La question de la sécurité reste au cœur des préoccupations des professionnels de l'informatique. À présent que la version Bêta de Windows® 7 est disponible, les questions liées aux améliorations apportées au système Windows 7 sont légion. Les domaines à aborder sont nombreux — trop pour cet article — mais trois sujets essentiels ont retenu notre attention.

• Windows 7, qui est bâti sur les fondations du système d'exploitation Windows Vista®, offre un meilleur système d'audit et de contrôle de compte d'utilisateur.

• Windows 7 aide les professionnels de l'informatique à déterminer les logiciels autorisés à s'exécuter dans leur environnement avec AppLocker™.

• Windows 7 améliore les fonctionnalités clés du chiffrement de lecteur BitLocker™ avec BitLocker To Go™, destiné aux périphériques de stockage amovible.

Observons à présent ces technologies de plus près :

Un environnement foncièrement sécurisé

Windows 7 repose sur le système de sécurité solide de Windows Vista et reprend les processus et les technologies de développement qui ont fait de Windows Vista la version du client Windows la plus sécurisée à ce jour. Les principales fonctionnalités de sécurité, telles que la protection contre les modifications du noyau, le renforcement des services, la prévention d'exécution des données, la randomisation du format d'espace d'adresse et les niveaux d'intégrité obligatoires, continuent d'assurer un excellent niveau de protection contre les logiciels malveillants et les attaques. Windows 7 a été conçu et développé conformément au cycle de vie de développement de la sécurité Microsoft . Le système est conforme à la norme fédérale américaine de traitement de l'information (FIPS, Federal Information Processing Standard) 140-2 et sa certification Evaluation Assurance de niveau 4 signifie qu'il respecte les spécifications des critères communs.

Amélioration de l'audit

Windows 7 offre des fonctions d'audit améliorées qui permettent à une organisation de se conformer plus facilement aux réglementations et autres spécifications commerciales. Les améliorations apportées à l'audit commencent par une approche simplifiée de la gestion des configurations d'audit et terminent par une meilleure visibilité sur ce qui se produit au sein de votre organisation. Par exemple, Windows 7 permet de mieux comprendre pourquoi une personne a été autorisée ou non à accéder à des informations spécifiques, ou de voir les modifications effectuées par des personnes ou des groupes spécifiques.

Simplification du contrôle de compte d'utilisateur

Dans Windows Vista, le contrôle de compte d'utilisateur avait pour fonction d'aider les applications héritées à fonctionner avec des droits d'utilisateur standard et d'aider les éditeurs à adapter leurs logiciels de sorte qu'ils fonctionnent correctement avec des droits d'utilisateur standard. Windows 7 continue à investir dans le contrôle de compte d'utilisateur en y apportant des changements spécifiques visant à améliorer l'expérience utilisateur. Ces changements incluent de réduire le nombre d'applications et de tâches du système d'exploitation nécessitant des privilèges d'administrateur et de fournir des invites de consentement souples pour les utilisateurs qui continuent à utiliser des privilèges d'administrateur. Au final, plus de liberté d'action pour les utilisateurs standard et moins d'invites pour tous.

AppLocker

Windows 7 replace les stratégies de contrôle d'application au premier plan avec AppLocker, un mécanisme souple et simple d'administration qui permet aux professionnels de l'informatique de spécifier précisément quelles applications sont autorisées à fonctionner dans l'infrastructure de bureau, et qui donne aux utilisateurs la capacité d'exécuter les applications, les programmes d'installation et les scripts dont ils ont besoin pour être productifs. En conséquence, le personnel informatique peut assurer la standardisation des applications au sein de leur organisation sans compromettre la sécurité, les performances ou la conformité.

AppLocker offre une structure simple et robuste grâce à trois types de règles : « autorisation », « refus » et « exception ». Les règles d'autorisation limitent l'exécution des applications à celles identifiées comme « bonnes » et bloquent toutes les autres. Les règles de refus partent du principe inverse et autorisent l'exécution de toutes les applications à l'exception de celles figurant sur une liste d'applications identifiées comme « mauvaises ». Si la plupart des entreprises utilisent une combinaison de ces deux types de règles, le déploiement idéal d'AppLocker consiste à employer des règles d'autorisation en y intégrant des exceptions. Les règles d'exception excluent des fichiers qui seraient normalement inclus dans une d'une règle d'autorisation/refus. L'utilisation d'exceptions vous permet, par exemple, de créer une règle visant à « autoriser l'exécution de tous les programmes du système d'exploitation Windows à l'exception des jeux intégrés ». L'utilisation de règles d'autorisation associées à des exceptions constitue un bon moyen pour dresser une liste d'applications « identifiées comme bonnes » sans avoir à créer un nombre incalculable de règles.

AppLocker contient des règles d'éditeur basées sur des signatures numériques d'applications. Les règles d'éditeur permettent d'élaborer des règles qui résistent aux mises à jour des applications grâce à des attributs que vous spécifiez tels que la version d'une application. Par exemple, une organisation peut créer une règle « autorisant toutes les versions ultérieures à 9.0 du programme Acrobat Reader à s'exécuter si elles sont signées par l'éditeur Adobe ». Lors de la prochaine mise à jour d'Acrobat, vous pourrez sans risque implémenter la nouvelle version du programme sans avoir à créer de nouvelle règle.

Les règles AppLocker peuvent également être associées à un utilisateur ou à un groupe spécifique au sein d'une organisation. Cette facilité vous procure un niveau de contrôle très fin, en adéquation avec les spécifications de conformité, pour valider et activer les utilisateurs autorisés à exécuter des applications spécifiques. Par exemple, vous pouvez créer une règle « autorisant les employés du service financier à exécuter les applications financières ». Cette règle interdira de facto à quiconque n'appartenant pas au service financier d'exécuter vos applications financières (administrateurs inclus), tout en autorisant à ceux ayant un besoin légitime d'utiliser ces applications de le faire.

AppLocker garantit un fonctionnement sans surprise aux administrateurs informatiques par le biais de nouveaux outils et assistants de création de règles. Grâce à une approche par étapes et à un système d'aide intégré, la création de nouvelles règles, la génération automatique de règles ainsi que l'importation ou exportation de règles sont des opérations intuitives et faciles à gérer. Par exemple, les administrateurs informatiques peuvent automatiquement générer des règles sur un ordinateur de test, puis importer les règles dans un environnement de production en vue d'un déploiement de grande ampleur. L'administrateur informatique peut également exporter une stratégie dans le but de sauvegarder votre configuration de production ou de créer une documentation par souci de conformité.

BitLocker et BitLocker To Go

Chaque année, des centaines de milliers d'ordinateurs insuffisamment protégés sont perdus, volés ou mis hors service. Toutefois, la perte ou le vol de données ne se résume pas à un problème de matériel informatique. Les disques mémoire flash USB, les courriers électroniques, les documents en circulation, etc. sont autant de moyens par lesquels les données peuvent se retrouver entre de mauvaises mains. Windows 7 répond au risque permanent de fuite des données par la mise à jour du chiffrement de lecteur BitLocker (amélioration de la gérabilité et du déploiement) et la mise en place de BitLocker To Go, qui assure une protection renforcée contre le vol et la divulgation des données en étendant la prise en charge de BitLocker aux supports de stockage amovible.

Le chiffrement de lecteur BitLocker (BitLocker, pour faire plus court) empêche les voleurs qui exécutent un autre système d'exploitation ou un outil de piratage logiciel de franchir les protections du système et des fichiers de Windows 7 ou d'afficher hors connexion les fichiers enregistrés sur le lecteur protégé. Windows 7 BitLocker conserve les mêmes avantages principaux de Windows Vista BitLocker ; toutefois, la fonctionnalité centrale de Windows 7 BitLocker a été améliorée pour le confort d'utilisation des professionnels de l'informatique et des utilisateurs finaux. Pour les clients qui n'ont pas déployé Windows Vista avec la configuration de disque à deux partitions requise par BitLocker, le repartitionnement du lecteur s'est avéré plus compliqué que nécessaire. Windows 7 crée automatiquement les partitions de disque nécessaires au cours de l'installation afin de simplifier grandement les déploiements de BitLocker. La possibilité de cliquer avec le bouton droit de la souris sur un lecteur pour activer la protection BitLocker constitue un autre changement qui a été apporté à Windows 7 BitLocker.  

Windows 7 BitLocker ajoute la prise en charge de l'agent de récupération de données à tous les volumes protégés. En réponse à l'insistance des clients, la prise en charge de l'agent de récupération de données permet au service informatique d'imposer que tous les volumes protégés par BitLocker (le système d'exploitation, les volumes fixes et les nouveaux volumes portables) soient chiffrés à l'aide d'un agent de récupération de données approprié. L'agent de récupération de données est un nouveau protecteur de clé qui est écrit sur chaque volume de données afin que les administrateurs informatiques autorisés aient toujours accès aux volumes protégés par BitLocker.

BitLocker To Go étend la prise en charge BitLocker aux périphériques de stockage amovible, y compris les disques mémoire flash USB et les lecteurs de disques portables. BitLocker To Go permet également aux administrateurs de définir le mode d'utilisation des périphériques de stockage amovible au sein de leur environnement, ainsi que leur niveau de protection. Les administrateurs peuvent exiger une protection des données sur tous les périphériques de stockage amovible sur lesquels les utilisateurs veulent écrire des données tout en autorisant l'utilisation en lecture seule des périphériques de stockage non protégés.  Des stratégies peuvent également être employées pour exiger des mots de passe, des cartes à puce ou des informations d'identification d'utilisateur de domaine pour utiliser un périphérique de stockage amovible protégé.

BitLocker To Go peut être utilisé seul, sans que la partition système ne soit protégée par le système BitLocker traditionnel. Enfin, BitLocker To Go permet l'accès en lecture seule aux périphériques amovibles sur les versions antérieures du système d'exploitation Windows, permettant aux utilisateurs de partager leurs fichiers de manière plus sécurisée avec ceux qui utilisent Windows Vista et Windows XP avec le lecteur BitLocker To Go.  

Si vous voyagez avec votre ordinateur portable, partagez des fichiers volumineux avec un partenaire de confiance ou ramenez du travail à la maison, BitLocker et BitLocker To Go font en sorte que seuls les utilisateurs autorisés puissent lire les données, même en cas de perte ou de vol.

Conclusion

Bâti sur les bases de sécurité de Windows Vista, Windows 7 offre de nombreuses améliorations de sécurité qui rassureront les utilisateurs sur le fait que Microsoft ne relâche pas ses efforts pour protéger les investissements informatiques et les données de ses utilisateurs. Les professionnels bénéficieront des améliorations apportées à la sécurité des informations confidentielles, à la lutte contre les programmes malveillants et au contrôle de l'accès aux ressources et aux données des entreprises. Les particuliers pourront apprécier les bienfaits de leur ordinateur et d'Internet sans craindre pour la confidentialité de leurs données. Enfin, les options de configuration de la sécurité de Windows 7 permettront à chacun de trouver le juste équilibre entre sécurité et confort d'utilisation en fonction de ses besoins.