**Sécurité des bureaux **: Adoptez l'approche « Défense en profondeur »
L'approche « Défense en profondeur » représente une philosophie de sécurité complète, de celles qui participent à la protection de l'environnement informatique contre de nombreux vecteurs d'attaque.
Joshua Hoffman
Parmi les quelques constantes de l'informatique de bureau, l'une d'elles est que rien n'est jamais constant. Dans la plupart des cas, il s'agit d'une bonne chose. Le paysage en constante évolution de notre environnement informatique est le résultat de l'innovation et de la créativité. Il nous fournit de nouvelles manière d'interagir, de collaborer et de nous connecter au monde qui nous entoure.
Cependant, puisque le paysage de l'informatique de bureau évolue, le paysage de la sécurité de bureau évolue également. Et avec les changements de la nature des plates-formes et des données émergent de nouvelles menaces. Les professionnels de l'informatique doivent demeurer vigilants et conscients des pratiques et des outils disponibles pour contrer ces menaces.
L'approche « Défense en profondeur » de la sécurité des bureaux représente une philosophie de la sécurité. Il s'agit d'une approche qui participe à la protection de l'environnement informatique contre autant de vecteurs d'attaque potentiels et différents que possible. Nous étudierons des moyens de participer à la protection de votre environnement de bureau contre les logiciels indésirables et malveillants, nous découvrirons de nouvelles technologies visant à protéger les utilisateurs et les données en déplacement, ainsi que des outils qui aident les professionnels de l'informatique à gérer un environnement informatique varié.
Logiciels malveillants
Les criminels doués en technologies ne cessent jamais d'attaquer les ordinateurs de bureau. Malheureusement, cela se traduit par des tentatives de plus en plus créatives visant à tromper et forcer les utilisateurs finaux à installer des logiciels malveillants sur leurs ordinateurs. Heureusement, il existe différents outils disponibles pour aider à protéger les utilisateurs, ainsi que l'infrastructure à laquelle ces derniers sont connectés.
Le contrôle du compte utilisateur, ou UAC, est une fonctionnalité qui a été introduite pour la première fois sur Windows Vista. Ce contrôle aide les utilisateurs et les administrateurs à protéger l'accès aux droits d'administration au sein de l'environnement informatique de bureau. Les utilisateurs peuvent aisément travailler avec des privilèges d'utilisateur standard, les fonctions administratives de leurs ordinateurs étant isolées des logiciels malveillants pouvant tenter d'accéder aux données ou d'effectuer des tâches sans le consentement de l'utilisateur.
Windows 7 a apporté des améliorations importantes à l'UAC. L'expérience de l'utilisateur final a été améliorée par la réduction du nombre de fonctions administratives qui nécessitaient une élévation. Windows 7 a également introduit l'élévation automatique pour les exécutables Windows signés numériquement et de nouveaux modes de fonctionnement pour un contrôle plus précis des événements nécessitant une élévation explicite. Pour voir des descriptions plus détaillées de la manière dont UAC fonctionne pour protéger l'environnement informatique de bureau, consultez l'article de juillet 2009 signé Mark Russinovich, “Au cœur du contrôle de compte d'utilisateur Windows 7.”
AppLocker est une autre nouvelle fonctionnalité de Windows 7 qui permet aux administrateurs de préciser les programmes autorisés à s'exécuter dans leur environnement. AppLocker s'appuie sur les fondations introduites par les Stratégies de restriction logicielle (SRP) de Windows XP et Windows Vista. Les administrateurs peuvent autoriser ou refuser l'installation de certaines applications spécifiques sur leurs ordinateurs de bureau.
AppLocker dépasse les SRP en intégrant des règles basées sur les signatures numériques des applications. Les administrateurs peuvent ainsi identifier les applications dont ils ne veulent pas au sein de leur entreprise, sans devoir mettre à jour les règles à chaque fois qu'un attribut de ces programmes change (comme l'horodateur ou le numéro de version, par exemple). Le moteur de règles d'AppLocker offre également une bonne granularité (voir Figure 1). Les administrateurs peuvent ainsi construire des règles vastes qui permettent des exceptions si nécessaire.
.png)
Figure 1 Configuration d'AppLocker dans Windows 7
De plus, les règles AppLocker peuvent également être associées à un utilisateur ou à un groupe spécifique au sein d'une organisation. Cette facilité vous procure un niveau de contrôle spécifique, en adéquation avec les spécifications de conformité et de sécurité, pour valider et activer les utilisateurs autorisés à exécuter des applications spécifiques.
UAC et AppLocker offrent des mécanismes solides permettant de contrôler les applications qu'il est autorisé d'installer et d'utiliser sur n'importe quel ordinateur. Pour passer à l'étape suivante, ajoutez Forefront Client Security pour offrir un moteur antivirus et anti-espion puissant, ainsi qu'une protection des fichiers en temps réel. Si un élément malveillant parvient à pénétrer dans votre environnement informatique de bureau, les filtres (dont la mise à jour est permanente) inclus dans Forefront Client Security peuvent aider à non seulement détecter la menace, mais aussi à la neutraliser.
Les données en déplacement
L'un des changements les plus importants que nous ayons vu cette dernière décennie concerne l'espace réduit que l'informatique représente sur un ordinateur de bureau. Les ordinateurs portables, miniportables et le vaste assortiment de périphériques mobiles composent la majeure partie de notre plate-forme informatique. Les utilisateurs sont bien plus mobiles, ainsi que leurs données. Les avantages sont certainement importants, mais les risques associés sont également accrus. Les ordinateurs et autres périphériques portables ont plus de chances d'être perdus, oubliés ou volés, ce qui peut mettre des informations confidentielles dans des mains non autorisées.
Pour vous protéger et protéger vos utilisateurs contre la perte ou le vol de données, il existe un certain nombre d'options. Chiffrement de lecteur BitLocker (BitLocker, en version courte) permet d'empêcher un accès non autorisé à votre ordinateur portable ou miniportable. Les fichiers stockés sur le lecteur chiffré (voir Figure 2) sont protégés et inaccessibles aux utilisateurs non autorisés. Par le chiffrement des données sur un volume entier, par les vérifications d'intégrité des premiers composants de démarrage et par le choix d'un recours à un code PIN ou à une clé USB avec matériel de clé au démarrage, les utilisateurs et les administrateurs peuvent être plus confiants dans l'intégrité de leurs données en cas de perte ou de vol d'un périphérique mobile.
.png)
Figure 2 Le chiffrement de lecteur BitLocker verrouille les données au niveau du lecteur
Les ordinateurs portables et miniportables perdus ne sont qu'une partie du problème. Égarer des périphériques de stockage portables, comme des clés USB, est également assez courant. Les clés USB peuvent stocker de grandes quantités de données pour un coût réduit, ce qui en fait une option de stockage intéressante. Mais cela en fait également un moyen dangereux lorsqu'elles servent à stocker des informations sensibles. BitLocker To Go peut aider à combattre ce problème, en étendant la fonctionnalité BitLocker aux périphériques de stockage amovibles.
Par cette mobilité accrue des utilisateurs, il est important de protéger les données, non seulement lorsqu'elles sont stockées sur les périphériques physiques, mais aussi lors de leur voyage sur des réseaux publics. DirectAccessest une nouvelle fonctionnalité introduite dans Windows 7. Elle augmente la sécurité lors de la connexion à des réseaux d'entreprise pendant les déplacements.
En tirant parti des technologies basées sur les normes, comme IPsec (Internet Protocol Security) et IPv6 (Internet Protocol version 6), DirectAccess permet aux utilisateurs de se connecter aux réseaux d'entreprise à distance et sans problème, sans devoir recourir à une connexion VPN séparée. DirectAccess utilise également les méthodes de chiffrement IPsec, telles que les normes 3DES (Triple Data Encryption Standard) et AES (Advanced Encryption Standard), pour garantir la protection de ces données au cours de la transmission. Pour en savoir plus sur DirectAccess et sur les moyens d'améliorer son utilisation avec la Protection d'accès réseau, consultez la Colonne de juin 2010, Le petit câbleur de Joseph Davies.
Enfin, puisque de plus en plus de nos applications et de notre travail métier passent au nuage, il est encore plus critique que les navigateurs Web fournissent un environnement aussi sûr que possible pour le travail en ligne. La version à venir, Internet Explorer 9, s'appuiera sur les fondations solides des fonctionnalités de sécurité Internet, tout en fournissant également des améliorations bienvenues.
Par exemple, Internet Explorer 9 comprendra un filtre XSS de scripts intersites qui participera à détecter ce type d'attaque de plus en plus usité. Les attaques XSS visent à compromettre les sites Web légitimes via du code malveillant.
Si le filtre XSS d'Internet Explorer 9 découvre des vulnérabilités, il désactive les scripts dangereux. Internet Explorer 9 fournit également un filtre SmartScreen amélioré afin d'aider les utilisateurs à identifier et éviter des sites Web malveillants pouvant inclure des attaques par hameçonnage, programmes malveillants, etc. Pour en savoir plus sur Internet Explorer 9 et télécharger une version bêta.
Gestion rationalisée
En tant que professionnels de l'informatique, il est important que le déploiement, la gestion et la maintenance des technologies et des stratégies de sécurité restent aussi simples et efficaces que possible. Windows 7 offre un certain nombre d'outils visant à vous aider à rationaliser la gestion de votre infrastructure de sécurité de bureau.
Par exemple, les cmdlets Windows PowerShell sont à présent disponibles pour la Stratégie de groupe. À l'aide de cet interpréteur puissant de ligne de commande et ce langage de script, vous pouvez plus facilement automatiser et gérer de nombreuses tâches de stratégie de groupe. Vous pouvez créer des objets de stratégie de groupe, définir leur association avec les conteneurs Active Directory, configurer les paramètres de stratégie basées sur le registre, et bien plus encore. Cela vous aide à garantir que chaque ordinateur de bureau de votre environnement répond à la configuration de sécurité établie par les administrateurs.
Contrôler la manière dont les logiciels sont déployés au sein d'une entreprise afin d'empêcher l'introduction de logiciels potentiellement malveillants est essentiel. Le service d'installation ActiveX vous permet de gérer le déploiement des contrôles ActiveX à l'aide d'une stratégie de groupe. Vous pouvez ainsi vous assurer de pouvoir installer et gérer ces contrôles riches, qui améliorent l'expérience Web de l'utilisateur final, sans compromettre l'intégrité des contrôles de sécurité de l'ordinateur de bureau, tels que UAC.
Les attaques malveillantes continueront à s'adapter aux innovations de l'informatique de bureau. Cela dit, une approche Défense en profondeur complète de la sécurité participe à garantir que vos utilisateurs, ainsi que vos données professionnelles critiques, restent protégés.
.jpg)
Joshua Hoffmanest l'ancien rédacteur en chef de TechNet Magazine. À présent auteur et consultant indépendant, il conseille ses clients sur la technologie et le marketing orienté public. M. Hoffman est également rédacteur en chef de ResearchAccess.com, un site consacré à faire croître et enrichir la communauté de recherche du marché. Il habite à New York.