareils familiers

Sécurisées par le matériel

CREDENTIALS UTILISATEUR

Une paire de clés asymétriquesProvisionnée par la PKI ou créée

localement via Windows 10


Mot de passe (compte local, compte de domaine, Azure AD)

Mot de passe image (depuis Windows 8)

Code confidentiel (depuis Windows 8)

Biométrie (depuis Windows 8.1)

Certificat (compte de domaine)

Carte à puce (depuis Windows 2000)

Carte à puce virtuelle (depuis Windows 8)

Code PIN (Windows 10)

Biométrie Windows Hello (Windows 10)

Clé asymétrique (compte de domaine, Microsoft Account, Azure AD)

Code PIN (Windows 10)

Biométrie Windows Hello (Windows 10)


Options de connexion pour ouvrir une session


TPM Key Attestation

Authentication Assurance

Certificate Pinning

Client SCEP

Certificat logiciel

Certificat protégé par TPM

Certificat sur carte à puce

Certificat sur carte à puce virtuelle

Certificat (Passport) avec visage (Hello)

Certificat (Passport) avec empreinte (Hello)

Windows 10 et les certificats

Pré-requis Infrastructure pour Microsoft Passport


Microsoft

Passport modeAzure AD Active Directory (AD) on-premises Azure AD/AD hybrid

Key-based

authentication• Azure AD subscription

•Active Directory Federation Service

(AD FS) (Windows Server 2016)

•A few Windows Server 2016

domain controllers on-site

•Microsoft System Center 2012 R2

Configuration Manager SP2

• Azure AD subscription

• Azure AD Connect

• A few Windows Server 2016

domain controllers on-site

• Configuration Manager SP2

Certificate-

based

authentication


• Intune or non-Microsoft

mobile device

management (MDM)

solution

• PKI infrastructure

•PKI infrastructure

•Configuration Manager SP2,

Intune, or non-Microsoft MDM

solution

•ADFS (Windows Server 2016) *

•Active Directory Domain Services

(AD DS) Windows Server 2016

schema *


• PKI infrastructure

• Configuration Manager SP2,

Intune, or non-Microsoft MDM

solution

Défi de sécurité d'aujourd'hui

Attaques Pass the Hash

1. La machine d’un IT Pro est

compromise

IT Pro gère des appareils / ordinateurs sur le réseau

L'attaquant vole le jeton d'accès de l’IT Pro

2. À l'aide du jeton d’accès de l’IT Pro, l’attaquant

cherche d’autres appareils et recherche dessus

d’autres jetons

3. Répéter

L’accès à un seul appareil peut permettre l’accès à d’autres


SOLUTION

VSM utilise l’environnement d'exécution sécurisé Hyper-V pour protéger les credentials dérivés – vous pouvez utiliser les choses dedans mais vous ne pouvez pas les sortir

Dissocier le hash NTLM du secret lié à l'ouverture de session

Hash NTLM de longueur complète et entièrement aléatoire pour empêcher une attaque par force brute

Les credentials dérivés que donne le service LSA (protégé par VSM) à Windows ne sont pas rejouables.

CONTRE LES ATTAQUES PASS THE HASH


Credential Guard

VIRTUALISATION

VIRTUAL SECURE MODE (VSM)

VSM isole les processus sensibles de Windows dans un conteneur matériel basé sur Hyper-V

VSM protège le noyau VSM et les Trustlets même si le noyau Windows est complètement compromis

Nécessite, dans le processeur, le support des extensions de virtualisation (par exemple: VT-X, VT-D)

VSM exécute le noyau Windows et une série de Trustlets (processus)



Fournit une nouvelle limite de confiance pour le logiciel système :

• S’appuie sur la virtualisation pour améliorer la sécurité de la plate-forme

• Limite l'accès aux éléments de sécurité à haute valeur à partir de code en mode superviseur (CPL0)

Fournit un environnement d'exécution sécurisé pour permettre :

• Le stockage et la gestion des actifs de sécurité de la plate-forme protégée

• La protection du système d'exploitation améliorée contre les attaques (y compris les attaques de mode noyau)

• Une base pour renforcer la protection des secrets des VM clientes vis-à-vis de l’OS hôte

Les services Windows 10 sont protégés avec de la sécurité basée sur la virtualisation :

• Isolation des credentials LSA

• KMCI (Kernel Mode Code Integrity)

• vTPM (serveurs uniquement)



OS VSM

CPU avec des extensions de virtualisation

Hyper-V


Hardware

Hypervisor

Kernel

Applications

Secure Kernel

Credential Guard Device GuardCode Integrity

User Mode Isolated User Mode

Services protégés par VSM

Protège les données lorsqu'un appareil est perdu ou volé à l'aide du chiffrement complet du disque dur

Fournit une expérience d'authentification unique et protection contre les attaques de type Cold Boot

Facile à déployer et facile à gérer même à grande échelle

Leader sur le marché en terme d'intégration, de performances et de fiabilité

Conformité aux critères communs, FIPS 140-2, HIPPA, PCI DSS et plus

Protection des données avec BitLocker

Améliorations de BitLocker dans Windows 10

• Amélioration de l’authentification PreBoot (Hot Plug DMA refusé)

• Chiffrement automatique des appareils pour tous les appareils conformes HSTI(*)

• Sauvegarde possible des clés de chiffrement BitLocker et appareil dans Azure AD

• Support de BitLocker sur les machines virtuelles avec TPM virtuel (vTPM)

• Les utilisateurs de Windows Phone peuvent activer le chiffrement de l’appareil de façon autonome sans recours à un outil de MDM

* Hardware Security Test Interface

Protection de l'information

PROTECTION DES DONNEES AUX REPOS

Device Encryption et BitLocker

Device Encryption est un mécanisme de chiffrement automatique effectuée BitLocker

Expérience de type SSO pour les appareils modernes et configurable sur les autres

La gestion pour l’entreprise (MBAM) et la conformité (FIPS)

TPM généralisé sur les appareils Windows dans le contexte Entreprise

BitLocker est mis en service par l’IT et dispose de fonctionnalités de gestion

Déploiement le plus simple, leader sur la sécurité, la fiabilité et la performance


Séparation entre les données entreprises/perso

Permet la protection des données indépendamment de leur emplacement

Seules les applications de confiance peuvent accéder à vos données

Protection pour les appareils mobiles et les ordinateurs

Partage de contenu protégé par RMS

Enterprise Data Protection

Enterprise Data Protection


Applications perso.

Paramètres perso.

Données perso.

Identité

Perso.

Identité

Pro

VOICIEnterprise Data Protection

UNE APPROCHE DIFFERENTE

Identification des données entreprise vs données perso

Protège les données au repos et lors de l'itinérance

Intégration parfaite dans la plateforme, Aucun changement de mode et utilisation de n’importe quelle App

Empêche les applications non autorisées d'accéder à des données d'entreprise

Protection contre le copier-coller. Effacement à distance des données à la demande.

Expérience similaire à travers les appareils Windows 10 et support des autres plateformes pour le partage


Enterprise Data Protection : le cycle de vie


Distribution des politiques de configuration et des clés de chiffrement

Les données provenant des emplacements réseaux de l'entreprise sont automatiquement protégés

L’App peut protéger automatiquement les données ou les utilisateurs peuvent définir les données comme étant de type entreprise

La protection peut être maintenue lorsque les données sont transférées sur d'autres appareils ou dans le Cloud. RMS peut être utilisé pour partager en B2B ou B2C.

Effacement sélectif des données entreprise à la demande ou lorsque l’appareil est désinscrit

Sécurité supplémentaire lorsque la session est verrouillée. La lecture est bloquée lorsque l’écran

est verrouillé

Politique de sécurité du verrouillage d’écran optionnel

Le système n’a plus accès à la clé de chiffrement lorsque l’appareil est verrouillé

Peut chiffrer les données et les nouveaux fichiers

L’ouverture de session, restaure l’accès aux clés et aux données

Aide à atténuer les attaques au niveau système

Windows 10 Enterprise Data Protection


PROTECTION DU PARTAGE

Rights Management Services

Ajout d'une protection permanente et inamovible

aux données

Support de tous les appareils et systèmes couramment utilisés - Windows, OSX, iOS, Android

Protéger de tous les types de fichiers, partout où ils vont, Cloud, e-mail, BYOD, etc.

Peut être appliqué automatiquement aux e-mails, Onedrive Pro, etc.

Support du B2B et B2C avec Azure AD

Support des scénarios on-premises et Cloud (par exemple: Office 365)

Très simple à mettre en œuvre et conformité à FIPS 140-2

Des améliorations significatives par rapport à

Windows 7


Sécurisation de l'appareil

Secure Boot Device Guard Device Health Windows Defender Windows Update for Business

Protection appareil

Intégrité de l’appareil

Traitement cryptographique

Capteurs biométriques

Virtualisation

MATÉRIEL SECURISÉ

SÉCURISER LES RACINES DE CONFIANCE

Protection appareil

INTEGRITE DE L’APPAREIL

Garantir que Windows puisse démarrer sur un

périphérique de confiance

Un malware bas-niveau sur l’appareil peut se cacher, passer outre les défenses et prendre le contrôle complet du système

Les attaquants altèrent le firmware de l’appareil, la structure de disque et démarre un malware avant Windows

UEFI fournit une protection contre l’altération du firmware

UEFI garantit que Windows démarre avant tout autre logiciel (par exemple: bootkit)

Le TPM fournit des services pour permettre la vérification locale et distante de l'intégrité du système

Protection appareil

Vue d’ensemble du Trusted Platform Module (TPM)

Le TPM fournit plusieurs services essentiels pour la sécurité• Mesurer en toute sécurité records du processus de démarrage

• Dériver et sceller des clés par rapport à une séquence de démarrage particulière

• Fournir une racine de confiance dans le Cloud

• Protéger l'ensemble ci-dessus contre les logiciels malveillants ou les utilisateurs

TPM 2.0 fournit une révision majeure par rapport aux capacités de TPM 1.2 :

• Mise à jour de la robustesse cryptographique pour répondre aux besoins modernes de sécurité

• Flexibilité sur les algorithmes cryptographiques afin de répondre aux besoins des gouvernements

• Gestion cohérente à travers les implémentations

Protection appareil

Code Integrity

• Secure Boot

Inclut les mises à jour sécurisés du Firmware et le démarrage de plate-forme sécurisé

• Kernel Mode Code Integrity (KMCI)

• User Mode Code Integrity (UMCI)

• AppLocker

ROM/Fuses Bootloaders Native UEFIWindows

OS Loader

Windows Kernel and

Drivers

3rd Party Drivers

User mode code (apps, etc.)

Platform Secure Boot UEFI Secure Boot KMCI UMCI AppLocker

Protection appareil

Kernel Mode Code Integrity dans Windows 8.1

Host OS

User

Kernel

Windows

Firmware (UEFI)

Matériel (TPM 2.0, Vt-x2, IOMMU)

KMCI Malware

Salut les amis!

Protection appareil

Kernel Mode Code Integrity avec Windows 10

Host OS

User

Normal WorldVirtual Secure Mode

Frontière

Matériel (TPM 2.0, Vt-x2, IOMMU)

Firmware (UEFI)

Kernel

Hyperviseur

KMCI

Mes

uré

Malware

Je pensais que nous

pouvions être amis

Protection appareil

Windows

KMCI protégé par Virtual Secure Mode

• Les règles Code Integrity sont toujours appliquées, même si une vulnérabilité permet un accès non autorisée à la mémoire en mode noyau

• Les pages de mémoire ne sont marquées exécutable que si la validation par Code Integrity réussit

• La mémoire du noyau ne peut pas être marqué à la fois inscriptible et exécutable

• MAIS ... les pilotes ne seront pas tous compatibles initialement

Protection appareil

INTEGRITE DE LA PLATEFORME

Protège l'intégrité de Windows, les défenses tierces parties et les

applications

Les attaquants altèrent le système, le noyau ainsi que les défenses tierces parties

Le démarrage sécurisé Windows empêche les malwares de démarrer pendant le processus de démarrage et protège les solutions anti-malware

Windows isole le noyau du système et met les processus sensibles dans des conteneurs –offrant une protection même avec si le noyau est corrompu

Device Health Attestation vérifie à distance la santé, peut initialiser la remise en l’état et fournit des services pour les scénarios d'accès conditionnel

Protection appareil

Protège les système et applications contre les

attaques et les malwares les plus courants

Les attaquants exploitent des vulnérabilités pour compromettre l’identité des utilisateurs et les données

Mesures de sécurité pour atténuer les vulnérabilités (par exemple : ASLR, DEP, CFG, etc.) permet de réduire ou élimine la possibilité d'exploiter une vulnérabilité

SÉCURITÉ DE LA PLATEFORME ET

DES APPS

Protection appareil

Protection appareil

DEVICE GUARD

Contrôle des applications enraciné dans le matériel

Permet à un ordinateur Windows d’être verrouillé pour exécuter seulement des applications approuvées, à l'instar des appareils mobiles (par exemple: Windows Phone).

Résiste à l’altération par un administrateur ou un malware

Nécessite des appareils spécialement configurés soit par les OEM ou l’IT

Les Apps et les exécutables non approuvés telles que les malwares sont incapables de fonctionner

DEVICE GUARD

Obtenir des Apps dans le cercle de confiance

Prend en charge toutes les applications y compris de type Universel et Desktop (Win32)

Les Apps de confiance peuvent être créés par les IHV, ISV, et les organisations à l'aide du service de signature fournit par Microsoft

Le service de signature sera disponible pour les OEM, IHV, ISV et les entreprises

Les Apps doivent être spécialement signées à l'aide du service de signature de Microsoft. Aucune modification supplémentaire n'est nécessaire

Protection appareil

Device Guard : les parties de la solution

• Exclusif à Windows 10 édition Entreprise

• Contribue à lutter contre les malwares et les logiciels non autorisés

• Détermine si le code logiciel est approuvé avant son lancement

• Administrable via GPO, MDM ou PowerShell

Protection appareil

Politique de confiance Device Guard

• L’entreprise garde le contrôle sur les sources de confiance de Device Guard

• Le code logiciel approuvée est identifiée par la présence d’une signature numérique ou bien par son empreinte numérique

• La configuration est stockée dans un fichier binaire

• Des outils sont proposées pour signer des applications métiers ou commerciales existantes avec une clef de l’entreprise

Protection appareil

MODE TRADITIONNEL

Amélioration de la sécurité pour les applications traditionnelles

dans Windows 10

Windows isole les parties sensibles du système, protection même si le noyau est compromis

Mesures d’atténuation des vulnérabilités pour réduire ou éliminer les exploits

Conteneur de type bacs à sable pour les Apps universelles, valide l'intégrité et offre le contrôle

Windows inclut Windows Defender, un antivirus avancé et une solution anti-malware

SmartScreen bloque les apps et les sites malveillants

Device Health AttestationContrôler la sécurité de vos appareils

CONTRÔLE D’ACCÈS

CONDITIONNEL

Bloquer les appareils infectés pour protéger les ressources

et prévenir la prolifération

Windows Device Health Attestation (DHA) fournit des services d'attestation à distance, et peut initier la remise en état si nécessaire

Refuser l'accès aux appareils qui sont incapables de "prouver" qu'ils sont en bonne santé

Intune va fournir un accès conditionnel basé sur des "claims" état de santé

Le service Cloud DHA et les claims de santé sont disponibles pour une utilisation par les solutions tierces parties de sécurité, d’accès réseau et de management

Protection appareil

Etat de santé du PC Inconnu

Un accès s'il vous plaît

1

AUJOURD'HUI LA SANTÉ EST SOUS-ENTENDU

Ressources

2Et voilà

Protection appareil

Device Health Attestation permet :

Un accès s'il vous plaît

1

DEVICE HEALTH ATTESTATION FOURNIT DES RENSEIGNEMENTS SUR LA SANTE AUX MDMs

Ressources Importantes

OneDriveFile Servers

Email Wireless2Prouvez-moi que vous êtes en bonne santé

Device Health Attestation

et Intune

Measured Boot Integrity Data

3Demande

Voici ma preuve

5

Approuvé4

Politiques clients (AV, Firewall, Patch state (Intune)

Protection appareil

Windows as a Service

Appareils Grand Public

Mises à jour installées par Windows Update dès leur disponibilité

Maintenir à jour des centaines de millions de consommateurs

Une base utilisateurs importante et hétérogène permet d’élever la qualité des mises à jour de l’OS

Les appareils BYOD sont à jour et sécurisés

Pas de nouvelles fonctionnalités sur la branche de service Long Terme (LTSB)

Mises à jour régulières des correctifs de sécurité

Contrôle avec WSUS

Exemples: Contrôle du trafic aérien, salles d’urgence

Utilisateurs Entreprise

Mise à jour de leurs appareils après

validation des fonctionnalités dans le

grand public

Systèmes spécifiques

Anneaux de déploiement

Current Branch for BusinessCurrent BranchBranche WindowsInsider Preview

Validation interne Microsoft

Engineering builds

Utilisateurs

Dizainesde milliers

Plusieursmillions

Centainesde millions

Temps

4 à 6 mois

4 mois

8 mois

Current Branch (CB)(1)

Expérience utilisateur

Les fonctionnalités sont mises à disposition

du grand public

Les consommateurs reçoivent les nouvelles

fonctionnalités dès leur disponibilité après

une large validation en preview

Opportunité pour les entreprises de tester et

valider les nouvelles fonctionnalités

Les mises à jour et correctifs de sécurité sont

délivrés régulièrement

Temps

No

uvelle f

on

cti

on

nalité

(1) On conservera les dénominations et acronymes US (CB, CBB, LTSB…)

Current Branch for Business (CBB)Expérience utilisateur avec Windows Update for Business*

Les clients entreprise peuvent commencer à

tester dès que les fonctionnalités sont

disponibles en avant-première à travers le

programme Windows Insider

Les clients entreprise peuvent attendre avant

de recevoir les mises à jours fonctionnelles

pendant un délai supplémentaire, pour

tester et valider dans leur environnement

avant un déploiement généralisé

Pendant cette période de différé, les

fonctionnalités peuvent être déployées dans

l’entreprise pour avoir des retours

Les mises à jour et correctifs de sécurité sont

délivrés régulièrement

Temps

CURRENT BRANCH FOR BUSINESS (CBB)

No

uvelle f

on

cti

on

nalité

*Les clients peuvent également utiliser WSUS pour le déploiement des mises à jour

Long Term Servicing Branch (LTSB)Expérience utilisateur pour les systèmes spéciaux

Les mises à jour et correctifs de sécurité

sont délivrés régulièrement

Les utilisateurs sur la Long Term Servicing

Branch (LTSB) reçoivent les correctifs de

sécurité et correctifs critiques pour une

durée de 10 ans

Les clients peuvent passer d’une LTSB à la

suivante via une mise à niveau sur place et

peuvent également sauter une LSTB

Les clients gèrent les mises à jour avec

WSUS

Temps

Long Term Servicing Branch



No

uvelle f

on

cti

on

nalité

Insider Branch

ETE

2015

CB (1)

CBB (1)

LTSB (1)

Insider Branch

AUTOMNE

CB (2)

Insider Branch

HIVER

2016

Insider Branch

CBB (2)

ETE

LTSB (2)

Insider Branch

Exemple sur la première année

Les choix pour la gestion

Les organisations peuvent mélanger et faire correspondre, en fonction de leur scénario spécifique

Identité Management Mises à jour Infrastructure Propriétaire

Active Directory

Azure Active Directory

Group Policy

System Center

Configuration

Manager

Gestion de PC

solution tierce partie

Intune

MDM tierce partie

Windows Update

Windows Update

for Business

Windows Server

Update Services

(WSUS)

Intune

MDM tierce partie

A demeure

Dans le Cloud

Corporate-owned

CYOD

BYOD

Protection appareil

Windows Update for Business

Pourquoi choisir Windows Update for business ?

Sécurité améliorée avec les dernières

mises à jour

Contrôle du déploiement avec

l’étagement du déploiement

Optimisation de la bande passante

Réduction du coût de gestion des

appareils

Protection appareil

© 2015 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market

conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.

MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

windows 10 sécuritédownload.microsoft.com/documents/france/windows/2016/w10...la machine d‘un it...

Documents