Sécurité
Introduction à la sécurité dans Windows 7
Chris Corio
Parties de cet article sont basés sur code préliminaire. Toutes les informations dans le présent document sont susceptibles d'être modifiées.
À une vue d'ensemble :
- Windows Framework biométrique
- Extension de profils d'authentification
- BitLocker pour atteindre
- Améliorations de contrôle de compte d'utilisateur
Contenu
Windows Framework biométrique
Extension de protocoles d'authentification
Améliorations de base BitLocker
BitLocker pour atteindre
Améliorations de contrôle de compte d'utilisateur
AppLocker
SACL global et Audit précis
Conclusion
Windows Vista introduit de nouvelles technologies de sécurité qui avait un impact significatif sur l'écosystème Windows divers. Le contrôle de compte d'utilisateur effectuée il désactivez Microsoft souhaitez faciliter aux utilisateurs d'exécuter Windows sans être dans le groupe Administrateurs. BitLocker introduit le chiffrement de volume complet pour le client Windows. Internet Explorer en mode protégé permis pour vous naviguez sur Internet une expérience plus sûre.
Dans Windows 7, Microsoft a continué ses investissements dans la sécurité par Ajout de nouvelles technologies et amélioration de la plupart des technologies introduits dans Windows Vista. Dans cet article, je présentent des nouvelles fonctionnalités de sécurité et améliorations, que vous trouverez dans Windows 7.
Windows Framework biométrique
Windows Vista inclus une nouvelle conception de l'expérience de Winlogon. Cette expérience supprimé de l'infrastructure GINA (Graphical Identification et authentification) et ajouter le modèle d'extension de fournisseur d'informations d'identification. L'infrastructure de fournisseur d'informations d'identification a un ensemble d'interfaces autorisé cohérence lorsque des tiers étendu l'expérience utilisateur autour d'entrer des informations d'identification des utilisateurs et il intègre la courantes boîte de dialogue Informations d'identification Windows.
Pour Windows 7, Microsoft a ajouté le nouveau Windows biométrique Framework (WBF). Avec l'empreinte lecteurs devient beaucoup plus courant, qu'il est devenu désactivez définissant une infrastructure commune pour exposer, gérer et à l'aide de ces technologies était nécessaire de développement de lecteur et la fiabilité. Le WBF est conçu pour faciliter la prend en charge les périphériques une authentification biométrique. Dans Windows 7, WBF prend en charge uniquement les lecteurs empreintes digitales, mais elle peut être développée à l'avenir.
La plate-forme de base WBF comprend ces composants principaux :
- Windows biométrique interface du pilote (WBDI)
- Windows service biométrique (WBS, Work Breakdown Structure)
- API WBF
- Expérience utilisateur WBF et points d'intégration
- Gestion WBF
L'interface de pilote de biométrique (WBDI) de Windows est conçue pour fournir une interface de pilote courants pour les périphériques biométriques. Il est constitué d'une variété d'interfaces qui exposent les structures de données approprié et les IOCTL (contrôles d'entrée/sortie) pour les périphériques biométriques pour intégrer l'environnement biométrique. Pilotes peuvent être implémentées dans les les environnements pilote courants, notamment Windows Driver Model, cadre pour pilotes en mode noyau et User-Mode Driver Framework (UMDF). UMDF, cependant, est l'infrastructure de pilote recommandé pour les périphériques biométriques, car il offre l'avantage supplémentaire de fiabilité supérieure pour Windows au cas où un incident se produit dans le pilote de périphérique biométrique.
Le Windows biométrique service (WBS, Work Breakdown Structure) est le composant clé qui relie WBF. Codes WBS interagit avec les pilotes de périphérique biométrique et expose également les biométrique Framework API Windows, permettant d'applications d'interagir avec ces périphériques.
Une fonctionnalité importante de code WBS est qu'il révèle jamais des données de biométrique réel d'un utilisateur aux applications sans privilège. Il est important car, contrairement à un mot de passe, il s'agit très difficile pour une personne à modifier leur signature biométrique une fois qu'il est compromis. Au lieu de cela, la structure de répartition du travail expose une poignée (généralement un GUID ou un SID) qui permet aux applications de travailler avec les données biométriques indirectement.
WBS gère également les pools de périphériques une authentification biométrique. Ce permet de vous permet de contrôler périphériques biométriques comment sont utilisées. Certains périphériques utilisable avec toute boîte de dialogue Informations d'identification, telles que l'invite d'ouverture de session ou d'une invite de contrôle de compte d'utilisateur. Par exemple, vous pouvez configurer le contrôle parental sur votre système de base, et lorsque l'élévation est requise sur le système, vous pouvez simplement swipe votre doigt pour fournir une élévation. Ce pool de périphériques biométriques est appelé le pool système. Il existe deux autres pools de périphériques. Il existe la réserve privé, qui permet aux applications de proposer l'authentification qui n'est pas intégrée avec l'infrastructure de l'authentification Windows. Et le pool non attribué, c'est-à-dire pour les périphériques, comme vous l'avez peut-être deviné, ajuster ne les pools deux précédentes.
Chaque périphérique fait partie d'un pool de périphérique est en fait disparaît par la WBS en utilisant une classe de données appelée un point biométrique. L'unité biométrique s'intègre dans la WBS biométrique Service Provider (BSP), qui implémente des stratégies et des comportements spécifiques à un ensemble de périphériques biométriques. L'unité biométrique permet le BSP fournir des fonctionnalités qui prend un périphérique particulier ne peut-être pas en charge, tels que le stockage des données par empreinte digitale ou de traitement des données par empreinte digitale après été acquis par un périphérique.
Le troisième composant principal du WBF est l'ensemble d'API, également connu sous le nom les API de WinBio *, qui peuvent être utilisées par les applications et composants en mode utilisateur pour interagir directement avec les périphériques. Cela inclut l'interaction avec un périphérique pendant le processus d'inscription d'origine permettant d'obtenir empreinte digitale d'un utilisateur et de corrélation avec un compte d'utilisateur spécifique, ainsi que la tâche de vérification d'un utilisateur pour l'ouverture de session ou le contrôle de compte d'utilisateur. Ces API également expose les données sur le périphérique biométrique spécifique et ses caractéristiques. En outre, les API WBF peut être étendus à autoriser une application manipuler les aspects propriétaires d'un périphérique particulier.
Le WBF expose deux façons de configurer l'utilisation des périphériques biométriques. Pour les utilisateurs finaux, il est une applet le Panneau de configuration, qui est exposée dans plusieurs emplacements. Vous pouvez trouver le panneau périphériques biométriques sous Matériel et audio. À partir de cet emplacement, l'utilisateur peut lancer une application de gestion par empreinte digitale tiers. Windows 7 ne fournit pas une application de gestion des empreintes digitales intégré, pour que les fournisseurs tiers ou un OEM bénéficient d'écrire son propre. (Notez que le cadre biométrique Windows prend en charge local et ouverture de session de domaine, ainsi que UAC basé l'empreinte par le fournisseur d'informations d'identification biométrie intégré).
Le cadre biométrique Windows peuvent également être géré via la stratégie de groupe. Un administrateur peut activer ou désactiver la structure entière, ainsi que gérer les types de connexions peuvent utiliser biométrie (par exemple, local et le domaine ouvertures de session peut être configuré différemment).
Extension de protocoles d'authentification
Windows 7 améliore l'expérience de réseau domestique et petite par une fonctionnalité appelée Homegroup. Les utilisateurs peuvent partager des données, comme les fichiers multimédias entre les ordinateurs dans une maison et utiliser un ID en ligne pour s'authentifier entre ces ordinateurs. Les utilisateurs doivent explicitement lier leur compte d'utilisateur Windows à un code en ligne pour que cette fonctionnalité pour fonctionner. L'authentification est activée par un nouveau protocole appelé clé publique-en fonction utilisateur à utilisateur ou PKU2U.
Windows 7 présente également une extension le package d'authentification Negotiate, spnego.dll. SpNego est la fonctionnalité qui détermine quel protocole d'authentification doit à utiliser lors authentification. Avant Windows 7, il était généralement un choix entre Kerberos et NTLM (stimulation/réponse de Windows). L'extension NegoEx est considérée comme un protocole d'authentification par Windows et prend en charge deux fournisseurs de prise en charge de sécurité Microsoft : PKU2U et direct. Il est également extensible pour permettre le développement d'autres fournisseurs de prise en charge de sécurité.
Les deux de ces fonctionnalités fonctionnent lorsque se connecter à un autre ordinateur dans le Homegroup utilisant un numéro en ligne. Lorsqu'un ordinateur se connecte à un autre, l'extension de négociation appelle le fournisseur de prise en charge de sécurité PKU2U sur l'ordinateur d'ouverture de session. Le fournisseur de prise en charge de sécurité PKU2U récupère un certificat à partir du moteur de stratégie d'autorité de certificat et échange de la stratégie (avec les autres métadonnées) entre les ordinateurs homologues. Lorsque validé sur l'ordinateur homologue, le certificat est envoyé à l'homologue d'ouverture de session pour la validation, le certificat de l'utilisateur est mappé à un jeton de sécurité et le processus d'ouverture de session est terminé.
Améliorations de base BitLocker
Avec Windows Vista, Microsoft a introduit BitLocker. Il s'agit une solution de cryptage complet du volume conçue pour protéger les données de portables et les ordinateurs de bureau, comme les serveurs d'agence, même si l'ordinateur est perdu ou se situe dans les mains incorrects. Dans Windows 7, nombreuses améliorations apportées à la gestion de BitLocker. Celles-ci incluent la mise en œuvre cohérente par toutes les interfaces (l'interface utilisateur, l'outil de ligne de commande bde de gestion et le fournisseur WMI) et séparent les paramètres de lecteurs de données fixe stratégie de groupe. Il existe également des nouveaux paramètres de stratégie de groupe qui vous permettent de mettre à jour de vos mots de passe et d'intégrer avec cartes à puce sur les lecteurs du système d'exploitation non, et vous pouvez également modifier le comportement permettant le déverrouillage automatique.
Dans Windows Vista, il y a eu plaintes concernant est difficile à partitionner le lecteur du système d'exploitation pour préparer une installation de BitLocker, en particulier lorsque le système d'exploitation est déjà installé. Ce problème a été corrigé avec deux améliorations trouvées dans Windows 7. Tout d'abord, par défaut pendant l'installation de Windows 7, les utilisateurs obtiendront une partition distincte système active, qui est requise pour que BitLocker fonctionne sur les lecteurs du système d'exploitation. Cela élimine une deuxième étape qui a été requis dans de nombreux environnements. En outre, vous pouvez partitionner un disque pour que BitLocker dans le cadre de configuration BitLocker si vous n'avez pas déjà une partition système distinct. (voir figure 1 ).
Figure 1 Préparation d'un lecteur pour BitLocker
BitLocker pour atteindre
Un des ajouts plus visibles et plus importants est BitLocker À atteindre, qui est conçu pour protéger les données sur les lecteurs amovibles données. Elle permet de configurer le chiffrement de lecteur BitLocker sur les lecteurs flash USB et des disques durs externes. Objectifs de conception pour BitLocker À aller appelée pour la fonction soit facile à utiliser, pour qu'il fonctionne sur les lecteurs existants, pour permettre la récupération de données si nécessaire et pour activer les données soient utilisable sur les systèmes Windows Vista et Windows XP.
Il existe de nombreuses améliorations de gestion pour les responsables INFORMATIQUES tirer parti de cette fonctionnalité. Le plus notable est un nouveau paramètre de stratégie de groupe qui vous permet de configurer des lecteurs amovibles comme en lecture seule à moins que qu'ils sont chiffrés avec BitLocker À accéder. Il s'agit d'une étape excellente avant de s'assurer que les données critiques d'entreprise sont protégées lorsqu'un lecteur flash USB est mal placé par un employé.
Aussi notable est la capacité à récupérer des données à partir de n'importe quel périphérique BitLocker À aller où les données sont inaccessibles. Cette technologie, appelée un agent de récupération des données, a été intégralement de la fonctionnalité chiffré système de fichiers EFS et permet facilement de récupération des données d'entreprise sur un lecteur portable à l'aide de la clé créée par l'entreprise.
Obtention des fonctionnalités de BitLocker pour accéder à travailler sur Windows XP et Windows Vista requis certains reengineering de la fonctionnalité BitLocker principaux. Pour ce faire, l'équipe refactorisé la méthode par lequel BitLocker protège les volumes FAT. Comportement de BitLocker a été modifié pour superposer « volume découverte » sur le volume physique, d'origine et virtualiser les blocs remplacés. Le volume de découverte contient le BitLocker À atteindre lecteur ainsi qu'un fichier Lisezmoi. On parle d'un lecteur BitLocker hybride. Par défaut, lorsqu'un lecteur FAT est chiffré, un hybride lecteur BitLocker est créé. Le lecteur de découverte est visible uniquement sur les systèmes d'exploitation Windows XP et Windows Vista.
Le lecteur sera également disponible sur le Centre de téléchargement Microsoft après le lancement Windows 7. L'application permet d'accéder en lecture seule aux lecteurs BitLocker qui utilisent le protecteur de clé mot de passe. Notez que l'authentification carte à puce n'est pas disponible lorsque vous utilisez le BitLocker À atteindre lecteur.
Améliorations de contrôle de compte d'utilisateur
Le contrôle (compte d'utilisateur est une technologie souvent mal comprise. Tout d'abord, il est en fait une collection de fonctionnalités plutôt que simplement une invite de commandes. Ces fonctionnalités sont fichier et la redirection de Registre, détection de l'installeur, l'invite de contrôle de compte d'utilisateur, le ActiveX installer Service et plus. Ces fonctionnalités sont tous conçues pour permettre aux utilisateurs de Windows de s'exécuter avec les comptes d'utilisateur qui ne sont pas membres du groupe Administrateurs. Ces comptes sont généralement appelés utilisateurs standard et sont largement décrites comme exécution avec moindre privilège. La clé est que lorsque les utilisateurs exécutent avec des comptes utilisateur standard, l'expérience est de généralement beaucoup plus sécurisée et fiable.
De nombreux développeurs ont commencé à cibler leurs applications fonctionnent bien pour les utilisateurs standard. Les entreprises possèdent maintenant un chemin d'accès plus clair à déployer des comptes utilisateur standard, autorisant ces aux entreprises de réduire les coûts de support et le TCO (coût total de possession) globale de ses ordinateurs. À la maison, familles peuvent utiliser comptes d'utilisateur standard pour les enfants avec les contrôles parentaux pour créer un environnement plus sûr.
Windows 7 comprend de nombreuses améliorations pour améliorer l'expérience utilisateur standard et nouveaux paramètres de configuration fournir plus de contrôle sur l'invite de contrôle de compte d'utilisateur lorsque exécutez en mode Approbation administrateur. L'objectif est d'améliorer la facilité d'utilisation tout en continuant à rendre désactivez aux fournisseurs de logiciels indépendants que le contexte de sécurité par défaut, qu'ils doivent être ciblage est celle d'un utilisateur standard. Dans la pratique, ces modifications signifient que les utilisateurs pas invitera tâches administratives courantes dans Windows 7 à. Il s'agit le paramètre qui indique « avertir m'uniquement lorsque programmes tentez d'effectuer des modifications sur mon ordinateur. »
La façon dont il fonctionne est relativement simple. En cours de processus de création, la stratégie est activée pour voir si ce paramètre est activé. Si le processus en cours de création fait partie de Windows, qui est vérifié en vérifiant les fichiers de catalogue Windows de sa signature, le processus est créé sans une invite de commandes. Ce paramètre n'invite pas lorsque vous modifiez les paramètres de Windows mais au lieu de cela vous permet vous concentrer sur les modifications administratives demandées par les applications non Windows (tels que l'installation de nouveaux logiciels). Pour les personnes supérieur contrôle modification Windows fréquemment, sans les notifications supplémentaires, ce paramètre entraîne moins invites globales et permet aux utilisateurs de zéro dans sur la clé restant notifications ils voient.
Le autre changement important est que plusieurs composants ne nécessitent plus des privilèges d'administrateur. Par exemple, les utilisateurs peuvent configurer si leurs bureaux doit être affiché en mode haute résolution, une fonctionnalité couramment utilisée comme ordinateur écrans obtenir plus et formats de pixel obtenir de plus petites. Un autre exemple est que les utilisateurs standard peut maintenant réinitialiser leur connexion réseau lorsque physiquement connectés à l'ordinateur, une demande courants Microsoft a entendu les utilisateurs à domicile et entreprises.
La figure 2 contrôle de compte d'utilisateur d'installation d'un contrôle ActiveX
Réduction des invites signifie également rationalisation des zones où plusieurs invites se sont produites pour une action utilisateur unique. Sur Windows 7, par exemple, l'installation de contrôles ActiveX dans Internet Explorer est beaucoup plus lisse. Sur Windows Vista, Internet Explorer 7 créerait le processus IEInstal.exe pour effectuer l'installation d'un contrôle ActiveX. Cela a entraîné une invite de contrôle de compte d'utilisateur qui demande si vous souhaitiez « installer un Internet Explorer ajouter sur » pour exécuter avec des privilèges d'administrateur. Ce message n'a pas fournir beaucoup contexte sur exactement ce qui a été installé et Internet Explorer est immédiatement vous invite à approuver un contrôle particulier. Sur 7 Windows avec Internet Explorer 8, le processus d'installation a été modifié pour utiliser le service Installer ActiveX, qui l'extraire des informations publisher le contrôle ActiveX et l'afficher lors de l'expérience d'installation (voir figure 2 ). La nouvelle approche supprime également l'invite de deuxième lors de l'installation d'un contrôle ActiveX.
AppLocker
La possibilité de contrôler quelles applications un utilisateur ou ensemble d'utilisateurs, peut exécuter offre important augmente en la fiabilité et la sécurité des bureaux d'entreprise. En général, une stratégie de verrouillage des applications peut réduire le TCO d'ordinateurs dans une entreprise. Windows 7 ajoute AppLocker, une nouvelle fonctionnalité Contrôle de l'exécution d'une application et facilite encore créer une stratégie verrouillage application d'entreprise.
Durga Prasad Sayana et abordées application des stratégies de verrouillage dans problème de sécurité l'année dernière dans un article intitulé » Verrouillage des applications avec les stratégies de restriction logicielle." Dans l'article, nous avons détaillés un certain nombre de défis une entreprise doit surmonter lorsque vous créez une telle stratégie. Ces défis quelques-uns des opérations suivantes :
- Comprendre quels logiciels sont utilisé dans votre environnement
- Savoir quelles applications différents utilisateurs devrait être autorisé à exécuter
- Savoir comment créer la stratégie nécessaire
- Déterminer si une stratégie fonctionne correctement lorsqu'il est déployé
Pour résoudre ces obstacles, AppLocker offre une approche nouvelle que vous pouvez auditer fonctionne une stratégie de verrouillage des applications. Permet de contrôler la façon dont les utilisateurs exécutent tous les types d'applications, exécutables, scripts, des fichiers Windows Installer et des DLL. Et il offre des primitives de stratégie qui sont plus spécifiques et ne sont pas soumis à saut dans facilement lorsqu'une application soit mis à jour nouvelle application verrouillage. Windows 7 inclut également prise en charge des règles de stratégie de restriction Security Rollup Package logiciel hérité, mais il n'existe pas de prise en charge pour les nouvelles règles AppLocker sur Windows XP et Windows Vista.
Les modes de mise en œuvre sont tous implémentés d'agent mise en œuvre sous-jacente du AppLocker, qui est implémentée dans le pilote appid.sys. Ce pilote offre la possibilité pour que règle de mode noyau recherche de ces événements que création d'un processus et du chargement des DLL. Pour les applications qui implémentent l'application en mode utilisateur, l'API SaferIdentifyLevel héritée sert à déterminer si une application peut s'exécuter. Mais IdentifyLevel safer-transmettre maintenant la vérification de l'application via à un service pour effectuer la vérification réelle du fichier binaire et stratégie. Cette est une amélioration architecturale significative sur la fonctionnalité stratégies de restriction logicielle héritée.
AppLocker est destiné à facilitent l'informatique à créer un simple ensemble de règles qui expriment toutes les applications qui sont autorisées à exécuter et vérifiez que les règles de résister aux mises à jour de l'application.
Pour créer la stratégie AppLocker, est un nouveau UX de composant logiciel enfichable MMC AppLocker le UX de composant logiciel enfichable Éditeur d'objets de stratégie de groupe, qui offre une amélioration incroyable dans le processus de création AppLocker règles. Il y a un Assistant qui vous permet de créer une seule règle, et un autre Assistant génère automatiquement des règles pour vous en fonction de vos préférences de règle et le dossier que vous sélectionnez (voir figure 3 ).
La figure 3 générer automatiquement des règles de stratégie AppLocker.
Vous pouvez consulter les fichiers analysés et les supprimer de la liste avant de créer les règles. Vous pouvez encore obtenir des statistiques utiles sur la fréquence à laquelle un fichier a été bloqué ou test AppLocker stratégie pour un ordinateur donné.
Dans les stratégies de restriction logiciel précédent, il était particulièrement difficile à créer des stratégies ont été sécurisées, mais également ne pas rompre de mises à jour logicielles. Il a en raison de l'absence de granularité de règles de certificat et la fragility des règles de hachage qui fonctionneraient lorsqu'une application binaire a été mis à jour. Pour résoudre ce problème, AppLocker vous permet de créer une règle qui combine un certificat et un nom de produit, nom de fichier et version du fichier. Cela facilite spécifier que quoi que ce soit signé par un fournisseur particulier d'un nom de produit spécifique peut être exécutée.
Stratégies AppLocker dans Windows 7 ont autres avantages, ainsi, notamment la séparation entre les différents types d'exécution (à savoir EXE, DLL et MSI ou hôtes de script). Ces types de fichiers sont entrent dans quatre compartiments appelés des collections de règle, et l'application est configurée séparément pour chaque. Par exemple, les administrateurs peuvent activer AppLocker recherche les fichiers exécutables sans activer les vérifications de fichiers de script.
La stratégie AppLocker est stockée sous la clé HKLM\Software\Policies\Microsoft\Windows\SrpV2. La stratégie est stockée dans un format XML et est traduite par le service d'identité de l'application (AppID). Lorsque stratégie est traitée, le pilote appid.sys est notifié sur la nouvelle stratégie par le service via le IOCTL_SRP_POLICY et le pilote Recharger la stratégie.
La première tâche quand l'approche de modifications à votre environnement informatique consiste à évaluer comment l'environnement fonctionne actuellement. Puis vous pouvez soigneusement planifier et tester les modifications pour vous assurer qu'ils peuvent être implémentées correctement. Cela est l'utilité du mode de mise en œuvre d'audit uniquement.
L'application de la stratégie d'application-Locker d'audit est extrêmement important. Non seulement ne vous autorise cette à tester une stratégie avant qu'il est appliqué, mais il également offre vous la possibilité d'observer le fonctionnement de la stratégie lors de sa durée de vie. Vous seriez sans aucun doute amené à savoir si un certain ensemble d'utilisateurs nécessaire à une application pour travailler à un moment donné. Cela peut être déterminée en connexion à un système et en vérifiant les informations d'audit AppLocker pour voir si une stratégie de verrouillage des applications a été empêche une application particulière en cours d'exécution.
Le canal principal pour les événements AppLocker se trouve dans les applications et les journaux de service qui peuvent être affichés dans les événements application Observateur (eventvwr.msc). Pour afficher ces entrées de journal, recherchez le fichier EXE, DLL et les journaux MSI et script sous le canal d'événements Microsoft\Windows\AppLocker\. Nombreux différents événements peuvent être générés, y compris si une application a été autorisée ou bloquée et si une stratégie a été appliquée à un système.
Validation DNSSec
Au cours de ces quelques années, menaces liées DNS sont devenus un problème plus courant sur Internet. Il y a mieux comprendre comment les messages incohérents DNS serveurs, et pirates démarrent faire utiliser ces informations. Cela signifie qu'un utilisateur peut potentiellement accéder à un site Web et ne pas être absolument sûr qu'il n'est pas visitent un site Web différent et malveillant.
Windows Server 2008 v2 et Windows 7 présente prise en charge de DNSSEC par les normes actuelles (RFC 4033, RFC 4034 et RFC 4035). Windows Server 2008 R2 autorise le serveur DNS pour fournir origine artefacts intégrité autorité et de données. En fait, un serveur va pouvoir associer des signatures numériques à données DNS de réponses ainsi que de valider des données provenant d'autres serveurs DNS.
Windows 7 est le premier système de d'exploitation client pour inclure les éléments nécessaires pour permettre au client de vérifier qu'il est en toute sécurité communique avec un serveur DNS et vérifiez que le serveur a exécuté la validation DNSSEC en son nom. Cette technologie est actuellement en cours testée pour garantir la compatibilité maximale avec infrastructure Internet actuelle et vise à jouer un rôle continue dans la sécurisation des données DNS dans le futur.
SACL global et Audit précis
Windows 7 étend précédentes mécanismes d'audit offre nouvelles fonctionnalités qui vous permettent de gérer l'audit pour les utilisateurs au lieu d'objets uniquement et pour fournir plus d'informations sur AccessCheck échecs pour les objets fichier. Cette permet de nouveaux scénarios d'audit et offre un changement de paradigme significative lié à l'audit.
Dans d'autres versions de Windows, déterminer si vous souhaitez auditer l'accès aux objets portait sur Si le descripteur de sécurité d'un objet inclus une entrée de contrôle l'accès (ACE) dans sa SACL indiquant qu'il doit être audité. Cela rendait très facile de suivre une clé de Registre ou de fichier pour voir les accès a été se produisant sur cet objet. Malheureusement, ne survenu aucune méthode pour regarder ce qui accédait un utilisateur particulier. Si vous vouliez ce scénario, vous avez probablement deviez activer l'audit pour chaque ressource que l'utilisateur peut interagir avec et par conséquent chaque accès par n'importe quel utilisateur de la ressource est finissent dans le journal d'audit.
L'activation de l'audit sur une à l'échelle suffisamment jeu de données pour capturer les un utilisateur peut accéder est un processus très compliquée. Chaque ressource doit être mis à jour pour inclure la stratégie d'audit dans la liste SACL et les modifications apportées à cette stratégie est nécessitent chaque SACL mise à jour. Pour contourner cette limitation, Windows 7 introduit le principal objet Access Audit, qui est géré par auditpol.exe et est configurable à l'aide de la stratégie de groupe.
L'audit de Access Ojbect global comprend un SACL principal qui est une chaîne SDDL stockée dans le Registre avec d'autres données liées à l'audit. Deux nouvelles API ont été ajoutés à gérer la liste SACL global : AuditSetGlobalSacl et AuditQueryGlobalSacl. Mise à jour de la liste SACL principal nécessite le SeSecurityPrivilege, ce qui empêche la SACL global de mis à jour par un utilisateur sans droits d'administrateur.
L'audit de sécurité dans Windows 7 permet également de comprendre pourquoi l'accès à un objet a échoué ou a réussi. Cela est des informations importantes si vous vous déboguer une erreur d'application ou tente de comprendre si votre stratégie de sécurité est efficace. À la fois la fonctionnalité globale objet Access audit et l'inclusion de données d'audit accès supplémentaires sont implémentés dans un nouveau noyau en mode sécurité API, SeAccessCheckEx. Les gestionnaires de ressources deux pour utiliser cette API sont NTFS et le partage de fichiers détaillées dans Windows 7, et lorsqu'il est activé, l'API placera informations dans le journal d'audit sur les raisons tentative d'accès réussi ou a échoué. Par conséquent ces fonctionnalités s'appliquent aux partages de fichiers système et fichiers pour l'instant et peuvent être développées aux autres responsables de ressources avenir versions de Windows.
Conclusion
Windows 7 permet nouveaux scénarios et permet à l'aide de Windows un environnement plus sécurisé. La plupart de ces fonctionnalités sont un actif fort de l'expérience utilisateur (pour les utilisateurs à domicile, aux utilisateurs professionnels et informatique) et permettent Windows 7 systèmes fonctionnent encore mieux.
Chris Corio était un membre de l'équipe Windows Security chez Microsoft pour plus de cinq années. Son principal objectif de Microsoft était technologies de sécurité des applications et des technologies de gestion pour la sécurisation de Windows. Vous pouvez contacter Chris à winsecurity@chriscorio.com.