Nouveautés en matière de sécurité dans Windows 10
Microsoft a apporté plusieurs améliorations clés en matière de sécurité client dans Windows 10. Ces améliorations portent sur trois domaines principaux : résistance aux menaces, protection des informations, protections d’identité et contrôle d’accès. En plus de proposer une vue d’ensemble des fonctionnalités, cet article présente la configuration matérielle requise pour chaque nouvelle fonctionnalité et fournit des recommandations de configuration ainsi que des liens vers des ressources plus détaillées.
Microsoft a conçu Windows 10 comme la version de système d’exploitation Windows la plus sécurisée disponible à ce jour. Pour atteindre cet objectif, Windows 10 utilise des fonctionnalités matérielles avancées et désormais largement disponibles pour protéger les utilisateurs et les appareils contre les cybermenaces modernes. La sécurité du client Windows n’a jamais été aussi critique : chaque jour, plusieurs milliers de nouvelles variantes de programmes malveillants sont découvertes et les techniques de piratage évoluent constamment. Avec Windows 10, les organisations peuvent déployer de nouvelles fonctionnalités de sécurité résistantes aux menaces qui renforcent le système d’exploitation des appareils BYOD (Apportez votre propre appareil) ou appartenant à l’entreprise, ainsi que des appareils destinés à un usage spécifique comme les bornes, les distributeurs de billets et les systèmes point de vente (PDV). Ces nouvelles fonctionnalités résistantes aux menaces sont modulaires ; autrement dit, elles sont conçues pour être déployées ensemble, bien que vous puissiez également les implémenter individuellement. En activant l’ensemble de ces nouvelles fonctionnalités, les organisations peuvent se protéger immédiatement contre la plupart des menaces et programmes malveillants les plus sophistiqués actuels.
En plus de nouvelles fonctionnalités d’atténuation efficace des menaces, Windows 10 inclut plusieurs améliorations touchant à la protection intégrée des informations, notamment un nouveau composant de protection contre la perte de données (DLP). Ces améliorations permettent aux organisations de séparer facilement données personnelles et données métiers, de définir quelles applications ont accès aux données métiers et de déterminer la façon dont les données peuvent être partagées (par copier-coller, par exemple). Contrairement aux autres solutions DLP, Microsoft a intégré cette fonctionnalité au cœur de la plateforme Windows, offrant le même type de fonctionnalités de sécurité que les solutions de type conteneur, mais sans modifier l’expérience d’utilisation comme la nécessité de changer de mode ou de basculer entre les applications.
Enfin, les nouvelles fonctionnalités de contrôle d’accès et de protection d’identité facilitent l'implémentation de l'authentification à 2 facteurs (2FA) à l’échelle de l’entreprise. Les organisations peuvent ainsi progressivement abandonner les mots de passe. Windows 10 introduit Microsoft Passport : une nouvelle façon d’identifier l’utilisateur grâce à l’authentification à 2 facteurs, directement intégrée au système d’exploitation. Les utilisateurs peuvent y accéder avec un code confidentiel ou une nouvelle fonctionnalité biométrique appelée Windows Hello. Ensemble, ces technologies offrent aux utilisateurs une expérience d’ouverture de session simple, doublée de la sécurité renforcée de l’authentification multifacteur (MFA). Contrairement aux solutions multifacteur tierces, Microsoft Passport est conçu pour être intégré à Microsoft Azure Active Directory (Azure AD) et aux environnements Active Directory hybrides. Il nécessite en outre une maintenance et une configuration d'administration minimales.
Résistance aux menaces
De nos jours, les menaces se font toujours plus agressives et plus tenaces. Auparavant, les attaquants se contentaient de provoquer des incidents pour leur plaisir personnel ou pour gagner en notoriété au sein de leur communauté. Depuis, leurs objectifs ont changé ; ils cherchent désormais à monétiser leurs attaques. Leurs méthodes consistent, entre autres, à prendre en otage des machines et des données jusqu’à ce que leurs propriétaires paient la rançon demandée ou à exploiter les informations sensibles recueillies en vue d’un gain monétaire. Contrairement à ces exemples, les attaques modernes sont de plus en plus axées sur le vol de propriété intellectuelle à grande échelle, la dégradation de systèmes provoquant des pertes financières, et même le cyberterrorisme qui menace la sécurité des individus, des entreprises et des intérêts nationaux partout dans le monde. Ces attaquants sont généralement des individus hautement qualifiés et des experts en sécurité. Certains d’entre eux sont au service d’États-nations dont les budgets et les ressources humaines semblent illimités, mais sans motifs connus. De telles menaces nécessitent une approche et des solutions de prévention différentes capables de relever le défi.
Windows 10 introduit plusieurs nouvelles fonctionnalités de sécurité qui permettent d’atténuer les menaces modernes et de protéger les organisations contre les pirates informatiques, quel que soit leur motif. Microsoft a fait d’importants investissements dans Windows 10 pour en faire le système d’exploitation Windows le plus résistant aux programmes malveillants. Plutôt que d’ajouter simplement des défenses au système d’exploitation, comme c’était le cas dans les versions précédentes de Windows, Microsoft a introduit dans Windows 10 des modifications architecturales capables de résister à des classes entières de menaces. En modifiant de manière fondamentale la façon dont le système d’exploitation fonctionne, Microsoft cherche à rendre Windows 10 beaucoup plus difficile à attaquer. Les nouvelles fonctionnalités de Windows 10 comprennent Device Guard, l’intégrité du code configurable, la sécurité basée sur la virtualisation (VBS) et des améliorations de Windows Defender, pour n’en citer que quelques unes. En activant ces nouvelles fonctionnalités simultanément, les organisations peuvent immédiatement se protéger contre les programmes malveillants responsables d’environ 95 % des attaques modernes.
Sécurité basée sur la virtualisation
En ce qui concerne les serveurs, les technologies de virtualisation, telles que Microsoft Hyper-V, se sont avérées extrêmement efficaces pour isoler et protéger les machines virtuelles au sein du centre de données. Ces fonctionnalités de virtualisation devenant omniprésentes dans les appareils clients modernes, de nouveaux scénarios probants de sécurité client Windows se profilent. Windows 10 peut utiliser la technologie de virtualisation pour isoler les services principaux de système d’exploitation dans un environnement virtualisé et séparé, semblable à une machine virtuelle. Ce niveau supplémentaire de protection, appelé sécurité basée sur la virtualisation, permet de s’assurer que personne ne peut manipuler ces services, même si le mode noyau du système d’exploitation hôte est compromis.
Comme avec le client Hyper-V, Windows peut désormais tirer parti des processeurs équipés d’une technologie de traduction d’adresse de second niveau (SLAT) et d’extensions de virtualisation, comme la technologie de virtualisation Intel (VT-x) et AMD V, pour créer un environnement d’exécution sécurisé pour les fonctions et données Windows sensibles. Cet environnement VBS protège les services suivants :
Intégrité du code de l’hyperviseur (HVCI). Le service HVCI de Windows 10 détermine si l’exécution du code en mode noyau est fiable et sécurisée. Il fournit des fonctionnalités de protection contre les attaques « zero day » et les codes malveillants exploitant une faille de sécurité en garantissant que tous les logiciels s’exécutant en mode noyau, y compris les pilotes, allouent de la mémoire et fonctionnent normalement et en toute sécurité. Dans Windows 10, l’intégrité du code en mode noyau est configurable, ce qui permet aux organisations de régler l’exécution du code avant le démarrage sur la configuration de leur choix. Pour plus d’informations sur l’intégrité du code configurable dans Windows 10, voir la section Intégrité du code configurable.
Autorité de sécurité locale (LSA). Le service LSA de Windows gère les opérations d’authentification, y compris les mécanismes NT LAN Manager et Kerberos. Dans Windows 10, la fonctionnalité Credential Guard isole une partie de ce service et atténue les techniques d’attaque pass-the-hash et pass-the-ticket en protégeant les informations d’identification du domaine. En plus des informations d’identification d’ouverture de session, cette protection s’applique aux informations d’identification stockées dans le Gestionnaire d’informations d'identification. Pour plus d’informations sur Credential Guard, voir la section Credential Guard .
Remarque
Pour déterminer si la virtualisation est prise en charge pour un modèle d’ordinateur client, il vous suffit d’exécuter la commande systeminfo depuis une fenêtre d’invite de commandes.
VBS fournit l’infrastructure principale pour une partie des solutions de prévention les plus importantes proposées par Windows 10. Il est primordial que votre organisation dispose d’ordinateurs clients capables d’utiliser cette fonctionnalité pour résister aux menaces modernes. Pour plus d’informations sur les fonctionnalités matérielles spécifiques que nécessite chaque fonctionnalité de Windows 10, y compris VBS, voir la section Considérations matérielles relatives à Windows 10.
Device Guard
Véritable révolution en matière de sécurité Windows, Microsoft Device Guard est un ensemble de fonctionnalités qui combine des fonctions de renforcement de l’intégrité du système en tirant parti des nouvelles options VBS pour protéger le noyau du système et un modèle « zéro confiance » souvent utilisé dans les systèmes d’exploitation mobiles. Cet ensemble de fonctionnalités tire parti des meilleures fonctionnalités de sécurisation renforcée de Windows déjà existantes (par exemple, le démarrage sécurisé Unified Extensible Firmware Interface [UEFI] et le Démarrage sécurisé de Windows), puis les combine à de nouvelles fonctionnalités puissantes de contrôle d’applications telles que le service HVCI reposant sur VBS et l’intégrité du code configurable, qui empêchent l’exécution de codes malveillants exploitant les failles de sécurité et d’applications non autorisées sur l’appareil en mode utilisateur et en mode noyau. Pour plus d’informations sur VBS dans Windows 10 et les fonctionnalités supplémentaires qui l’utilisent, voir la section Sécurité basée sur la virtualisation. Pour plus d’informations sur l’intégrité du code configurable, voir la section Intégrité du code configurable.
Même si Microsoft a conçu Device Guard pour qu’il s’exécute parallèlement à de nouvelles fonctionnalités de sécurité Windows, telles que Credential Guard, cette fonctionnalité peut être exécutée indépendamment. En fonction des ressources du client de votre organisation, vous pouvez choisir quelles fonctionnalités conviennent le mieux pour vos environnements et vos appareils. Pour plus d’informations sur la configuration matérielle requise pour Device Guard et d’autres fonctionnalités de sécurité de Windows 10, voir la section Considérations matérielles relatives à Windows 10. Pour plus d’informations sur Credential Guard, voir la section Credential Guard .
Pour la plupart des organisations, l’implémentation d’une fonctionnalité Device Guard spécifique dépend du rôle de l’appareil et de son utilisateur principal. Elle utilise davantage de fonctionnalités sur des appareils à charge de travail unique (bornes) et moins de fonctionnalités sur les ordinateurs d’administration que les utilisateurs peuvent entièrement contrôler. À l’aide de ce modèle, les services informatiques peuvent classer les utilisateurs par groupes conformes aux stratégies de sécurité Device Guard qui concernent la sécurité de l’appareil et les restrictions sur l’intégrité du code. Pour plus d’informations sur l’intégrité du code configurable, voir la section Intégrité du code configurable.
De nouveaux ordinateurs de bureau et portables seront disponibles pour accélérer le processus d’implémentation de Device Guard. Sur les appareils prêts pour Device Guard, le nombre d’interactions physiques avec l’appareil réel avant qu’il soit mis à la disposition de l’utilisateur doit être réduit au minimum. À l’avenir, tous les appareils pourront être classés dans l’une des trois catégories suivantes :
Compatible Device Guard. Ces appareils répondent à toutes les exigences matérielles pour Device Guard. Vous devrez quand même correctement préparer les appareils dont les composants doivent être activés ou configurés afin de pouvoir déployer Device Guard. Les pilotes de l’appareil doivent être compatibles avec HVCI et peuvent nécessiter des mises à jour du fabricant d'ordinateurs OEM.
Prêt pour Device Guard. Les appareils prêts pour Device Guard sont directement fournis par le fabricant d’ordinateurs OEM avec tous les composants matériels et les pilotes nécessaires pour exécuter Device Guard. En outre, tous ces composants sont préconfigurés et activés, ce qui réduit les efforts nécessaires pour déployer Device Guard. Le déploiement de ces appareils ne nécessite aucune interaction avec le BIOS et vous pouvez utiliser System Center Configuration Manager, la stratégie de groupe ou Microsoft Intune pour les gérer.
Non pris en charge pour Device Guard. Actuellement, de nombreux appareils ne peuvent pas tirer parti de l’ensemble des fonctionnalités de Device Guard, car ils ne disposent pas des composants matériels ou des pilotes requis compatibles avec HVCI. La plupart de ces appareils peuvent toutefois activer certaines fonctionnalités de Device Guard, comme l’intégrité du code configurable.
Pour plus d’informations sur la façon de préparer, de gérer et de déployer Device Guard, consultez le Guide de déploiement de Microsoft Device Guard.
Intégrité du code configurable
L’Intégrité du code est un composant Windows qui vérifie que le code lancé par Windows est fiable et sécurisé. Comme les modes d’exploitation typiques de Windows, l’intégrité du code Windows a deux composants principaux : l’intégrité du code en mode noyau ou KMCI (Kernel Mode Code Integrity) et l’intégrité du code en mode utilisateur ou UMCI (User Mode Code Integrity). Microsoft a utilisé KMCI dans les versions récentes de Windows afin d’empêcher le noyau de Windows d’exécuter des pilotes non signés. Malgré l’efficacité de cette approche, les pilotes ne sont pas le seul vecteur utilisé par les programmes malveillants pour tenter d’accéder à l’espace du mode noyau du système d’exploitation. Pour Windows 10, Microsoft a élevé le niveau standard de la norme du code en mode noyau prêt à l’emploi en exigeant l’utilisation des meilleures pratiques de sécurité en matière de gestion de la mémoire, et a fourni aux entreprises un moyen de définir leurs propres normes UMCI et KMCI.
L’intégrité UMCI a toujours été uniquement disponible sur les appareils Windows RT et Windows Phone. Pour cette raison, les virus et programmes malveillants ont beaucoup plus de difficulté à franchir leurs défenses. Ce taux d’infection réduit résulte de la façon dont le système d’exploitation détermine le code à exécuter. En mode natif, les fichiers binaires suivent un processus afin de prouver au système d’exploitation qu’ils sont fiables, avant que ce dernier leur permette de s’exécuter. Ce processus est conçu pour restreindre l’exécution du code arbitraire, et donc diminuer le risque d’infections par des programmes malveillants. Ce modèle réussi de système d’exploitation « tout suspect » est désormais disponible dans Windows 10 grâce à une fonctionnalité appelée Intégrité du code configurable.
L’intégrité du code configurable permet aux services informatiques de créer et de déployer des stratégies d’intégrité du code, qui stipulent exactement quels fichiers binaires peuvent s’exécuter dans leur environnement. Les administrateurs peuvent gérer cette confiance au niveau de l’autorité de certification ou au niveau de l’éditeur, et ce jusqu’aux valeurs de hachage individuelles pour chaque fichier binaire exécuté. Ce niveau de personnalisation permet aux organisations de créer des stratégies aussi restrictives qu’elles le souhaitent. En outre, les organisations peuvent choisir de fournir différents niveaux de restriction pour certains types d’ordinateurs. Par exemple, les appareils présentant une charge de travail fixe, tels que les bornes et les points de vente, feront plus probablement l’objet d’une stratégie stricte, car ils ont pour objectif de fournir le même service jour après jour. Les administrateurs peuvent gérer les appareils ayant des charges de travail plus variables, tels que les ordinateurs des utilisateurs, avec un niveau de service supérieur, en fournissant les applications de certains éditeurs de logiciels pour l’installation ou en alignant ces appareils avec le catalogue de logiciels de l’organisation.
Remarque
L’intégrité du code configurable n’a pas vocation à remplacer les technologies qui autorisent ou bloquent des programmes, telles qu’AppLocker ou le logiciel antivirus d’une organisation. Au lieu de cela, elle complète ces technologies en établissant une ligne de base de sécurité, puis en utilisant les technologies supplémentaires pour améliorer la sécurité client.
L’intégrité du code configurable n’est pas limitée aux applications du Windows Store. En fait, elle n’est même pas limitée aux applications signées existantes. Windows 10 vous permet de signer des applications cœur de métier ou tierces sans avoir à les repackager : vous pouvez surveiller l’installation et l’exécution initiale de l’application pour créer une liste des fichiers binaires appelée fichier catalogue. Lorsqu’ils sont créés, vous signez ces fichiers catalogue et ajoutez le certificat de signature à la stratégie d’intégrité du code afin que les fichiers binaires contenus dans les fichiers catalogue soient autorisés à s’exécuter. Ensuite, vous pouvez utiliser une stratégie de groupe, Configuration Manager, ou tout autre outil de gestion que vous connaissez, pour distribuer ces fichiers catalogue sur vos ordinateurs clients. La plupart des programmes malveillants ne sont pas signés ; en déployant simplement des stratégies d’intégrité du code, votre organisation peut immédiatement se protéger contre les programmes malveillants non signés, qui sont responsables de la plupart des attaques modernes.
Remarque
Pour en savoir plus sur la planification et le déploiement de l’intégrité du code configurable, consultez le Guide de déploiement de Microsoft Device Guard.
Le processus de création, de test et de déploiement d’une stratégie d’intégrité du code se présente comme suit :
Création d’une stratégie d’intégrité du code. Utilisez l’applet de commande Windows PowerShell New-CIPolicy, disponibles dans Windows 10, pour créer une stratégie d’intégrité du code. Cet applet de commande recherche sur l’ordinateur PC tous les listings d’un niveau de stratégie spécifique. Par exemple, si vous définissez le niveau de règle sur Hash, l’applet de commande va ajouter des valeurs de hachage pour tous les fichiers binaires découverts à la stratégie issue de la recherche. Lorsque vous appliquez et déployez la stratégie, cette liste de valeurs de hachage détermine exactement quels fichiers binaires sont autorisés à s’exécuter sur les ordinateurs qui reçoivent la stratégie. Les stratégies d’intégrité du code peuvent contenir à la fois une stratégie d’exécution en mode noyau et en mode utilisateur, limitant les capacités d’exécution dans l’un des modes ou les deux. Enfin, lors de sa création, cette stratégie est convertie au format binaire de sorte que le client géré peut la consommer lorsqu’elle est copiée dans son dossier d’intégrité du code.
Audit de la stratégie d’intégrité du code pour les exceptions. Lorsque vous créez pour la première fois une stratégie d’intégrité du code, le mode audit est activé par défaut. Ainsi, vous pouvez simuler l’effet d’une stratégie d’intégrité du code sans vraiment bloquer l’exécution de fichiers binaires. En effet, les exceptions de la stratégie sont consignées dans le journal d’événements CodeIntegrity, ce qui vous permet d’ajouter les exceptions à la stratégie ultérieurement. Vous devez soumettre chaque stratégie à un audit afin de découvrir les problèmes potentiels avant son déploiement.
Fusion des résultats d’audit avec la stratégie existante. Après avoir audité une stratégie, vous pouvez utiliser les événements d’audit pour créer une stratégie d’intégrité du code supplémentaire. Chaque ordinateur ne traitant qu’une seule stratégie d’intégrité du code, vous devez fusionner les règles de fichier de cette nouvelle stratégie d’intégrité du code avec la stratégie d’origine. Pour ce faire, exécutez l’applet de commande Merge-CIPolicy, qui est disponible dans Windows 10 Enterprise.
Application et signature de la stratégie. Suite à la création, l’audit et la fusion des stratégies d’intégrité du code créées, vous pouvez appliquer votre stratégie. Pour ce faire, exécutez l’applet de commande Set-RuleOption afin de supprimer la règle Unsigned Policy. Lors de l’application, les fichiers binaires qui sont des exceptions à la stratégie sont autorisés à s’exécuter. Outre l’application d’une stratégie, les stratégies signées offrent un niveau de protection supplémentaire. Les stratégies d’intégrité du code signées se protègent elles-mêmes de façon inhérente contre la manipulation et la suppression, même par les administrateurs.
Déploiement de la stratégie d’intégrité du code. Une fois que vous avez appliqué et éventuellement signé votre stratégie d’intégrité du code, elle est prête pour le déploiement. Pour déployer vos stratégies d’intégrité du code, vous pouvez utiliser les technologies de gestion client de Microsoft, les solutions de gestion des périphériques mobiles ou une stratégie de groupe, ou vous pouvez simplement copier le fichier dans l’emplacement correct sur vos ordinateurs clients. Pour le déploiement d’une stratégie de groupe, un nouveau modèle d’administration est disponible dans Windows 10 et le système d’exploitation Windows Server 2016 pour simplifier le processus de déploiement.
Remarque
L’intégrité du code configurable est disponible dans Windows 10 Entreprise et Windows 10 Éducation.
Vous pouvez activer l’intégrité du code configurable dans le cadre d’un déploiement de Device Guard ou en tant que composant autonome. En outre, vous pouvez exécuter l’intégrité du code configurable sur du matériel compatible avec le système d’exploitation Windows 7, même si ce type de matériel n’est pas compatible avec Device Guard. Les stratégies d’intégrité du code peuvent s’aligner avec un catalogue d’applications existant, une stratégie d’image d’entreprise existante, ou une autre méthode qui fournit les niveaux de restriction souhaités par l’organisation. Pour plus d’informations sur l’intégrité du code configurable avec Device Guard, voir le Guide de déploiement de Microsoft Device Guard.
Démarrage mesuré et attestation à distance
Même si les solutions antivirus et anti-programmes malveillants basées sur des logiciels sont efficaces, elles n’offrent aucun moyen de détecter les modifications ou les infections préalables des ressources du système d’exploitation par des bootkits et des rootkits, par exemple. Ces programmes malveillants peuvent manipuler un client avant le chargement du système d’exploitation et des solutions anti-programmes malveillants. Les bootkits, les rootkits et les logiciels similaires sont quasiment impossibles à détecter en utilisant seulement des solutions basées sur un logiciel. Windows 10 utilise donc le module de plateforme sécurisée (TPM, Trusted Platform Module) du client et la fonctionnalité Démarrage mesuré de Windows pour analyser l’intégrité globale du démarrage. Sur demande, Windows 10 transmet les informations d’intégrité au service d’attestation d’intégrité des appareils basé sur le cloud de Windows. Vous pouvez ensuite utiliser ces informations en coordination avec les solutions de gestion telles qu’Intune pour analyser les données et fournir un accès conditionnel aux ressources basé sur l’état d’intégrité de l’appareil.
Le Démarrage mesuré utilise l’une des principales fonctionnalités de TPM et présente des avantages uniques pour sécuriser les organisations. La fonctionnalité peut signaler précisément et de façon sécurisée l’état du TCB (Trusted Computing Base) d’un ordinateur. En mesurant le TCB d’un système, qui comprend des critiques de sécurité associés au démarrage comme un microprogramme, le chargeur du système d’exploitation, et des pilotes et logiciels, le TPM peut stocker l’état actuel de l’appareil dans les registres de configuration de plateforme (PCR). Une fois ce processus de mesure terminé, le TPM signe ces données PCR par chiffrement pour que les informations du Démarrage mesuré puissent être envoyées vers le service d’attestation d’intégrité des appareils basé sur le cloud de Windows ou un équivalent non Microsoft où elles pourront être signées ou examinées. Par exemple, si une société souhaite uniquement valider les informations sur le BIOS d’un ordinateur avant d’autoriser l’accès au réseau, PCR [0], qui est le PCR qui contient les informations sur le BIOS, est ajouté à la stratégie pour que le serveur d’attestation le valide. Ainsi, lorsque le serveur d’attestation reçoit le manifeste en provenance du module TPM, le serveur sait quelles valeurs ce PCR doit contenir.
Le Démarrage mesuré seul n’empêche pas le chargement de programmes malveillants pendant le processus de démarrage, mais il fournit un journal d’audit protégé par le TPM qui permet à un serveur d’attestation distant de confiance d’évaluer les composants de démarrage du PC et de déterminer leur fiabilité. Si le serveur d’attestation distant indique que l’ordinateur a chargé un composant non fiable et n’est donc pas conforme, un système de gestion peut utiliser les informations pour les scénarios d’accès conditionnel afin de bloquer l’accès de l’ordinateur aux ressources réseau ou d’effectuer d’autres actions de mise en quarantaine.
Améliorations de Windows Defender
Pour Windows 10, Microsoft a repensé Windows Defender et l’a combiné avec Microsoft System Center Endpoint Protection. Contrairement à Microsoft System Center 2012 R2, il est inutile de déployer un client System Center Endpoint Protection sur les ordinateurs Windows 10 car Windows Defender est intégré avec le système d’exploitation et activé par défaut.
En plus de simplifier le déploiement, Windows Defender contient plusieurs améliorations. Les améliorations les plus importantes de Windows Defender sont les suivantes :
Compatible avec le logiciel anti-programme malveillant à lancement anticipé (ELAM). Une fois que Démarrage mesuré a vérifié la fiabilité du chargement du système d’exploitation, ELAM peut démarrer une application anti-programme malveillant avant tout autre composant du système d’exploitation. Windows Defender est compatible avec ELAM.
Contexte local pour les détections et les données sensorielles centralisées. Contrairement à la plupart des logiciels anti-programme malveillants et aux versions précédentes de Windows Defender, dans Windows 10 Windows Defender signale des informations supplémentaires concernant le contexte des menaces découvertes. Ces informations incluent la source du contenu contenant la menace ainsi que l’historique des déplacements du programme malveillant dans le système. Une fois la collecte terminée, Windows Defender signale ces informations (lorsque les utilisateurs choisissent d’activer la protection basée sur le cloud) et les utilise pour atténuer les menaces plus rapidement.
Intégration de contrôle de compte d’utilisateur (UAC). Windows Defender est maintenant étroitement intégré avec le mécanisme UAC dans Windows 10. Lorsqu’une demande UAC est effectuée, Windows Defender analyse automatiquement la menace avant de présenter une invite à l’utilisateur, ce qui évite que les utilisateurs fournissent des privilèges élevés aux programmes malveillants.
Simplification de la gestion. Dans Windows 10, vous pouvez gérer Windows Defender bien plus facilement que jamais. Gérez les paramètres via la stratégie de groupe Intune ou le Gestionnaire de configuration.
Protection des informations
La protection de l’intégrité des données de l’entreprise et contre la révélation et le partage inappropriés de ces données sont une priorité pour les services informatiques. Les tendances telles que le BYOD et la mobilité compliquent plus que jamais la tâche de protection des informations. Windows 10 inclut plusieurs améliorations pour la protection des informations intégrées, notamment une nouvelle fonction de Protection de données d’entreprise (EDP) qui offre la fonctionnalité DLP. Cette fonction permet aux utilisateurs d’une organisation de classer les données eux-mêmes et vous permet à vous de classer les données automatiquement à mesure qu’elles proviennent des ressources métiers. Elle peut également empêcher les utilisateurs de copier le contenu dans des emplacements non autorisés tels que des sites Web ou des documents personnels.
Contrairement à d’autres solutions DLP actuelles, EDP ne nécessite pas que les utilisateurs changent de mode ou d’application. Elle ne nécessite pas non plus d’utiliser des conteneurs pour protéger les données, et la protection s’exécute arrière-plan sans modifier l’expérience à laquelle vos utilisateurs se sont habitués dans Windows. Pour plus d’informations sur EDP dans Windows 10, voir la section Protection des données d’entreprise.
Outre EDP, Microsoft a apporté des modifications considérables à BitLocker, notamment en simplifiant la facilité de gestion via Microsoft BitLocker Administration and Monitoring (MBAM), le chiffrement de l’espace utilisé uniquement et la fonctionnalité d’authentification unique (SSO). Pour plus d’informations sur les améliorations apportées à BitLocker dans Windows 10, voir la section Améliorations de BitLocker.
Protection des données d’entreprise
Les systèmes DLP sont conçus pour protéger les données d’entreprise sensibles via le chiffrement et l’utilisation gérée pendant que les données sont en cours d’utilisation, en mouvement ou inactives. Le logiciel DLP traditionnel est généralement invasif et frustrant pour les utilisateurs, tandis que sa configuration et son déploiement peuvent être complexes pour les administrateurs. Windows 10 inclut maintenant une fonction EDP qui offre des fonctionnalités DLP, est intégrée et simple à utiliser. Cette solution vous offre la flexibilité de définir des stratégies qui déterminent quelles données doivent être protégées en tant que données métiers et lesquelles doivent être considérées comme personnelles. Sur la base de ces stratégies, vous pouvez également choisir comment agir, automatiquement ou manuellement, chaque fois que vous pensez que des données vont être ou ont été compromises. Par exemple, si un employé a un appareil personnel mais géré qui contient des données métiers, une service informatique peut empêcher cet utilisateur de copier et coller des données métiers dans des documents et des emplacements non professionnels ou peut même effacer les données métiers de manière sélective sur l’appareil à tout moment sans affecter les données personnelles sur l’appareil.
Vous pouvez configurer des stratégies EDP pour chiffrer et protéger les fichiers automatiquement en fonction de la source réseau à partir de laquelle le contenu a été récupéré, par exemple un serveur de courrier électronique, un partage de fichiers ou un site Microsoft SharePoint. Les stratégies peuvent fonctionner avec des ressources sur site ou celles provenant d’Internet. Lorsque cela est spécifié, toutes les données récupérées à partir des ressources réseau internes sont toujours protégées en tant que données métiers ; même si ces données sont copiées sur un support de stockage portable, tel qu’un lecteur Flash ou un CD, la protection demeure. Dans le but de faciliter la correction des données mal classées, les utilisateurs qui pensent qu’EDP n’a pas protégé correctement leurs données personnelles peuvent modifier la classification des données. Lorsqu’une modification de ce type se produit, vous avez accès aux données d’audit sur l’ordinateur client. Vous pouvez également utiliser une stratégie pour empêcher les utilisateurs de reclasser des données. Dans Windows 10, la fonctionnalité EDP inclut également des contrôles de stratégie qui vous permettent de définir les applications qui ont accès aux données métiers, et même celles qui ont accès au réseau privé virtuel (VPN) de l’entreprise.
Pour gérer EDP, vous utilisez les mêmes outils de gestion système que ceux que vous utilisez probablement déjà pour gérer vos ordinateurs clients Windows, tels que le Gestionnaire de Configuration et Intune. Pour plus d’informations sur EDP, voir Vue d’ensemble de la protection des données d’entreprise.
Améliorations dans BitLocker
Le nombre d’ordinateurs portables volés chaque année étant considérable, la protection des données inactives doit être une priorité pour tous les services informatiques. Depuis 2004, Microsoft fournit une solution de chiffrement appelée BitLocker directement dans Windows. Si votre dernière expérience de BitLocker date de Windows 7, vous constaterez que la facilité de gestion et les fonctionnalités SSO qui manquaient précédemment sont désormais incluses dans Windows 10. Ces améliorations ainsi que d’autres font de BitLocker l’un des meilleurs choix sur le marché de la protection des données sur des appareils Windows. Windows 10 s’appuie sur les améliorations de BitLocker apportées dans les systèmes d’exploitation Windows 8.1 et Windows 8 pour rendre BitLocker plus facile à gérer et pour simplifier encore son déploiement.
Microsoft a apporté les principales améliorations suivantes à BitLocker :
Chiffrement automatique de lecteur via le chiffrement de l’appareil. Par défaut, BitLocker est automatiquement activé sur les nouvelles installations de Windows 10 si l’appareil a réussi le test des exigences de chiffrement de l’appareil du kit de certification de matériel Windows. Une grande partie des ordinateurs compatibles Windows 10 satisfont cette exigence. Cette version de BitLocker s’appelle Chiffrement de l’appareil. Chaque fois que les appareils sur lesquels le chiffrement de lecteur est activé rejoignent votre domaine, les clés de chiffrement peuvent être déposées dans Active Directory ou MBAM.
Améliorations de MBAM. MBAM fournit une console de gestion simplifiée pour l’administration de BitLocker. Elle simplifie également les demandes de récupération en fournissant un portail en libre-service via lequel les utilisateurs peuvent récupérer leurs lecteurs sans appeler l’assistance technique.
Authentification unique (SSO). BitLocker pour Windows 7 nécessitait souvent l’utilisation d’un code confidentiel avant le démarrage pour accéder à la clé de chiffrement du lecteur protégé et permettre à Windows de démarrer. Dans Windows 10, l’authentification préalable au démarrage basée sur l’entrée utilisateur (en d’autres termes, un code confidentiel) n’est pas obligatoire car le TPM gère les clés. En outre, le matériel moderne atténue souvent les attaques par démarrage à froid (par exemple, les attaques par accès direct en mémoire basées sur le port) qui auparavant nécessitaient une protection par code confidentiel. Pour plus d’informations sur la manière d’identifier quels cas et types d’appareil nécessitent l’utilisation de la protection par code confidentiel, reportez-vous à Contre-mesures BitLocker.
Chiffrement de l’espace utilisé uniquement. Au lieu de chiffrer un disque entier, vous pouvez configurer BitLocker pour chiffrer uniquement l’espace utilisé sur un disque. Cette option réduit considérablement le délai de chiffrement global requis.
Protection d’identité et contrôle d’accès
Les informations d’identification utilisateur sont essentielles pour la sécurité globale du domaine d’une organisation. Jusqu’à Windows 10, les combinaisons de nom d’utilisateur et de mot de passe était le principal moyen pour une personne de prouver son identité à un ordinateur ou un système. Or les mots de passe sont faciles à voler et les attaquants peuvent les utiliser à distance pour usurper l’identité d’un utilisateur. Certaines organisations déploient des solutions basées sur une infrastructure à clé publique (PKI), telles que des cartes à puce, afin de remédier aux failles des mots de passe. Toutefois, en raison de la complexité et des coûts associés à ces solutions, elles sont rarement déployées et, même lorsqu’elles sont utilisées, elles le sont fréquemment uniquement pour protéger les ressources prioritaires telles que le VPN de l’entreprise. Windows 10 introduit les nouvelles fonctionnalités de protection d’identité et de contrôle d’accès qui remédient aux failles des solutions actuelles et peuvent efficacement éliminer le recours aux mots de passe utilisateur dans une organisation.
Windows 10 inclut également une fonctionnalité appelée Microsoft Passport, un nouveau mécanisme 2FA intégré directement dans le système d’exploitation. Les deux facteurs d’authentification combinent des informations que vous connaissez (par exemple, un code confidentiel), un appareil que vous possédez (par exemple, votre ordinateur, votre téléphone), ou des informations sur l’utilisateur (par exemple, la biométrie). Lorsque vous ouvrez une session sur un ordinateur, si Microsoft Passport est activé, il lui incombe de transmettre l’authentification de l’utilisateur sur le réseau, en fournissant l’expérience d’utilisation habituelle. Pour plus d’informations sur Microsoft Passport, voir la section Microsoft Passport.
Le facteur biométrique disponible pour Microsoft Passport est piloté par une autre nouvelle fonctionnalité de Windows 10 appelée Windows Hello. Windows Hello utilise une variété de capteurs biométriques pour accepter différents points de mesure biométrique, comme le visage, l’iris et les empreintes digitales, ce qui permet aux organisations de choisir parmi différentes options lorsqu’elles réfléchissent à ce qui est le plus adapté pour les utilisateurs et leurs appareils. En combinant Windows Hello avec Microsoft Passport, les utilisateurs n’ont plus besoin de se souvenir d’un mot de passe pour accéder aux ressources d’entreprise. Pour plus d’informations sur Windows Hello, voir la section Windows Hello.
Enfin, Windows 10 utilise VBS pour isoler le service Windows responsable de la gestion et de la transmission des informations d’identification dérivées d’un utilisateur (par exemple, ticket Kerberos, hachage NTLM) par le biais d’une fonctionnalité appelée Credential Guard. Outre l’isolation du service, le TPM protège les données des informations d’identification pendant l’exécution de l’ordinateur et même lorsqu’il est éteint. Credential Guard fournit une stratégie complète pour protéger les informations d’identification dérivées de l’utilisateur lors de l’exécution, mais aussi pendant l’inactivité, les empêchant ainsi d’être accessibles et utilisées dans les attaques de type pass-the-hash. Pour plus d’informations sur Credential Guard, voir la section Credential Guard .
Microsoft Passport
Les sociétés ont toujours atténué le risque de vol des informations d’identification en implémentant 2FA. Dans cette méthode, le processus d’ouverture de session est renforcé en combinant des informations que vous connaissez (par exemple, un code confidentiel), un appareil que vous possédez (généralement une carte à puce ou un jeton), ou éventuellement des informations sur l’utilisateur (par exemple, la biométrie). En plus des informations que vous connaissez, il existe un facteur supplémentaire qui oblige le voleur d’informations d’identification à obtenir un appareil physique ou, dans le cas de la biométrie, l’utilisateur réel.
Microsoft Passport introduit un mécanisme 2FA fort intégré directement dans Windows. De nombreuses organisations utilisent 2FA aujourd’hui mais n’intègrent pas ses fonctionnalités dans leur organisation en raison des frais et du temps nécessaires pour le faire. En conséquence, la plupart des organisations utilisent MFA uniquement pour sécuriser les connexions VPN et les ressources à plus forte valeur ajoutée sur leur réseau, puis utilisent les mots de passe traditionnels pour l’ouverture de session sur les appareils et pour naviguer sur le reste du réseau. Microsoft Passport n’est pas comme les autres formes de solutions 2FA, car Microsoft l’a conçu spécifiquement pour remédier aux problèmes de complexité, de coût et d’expérience utilisateur des solutions 2FA traditionnelles. Ainsi, il est facile à déployer dans l’entreprise sur l’ensemble de l’infrastructure et des appareils existants.
Microsoft Passport peut utiliser les informations de biométrie de Windows Hello ou un code confidentiel unique avec des clés de signature cryptographique dans le TPM de l’appareil. Pour les organisations qui n’ont pas d’infrastructure à clé publique existante, le TPM (ou Windows, lorsqu’aucun TPM n’est présent) peut générer et protéger ces clés. Si votre organisation a une infrastructure à clé publique sur site ou souhaite en déployer une, vous pouvez utiliser des certificats à partir de celle-ci pour générer les clés, puis les stocker dans le TPM. Lorsque l’utilisateur a enregistré l’appareil et utilise Windows Hello ou un code confidentiel pour se connecter à l’appareil, la clé privée Microsoft Passport traite toutes les demandes suivantes d’authentification. Microsoft Passport combine la flexibilité de déploiement de cartes à puce virtuelles avec la sécurité robuste de cartes à puce physiques sans nécessiter les composants d’infrastructure supplémentaires nécessaires aux déploiements traditionnels de cartes à puce et des matériels comme les cartes et les lecteurs.
Dans Windows 10, le facteur physique d’authentification est l’appareil de l’utilisateur (son ordinateur ou son téléphone mobile). À l’aide de la nouvelle fonctionnalité de connexion du téléphone disponible dans sa version d’évaluation pour les Windows Insiders au début de l’année 2016, les utilisateurs peuvent déverrouiller leur ordinateur sans même le toucher. Les utilisateurs s’inscrivent simplement par téléphone avec Microsoft Passport en l’associant à l’ordinateur via Wi-Fi ou Bluetooth et installent une application simple à utiliser sur leur téléphone qui leur permet de sélectionner l’ordinateur à déverrouiller. Une fois sélectionné, les utilisateurs peuvent entrer un code confidentiel ou leur identifiant biométrique à partir de leur téléphone pour déverrouiller leur ordinateur.
Windows Hello
Les mots de passe ne sont pas un mécanisme de contrôle d’accès et de protection d’identité fiable. Lorsqu’une organisation repose sur une authentification Windows par mot de passe, les attaquants ont seulement à déterminer une seule chaîne de texte pour accéder à ce qu’ils veulent sur un réseau d’entreprise protégé par ces informations d’identification. Or, les attaquants peuvent utiliser plusieurs méthodes pour récupérer le mot de passe d’un utilisateur, ce qui rend le vol d’informations d’identification relativement facile pour des personnes déterminées. En migrant vers un mécanisme MFA pour vérifier les identités des utilisateurs, les organisations peuvent éliminer les menaces représentées par les options à un seul facteur, comme les mots de passe.
Windows Hello est la fonctionnalité d’intégration biométrique de niveau entreprise de Windows 10. Cette fonctionnalité permet aux utilisateurs d’utiliser leur visage, leur iris ou une empreinte digitale plutôt qu’un mot de passe pour s’authentifier. Bien que les fonctionnalités d’ouverture de session biométrique existent depuis le système d’exploitation Windows XP, elles n’ont jamais été aussi faciles, transparentes et sécurisées que dans Windows 10. Lors des précédentes utilisations de la biométrie dans Windows, le système d’exploitation utilisait les informations biométriques uniquement pour déverrouiller l’appareil ; puis, en arrière-plan, le mot de passe traditionnel de l’utilisateur était utilisé pour accéder aux ressources sur le réseau de l’organisation. En outre, le service informatique devait exécuter un logiciel supplémentaire pour configurer les appareils biométriques pour la connexion à Windows ou aux applications. Windows Hello est intégré directement dans le système d’exploitation et par conséquent, il ne nécessite pas de logiciels supplémentaires pour fonctionner. Toutefois, comme toute autre connexion reposant sur la biométrie, Windows Hello nécessite un matériel spécifique pour fonctionner :
Reconnaissance faciale. Pour établir la reconnaissance faciale, Windows Hello utilise des appareils photo infrarouges spéciaux et une technologie anti-usurpation pour faire efficacement la différence entre une photographie et une personne vivante. Cette condition permet de s’assurer que personne ne peut prendre l’ordinateur d’un autre et usurper son identité simplement en obtenant une image haute définition. De nombreux fabricants proposent déjà des modèles d’ordinateurs qui incluent ce type d’appareil photo et sont donc compatibles avec Windows Hello. Pour les ordinateurs qui ne sont pas encore équipés de ces appareils photos spéciaux, plusieurs appareils photo externes sont disponibles.
Reconnaissance des empreintes digitales. Les capteurs d’empreintes digitales existent déjà dans un grand pourcentage d’ordinateurs grand public et professionnels. La plupart de ces capteurs (externes ou intégrés dans des ordinateurs portables ou des claviers USB) fonctionnent avec Windows Hello. La technologie de détection et de prévention d’usurpation d’identité disponible dans Windows 10 est bien plus avancée que dans les versions précédentes de Windows. Ainsi, les attaquants ont bien plus de difficultés à duper le système d’exploitation.
Reconnaissance de l’iris. Comme la reconnaissance faciale, la reconnaissance basée sur l’iris utilise des appareils photo infrarouges et une technologie de prévention d’usurpation d’identité pour faire efficacement la différence entre l’iris de l’utilisateur et un imposteur. La reconnaissance de l’iris sera disponible d’ici la fin de l’année 2016 et peut également être intégrée dans les ordinateurs par des OEM et des fournisseurs indépendants de matériels.
Lorsque Windows Hello est combiné avec Microsoft Passport, les utilisateurs ont la même expérience SSO que lorsqu’ils se connectent avec des informations d’identification de domaine : ils utilisent simplement la biométrie à la place. En outre, dans la mesure où aucun mot de passe n’est utilisé, les utilisateurs n’appellent jamais le support technique en disant qu’ils ont oublié leur mot de passe. Pour usurper l’identité d’un utilisateur, un attaquant doit être physiquement en présence de l’utilisateur et en possession de l’appareil sur lequel cet utilisateur est configuré pour Windows Hello. Du point de vue de la confidentialité, les organisations peuvent être rassurées par le fait que les données biométriques utilisées par Windows Hello ne sont pas stockées de manière centralisée, ne peuvent pas être converties en images des empreintes digitales, de l’iris ou du visage de l’utilisateur, et sont conçues pour ne jamais quitter l’appareil. Finalement, Windows Hello et Microsoft Passport éliminent complètement le recours aux mots de passe pour les environnements Azure AD et Azure AD/Active Directory hybrides ainsi que les applications et services Web qui dépendent d’eux pour les services d’identité. Pour plus d’informations sur Microsoft Passport, voir la section Microsoft Passport.
Credential Guard
L’attaque pass-the-hash est l’attaque par informations d’identification dérivée la plus couramment utilisée aujourd’hui. Pour cette attaque, l’attaquant commence par extraire les informations d’identification dérivées d’un compte d’utilisateur (valeur de hachage) de la mémoire. Ensuite, à l’aide d’un produit comme Mimikatz, l’attaquant réutilise (transmet) ces informations à d’autres ordinateurs et ressources sur le réseau pour obtenir un accès supplémentaire. Microsoft a conçu Credential Guard spécifiquement pour éliminer le vol et l’abus des informations d’identification dérivées avec les attaques de type pass-the-hash.
Credential Guard est une nouvelle fonctionnalité de Windows 10 Enterprise qui emploie VBS pour protéger les informations d’identification de domaine contre le vol, même lorsque le système d’exploitation hôte est compromis. Pour parvenir à un tel niveau de protection, Credential Guard isole une partie du service LSA, qui est responsable de la gestion de l’authentification, dans un conteneur virtualisé. Ce conteneur est similaire à une machine virtuelle s’exécutant sur un hyperviseur. Mais il est extrêmement léger et contient uniquement les fichiers et composants nécessaires pour utiliser les services LSA et les autres services isolés. En isolant une partie du service SLA dans cet environnement virtualisé, les informations d’identification sont protégées même si le noyau du système est compromis, supprimant le vecteur d’attaque pour transmettre la valeur de hachage.
Pour plus d’informations sur la configuration matérielle requise pour Credential Guard, voir la section Considérations matérielles relatives à Windows 10. Pour plus d’informations sur VBS dans Windows 10, voir la section Sécurité basée sur la virtualisation.
Remarque
Dans la mesure où Credential Guard requiert un mode utilisateur isolé et un hyperviseur Hyper-V, vous ne pouvez pas la configurer sur une machine virtuelle, mais seulement sur un ordinateur physique.
La fonctionnalité Credential Guard permet de résister aux techniques d’attaque de type « pass-the-hash » et « pass-the-ticket ». En utilisant une option MFA telle que Microsoft Passport avec Credential Guard, vous pouvez obtenir une protection supplémentaire contre ce type de menaces. Pour des informations plus détaillées sur le fonctionnement de la fonctionnalité Credential Guard et la prévention spécifique qu’elle fournit, voir Protéger les informations d’identification de domaine dérivés avec Credential Guard.
Considérations relatives au matériel dans Windows 10
La plupart des fonctionnalités décrites dans cet article reposent sur un matériel spécifique pour optimiser leurs fonctionnalités. En achetant du matériel qui inclut ces fonctionnalités au cours de votre prochain cycle d’achat, vous pourrez tirer parti du package de sécurité client le plus complet offert par Windows 10. Il est essentiel de choisir soigneusement les fournisseurs de matériel et les modèles spécifiques à acheter pour constituer un portefeuille de sécurité client efficace pour l’organisation. Le tableau 1 contient une liste de chaque nouvelle fonctionnalité de sécurité Windows 10 et la configuration matérielle requise pour chacune.
Tableau 1. Configuration matérielle requise pour Windows 10
| Fonctionnalité de Windows 10 | Module de plateforme sécurisée (TPM) | Unité de gestion de mémoire d’entrée/sortie | Extensions de virtualisation | SLAT | UEFI 2.3.1 | Architecture x64 seulement |
|---|---|---|---|---|---|---|
| Credential Guard | R | N | O | O | O | O |
| Device Guard | N | O | O | O | O | O |
| BitLocker | R | N | N | N | N | N |
| Intégrité du code configurable | N | N | N | N | R | R |
| Microsoft Passport | R | N | N | N | N | N |
| Windows Hello | R | N | N | N | N | N |
| VBS | N | O | O | O | N | O |
| Démarrage sécurisé UEFI | R | N | N | N | O | N |
| Attestation d’intégrité de l’appareil par le biais du Démarrage mesuré | O* | N | N | N | O | O |
* Nécessite l’utilisation du module TPM 2.0.
Remarque
Dans ce tableau, R signifie recommandé, O signifie que le composant matériel est requis pour cette fonctionnalité de Windows 10, et N signifie que le composant matériel n’est pas utilisé avec cette fonctionnalité de Windows 10.
Rubriques associées
Caractéristiques techniques de Windows 10
BitLocker Countermeasures (Contre-mesures BitLocker)