Sécurité Windows 7 : Trucs et astuces pour vous aider à protéger votre système d'exploitation
Orin Thomas
La sécurisation d'un ordinateur passe par quelques mesures élémentaires : installer les mises à jour du système d'exploitation et des applications les plus récentes, installer les versions les plus récentes de vos logiciels antivirus et anti-espion et utiliser des mots de passe complexes en les changeant régulièrement. Dans cet article, je donnerai quelques conseils de sécurité qui vont au-delà de ces stratégies de base et vous aiderai à faire le meilleur usage des fonctions de sécurité de Windows 7.
Préparation à BitLocker
Une des améliorations les plus notables en termes de sécurité dans Windows 7 réside dans BitLocker, la technologie de chiffrement de disque dur et de protection de l'intégrité de l'environnement de démarrage que nous avons découverte dans Windows Vista. Dans Windows 7, BitLocker est disponible dans les éditions Entreprise et Intégrale. Cette technologie veille à ce que les utilisateurs non autorisés ne puissent pas récupérer de données à partir des lecteurs de disque dur d'ordinateurs portables volés ou perdus, à partir du moment où l'ordinateur était hors tension lors de sa disparition.
BitLocker pose toutefois un problème lorsqu'il s'agit de récupérer des données après une défaillance matérielle qui entraîne le verrouillage de volumes protégés. Bien que BitLocker offre une excellente protection, de nombreux professionnels de l'informatique s'en plaignent car ils ne le découvrent pour la plupart qu'au moment de devoir effectuer une opération de récupération.
La récupération de données nécessite l'accès aux clés ou aux mots de passe BitLocker associés aux volumes verrouillés. S'il est relativement facile de garder trace de ces clés et mots de passe pour un petit nombre d'ordinateurs, le faire pour plusieurs centaines est autrement compliqué.
La stratégie de groupe aide les professionnels de l'informatique à configurer BitLocker de sorte qu'il puisse être activé uniquement lorsque les clés et mots de passe de récupération ont été sauvegardés dans Active Directory. Extraire ces données de récupération a été grandement simplifié par des améliorations apportées à la console Utilisateurs et ordinateurs Active Directory dans Windows Server 2008 R2 et aux Outils d'administration de serveur distant pour les ordinateurs exécutant Windows 7. Repérer les clés et les mots de passe de récupération est beaucoup plus facile qu'avec les outils de Windows Vista.
Au lieu de devoir télécharger, installer et configurer des outils spéciaux, vous pouvez accéder aux clés et aux mots de passe de récupération BitLocker depuis l'onglet Récupération BitLocker. Vous le verrez en consultant les propriétés du compte d'ordinateur dans Utilisateurs et ordinateurs Active Directory. Garantir que les clés et mots de passe BitLocker sont sauvegardés est un processus en trois étapes :
1. Dans la stratégie de groupe des comptes d'ordinateur du système protégé par BitLocker, accédez à Configuration ordinateur | Paramètres Windows | Modèles d'administration | Composants Windows | Chiffrement de lecteur BitLocker.
2. Ensuite, si l'ordinateur ne possède qu'un seul lecteur de stockage, accédez au nœud Lecteurs de système d'exploitation et modifiez la stratégie Sélectionner la méthode de récupération des lecteurs du système d'exploitation protégés par BitLocker. Si l'ordinateur possède plusieurs lecteurs de stockage, vous devez également accéder au nœud Lecteurs de données fixes et modifier la stratégie Sélectionner la méthode de récupération des lecteurs de données fixes protégés par BitLocker. Notez que bien que vous puissiez configurer leurs paramètres de manière identique, les stratégies s'appliquent à différents lecteurs.
3. Pour configurer BitLocker de sorte que les mots de passe et les clés soient sauvegardés dans Active Directory lorsque la protection BitLocker est activée, veillez à activer les paramètres :
· Enregistrez les informations de récupération BitLocker dans les services de domaine Active Directory pour les lecteurs du système d'exploitation (ou de données fixes, le cas échéant)
· N'activez pas BitLocker avant que les informations de récupération ne soient stockées dans les services de domaine Active Directory pour les lecteurs du système d'exploitation (ou de données fixes, le cas échéant)
Les clés et les mots de passe sont sauvegardés pour les volumes protégés uniquement après que la stratégie est appliquée. Les volumes configurés pour la protection BitLocker avant l'implémentation de la stratégie n'auront pas leurs clés et mots de passe automatiquement stockés dans Active Directory. Vous devrez désactiver et réactiver BitLocker sur ces ordinateurs pour garantir que ces informations de récupération se retrouvent bien dans la base de données des services de domaine Active Directory.
Configuration d'un agent de récupération des données
Une autre option existe pour récupérer des volumes protégés par BitLocker sans entrer de mots de passe ou de codes confidentiels pour un compte d'ordinateur particulier : l'agent de récupération des données (DRA). Il s'agit d'un type particulier de certificat associé à un compte d'utilisateur pouvant être utilisé pour récupérer des données chiffrées.
Les agents de récupération des données BitLocker se configurent par modification d'une stratégie de groupe et spécification d'un certificat DRA via l'Assistant Ajouter un agent de récupération de données, dont il sera question un peu plus loin. Pour utiliser l'Assistant, vous devez tout de même disposer d'un certificat DRA sur un système de fichiers accessible ou publié dans Active Directory. Les ordinateurs qui hébergent le rôle Services de certificats Active Directory peuvent émettre les certificats.
Lorsque vous devez récupérer des données, un compte d'utilisateur possédant le certificat DRA installé localement ne pourra pas déverrouiller le volume protégé par BitLocker. Vous pouvez accéder à l'Assistant Ajouter un agent de récupération de données en navigant jusqu'au nœud Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies de clé publique, en cliquant avec le bouton droit sur Chiffrement de lecteur BitLocker, puis en sélectionnant l'option Ajouter un agent de récupération de données.
Pour utiliser BitLocker avec DRA, vous devez également activer la case à cocher Activer l'agent de récupération de données dans la stratégie Sélectionner la méthode de récupération des lecteurs du système d'exploitation protégés par BitLocker (ainsi que dans la stratégie concernant les lecteurs de données fixes, le cas échéant). Vous pouvez utiliser à la fois des sauvegardes de clé/mot de passe DRA et Active Directory pour la récupération des mêmes volumes protégés par BitLocker.
La récupération DRA fonctionne uniquement sur les volumes protégés par BitLocker sur lesquels BitLocker a été activé après la mise en œuvre de la stratégie. L'avantage de cette méthode par rapport à la récupération par mot de passe/clé est qu'un agent de récupération des données (DRA) fonctionne comme une clé principale BitLocker. Cela vous permet de récupérer n'importe quel volume protégé chiffré dans le cadre de la stratégie, plutôt que de devoir repérer un mot de passe ou une clé pour chaque volume à récupérer.
BitLocker To Go
Nombre des lecteurs de stockage amovibles actuels offrent une capacité de stockage moyenne proche de celle des partages de fichiers de la plupart des départements informatiques de petite et moyenne tailles d'il y a dix ans. Cela présente plusieurs difficultés.
Tout d'abord, lorsqu'un périphérique de stockage amovible est perdu ou volé, une quantité considérable de données importantes sont compromises. Un autre problème, potentiellement plus important, réside dans le fait que si les utilisateurs informent très rapidement le département informatique de la perte d'un ordinateur portable, il n'en va pas forcément de même dans le cas d'une clé USB qui peut tout de même contenir des gigaoctets de données confidentielles de l'entreprise.
BitLocker To Go, nouvelle fonctionnalité intégrée à Windows 7, vous permet de protéger les périphériques de stockage USB d'une manière proche de ce que BitLocker offre pour les lecteurs fixes et de système d'exploitation. Par stratégie de groupe, vous pouvez autoriser les ordinateurs de votre organisation à écrire des données sur les périphériques de stockage amovibles uniquement si ces derniers sont protégés par BitLocker To Go. Ce principe améliore la sécurité en garantissant qu'en cas de perte d'un appareil amovible, les données qui s'y trouvent sont chiffrées et difficilement accessibles par les utilisateurs non autorisés.
Les stratégies BitLocker To Go concernées se trouvent dans le nœud Configuration ordinateur | Modèles d'administration | Composants Windows | Chiffrement de lecteur BitLocker | Lecteurs de données amovibles d'un objet de stratégie de groupe. Ces stratégies incluent :
· Contrôler l'utilisation de BitLocker sur les lecteurs amovibles. Cela vous permet de configurer la manière avec laquelle BitLocker est utilisé sur les lecteurs amovibles, y compris de déterminer si les utilisateurs ordinaires peuvent activer ou désactiver la fonction sur les périphériques amovibles. Par exemple, vous pouvez souhaiter autoriser des utilisateurs spécifiques à stocker des données sur des lecteurs amovibles déjà configurés avec la fonction de protection, mais les empêcher de configurer leurs propres appareils avec la fonction.
· Refuser l'accès en écriture aux lecteurs amovibles non protégés par BitLocker. Cette stratégie vous permet de restreindre les utilisateurs de sorte qu'ils puissent écrire des données sur les périphériques protégés par BitLocker To Go uniquement. Lorsque cette stratégie est activée, une personne non autorisée ne peut pas accéder facilement aux données écrites sur un appareil amovible, car celui-ci est protégé par chiffrement.
· Sélectionner la méthode de récupération des lecteurs amovibles protégés par BitLocker. Cette stratégie vous permet de configurer un agent de récupération de données ou d'enregistrer les informations de récupération BitLocker To Go dans Active Directory. Cette stratégie est importante, car si vous choisissez d'implémenter BitLocker To Go pour protéger les données sur les lecteurs amovibles, vous devez également déterminer une stratégie pour récupérer les données dans le cas inévitable où un utilisateur oublie son mot de passe BitLocker To Go.
Lorsque vous avez configuré BitLocker To Go sur un appareil de stockage amovible, un utilisateur doit entrer un mot de passe pour déverrouiller l'appareil sur un autre ordinateur. Une fois le mot de passe entré, l'utilisateur dispose d'un accès en lecture/écriture sur l'appareil via un ordinateur exécutant les éditions Entreprise ou Intégrale de Windows 7. Vous pouvez également configurer BitLocker To Go de sorte d'accorder à l'utilisateur un accès en lecture seule aux données protégées par BitLocker To Go sur les ordinateurs exécutant d'autres versions des systèmes d'exploitation Microsoft.
Si votre organisation a l'intention d'utiliser BitLocker To Go, il vous faudra une sorte de stratégie de récupération de données en cas de perte ou d'oubli des mots de passe. La configuration de la récupération dans BitLocker To Go est semblable à la configuration de la récupération dans BitLocker. Dans le cas présent, vous devez définir la stratégie Configuration ordinateur | Paramètres Windows | Modèles d'administration | Composants Windows | Chiffrement de lecteur BitLocker | Lecteurs de données amovibles | Sélectionner la méthode de récupération des lecteurs protégés par BitLocker.
Vous pouvez sauvegarder les mots de passe BitLocker To Go dans Active Directory, où ils seront accessibles aux administrateurs qui ont accès à la console Utilisateurs et ordinateurs Active Directory et au compte d'ordinateur où l'appareil a été protégé à l'origine. Vous pouvez également configurer une stratégie de sorte que les données soient protégées par un DRA, autorisant un utilisateur assigné par le certificat DRA à récupérer des données des lecteurs sans récupérer les mots de passe individuels.
Configuration d'AppLocker
Aucun utilitaire de protection contre les programmes malveillants n'est en mesure de bloquer tous les programmes malveillants. AppLocker peut toutefois ajouter une couche de protection supplémentaire. Cette technologie vous permet de créer une liste d'applications connues pour être fiables et de n'autoriser l'exécution qu'à celles de la liste. Si ce type d'approche de sécurisation ne conviendrait pas à un utilisateur devant régulièrement exécuter des logiciels nouveaux et inhabituels, la plupart des organisations ont un environnement où les changements affectant les applications se produisent plus progressivement. Dans ces circonstances, limiter l'autorisation d'exécution aux seules applications ayant reçu le feu vert est pratique.
Vous pouvez étendre ce jeu de règles d'autorisation AppLocker de sorte d'inclure non seulement les fichiers exécutables mais aussi des scripts, des DLL et des fichiers au format MSI. À moins d'être autorisé par une règle, l'exécutable, le script, la DLL ou le programme d'installation ne sera pas exécuté.
AppLocker facilite la création de la liste des applications autorisées grâce à un Assistant qui automatise le processus. Il s'agit d'une des améliorations les plus significatives qu'apporte AppLocker par rapport aux stratégies de restriction logicielle, une technologie présente dans les versions antérieures de Windows possédant la même fonctionnalité de base.
AppLocker peut également utiliser des règles qui identifient les fichiers à l'aide de la signature numérique de l'éditeur des fichiers. Vous pouvez donc créer des règles qui incluent les versions actuelle et future du fichier. Ainsi, les administrateurs n'ont pas à tenir à jour les règles en vigueur à chaque mise à jour de logiciel. La nouvelle version du fichier exécutable, du script, du programme d'installation ou de la DLL demeurera prise en compte par la règle d'origine. Cela n'était pas possible avec les stratégies de restriction logicielle, qui obligeaient les administrateurs à mettre à jour les règles à chaque modification de la configuration des logiciels.
Pour créer un jeu de référence de règles de stratégie AppLocker que vous pouvez appliquer à d'autres ordinateurs, procédez comme suit :
1. Configurez un ordinateur de référence sur Windows 7 avec toutes les applications que vous voulez exécuter dans votre environnement.
2. Connectez-vous à l'ordinateur avec un compte d'utilisateur doté de privilèges locaux d'administrateur.
3. Démarrez l' en exécutant Gpedit.msc à partir de la zone de texte Rechercher les programmes et fichiers.
4. Accédez à Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies de contrôle de l'application | AppLocker | Règles de l'exécutable du GPO local. Cliquez avec le bouton droit sur le nœud Règles de l'exécutable, puis cliquez pour générer automatiquement de nouvelles règles. Vous lancez ainsi l'Assistant Générer automatiquement les règles.
5. Dans la zone de texte nommée Dossier qui contient les fichiers à analyser, entrez c:\. Dans la zone de texte nommée Nom identifiant cet ensemble de règles, entrez Tous les exécutables, puis cliquez sur Suivant.
6. Dans la page Préférences de règles, sélectionnez Créer des règles d'éditeur pour les fichiers signés numériquement, et au cas où un fichier n'est pas signé, sélectionnez également Hachage de fichier : règles créées à partir du hachage de fichier. Vérifiez que l'option Réduire le nombre de règles créées en regroupant les fichiers similaires n'est pas sélectionnée, puis cliquez sur Suivant.
7. La génération des règles prendra un peu temps. Lorsqu'elles ont été créées, cliquez sur Créer. Au message qui vous demande si vous souhaitez créer les règles par défaut, répondez Non. Vous n'avez pas à les créer—en créant des règles pour tous les exécutables sur l'ordinateur de référence, vous avez créé l'équivalent de règles par défaut plus exhaustives.
8. Si l'ordinateur a des applications stockées sur plusieurs volumes, répétez les étapes 5 à 7, en entrant la lettre de lecteur appropriée lorsque vous exécutez l'Assistant Générer automatiquement les règles.
9. Une fois que les règles ont été générées, vous pouvez exporter la liste des applications autorisées au format XML en cliquant avec le bouton droit sur le nœud AppLocker, puis en cliquant sur Exporter la stratégie. Vous pouvez également importer ces règles dans d'autres objets de stratégie de groupe, tels que ceux qui s'appliquent aux ordinateurs portables de votre organisation. En appliquant ces règles par le biais de stratégies, vous pouvez limiter l'exécution des applications aux seules qui sont présentes sur l'ordinateur de référence.
10. En configurant AppLocker, vous devez vérifier que le service Identité de l'application est activé via la console des services et que les règles d'exécutable sont appliquées par stratégie. Si ce service est désactivé, les stratégies AppLocker ne s'appliqueront pas. Bien que vous puissiez configurer l'état de démarrage de service dans Stratégie de groupe, vous devez limiter les utilisateurs disposant d'un accès local d'administrateur de sorte qu'ils ne puissent pas contourner AppLocker. Pour activer l'application de la règle d'exécutable, cliquez avec le bouton droit sur le nœud Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Stratégies de contrôle de l'application | AppLocker, puis cliquez sur Stratégies. Activez l'option Configuré sous Règles de l'exécutable, puis vérifiez que l'option Appliquer les règles est activée.
Nous espérons que ces explications vous ont permis d'apprendre à implémenter et à récupérer BitLocker, à utiliser BitLocker To Go et à configurer les stratégies AppLocker. L'utilisation de ces technologies conjointement aux tâches d'entretien normales (telles que de veiller à ce que les ordinateurs soient à jour en termes de programmes antivirus et anti-espion) améliorera la sécurité des ordinateurs de votre organisation qui exécutent Windows 7.
Orin Thomas* (orin.thomas@gmail.com) est un administrateur système et un MVP en sécurité des utilisateurs Windows basé à Melbourne, en Australie. Il a rédigé et coécrit plus d'une dizaine d'ouvrages pour Microsoft Press*.