Suggérer une traduction
 
Suggestions d'autres utilisateurs :

progress indicator
Aucune autre suggestion.
TechNet Magazine > Accueil > Tous les numéros > 2009 > TechNet Magazine Octobre 2009 >  Windows 7 : Une super sécurité dans Windows 7
Affichage du contenu : côte à côteAffichage du contenu : côte à côte
Ce contenu traduit automatiquement peut être modifié par les membres de la communauté. Nous vous invitons à améliorer la traduction en cliquant sur le lien « Modifier » associé aux phrases ci-dessous.
Windows 7
Groovy Security in Windows 7
Steve Riley
 
At a Glance:
  • Easier corpnet access with DirectAccess
  • Encrypt even removable drives with the new BitLocker
  • Manage access to applications with AppLocker
  • Protect against DNS poisoning and spoofing with DNSSEC

As I put the finishing touches on this article, the day many of us have been waiting for finally arrived: Windows 7 was released to manufacturing. I spent a good deal of time using the beta and release candidate as my production operating system and have enjoyed the changes and improvements Windows 7 offers. Now I would like to take you on a tour of some of my favorite security features.

DirectAccess
If you're like every other geek I've met, work doesn't end when you walk out the door of your office. Why do you think most employers provide laptops rather than desktops? Because they know you'll work for free! That's how they recoup the investment in more expensive hardware. Set up some VPN servers, publish instructions for how to access the corporate network, and you'll get a whole lot more productivity out of your staff.
Or so the thinking goes. VPNs almost always require extra steps to get onto the corpnet, sometimes very convoluted steps. You have to carry around easy-to-lose hardware tokens. Pokey logon scripts drag on forever. Internet traffic gets backhauled through your corpnet, slowing responsiveness. If it's been a while since your last connection, your computer might receive several megabytes of software updates. So if you have only one minor annoying thing to do—say complete an expense report—you'll probably put it off. If only there were a way to eliminate the separate VPN connection steps, so you could use your computer at home or in the airport lounge exactly as you do at work, well, that would be cool.
Along with Windows Server 2008 R2, DirectAccess in Windows 7 gives you exactly that experience. From the perspective of a user, the difference between the corpnet and the Internet evaporates. For example, suppose when you're in the office you navigate to http://expenses to complete an expense report. With DirectAccess enabled on your network, you'd follow the exact same procedure anywhere you can find an Internet connection: simply enter http://expenses in your browser. No extra logon steps, no re-training, no help-desk calls to troubleshoot balky VPN client software. DirectAccess allows you to connect computers to your corpnet and the Internet at the same time. This removes the friction between you and your applications, making it even easier for you to get to your data.
There are two communications protocols that make this possible: IPsec and IPv6. An IPsec Encapsulating Security Payload (ESP) transport mode security association (not a tunnel, despite the continued misuse of the phrase "IPsec tunnel") authenticates and encrypts the communications between the client and the destination server. Bidirectional authentication mitigates man-in-the-middle attacks: using X.509 certificates issued by authorities both sides trust, the client authenticates to the server and the server authenticates to the client. Advanced Encryption Standard (AES) encryption provides confidentiality so that anything intercepted during communications is meaningless to the eavesdropper.
Traditional VPNs use IPsec, too; it's the addition of IPv6 that makes DirectAccess novel and exciting. Eliminating the VPN requires better end-to-end connectivity than what IPv4, with its plethora of network address translators and overlapping address ranges, is capable of. IPv6 configures a globally unique, routable address on every client and segregates corpnet traffic from regular Internet traffic. IPv6 is required for DirectAccess, so your corpnet must support IPv6. This isn't as daunting a task as you might think: many of your servers probably already have or can be configured to run IPv6, and any networking gear made in the last half-decade supports IPv6. Protocol transition technologies can help, such as Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) and Network Address Translation/Protocol Translation (NAT-PT) at the edge of your corpnet.
A client configured with DirectAccess is always connected to your corpnet, but probably not over native IPv6; the client is likely behind an IPv4 NAT and the Internet itself is still mostly IPv4. Windows 7 supports 6to4 and Teredo—transition technologies that encapsulate IPv6 traffic inside IPv4. And on the rare occasion when neither of these protocols works, DirectAccess falls back to IP-HTTPS, a new protocol that encapsulates IPv6 inside HTTPS over IPv4. (Yes, the scheme to turn HTTP into the ultimate universal bypass protocol has reached its nadir!)
Applications don't need any modification or special treatment to work over DirectAccess. Group Policy assigns to clients a name resolution policy table (NRPT) containing two bits of information: the corpnet's internal DNS suffix and the addresses of IPv6 DNS servers resolving the namespace (see Figure 1). Suppose your internal DNS suffix is inside.example.com and your IPv6 DNS server's address is FEDC:BA98:7654:3210::1. When you browse to http://expenses, your computer's resolver appends the DNS suffix and attempts to resolve expenses.inside.example.com. Because this matches the DNS suffix entry in the NRPT, the resolver sends the request to FEDC:BA98:7654:3210::1. DNS replies with the IPv6 address of the expenses server; DirectAccess follows the necessary steps (native, transition, IP-HTTPS) to connect you to the server. If your computer is domain-joined and if the server requires authentication, the domain credentials you logged on with will authenticate you to the server without prompting. Suppose in another browser window you're navigating to a public Internet Web site; because the DNS suffix isn't in the computer's NRPT, the resolver performs a normal IPv4 lookup (using the DNS servers configured on the network interface) and connects to the site completely independently of DirectAccess.
Figure 1 Setting name resolution policy for DirectAccess. (Click the image for a larger view)
Take a moment and think about the implications of always-on corpnet access. Sure, as a user, it's rather addictive, and makes it (almost) painless to complete that expense report. However, I know my audience: administrators and security dudes. What could it mean to have all your clients connected to the corpnet all the time, no matter where they are? I'll mention a few:
  • Configuration maintenance with Group Policy
  • Continuous updating with Windows Server Update Services (WSUS) or System Center Configuration Manager (SCCM)
  • Health checking and remediation with NAP
  • Protection with the Windows firewall and Forefront Client Security or other centrally administered anti-malware
Sounds a lot like what you do on your corpnet, right? Exactly. DirectAccess extends your corpnet to the entire Internet while enabling you to keep your computers well-managed and secure. It's arguably the most exciting bit of network technology I've seen in a long time and definitely makes upgrades compelling.

BitLocker and BitLocker To Go
Alright … I'm going to do what authors are never supposed to do and ask you to interrupt me briefly. Take a look at the chronology of data breaches at the Privacy Rights Clearinghouse (privacyrights.org/ar/ChronDataBreaches.htm). It started tracking breaches in January 2005. As of this writing, a breathtaking 263 million records have leaked. The Ponemon Institute LLC and PGP Corp. conducted a study, "The Fourth Annual U.S. Cost of Data Breach Study: Benchmark Study of Companies", that reports an average recovery cost of $202 per record. Let's do a little math, shall we?
263,000,000 records × $202/record
$53,000,000,000
Organizations have lost an astonishing $53 billion in five and a half years! It's fair to surmise that misplaced and stolen laptops are among the costliest exposures most companies face. The cost to replace equipment is negligible—most of the exposure is direct or indirect costs related to data recovery/reconstruction, fines, reputation damage and lost business. In many instances a simple mitigation would have eliminated the exposure: encrypting portable data.
Microsoft added BitLocker to Windows Vista to protect the operating system from offline attacks by encrypting the drive volume from which Windows runs. When a Trusted Platform Module (TPM) hardware component is present, BitLocker also provides integrity for the boot process by validating each step along the way and halting if any part fails a hash check. Customers, of course, always have their own ideas, and during the beta period they quickly realized BitLocker could also protect their data. Microsoft added a few more Group Policy Objects (GPOs) and a user interface for configuring BitLocker, but it remained challenging to deploy (especially on computers already built) and was supported only on the system volume.
Windows Vista SP1 extended BitLocker's support to all hard drive volumes, allowed encryption keys to be protected by all three methods in combination (TPM, USB startup key and user PIN), and included a tool to prepare existing installations with the necessary additional drive volume.
Windows 7 simplifies BitLocker setup by assuming it's a feature you'll want to use. The installation process automatically creates the necessary boot partition. Enabling BitLocker is easy: right-click the drive volume and select the BitLocker option from the menu (see Figure 2). Even if your computer lacks the second partition, the preparation process will repartition your drive. Key management and data recovery is easier now, with support for an IT-administered Data Recovery Agent (DRA). The DRA is an additional key protector that provides administrator access to all encrypted volumes. Using the DRA is optional but I strongly urge you to create one. Put it on a smart card, keep the card locked in a safe in the computer room, and be very judicious with whom you share the lock combination.
Figure 2 Enabling BitLocker on a removable drive. (Click the image for a larger view)
Previously, the BitLocker Control Panel applet, the manage-bde.wsf command-line script and the Windows Management Instrumentation (WMI) provider offered non-matching sets of configuration options. In Windows 7, all of BitLocker's options are available in all three methods. For non-OS volumes, you can control automatic unlocking and require smart-card authentication (see Figure 3).
Figure 3 Using a password to unlock a BitLocker-protected drive. (Click the image for a larger view)
Data leakage continues to be a major headache for many organizations. That handy little devil, the USB drive, is a major culprit (but certainly not the only one; data can export itself from your organization in myriad ways). Restricting the use of USB drives or completely disabling USB ports is a non-starter for most companies—the convenience is sometimes a necessity.
BitLocker To Go is Windows 7's answer to this problem: right-click a drive, select BitLocker, create a password, and BitLocker To Go encrypts the drive regardless of its format, even the FAT format. This primarily addresses the risk of people losing their drives; lost drives always seem to contain critical confidential information and are purloined by thieves with nothing better to do than post your secrets to WikiLeaks.
But BitLocker To Go is more than just a USB protector. It protects any type of removable drive and it works independently of the OS's BitLocker, so "regular" BitLocker isn't required. Administrators can configure a policy to force all removable drives to be read-only unless they're first encrypted with BitLocker To Go, after which the drives become writable. Another policy can require authentication (length- and complexity-selectable password, smart card or domain) to access a protected device. And DRAs behave on removable devices just like on hard-drive volumes.
Users can read from, but not write to, protected devices on Windows Vista and Windows XP. BitLocker To Go overlays a "discovery volume" on the physical drive, which contains the BitLocker To Go Reader and installation instructions. The reader is also available for download. Only password-protected volumes (not smart card or domain) are usable with the reader, as shown in Figure 4.
Figure 4 The BitLocker To Go Reader allows read-only access in prior versions of Windows. (Click the image for a larger view)

AppLocker
Have you ever worked with Software Restriction Policies (SRP)? Or even heard of SRP? Available since Windows 2000, SRP allows administrators to control whether a computer operates in default-allow or default-deny state.
Default-deny is preferred, of course: you define a collection of software allowed to run, anything not in the list is denied. SRP is a pretty decent way to stop the spread of malware. It's also a pretty decent way to create a whole lot of work for yourself: path and hash rules must include every .EXE and .DLL comprising an application, and hash rules must be replaced whenever an application is updated. Discovering and tracking every application an organization uses is a daunting challenge, not to mention the testing required to ensure that the usually massive set of SRP rules didn't cause any inadvertent malfunction. SRP never received much attention because it was unfriendly to configure and too inflexible to be practical.
Still, application listing remains an important element of any security design. AppLocker improves on SRP by adding more flexibility to the rules you can create. Along with the usual allow and deny rules, you can create exception rules. This makes a default-deny stance much easier to define and manage. The common example is this: "allow everything in %WINDIR% to run except the built-in games." I think this rather silly, like preventing people from changing their desktop background to purple—who cares? With a bit of planning, you can compose a decent list of known good applications using a manageable set of allow-with-exception rules.
Another rule type specifies permitted publishers, as shown in Figure 5. When a user runs an application, AppLocker compares the digital signature of the application's publisher to your defined allow list and checks other conditions you specify. This requires far fewer rules than SRP's hash-checking: rather than a lengthy collection of hash rules for every executable in the application, AppLocker needs only the single publisher rule. Publisher rules also eliminate the need to create new rules when an allowed application is updated. For instance, this rule: "allow any version of Acrobat Reader equal to or higher than 9.0 and only if it's signed by Adobe." Next week, when Adobe updates the application, you can push it out to clients without having to update the rule. Along with version numbers, you can create rules specifying entire applications or certain files or collections of files. In some instances AppLocker can even create rules automatically (see Figure 6).
Figure 5 Creating an AppLocker publishing rule. (Click the image for a larger view)
Figure 6 AppLocker can automatically generate certain types of rules. (Click the image for a larger view)
SRP's rules applied only to machines. AppLocker's rules can apply to users also. This feature helps you satisfy increasingly burdensome compliance requirements, such as this rule: "allow only those in the human resources department to execute human resources applications" (though, to be more precise, the rule includes Active Directory security groups containing user accounts of employees in HR). This rule blocks anyone not in HR, including administrators—but remember, malicious administrators can still change the rule. Recall my old axiom: if you don't trust your administrators, replace them.
Probably the biggest improvement AppLocker offers is that it's actually something you can trust. Frankly, SRP wasn't very robust. You'd think the operating system would be the policy enforcer, but you'd be wrong. During application launch the application's parent process, not the OS, checks the SRP. If the user—whether admin or not—had control of the parent process, the user could circumvent SRP; see Mark Russinovich's blog entry "Circumventing Group Policy as a Limited User" explaining how. Here's a blindingly obvious notion: to be an actual security feature, the feature has to be secure. AppLocker consists of a service and a kernel-mode driver; its rules are evaluated in the driver, so now the OS really is the enforcer. If for some odd reason you wanted to continue using SRP rules rather than AppLocker rules, at least they're stronger: in Windows 7 the SRP APIs are redesigned to bypass parent processes and hand rule enforcement and binary file verification to the AppLocker service.
The ability to test policies is critical. AppLocker's audit function (see Figure 7) shows how applications would behave if your rules were enabled. It displays a list of all affected files from which you can spot any problems that might occur before deployment. Rules can make distinctions between .EXEs, .DLLs, .MSIs and scripts. AppLocker keeps statistics of how often a rule is triggered, which is useful to know over time, especially as people's responsibilities change and they need new or different applications.
Figure 7 AppLocker’s audit mode lets you test your rules before deploying them. (Click the image for a larger view)

DNSSEC
Curiously, IPsec is spelled with a small "sec," while DNSSEC is entirely capitalized. No one ever said standards bodies were the epitome of consistency. But I digress …
At one time I was a DNSSEC doubter. The claim is that attaching cryptographic authentication to DNS replies renders DNS poisoning impossible, thus thwarting phishing attacks. DNSSEC attempts to answer the question "Can I trust the answer I receive in response to my name resolution query?" I believed this was the wrong question. The right question was "Can I trust I'm going to the real server?" SSL already took care of this quite well, thank you: only the actual bank could get an SSL certificate for its public Web site, right? An attacker could redirect your request to his site but he can't get the SSL certificate the real bank uses to authenticate its Web server to your browser. IPsec is similar: its reliance on digital certificates for authentication ensures no one can spoof your destination.
After carefully evaluating the gentle prodding and cajoling of others, I've come to believe DNSSEC is an important addition to our defensive arsenal. True, SSL and IPsec confirm you're connected to a legitimate site—although this is of questionable value because most users have "trained" themselves to ignore warnings. They don't, however, prevent you from being denied access to a legitimate site. DNS poisoning can be a very effective denial of service attack (DoS), which can't be mitigated with SSL or IPsec. DNSSEC removes the conditions allowing such attacks: replies from DNS servers include digital signatures, which resolvers can validate. Given I'm no fan of security "features" that enable attacks (account lockout is another DoS attack vector), I've changed my mind and now favor the rapid adoption of DNSSEC throughout the Internet, starting with the root servers that attackers frequently attempt to hijack.
DNSSEC provides:
  • Origin authenticity: the reply is from the server it claims to come from
  • Data integrity: the reply hasn't been maliciously modified in transit
  • Authenticated denial of existence: an unspoofable "destination does not exist" reply
When a DNSSEC-capable server receives a query for a record in a signed zone, the server returns its digital signatures along with the reply. The resolver obtains the server's public key and validates the reply. The resolver needs to be configured with a "trust anchor" for the signed zone or its parent; DNSSEC on the Internet's root servers allow all DNSSEC-capable resolvers to have a trust anchor "rooted at the top."
The DNSSEC client in Windows 7 is a non-validating security-aware stub resolver. It acknowledges DNSSEC queries and processes DNSSEC resource records, but relies on its local DNS server to validate replies. The resolver returns the reply to the application only if validation succeeded. Communications between the client and its local DNS server are protected by SSL: the server presents its own certificate to the client for validation. DNSSEC settings are configured in the NRPT, as shown in Figure 8, and should be populated through Group Policy.
Figure 8 Confi guring name resolution policy for DNSSEC. (Click the image for a larger view)
One other important point: Historically, public certificate authorities have abdicated their responsibility to verify applications for X.509 server certificates. I've read of instances where attackers posed as legitimate representatives of real companies and successfully obtained fraudulent but trusted certificates. So in some respects SSL could be considered "broken" in that public certificates lack some trust value. The DNSSEC standards require much more stringent identification and verification before an organization can receive DNS signing certificates, which will help restore trust to online transactions.

More Improvements
While the security capabilities I've covered thus far are my favorite, I should mention a few more enhancements that improve the overall "securability" of Windows.
Multiple Active Firewall Profiles I've written in the past about third-party firewalls, with all their "scare-ifying" warnings, posing as nothing more than security theater (see "Exploring the Windows Firewall." I still believe this. The Windows Firewall is perfectly capable of protecting your computer. It had only one limitation: while three profiles are defined, only one is active at any time. In the office, your domain-joined computer automatically uses the domain profile, which allows inbound management communications. In your hotel room, your computer uses the public profile, which blocks all unsolicited inbound communications. The computer remains in this profile when you VPN into your corpnet, which makes your computer invisible to management tools. Windows 7 removes this limitation: you can separately define the public, private or domain profile on each physical or virtual network interface.
Windows Biometric Framework Fingerprint readers are everywhere—even the cheapest laptops sport the shiny swipe spot. Although the lack of built-in support in prior versions of Windows left the devices unused, PC makers delivered systems with the drivers installed anyway. The poor quality of much of this code caused a fair number of blue-screen crashes, many of which dutifully reported themselves to Microsoft.
Armed with this knowledge, Microsoft added native biometric support to the OS. Now the drivers must conform to a higher-quality level and users have more options for authenticating to their computers. I'm still convinced it's important to maintain the distinction between identity (a public declaration) and authentication (validated possession of a secret). A fingerprint is inarguably public. But there are some scenarios where fingerprint logon is superior: imagine a warehouse dock teeming with big burly guys huffing around huge crates and containers. Every so often they need to update inventory information on a computer in a rolling cart. Do you really think someone using gross motor skills most of the day can efficiently switch to the fine motor skills necessary to insert a wafer-thin smart card into its sliver of a slot while positioning it in the one correct of four possible orientations? No way. With fingerprint authentication, he doesn't have to switch muscle modes: a quick swipe on the reader logs him in. (Yes, this is a real customer scenario.)
The Windows Biometric Framework (WBF) is an extensible foundation for supporting biometric authentication. In the initial release of Windows 7, only fingerprints are supported. WBF defines several components meant to increase the reliability of biometric hardware and its associated drivers and enrollment software. When a user initially enrolls his or her fingerprints, the biometric service encrypts the representational data stream along with the user's credentials and stores this blob in a data structure called the vault. The encrypted password is assigned a GUID, which acts as a handle. Crucially, the service never reveals the user's password directly to an application but instead exposes only the handle. Depending on the capabilities of the reader, fingerprint authentication is available for local logon, domain logon and UAC authentication. Several GPOs exist for administrative control of WBF.

This Is the Windows You Want
When I re-imaged my computer with the first beta build last year, I never looked back. Windows 7 feels snappier in every regard and the overall fit and finish is impressive. With its multifaceted approach to securing access, people and data, it's a worthy addition to your infrastructure. Your road warriors definitely will thank you and—who knows—maybe you'll finally get that phone call we've so far only dreamed of: "Hey, I just wanted to tell you that everything's working. Groovy!"

Steve Riley is an evangelist and strategist for cloud computing at one of the world's foremost providers. He specializes in enterprise requirements for security, availability, reliability, and integration. You can reach him at stvrly@gmail.com.

Windows 7
Une super sécurité dans Windows 7
Steve Riley
 
Vue d'ensemble :
  • Faciliter l'accès réseau d'entreprise avec DirectAccess
  • Crypter les lecteurs amovibles même avec le nouveau BitLocker
  • Gérer l'accès aux applications avec AppLocker
  • Protection contre les DNS empoisonnement et usurpation d'identité avec DNSSEC

Comme vous placez les touches de finition dans cet article, le jour que beaucoup d'entre nous ont été attendre enfin arrivé : Windows 7 a été publié pour production. J'ai passé beaucoup de fois en utilisant la version bêta et release comme mon système d'exploitation de production et que vous avez apprécié les offres de Windows 7 modifications et améliorations. Maintenant j'aimerais vous guideront une visite guidée des fonctionnalités de sécurité Favoris de mon.

DirectAccess
Si vous êtes comme chaque geek j'ai rencontré, travail n'est pas lorsque le se parcours arrière la porte de votre bureau. Pourquoi croyez-vous que la plupart des employeurs fournissent des ordinateurs portables au lieu de postes de travail ? Comme ils sauront vous travaillerez gratuitement ! Voilà comment ils recoup l'investissement en matériel plus onéreux. Configurer certains VPN serveurs, publier les instructions accéder au réseau d'entreprise, et vous obtiendrez beaucoup davantage de productivité de votre équipe.
Ou alors la réflexion. VPN nécessitent presque toujours des étapes supplémentaires pour obtenir sur le réseau d'entreprise, suit parfois très compliquée. Vous devez transporter jetons matériels faciles à perdre. Scripts d'ouverture de session pokey faire glisser sur éternité. Le trafic Internet obtient backhauled via votre réseau d'entreprise, ralentit le temps de réponse. Si elle est restée longtemps depuis votre dernière connexion, votre ordinateur peut recevoir plusieurs mégaoctets de mises à jour de logiciels. Donc si vous avez une seule chose ennuyeux secondaire à faire, dites terminer une note de frais, vous allez probablement placer. Si seulement il existait un moyen de élimine les étapes de connexion VPN distinctes, que vous pouvez utiliser votre ordinateur à domicile ou dans la salle d'attente aéroport exactement comme vous faites au travail, ainsi, ce serait pratique.
Avec Windows Server 2008 R2 DirectAccess dans Windows 7 vous donne exactement cette expérience. Du point de vue d'un utilisateur, la différence entre le réseau d'entreprise et Internet evaporates. Par exemple, supposons que lorsque vous êtes dans le bureau vous atteindre http://expenses pour terminer une note de frais. Avec DirectAccess activé sur votre réseau, vous devez suivre la procédure même exacte n'importe où vous pouvez trouver une connexion Internet : Entrez simplement http://expenses dans votre navigateur. Aucun supplémentaire ouvrir une session étapes, aucune ne re-training, aucun appel de support technique à dépanner balky logiciel de client VPN. DirectAccess permet de connecter des ordinateurs à votre réseau d'entreprise et Internet en même temps. Cette opération supprime le problème entre vous et vos applications, facilitant encore pour pouvoir accéder à vos données.
Il existe deux protocoles de communication qui permettent cela : IPsec et IPv6. Une association de sécurité de mode transport IPsec ESP (Encapsulating Security Payload) (pas un tunnel, malgré une mauvaise utilisation continue de l'expression «tunnel IPsec») authentifie et crypte les communications entre le client et le serveur de destination. Authentification bidirectionnelle atténue les attaques man-in-the-middle : utilisation de certificats X.509 émis émis par les autorités de que confiance de deux côtés, le client authentifie sur le serveur et le serveur authentifie le client. Advanced Encryption Standard (AES) cryptage assure la confidentialité afin que tout interceptées au cours des communications est sans importance à la personne malveillante.
Les réseaux VPN traditionnelles utilisent IPsec, trop ;C'est l'ajout du protocole IPv6 qui livre DirectAccess et passionnantes. Élimination de la connexion VPN requiert meilleure connectivité de bout en bout pour que IPv4, avec ses panoplie de traducteurs d'adresses réseau et de plages d'adresses qui se chevauchent, celle capable de. IPv6 configure une adresse routable globalement unique sur chaque client et sépare le trafic réseau d'entreprise régulière le trafic Internet. IPv6 est nécessaire pour DirectAccess, afin que votre réseau d'entreprise doit prendre en charge IPv6. Ce n'est pas en tant que complexe une tâche que vous pensez : nombre de vos serveurs probablement déjà ont ou peuvent être configurés pour s'exécuter IPv6 et n'importe quel équipement réseau effectuée dans la moitié-décennie dernière prend en charge IPv6. Technologies de transition de protocole permettent, tels que Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) et traduction/protocole NAT (NAT-PT) sur le bord de votre réseau d'entreprise.
Un client configuré avec DirectAccess est toujours connecté à votre réseau d'entreprise, mais probablement pas sur IPv6 natif ;le client est probablement derrière un NAT IPv4 et Internet lui-même est encore essentiellement IPv4. Windows 7 prend en charge 6to4 et Teredo, transition technologies qui encapsulent le trafic IPv6 dans IPv4. Et dans les rares cas lorsque aucune de ces protocoles ne fonctionne, DirectAccess revient à IP-HTTPS, un nouveau protocole qui encapsule IPv6 à l'intérieur de HTTPS via IPv4. (Oui, le schéma à activer HTTP dans le protocole ultime contournement universel a atteint son nadir!)
Les applications ne doivent toute modification ou d'un traitement spécial pour fonctionner sur DirectAccess. La stratégie de groupe affecte aux clients une résolution de stratégie de table de noms (NRPT) qui contient deux bits d'information : suffixe DNS interne du réseau d'entreprise et les adresses des serveurs DNS IPv6 résolution de l'espace de noms (voir de la figure 1). Supposons que votre suffixe DNS interne est inside.example.com et l'adresse du serveur DNS IPv6 est FEDC:BA98:7654:3210::1. Lorsque vous accédez à http://expenses, résolution de votre ordinateur ajoute le suffixe DNS et tente de résoudre expenses.inside.example.com. Parce que cela correspond à l'entrée de suffixe DNS dans le NRPT, le programme de résolution envoie la demande à FEDC:BA98:7654:3210::1. Réponses DNS avec l'adresse IPv6 du serveur dépenses ;DirectAccess suit les étapes nécessaires (native, transition, IP-HTTPS) pour vous connecter au serveur. Si votre ordinateur est joint à un domaine et si le serveur requiert une authentification, l'informations d'identification domaine que vous ouvrez une session avec authentifiera vous sur le serveur sans demander confirmation. Supposons que dans une autre fenêtre de navigateur que vous êtes naviguer vers un site Web public ;parce que le suffixe DNS n'est pas dans NRPT l'ordinateur, le programme de résolution effectue une recherche normale IPv4 (en utilisant les serveurs DNS configurés sur l'interface réseau) et se connecte sur le site complètement indépendamment de DirectAccess.
Figure 1 stratégie de résolution nom de paramètre pour DirectAccess. (Cliquez sur l'image pour l'agrandir)
Prenez un instant et considérer les implications d'accès réseau d'entreprise toujours sur. Bien sûr, un utilisateur, il est plutôt addictive et rend (presque) simple pour terminer cette note de frais. Cependant, je sais mon public : les administrateurs et sécurité dudes. Que peut signifie que tous vos clients connectés à la corpnet tout le temps, où qu'elles se trouvent ? Que je mentionnerai quelques :
  • Gestion de configuration avec la stratégie de groupe
  • Mise à jour en continu avec Windows Server Update Services (WSUS) ou System Center Configuration Manager (SCCM)
  • Vérification du fonctionnement et de correction avec NAP
  • Protection avec le pare-feu Windows et Forefront Client Security ou autres centralisée anti-malware
Ressemble beaucoup offertes sur votre réseau d'entreprise, droit ? Exactement. DirectAccess étend votre réseau d'entreprise à Internet tout en vous permettant de maintenir vos ordinateurs bien gérés et sécurisés. Il est sans doute le bit plus intéressant de technologie réseau que j'ai vu beaucoup de temps et sans aucun doute mises à jour rend très intéressants.

BitLocker et BitLocker To Go
Correcte... Je vais faire ce que les auteurs sont jamais censé faire et vous demander de m'interrompre brièvement. Observez la chronologie de violations de données à Microsoft de droits de confidentialité (privacyrights.org/ar/ChronDataBreaches.htm). Il démarré suivi violations en janvier 2005. Comme la rédaction de cet article, un 263 millions d'enregistrements breathtaking ont une fuite. Le Ponemon Institute LLC et PGP Corp. mené une étude, «le quatrième États-Unis annuelCoût de l'étude de violation de données : Évaluation d'étude de sociétés", qui signale un coût moyen de récupération de $ 202 par enregistrement. Nous allons faire un peu mathématiques, doit nous ?
263,000,000 enregistrements × 202 $ / enregistrement
$53,000,000,000
Organisations ont perdu un milliard de 53 $ étonnant dans cinq et demi ans ! Il s'agit juste de prévoir que les ordinateurs portables déplacées et occultées incluses sont parmi les expositions costliest la plupart des sociétés face. Le coût pour remplacer l'équipement est négligeable, la plupart de l'exposition est directes ou indirectes coûts liés aux données de récupération/reconstruction, amendes, endommager la réputation et perte d'activité. Dans de nombreux cas une atténuation simple pourrait avoir éliminé l'exposition : cryptage de données portable.
Microsoft a ajouté BitLocker à Windows Vista afin de protéger le système d'exploitation contre les attaques hors connexion en cryptant le volume de lecteur à partir duquel Windows s'exécute. Lorsqu'un composant matériel module de plateforme sécurisée (TPM) est présent, BitLocker fournit également l'intégrité pour le processus d'amorçage en validant chaque étape en cours de route et arrêt de n'importe quelle partie cas une vérification de hachage. Bien sûr, de clients, ont toujours une leurs propres idées, et pendant la période bêta ils rapidement réalisé que BitLocker peut également protéger leurs données. Microsoft a ajouté quelques plusieurs objets stratégie de groupe () et une interface utilisateur pour la configuration de BitLocker, mais il reste difficile de déployer (en particulier sur des ordinateurs déjà intégrés) et était pris en charge uniquement sur le volume système.
Windows Vista SP1 étendue prise en charge de BitLocker pour tous les volumes de disque dur, autorisé des clés de cryptage être protégé par les trois méthodes conjointement (TPM, USB clé de démarrage et d'utilisateur code PIN) et un outil pour préparer les installations existantes avec le volume de lecteur supplémentaire nécessaire.
Windows 7 simplifie BitLocker en supposant qu'il est une fonction à utiliser l'installation. Le processus d'installation crée automatiquement la partition de démarrage nécessaires. L'activation de BitLocker est simple : Cliquez avec le bouton droit sur le volume de lecteur et sélectionnez l'option BitLocker à partir du menu (voir de la figure 2). Même si votre ordinateur est manquant dans la deuxième partition, le processus de préparation repartitionner votre disque. Récupération de données et de gestion de clés est plus facile à présent, avec prise en charge pour une administration informatique Agent (récupération de données). L'agent est un protecteur de clé plu fournit un accès administrateur à tous les volumes chiffrés. L'utilisation de l'agent est facultative mais vous encourageons fortement à créer un. Placer sur une carte à puce, conservez la carte verrouillée dans un coffre dans la salle informatique et être très judicieuse avec lequel vous partagez la combinaison de verrouillage.
La figure 2 Activation BitLocker sur un lecteur amovible. (Cliquez sur l'image pour l'agrandir)
Auparavant, l'applet du Panneau de configuration BitLocker, le script de ligne de commande manage-bde.wsf et le fournisseur WMI (Windows Management Instrumentation) proposé non correspondante de jeux d'options de configuration. Dans Windows 7, toutes les options de BitLocker sont disponibles dans les trois méthodes. Pour les volumes non système d'exploitation, vous pouvez contrôler le déverrouillage automatique et exiger l'authentification carte à puce (voir de la figure 3).
La figure 3 Utilisation d'un mot de passe pour déverrouiller un lecteur protégé par BitLocker. (Cliquez sur l'image pour l'agrandir)
Fuite de données continue à être un calvaire majeur pour de nombreuses organisations. Qui diable peu pratique, le lecteur USB, est une cause majeure (mais certainement pas le seul ;données peuvent exporter lui-même de votre organisation de multiples façons). Restriction de l'utilisation d'USB lecteurs ou complètement la désactivation des ports USB est un démarrage non pour la plupart des entreprises, la pratique est parfois nécessaire.
BitLocker à atteindre est la réponse de Windows 7 à ce problème : Cliquez avec le bouton droit sur un lecteur, sélectionnez BitLocker, créer un mot de passe et BitLocker pour atteindre crypte le lecteur indépendamment de son, même le format FAT. Cela traite principalement le risque de perdre leurs lecteurs, de personneslecteurs perdues toujours semblent contenir critiques des informations confidentielles et purloined par les pirates avec rien de mieux faire à valider votre secrets WikiLeaks.
Mais BitLocker À atteindre est plus qu'un protecteur de type USB. Il protège tout type de lecteur amovible et il fonctionne indépendamment de BitLocker du système d'exploitation, donc "Normal"BitLocker n'est pas nécessaire. Les administrateurs peuvent configurer une stratégie pour forcer tous les lecteurs amovibles soient en lecture seule à moins qu'ils vous tout d'abord chiffrés avec BitLocker À atteindre, après lequel les lecteurs sont accessibles en écriture. Une autre stratégie peut nécessiter l'authentification (sélectionnable longueur et complexité par mot de passe, carte à puce ou domaine) à un périphérique protégé. Et s'agents comportent des périphériques amovibles comme sur les volumes de disque dur.
Les utilisateurs peuvent lire à partir de, mais non écrire, périphériques protégés dans Windows Vista et Windows XP. Superpositions BitLocker pour atteindre un «volume découverte»sur le lecteur physique, qui contient les instructions de BitLocker pour lecture Go et d'installation. Le lecteur est également disponible pour téléchargement. Protégé par mot de passe volumes que (pas carte à puce ou domaine) sont utilisables avec le lecteur, comme indiqué dans de la figure 4.
La figure 4 le BitLocker À OK lecteur autorise un accès en lecture seule dans les versions antérieures de Windows. (Cliquez sur l'image pour l'agrandir)

AppLocker
Avez vous déjà travaillé avec des stratégies (restriction logicielle) ? Ou même heard du SRP ? Disponible depuis Windows 2000, SRP permet aux administrateurs de contrôler si un ordinateur fonctionne en autoriser par défaut ou par défaut-refuser de l'état.
Refuser par défaut est recommandée, bien entendu : vous définissez un ensemble de logiciels autorisés à s'exécuter, pas dans la liste sont refusé. SRP est un moyen relativement correcte pour arrêter la propagation des logiciels malveillants. C'est également un moyen relativement correcte pour créer beaucoup de travail pour vous : les règles de chemin d'accès et de hachage doivent inclure chaque .exe et .dll comprenant une application et les règles de hachage doivent être remplacés chaque fois qu'une application est mise à jour. Découvrir et de suivi de chaque application qu'utilise une organisation sont un défi complexe, ne pas de mentionner les tests nécessaires pour garantir que généralement très gros ensemble de règles SRP n'a pas entraîner un dysfonctionnement par inadvertance. SRP jamais reçu bien attention parce qu'il était hostiles à configurer et trop rigide pratique.
Cependant, la liste application reste un élément important de n'importe quelle conception de sécurité. AppLocker améliore SRP en ajoutant plus de souplesse aux règles que vous pouvez créer. Avec l'habituel autorise et refuser les règles, vous pouvez créer des règles exception. Cela permet un refus par défaut de position beaucoup plus facile de définir et gérer. Exemple courant est : "Autoriser tout dans %windir% pour exécuter les jeux intégrés à l'exception." Je pense que cela plutôt amusantes à empêcher des personnes de modifier leur arrière-plan du bureau au violet, qui respecte ? Avec un peu de planification, vous pouvez créer une liste correcte des applications bien connues utilisant un jeu gérable de règles Autoriser avec exception.
Un autre type de règle indique autorisés d'éditeurs, comme indiqué dans figure 5. Lorsqu'un utilisateur exécute une application, lors AppLocker compare la signature numérique de éditeur l'application à votre défini de liste verte et vérifie les autres conditions que vous spécifiez. Cela nécessite beaucoup moins les règles de vérification de hachage du SRP : au lieu d'une collection longue de règles de hachage pour chaque fichier exécutable de l'application, AppLocker doit uniquement la règle seul éditeur. Règles de Publisher éliminent également la nécessité de créer de nouvelles règles lorsqu'une application autorisée est mis à jour. Par exemple, cette règle : "Autoriser n'importe quelle version d'Acrobat Reader égal à ou supérieur à 9.0 et uniquement s'il est signé par Adobe." Semaine prochaine, lorsque Adobe met à jour l'application, vous pouvez pousser il aux clients sans avoir à mettre à jour de la règle. Ainsi que numéros de version, vous pouvez créer règles spécifiant des applications ou certains fichiers ou des collections de fichiers. Dans certains cas AppLocker pouvez même créer des règles automatiquement (voir de la figure 6).
La figure 5 Création d'une règle de publication AppLocker. (Cliquez sur l'image pour l'agrandir)
La figure 6 AppLocker peut générer automatiquement certains types de règles. (Cliquez sur l'image pour l'agrandir)
Règles du SRP appliqués uniquement aux ordinateurs. Les règles de AppLocker peuvent s'appliquer également aux utilisateurs. Cette fonctionnalité vous permet de satisfaire aux exigences conformité plus en plus lourdes, telles que cette règle : "n'autoriser que ceux du service ressources humaines pour exécuter des applications de ressources humaines"(Cependant, pour être plus précis, la règle inclut les groupes de sécurité Active Directory contenant les comptes des employés dans Ressources humaines). Cette règle bloque tout le monde pas dans Ressources humaines, y compris les administrateurs, mais n'oubliez pas, les administrateurs malveillants peuvent varier toujours la règle. Rappeler mon ancien axiom : Si vous ne faites confiance à vos administrateurs, les remplacer.
L'amélioration des plus grande que AppLocker offre est probablement que c'est effectivement quelque chose que vous pouvez faire confiance. Franchement, SRP n'était pas très robuste. Vous devez considérer le système d'exploitation serait l'enforcer stratégie, mais vous seriez incorrect. Lors de l'application lancement processus parent de l'application, pas le système d'exploitation vérifie le SRP. Si l'utilisateur — Si admin ou non, contrôle de processus parent, l'utilisateur peut contourner SRP ;Voir entrée de blog de Mark Russinovich "de la contourner groupe de stratégie comme un Limited User"expliquer comment. Voici une notion blindingly évidente : Pour être une fonctionnalité de sécurité, la fonctionnalité doit être sécurisé. AppLocker se compose d'un service et d'un pilote en mode noyau ;les règles sont évaluées dans le pilote, le système d'exploitation est vraiment l'enforcer. Si pour une raison étrange que vous souhaitez continuer à utiliser les règles SRP plutôt que AppLocker règles, au moins ils sont plus fortes : dans Windows 7 les API SRP sont redéfinis afin d'ignorer le processus parent et mise en œuvre main règle Vérification des fichiers binaires du service AppLocker.
La possibilité de tester les stratégies est critique. Fonction d'audit de AppLocker (voir figure 7) affiche comportement d'applications si vos règles ont été activées. Il affiche une liste des tous les fichiers concernés à partir de laquelle ton direct des problèmes peuvent survenir avant déploiement. Les règles permettent distinctions entre les extensions .exe, .dll, .MSIs et scripts. AppLocker conserve les statistiques de la fréquence à laquelle une règle est déclenchée, qui est utiles de savoir au fil du temps, surtout que responsabilités de personnes changent et ils doivent applications nouveau ou différentes.
Le mode d'audit ’s AppLocker figure 7 vous permet de tester vos règles avant de les déployer. (Cliquez sur l'image pour l'agrandir)

DNSSEC
Curiously, IPsec est orthographié avec un petit «s»Bien que DNSSEC est entièrement en majuscules. Ne jamais dit organismes ont été epitome de cohérence. Mais je digress …
En même temps, j'ai un doubter DNSSEC. La déclaration est que l'attachement d'authentification cryptographique aux réponses DNS restitue DNS empoisonnement des attaques de phishing impossible, par conséquent thwarting. DNSSEC tente de répondre à la question "Peut vous de confiance la réponse que vous recevez en réponse à ma requête de résolution de nom?" J'apparaît que c'était la question incorrecte. La question de droite a été "Peut vous confiance que je vais le véritable serveur?" Déjà SSL pris en charge ce bien tout à fait, nous vous remercions : uniquement la banque réelle peut obtenir un certificat SSL pour son site Web public, droit ? Un attaquant pourrait rediriger votre demande à son site, mais il ne peut pas obtenir le certificat SSL que la véritable banque utilise pour authentifier le serveur Web à votre navigateur. IPsec est similaire : sa dépendance sur les certificats numériques pour l'authentification garantit que ne peut usurper votre destination.
Après avoir soigneusement évalué prodding engager les cajoling d'autres personnes, vous avez frappé à croire que DNSSEC est un ajout important à notre arsenal de défense. Valeur est True, SSL et IPsec confirmer vous êtes connecté à un site légitime, bien que ce soit de valeur douteux, car la plupart des utilisateurs ont «formation»eux-mêmes pour ignorer les avertissements. Ils ne le faites pas, toutefois, vous empêcher de dont l'accès à un site légitime est refusé. Empoisonnement du DNS peut être un très efficace attaque par déni de service (DoS), qui ne peut pas être atténué avec SSL ou IPsec. DNSSEC supprime les conditions permettant à ces attaques : les réponses des serveurs DNS incluent des signatures numériques, les solveurs peuvent valider. Étant donné je ne suis aucun fan de sécurité «fonctionnalités»qui permettent des attaques (verrouillage de compte est un autre vecteur d'attaque DoS), vous avez modifié mon esprit et maintenant favoriser l'adoption rapide de DNSSEC sur Internet, en commençant par les serveurs racine qui les pirates tentent souvent détourner.
DNSSEC fournit :
  • Authenticité d'origine : la réponse est sur le serveur qu'il prétend provenir de
  • Intégrité des données : la réponse n'a pas été modifiée à des fins malveillantes lors du transit
  • Refus authentifié d'existence : un unspoofable "destination n'existe pas."réponse
Lorsqu'un serveur prenant en charge DNSSEC reçoit une requête pour un enregistrement dans une zone signée, le serveur renvoie ses signatures numériques ainsi que la réponse. Le résolveur Obtient la clé publique du serveur et valide la réponse. Le résolveur doit être configuré avec "une ancre de confiance"pour la zone signée ou son parent ;DNSSEC sur des serveurs racine de l'Internet autoriser tous les résolveurs compatibles DNSSEC d'avoir un ancrage de confiance «émanant du haut».
Le client DNSSEC dans Windows 7 est un non validant prenant en charge la sécurité stub résolution. Il reconnaît les requêtes DNSSEC et traite les enregistrements de ressources DNSSEC, mais il s'appuie sur son serveur DNS local pour valider les réponses. Le Solveur renvoie la réponse à l'application uniquement si la validation a réussi. Communications entre le client et son serveur DNS local sont protégées par SSL : le serveur présente son certificat propre au client pour la validation. Paramètres de DNSSEC sont configurées dans NRPT, comme dans de la figure 8 et doivent être remplis par le biais de la stratégie de groupe.
La figure 8 stratégie de résolution de nom de guring configuré de DNSSEC. (Cliquez sur l'image pour l'agrandir)
Un autre point important : Historiquement, Autorités de certification publique ont abdicated leur responsabilité pour vérifier des applications pour les certificats de serveur x.509. J'ai lu d'instances où les attaquants posées comme légitimes représentants de sociétés réelles et a obtenu des certificats frauduleuses mais fiables. Par conséquent, à certains égards SSL peut être considéré «rompu»Dans ce certificats publics ne disposent pas une valeur de confiance. Les normes DNSSEC nécessitent beaucoup plus stricte identification et vérification avant une organisation peut recevoir des certificats de signature DNS, qui vous permettront de restaurer l'approbation aux transactions en ligne.

Plusieurs améliorations
Alors que les fonctionnalités de sécurité, j'ai abordé jusqu'ici sont mes favoris, vous devez mentionner quelques autres améliorations qui améliorent l'ensemble «sécurité»de Windows.
Plusieurs profils de pare-feu Active j'ai écrit dans le passé sur les pare-feu tiers, avec toutes leur "scare-ifying"avertissements, poser que rien de plus que comédie sécuritaire (voir «présentation du pare-feu Windows». Je pense toujours ce. Le pare-feu Windows est parfaitement capable de protéger votre ordinateur. Il n'avait qu'une seule restriction : tandis que les trois profils sont définis, une seule est active à tout moment. Dans le bureau, votre ordinateur joint à un domaine utilise automatiquement le profil de domaine, qui autorise les communications entrantes gestion. Dans votre chambre d'hôtel, votre ordinateur utilise le profil public, ce qui bloque toutes les communications entrantes non sollicitées. L'ordinateur demeure dans ce profil lorsque vous VPN dans votre réseau d'entreprise, ce qui rend votre ordinateur invisible aux outils de gestion. Windows 7 supprime cette limitation : Vous pouvez définir séparément le profil public, privé ou du domaine sur chaque interface de réseau physique ou virtuel.
Windows Biometric Framework par empreinte digitale lecteurs sont partout, même les ordinateurs portables moins chers comportent l'endroit magnétiques brillant. Bien que l'absence de prise en charge intégrée dans les versions antérieures de Windows gauche les périphériques inutilisés, fabricants de PC remis systèmes avec les pilotes installés quand même. La qualité médiocre de grande partie de ce code a provoqué un certain nombre de blocages écran bleu, dont un grand nombre se signalés eux-mêmes à Microsoft.
Grâce à cette base de connaissances, Microsoft a ajouté prise en charge biométrique native pour le système d'exploitation. Maintenant les pilotes doivent être conformes à un niveau haute qualité et utilisateurs disposez plus d'options pour s'authentifier sur leurs ordinateurs. Je suis toujours convaincu qu'il est important de maintenir la distinction entre identités (une déclaration publique) et authentification (validée possession d'un secret). Une empreinte digitale est inarguably publique. Mais il existe certains scénarios où l'ouverture de session par empreinte digitale est supérieur : Imaginez une station d'accueil du magasin teeming avec grands guys burly huffing crates énormes et conteneurs. Ils doivent régulièrement mettre à jour l'inventaire sur un ordinateur dans un panier propagée. Pensez-vous réellement une personne utilisant bruts compétences moteurs la plupart de la journée pouvez passer efficacement les compétences moteurs précis nécessaires pour insérer une carte à puce léger plaquettes son sliver d'un emplacement lors de la position dans une correcte des quatre orientations possibles ? Aucun moyen. Avec l'authentification par empreinte digitale, il ne doit pas basculer entre les modes sous-groupe : un magnétiques rapide sur le lecteur de journaux lui dans. (Oui, c'est un scénario client réel.)
WBF (Framework Biometric Windows) est une base extensible de prise en charge l'authentification biométrique. Dans la version initiale de Windows 7, empreintes seulement sont pris en charge. WBF définit plusieurs composants destinés à améliorer la fiabilité du matériel biométrique ses pilotes associés et et logiciels d'inscription. Lorsqu'un utilisateur inscrit initialement empreintes de son, le service biométrique crypte le flux de données représentation ainsi que les informations d'identification de l'utilisateur et stocke ce blob dans une structure de données appelée la chambre forte. Le mot de passe crypté est affecté un GUID, qui agit comme un handle. Crucially, le service ne révèle mot de passe de l'utilisateur directement à une application, mais au lieu de cela expose uniquement le handle. Selon les fonctionnalités du lecteur, l'authentification par empreinte digitale est disponible pour d'ouverture de session locale, domaine d'ouverture de session et authentification de UAC. Plusieurs objets de stratégie de groupe existent pour le contrôle administratif de WBF.

Il s'agit Windows souhaitées
Lorsque je remise en image mon ordinateur avec la première version bêta année dernière, je jamais recherché retour. Windows 7 semble snappier dans chaque tenir compte et l'adéquation globale et de fin est impressionnant. Avec son approche multifaceted sécurisation des accès, les personnes et les données, il est un complément peut être présenté à votre infrastructure. Votre fantassins définitivement seront Merci et, qui sait, peut-être vous obtiendrez enfin cet appel téléphonique nous avons dreamed jusqu'ici uniquement de : «Bonjour, je voulais juste vous tout fonctionne. Permettent!»

Steve Riley est un spécialiste et stratège en pour nuage informatique à un des fournisseurs principale préoccupation du monde. Il se spécialise dans entreprise spécifications de sécurité, disponibilité, fiabilité et l'intégration. Vous pouvez le contacter à stvrly@gmail.com.

TechNet Features

Resources

TechNet Subscriptions

Vous n'êtes pas abonné à Technet ?

Abonnez-vous aujourd'hui et faites partie des premiers à accéder à des milliers de produits Microsoft, tels que :

      
Page view tracker