Exporter (0) Imprimer
Développer tout

Améliorations en matière de sécurité dans Windows 7

Mis à jour: mars 2009

S'applique à: Windows 7

Cet article offre un aperçu des différentes améliorations apportées à la sécurité dans Microsoft® Windows® 7. Élaboré sur les fondements de la sécurité de Windows Vista®, Windows 7 est une réponse aux demandes des clients qui aspirent à un système plus pratique et plus facile à gérer ; il intègre les progrès attendus en matière de sécurité pour lutter contre les menaces en perpétuelle évolution qui composent le paysage informatique actuel.

Pour un affichage complet des ressources, articles, démos et de l'aide de Windows 7, consultez la Série Springboard pour Windows 7 sur le TechCenter Windows Client (peut être en anglais).

Introduction

Élaboré sur les fondements de la sécurité de Windows Vista, Windows 7 est une réponse aux remarques des clients qui demandent un système plus pratique et plus facile à gérer ; il intègre les progrès attendus en matière de sécurité pour lutter contre les menaces en perpétuelle évolution qui composent le paysage informatique actuel. Cette présentation, articulée en quatre parties, détaille les améliorations les plus importantes dont la sécurité de Windows 7 bénéficie.

  • Plateforme foncièrement sécurisée Windows 7 a été conçu en s'appuyant sur les grandes améliorations en matière de sécurité que Windows Vista a mises en œuvre en premier et répond aux remarques des clients qui veulent un système plus pratique et plus simple à gérer.

  • Possibilité de sécuriser l'accès à distance Windows 7 fournit les contrôles de sécurité appropriés, afin que les utilisateurs puissent accéder aux informations dont ils ont besoin pour être productifs, chaque fois qu'ils en ont besoin, à leur bureau ou à l'extérieur.

  • Protection des utilisateurs et de l'infrastructure Windows 7 offre une protection de sécurité flexible contre les logiciels malveillants et les tentatives d'intrusion, afin que les utilisateurs puissent obtenir l'équilibre qu'ils désirent atteindre entre sécurité, contrôle et productivité.

  • Protection des données contre un affichage non autorisé Windows 7 étend le chiffrement de lecteur BitLocker™ pour permettre la protection des données stockées sur un média amovible (par exemple, un disque mémoire flash USB, un disque dur portatif USB), afin que seuls les utilisateurs autorisés puissent lire les données, même en cas de perte, de vol ou d'utilisation abusive du média.

Plateforme foncièrement sécurisée

Windows 7 est élaboré dans la tradition d'une sécurité puissante déjà mise en place dans Windows Vista, il conserve tous les processus et technologies de développement qui ont fait de Windows Vista la version la plus sécurisée pour le client Windows à ce jour. Les fonctionnalités de sécurité fondamentales, telles que la protection contre la mise à jour du noyau, la sécurisation renforcée des services, la prévention de l'exécution des données, la randomisation du format d'espace d'adressage et les niveaux d'intégrité obligatoires continuent de fournir une protection accrue contre les logiciels malveillants et les attaques. Windows 7 est une nouvelle fois conçu et développé à l'aide du cycle de vie de développement de la sécurité Microsoft (SDL, Security Development Lifecycle) et prévu pour prendre en charge la norme Common Criteria afin d'obtenir la certification Evaluation Assurance Level 4 et de suivre les normes FIPS (Federal Information Processing Standard) 140-2. En se fondant sur de solides bases de sécurité dans Windows Vista, Windows 7 apporte de nouvelles améliorations significatives aux technologies de sécurité centrales de l'audit d'événements et au contrôle de compte d'utilisateur.

Audit amélioré

Windows 7 fournit des possibilités d'audit plus poussées afin de faciliter la tâche des organisations voulant se conformer aux exigences d'une mise en conformité par rapport à des pratiques professionnelles ou à des obligations légales. Les progrès en matière d'audit, manifestes dès le départ dans l'approche simplifiée de la gestion des configurations d'audits, aboutissent à une plus grande visibilité sur les événements qui surviennent au sein de votre organisation. Par exemple, Windows 7 offre aujourd'hui une plus grande perception permettant de saisir exactement les raisons pour lesquelles une personne accède ou se voit refuser l'accès à des informations spécifiques et de comprendre toutes les modifications effectuées par des personnes ou des groupes particuliers.

Contrôle de compte d'utilisateur rationalisé

Le contrôle de compte d'utilisateur a été introduit dans Windows Vista pour accroître la sécurité et améliorer le coût total de possession en permettant le déploiement du système d'exploitation sans les autorisations d'administrateur. Windows 7 maintient les efforts investis dans le contrôle de compte d'utilisateur en apportant des modifications particulières visant à améliorer l'expérience de l'utilisateur : que ce soit par la réduction du nombre de tâches et d'applications du système d'exploitation nécessitant des autorisations d'administrateur, ou par un comportement d'invite de consentement souple pour les utilisateurs qui continuent de fonctionner avec des privilèges d'administration. En conclusion, les utilisateurs standard ont un champ d'action plus large qu'auparavant ; ils peuvent réaliser davantage de choses et tous les utilisateurs voient apparaître moins de messages.

e59e093d-e2a8-4cbd-a66e-b8fe6426c5d7

Figure 1 : Contrôle de compte d'utilisateur

Prise en charge du périphérique de sécurité

Windows 7 simplifie le processus de connexion des périphériques de sécurité à votre ordinateur, il facilite la gestion des périphériques que vous utilisez et favorise votre accès aux tâches courantes liées à ces périphériques. De leur configuration initiale à leur utilisation quotidienne, jamais l'utilisation de périphériques de sécurité n'a été aussi facile dans votre environnement.

Périphériques de stockage étendu de sécurité

L'usage répandu des disques mémoire flash USB et autres périphériques de stockage personnel inquiète de plus en plus les utilisateurs qui s'interrogent sur la sécurité des informations contenues dans ces périphériques. Toutefois, certains utilisateurs n'ont pas forcément besoin des fonctionnalités complètes du chiffrement de données de BitLocker To Go™. Windows 7 fournit une prise en charge pour la protection des mots de passe et l'authentification basée sur les certificats pour les périphériques de stockage USB compatibles IEEE 1667. Les utilisateurs peuvent faire appel à la protection de mots de passe des périphériques de stockage IEEE 1667 pour préserver la confidentialité de leurs données contre toute divulgation fortuite.

Ouverture de session et lecteurs d'empreintes digitales intégrés

L'utilisation de lecteurs d'empreintes digitales devient de plus en plus fréquente dans les configurations d'ordinateurs portables standard, et Windows 7 garantit le bon déroulement de cette nouvelle pratique. Installer et apprendre à utiliser un lecteur d'empreintes digitales sont des tâches simples à accomplir, ouvrir une session sur Windows au moyen d'une empreinte digitale se révèle aussi fiable d'un fabricant de matériel à l'autre. Les configurations des lecteurs d'empreintes digitales étant faciles à modifier, vous pouvez contrôler la façon dont vous ouvrez une session sur Windows 7 et gérer les données d'empreintes digitales qui sont stockées sur l'ordinateur.

Meilleure prise en charge de la carte à puce

L'authentification basée sur les mots de passe présente des limites en termes de sécurité simples à comprendre ; cependant, le déploiement de puissantes technologies d'authentification relève du défi pour de nombreuses organisations. En se basant sur les progrès enregistrés au niveau de l'infrastructure de la carte à puce dans Windows Vista, Windows 7 facilite aujourd'hui le déploiement de cette carte à puce via la prise en charge de Plug-and-Play. Les pilotes indispensables pour gérer les cartes à puce et les lecteurs connexes sont automatiquement installés, sans qu'il y ait besoin de recourir à des autorisations d'administrateur ou à une interaction d'utilisateur, ce qui simplifie le déploiement d'une authentification renforcée, à deux facteurs, au sein de l'entreprise. Par ailleurs, Windows 7 étend la prise en charge de la plateforme de PKINIT (RFC 5349) pour intégrer les cartes à puces à chiffrement ECC (Elliptic Curve Cryptography), rendant ainsi possible l'utilisation de certificats à courbe elliptique sur des cartes à puce pour les ouvertures de session Windows.

Possibilité de sécuriser l'accès à distance

Windows 7 fournit les contrôles de sécurité appropriés afin que les utilisateurs puissent accéder aux informations dont ils ont besoin pour être productifs, chaque fois qu'ils en ont besoin, à leur bureau ou à l'extérieur. Outre la prise en charge totale des technologies existantes, comme la protection d'accès réseau, Windows 7 offre les services d'un pare-feu plus souple, la prise en charge de la sécurité DNS et un modèle entièrement inédit d'accès à distance.

Prise en charge de DNSSec

Le système DNS (Domain Name System) représente un protocole essentiel dans la prise en charge de nombreuses activités Internet quotidiennes, entre autres la remise du courrier électronique, la navigation Web et la messagerie instantanée. Toutefois, le système DNS a été conçu il y a une trentaine d'années, à une époque où les problèmes de sécurité auxquels nous sommes confrontés de nos jours n'avaient pas cours. Les extensions de sécurité DNS, ou DNSSEC, constituent un ensemble d'extensions pour DNS qui fournit les services de sécurité indispensables à l'utilisation d'Internet aujourd'hui. En prenant en charge la technologie DNSSEC, tel que décrit dans les RFC 4033, 4034 et 4035, Windows 7 apporte la garantie aux organisations que les enregistrements de noms de domaine ne sont pas usurpés et les aide à se protéger contre des activités malveillantes.

Activation de plusieurs stratégies de pare-feu

Dans Windows Vista, la stratégie de pare-feu est basée sur le « type » de connexion réseau établi, comme Domestique, Entreprise, Public ou Domaine (qui est un quatrième type masqué). Toutefois, ceci peut présenter quelques obstacles en termes de sécurité pour les informaticiens lorsque, par exemple, un utilisateur connecté à Internet via un réseau « domestique » utilise ensuite un réseau privé virtuel pour accéder au réseau de l'entreprise. Dans un tel cas, comme le type de réseau (et donc les paramètres de pare-feu) avait déjà été défini en fonction du premier réseau auquel l'utilisateur s'était connecté, il a été impossible d'appliquer les paramètres de pare-feu appropriés pour accéder au réseau de l'entreprise.

Windows 7 débarrasse les informaticiens de ce genre de problème grâce à la prise en charge de plusieurs stratégies de pare-feu actives : les utilisateurs d'ordinateurs peuvent ainsi obtenir et appliquer des informations de profil de pare-feu de domaine sans se préoccuper des autres réseaux éventuellement actifs sur le PC. Grâce à de telles possibilités, qui font partie des fonctionnalités les plus demandées par la clientèle d'entreprise, les informaticiens peuvent simplifier la connectivité et les stratégies de sécurité en conservant un jeu unique de règles pour les clients distants et les clients physiquement connectés au réseau de l'entreprise.

fc1368a2-f6dc-4a8d-b9d4-d873d1cd0e51

Figure 2 : Pare-feu Windows

DirectAccess

Avec Windows 7, travailler en dehors du bureau devient de plus en plus simple. DirectAccess permet aux utilisateurs distants d'accéder au réseau de l'entreprise chaque fois qu'ils peuvent se connecter à Internet et sans avoir recours à une procédure supplémentaire pour initialiser une connexion VPN, ainsi leur productivité se trouve accrue lorsqu'ils sont à l'extérieur. Aux professionnels de l'informatique, DirectAccess offre une infrastructure réseau d'entreprise flexible qui leur permet de gérer et de mettre à jour à distance les ordinateurs des utilisateurs. DirectAccess simplifie la gestion informatique en offrant une infrastructure « toujours sous contrôle », dans laquelle les ordinateurs connectés ou non au réseau peuvent continuer d'être mis à jour, gérés et de rester sains.

Grâce à DirectAccess, les informaticiens conservent un contrôle rigoureux et précis sur les ressources réseau auxquelles les utilisateurs peuvent accéder. Par exemple, les paramètres de la stratégie de groupe peuvent servir à gérer l'accès des utilisateurs distants aux applications de l'entreprise. DirectAccess sépare également le trafic Internet de l'accès aux ressources réseau internes, afin que les utilisateurs puissent accéder à des sites Web publics sans générer un trafic de communications supplémentaires sur le réseau de l'entreprise.

Enfin, et surtout, DirectAccess repose sur des normes de l'industrie, comme IPv6 et IPsec, afin de garantir au sein de votre entreprise des communications sécurisées et sans risque.

Protection des utilisateurs et de l'infrastructure

Windows 7 offre une protection de sécurité flexible contre les logiciels malveillants et les tentatives d'intrusion, afin que les utilisateurs puissent atteindre l'équilibre qu'ils désirent obtenir entre la sécurité, le contrôle et la productivité. AppLocker™ et Internet Explorer® 8 constituent deux exemples clés d'investissements technologiques ayant fait progresser les protections des systèmes d'exploitation contre l'intrusion de programmes malveillants dans Windows 7.

AppLocker

Windows 7 redynamise les stratégies de contrôle d'applications avec AppLocker : un mécanisme souple et facile à administrer qui donne la possibilité aux informaticiens de spécifier précisément ce qui peut être exécuté dans l'infrastructure de bureau et de permettre aux utilisateurs d'exécuter les applications, programmes d'installation et scripts dont ils ont besoin pour être productifs. En conclusion, les informaticiens peuvent imposer la standardisation des applications au sein de leur organisation tout en garantissant un certain nombre d'avantages en termes de conformité, de fonctionnement et de sécurité.

0453a5c5-3593-41af-9941-27ec56f3dd72

Figure 3 : AppLocker

AppLocker fournit des structures de règles simples, puissantes et instaure les règles d'éditeur : il s'agit de règles basées sur des signatures numériques d'applications. Les règles d'éditeur permettent d'élaborer des règles qui survivent aux mises à jour des applications grâce à la possibilité de spécifier des attributs tels que la version d'une application. Par exemple, une organisation peut créer une règle pour « autoriser toute version du logiciel Acrobat Reader supérieure à la version 9.0 de s'exécuter si elle est signée par son éditeur, Adobe ». Ainsi, lorsqu'Adobe procède à la mise à jour d'Acrobat, vous pouvez déployer en toute sécurité une mise à jour d'application sans avoir besoin d'élaborer une autre règle pour la nouvelle version de l'application.

Internet Explorer 8

Internet Explorer 8 offre une protection accrue contre les menaces de confidentialité et de sécurité, entre autres la capacité d'identifier des sites malveillants et de bloquer le téléchargement de logiciels non autorisés et dangereux. La confidentialité est améliorée grâce à la capacité de surfer sur le Web sans laisser de traces sur un ordinateur partagé, grâce également aux choix et contrôles accrus sur la façon dont les sites Web peuvent enregistrer les actions d'un utilisateur. Internet Explorer 8 permet aussi de rassurer et d'inspirer confiance par le biais des améliorations qui ont été apportées aux restrictions sur les contrôles ActiveX®, de la gestion affinée des composants additionnels, de la fiabilité accrue (entre autres la récupération automatique sur incident et la restauration des onglets) et d'une meilleure prise en charge des normes d'accessibilité.

Protection des données contre un affichage non autorisé

Chaque année, des centaines de milliers d'ordinateurs sans dispositif de protection approprié sont perdus, volés ou mis au rebut. Toutefois, la perte de données ne relève pas que d'un simple problème de matériel informatique. L'omniprésence des disques mémoire flash USB, les communications via messagerie électronique, la divulgation de documents, etc., de nombreuses conditions et situations sont réunies pour que des données tombent entre de mauvaises mains.

Windows 7 conserve les technologies de protection des données déjà disponibles dans Windows Vista, telles que le système de fichiers EFS, la technologie des services AD RMS (Active Directory® Rights Management Services technology) intégrés et les contrôles affinés des ports USB. Outre les mises à jour incrémentielles dans ces technologies, Windows 7 offre plusieurs améliorations capitales concernant la technologie très appréciée du chiffrement de lecteur BitLocker.

BitLocker et BitLocker To Go

Windows 7 apporte une réponse au problème de la menace continuelle de perte de données, par des mises à jour relatives à la facilité de gestion et au déploiement effectuées sur le chiffrement de lecteur BitLocker et par l'introduction de BitLocker To Go, une protection des données renforcée contre le vol et la divulgation qui étend la prise en charge de BitLocker aux périphériques de stockage amovibles. En élargissant cette prise en charge aux volumes de données FAT, une plus grande gamme de formats de disques et de périphériques peut être gérée, y compris les disques mémoire flash USB et les disques durs portatifs. Ceci permettra aux utilisateurs de déployer BitLocker par rapport à un plus large éventail de besoins en protection de données.

Que vous voyagiez avec votre ordinateur portable, partagiez des fichiers volumineux avec un collègue en qui vous avez confiance ou que vous rapportiez du travail à la maison, les périphériques protégés par BitLocker et BitLocker To Go vous garantissent que seuls les utilisateurs autorisés pourront lire leurs données, même si le média est perdu, volé ou utilisé de façon abusive. Enfin et surtout, la protection BitLocker est, pour l'utilisateur final, facile à déployer et intuitive tout en garantissant une sécurité des données et une conformité améliorées.

BitLocker To Go offre également aux administrateurs un contrôle sur la façon dont les périphériques de stockage amovibles peuvent être utilisés dans leur environnement et sur la puissance de la protection dont ils ont besoin. Les administrateurs peuvent d'une part exiger une protection des données pour tout périphérique de stockage amovible sur lequel les utilisateurs veulent écrire des données, et d'autre part maintenir l'autorisation d'utiliser les périphériques de stockage non protégés en mode de lecture seule. Des stratégies sont également disponibles pour demander des mots de passe, des cartes à puce ou des informations d'identification d'utilisateur de domaine appropriés, afin de pouvoir se servir d'un périphérique de stockage amovible protégé. Parallèlement, BitLocker To Go fournit une prise en charge en lecture seule configurable pour des périphériques amovibles sous des versions plus anciennes de Windows : ceci permet de partager en toute sécurité des fichiers avec les utilisateurs exécutant toujours Windows Vista et Windows XP.

e943c762-933c-4d36-9e78-dd7b47a69f11

Figure 4 : Chiffrement de lecteur BitLocker

Conclusion

En s'appuyant sur les fondements de la sécurité de Windows Vista, Windows 7 met en application les améliorations qui s'imposent pour donner aux utilisateurs l'assurance que Microsoft œuvre au maintien de leur protection. Les entreprises bénéficieront des progrès enregistrés en matière de protection d'informations professionnelles confidentielles ; ces avancées assurent des protections plus puissantes contre les programmes malveillants et garantissent un accès sécurisé en tous lieux pour les données et les ressources de l'entreprise. Les consommateurs peuvent profiter pleinement de l'utilisation d'un ordinateur et de l'Internet en sachant que Windows 7 se situe à la pointe des technologies de protection de la confidentialité et des informations personnelles. Finalement, tous les utilisateurs tireront parti des options de configurations détectables et flexibles de la sécurité de Windows 7 qui permettent à tout un chacun d'atteindre l'équilibre recherché entre sécurité et utilisation fonctionnelle propre à sa situation.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft