X
Windows 10 booste sa sécurité
Loïc Duval / mercredi 24 janvier 2018 / Thèmes: Sécurité SI, Dossier

Windows 10 booste sa sécurité

…et autres nouveautés pour les entreprises

Avec sa Fall Creators Update, Microsoft renforce considérablement les défenses de Windows tout en intégrant encore un peu plus les scénarios BYOD et mobiles. Une mise à jour majeure sur laquelle les entreprises ne doivent pas faire l’impasse…

Windows 10 Fall Creators Update intègre une puissante fonctionnalité pour protéger vos données des ransomwares qui franchissent les autres protections intégrées.

Microsoft poursuit avec la régularité d’un métronome les mises à jour majeures bi-annuelles de Windows 10. Après une édition « Creators Update », plutôt orientée grand public, sortie en mars dernier, l’éditeur a, comme prévu, délivré mi-octobre sa « Fall Creators Update » (nom de code Redstone 3) aux fonctionnalités professionnelles renforcées malgré des annonces très grand public. Si l’objectif numéro un de cette mise à jour est de rendre la réalité mixte accessible à tous, force est de constater que Microsoft a également mis le paquet sur la sécurité du système et la protection des données.

La bonne nouvelle, c’est que ces protections ne sont pas dédiées à l’univers de l’entreprise et que tout un chacun peut bénéficier d’un renforcement considérable de ses défenses, notamment face aux ransomwares et aux exploits.

Un anti rançongiciel

Dans une année qui a vu les fléaux WannaCry, NotPetya, et bien d’autres rançongiciels paralyser des entreprises et effacer l’intégralité des documents et photos des utilisateurs, Microsoft ne pouvait guère rester sans réponse. Celle-ci se prénomme « Controlled Folder Access ». Une fois activée, cette fonctionnalité interdit l’accès aux dossiers sensibles de l’utilisateur à toute application non explicitement autorisée. L’utilisateur définit luimême les dossiers qui doivent ainsi être protégés de toute utilisation inappropriée. L’idée de base de cette défense, c’est qu’un code malveillant – qu’il s’agisse d’un exécutable, d’une DLL ou d’un script – et notamment tous ceux trop récents ou trop évolués pour être interceptés par Windows Defender, n’ait pas moyen d’accéder aux fichiers de l’utilisateur et par conséquent n’ait pas moyen de les chiffrer pour les prendre en otage.

Cette protection n’est pas activée par défaut et n’est pas non plus évidente à dénicher. En outre, elle est probablement totalement désactivée et inaccessible si vous utilisez un autre antivirus que Windows Defender sur votre PC. Pour y accéder, il faut aller dans Windows Defender, puis dans « Protection contre les virus et menaces » (l’icône juste sous l’Accueil) puis dans « Paramètres de protection contre les virus et menaces ». Repérez la section « Dispositif d’accès contrôlé aux dossiers ». Cliquez sur l’interrupteur pour l’activer.

Cette section propose deux options :

● « Dossiers protégés » permet de spécifier les dossiers dont l’accès sera contrôlé. Par défaut on y trouve les dossiers clés de l’utilisateur. Pensez à y ajouter OneDrive et vos autres dossiers importants ;

● « Autoriser une app … » : par défaut seules les applications réputées comme absolument saines par Microsoft sont autorisées à accéder aux dossiers ainsi protégés. Toutes les autres s’en voient refuser l’accès. L’utilisateur n’a donc pas d’alertes à affronter lorsqu’il utilise des applications comme Microsoft Office ou Adobe CC Suite. L’option est avant tout là pour autoriser des applications que vous avez créées vous-même ou des applications propres à l’entreprise et donc inconnues de Microsoft. Mais l’activation de cette fonctionnalité peut toutefois poser quelques incompatibilités notamment lors de l’installation de logiciels qui cherchent à placer des fichiers dans « Mes documents » ou une icône sur le bureau – si celui-ci a été intégré aux « Dossiers protégés ». Il faudra éventuellement la désactiver momentanément, le temps d’installer les logiciels dont vous avez besoin et que vous savez sains. Notez que cette difficulté d’installation ne semble pas exister avec les logiciels en provenance du Windows Store.

Avec Exploit Protection, Windows 10 intègre enfin les multiples boucliers de renforcement des configurations Windows jusqu’ici proposés via le très technique outil EMET.

Accessible à toutes les versions de Windows, la protection anti-ransomware a été cependant pensée pour l’entreprise. Elle peut se contrôler via les « Stratégies de Groupe », mais également via PowerShell et via les outils MDM comme Windows Intune. En outre, elle propose un mode « Audit » qui permet, avant de l’activer, d’étudier les dossiers et applications qui seront touchés par son activation sans entraîner de blocage.

Le retour d’EMET

EMET, acronyme de Enhanced Mitigation Experience Toolkit, est un outil né avec Windows XP SP3 que les administrateurs pouvaient télécharger et installer pour fortifier des postes Windows sensibles. Ce bouclier se voulait une défense contre l’exploitation de vulnérabilités zero-day au sein du système et des logiciels qu’il héberge. Sa présence pouvant influer sur l’expérience utilisateur ou la compatibilité de certains logiciels, EMET n’était pas un outil livré en standard mais réservé aux experts.

L’an dernier, Microsoft a non seulement annoncé que Windows 10 ne serait plus compatible avec EMET à partir de la Fall Creators Update, mais que le support de cette extension s’arrêterait en juillet 2018. Cette décision, très critiquée dans l’univers de la sécurité, a néanmoins une explication :

Les principales fonctionnalités d’EMET sont désormais intégrées dans Windows 10 au sein d’une série de boucliers anti-exploits regroupés sous l’appellation Windows Defender Exploit Guard (WDEG). Bien que portant l’étiquette « Windows Defender », et contrairement à l’anti-ransomware, WDEG reste accessible et utilisable avec la grande majorité des antivirus tierces. WDEG se dissimule derrière le nouvel onglet « Contrôle des applications et du navigateur » de Windows Defender sous l’option « Exploit protection ». Il suffit de cliquer sur « Paramètres d’Exploit protection » pour en découvrir les entrailles.

WDEG comporte deux volets : les paramètres système et les paramètres des programmes :

● Les réglages de l’onglet « Paramètres système » protègent Windows contre les principales techniques de perversion du système. La plupart des paramètres sont désormais activés par défaut – à l’exception de la randomisation des images système – et sont appliqués par défaut aux applications Win32.

● Les boucliers de l’onglet « Paramètres du programme » permettent d’augmenter la sécurité intrinsèque des applications Win32 « historiques » susceptibles de comporter de nombreuses failles. En théorie, toutes les applications Win32 plus récentes devraient être recompilées avec l’option Control Flow Guard activée – dans Visual Studio – qui évite bien des failles supervisées par Exploit Guard. Cet onglet permet aussi de désactiver, pour une application donnée, des paramètres Exploit Guard activés au niveau système lorsqu’ils génèrent des incompatibilités.

Les pirates vont désormais devoir contourner un nouveau bouclier dédié aux malwares dissimulés au sein des emails et des documents Office : Windows Attack Surface Reduction.

Rentrer dans le détail des 21 fortifications ajustables dépasse le cadre de cet article, mais vous pouvez vous référer à la documentation Microsoft (http://bit. ly/2mkWTaq). Pour les administrateurs habitués à EMET qui ont déjà défini une longue liste d’applications métier avec leurs fichiers paramètres EMET XML spécifiques, sachez que Microsoft fournit une commande PowerShell permettant de les convertir au format d’Exploit Guard : Get-ProcessMitigation.

ASR : bouclier dédié e-mail & Office

Parmi les nouvelles défenses regroupées sous la bannière Windows Defender Exploit Guard se trouve un nouveau bouclier dénommé Windows ASR (Attack Surface Reduction). Celui-ci se focalise uniquement sur Word, Excel, PowerPoint et OneNote ainsi que sur vos activités e-mails que vous utilisiez, Outlook ou un Webmail (Outlook.com, Gmail. com). D’une manière générale, ASR cherche à empêcher l’exécution de toutes ces menaces qui se cachent dans les pièces attachées ou les macros des documents Office infectés.

ASR se compose de sept règles comportementales que l’on peut activer/désactiver séparément :

● Block executable content from email client and webmail : interdit toute exécution de codes ou de scripts depuis Outlook ou un Webmail ;

● Block Office applications from creating child processes : interdit aux applications Office l’exécution de processus enfants ;

● Block Office applications from creating executable content : interdit la création depuis Office d’un contenu exécutable (DLL, scripts, exe, scr, etc.).

● Block Office applications from injecting code into other processes : interdit aux applications Office d’injecter du code dans d’autres processus ;

● Block JavaScript or VBScript from launching downloaded executable content : interdit aux scripts de lancer des programmes et autres contenus exécutables. Cette fonctionnalité s’étend au système, pas uniquement aux applications Office ;

● Block execution of potentially obfuscated scripts : interdit toute exécution de scripts contenant du code masqué. Cette fonctionnalité appelle l’API AMSI (AntiMalwareScanInterface) des antivirus pour déterminer si le script à exécuter contient des instructions qui ont volontairement été masquées pour cacher leur malveillance ;

● Block Win32 API calls from Office macro : interdit aux macros l’appel aux AP Win32. Autrement seules les macros Office manipulant des éléments Office pourront s’exécuter sans encombre. Toutes celles qui tentent d’accéder au système échoueront. C’est notamment vrai des ransomwares écrits en VBA et dissimulés sous forme de macros dans les .DOC et .XLS.

Windows Defender Application Guard se charge de lancer Edge dans un conteneur sécurisé dès qu’un collaborateur tente d’accéder à un site qui n’est pas dans la liste blanche définie par l’entreprise.

Il n’existe pas d’interface utilisateur dédiée à ASR. La fonctionnalité – disponible sur les versions Pro et Entreprise – s’administre uniquement via les stratégies de groupe, via PowerShell ou via les outils MDM, comme Windows Intune. Ce bouclier dispose d’un mode « audit » afin d’étudier l’impact de son activation au sein de votre organisation si vous décidez de l’activer. Un bémol toutefois, les règles d’ASR ne peuvent être activées que si les protections temps réel de Windows Defender le sont aussi, autrement dit uniquement si Windows Defender est l’antivirus principal de votre système.

WDAG : vers un Web sans danger…

Autre nouveauté essentielle, Windows Defender Application Guard (WDAG) cherche à apporter une réponse radicale aux menaces véhiculées par Internet, qu’il s’agisse de « drive by download » (téléchargements à l’insu de l’utilisateur), de scripts malveillants embarqués dans les pages, d’exploits via le Web ou encore de téléchargements impulsifs aussi malvenus que dangereux. La solution n’a en revanche aucun impact sur le Phishing et le vol d’identifiants par des pages Web.

Elle consiste simplement à faire en sorte que chaque fois qu’un employé utilise Internet Explorer ou Microsoft Edge pour accéder à un site autre que ceux placés dans la « liste blanche » des sites autorisés par l’entreprise, la navigation se réalise à travers une version « isolée » de Edge. Concrètement, Edge est en réalité lancé grâce à Hyper-V dans un conteneur sans que l’utilisateur n’en ait la perception. Toute infection sera donc cantonnée au conteneur qui est anonymisé et qui est détruit à la fermeture du navigateur. La fonctionnalité n’est disponible que dans les éditions « Entreprise » de Windows 10 et ne fonctionne que sur des PC supportant la virtualisation – autrement dit dotés de processeurs 64 bits supportant Intel VT-x ou AMD-V. Microsoft ne conseille l’activation de cette protection que sur des PC dotés d’au moins 8 Go de RAM, d’un SSD et d’un processeur quad-core.

Le service Windows Defender Advanced Threat Protection et sa console de supervision de la sécurité des endpoints deviennent de plus en plus incontournables.

Cette fonctionnalité s’implémente au travers des Stratégies de groupe, de System Center Configuration Manager ou des outils MDM, ce qui la rend compatible avec les PC Byod non joints au domaine.

Indispensable ATP

Toutes ses nouvelles défenses ont un point commun. Elles ont été pensées pour être supervisées au travers de Windows Defender Advanced Threat Protection (ATP). Elles ne font que renforcer la perspicacité des analyses d’ATP et la pertinence des tableaux de bord de surveillance de la sécurité de vos postes. ATP a été créé à l’origine, à la mi-2016, comme une solution d’analyse post brèche de sécurité, autrement dit comme un outil d’investigation et de réponse. Quand tout a échoué, ATP permet de déterminer quelle est la brèche utilisée, comment a-t-elle été utilisée et à quelles fins elle est utilisée par les pirates. Les capteurs d’ATP sont intégrés au cœur de Windows 10, ce qui évite le déploiement d’agents sur les postes. La solution globale s’appuie sur un service hébergé sur Azure, et sur Azure Active Directory. Ce dernier fournit une console qui agrège les logs sécurité provenant de vos postes, fournit un tableau de bord de votre sécurité, envoie des alertes en cas d’événements critiques et utilise la base de connaissances de Microsoft pour détecter les failles et compromissions.

Avec Windows 10 Fall Creators Update, ATP passe à la vitesse supérieure en offrant des tableaux de bord plus visuels et parlants – grâce à l’intégration de PowerBI – et en récupérant toutes les informations et signaux remontés par WDEG, WDAG, ASR et Controlled Folders. Les nouveaux tableaux de bord aident à identifier les points faibles de vos PC et affichent des scores de protection par machine. De nouveaux événements et de nouvelles alertes font leur apparition par exemple lorsqu’un employé force l’affichage d’un site interdit par la protection SmartScreen, lorsque des connexions sont bloquées par Windows Firewall, lorsque Windows Defender détecte un code douteux, lorsque Windows Defender Application Guard isole ou bloque une attaque confinée au sein d’un conteneur, etc.

Bref, ATP permet une vision globale des attaques, risques et autres événements de sécurité captés par tous les boucliers au cœur de Windows 10. C’est un tableau de bord de la sécurité d’autant plus essentiel qu’il couvre désormais les serveurs Windows Server et s’ouvre à d’autres plates-formes. Microsoft vient en effet d’annoncer des partenariats avec Bitdefender pour remonter les incidents GravityZone Cloud détectés sur Mac OS X et Linux dans ATP, Ziften et sa plate-forme Zenith pour Mac OS X et Linux, ainsi que Lookout, pour les incidents sur les plates-formes mobiles Android et iOS également remontés vers ATP.

D’autres améliorations

Outre les innovations présentées ci-dessus, Microsoft a également renforcé les fonctionnalités de sécurité existantes. Windows Defender gagne en carrure puisque ses détections cloud sont désormais boostées par l’IA du Microsoft Intelligent Security Graph (ISG) afin de mieux contrer les menaces polymorphiques. Les PC servant de kiosque – grâce à la fonctionnalité « Windows Assigned Access »  – gagnent en simplicité avec des fonctions d’administration distante via le Cloud et la possibilité de lancer plusieurs Apps en mode Kiosque – jusqu’ici restreint à une seule app. Et Windows Hello se voit enrichi de nouveaux mécanismes d’authentification multi facteurs avec la prise en charge des capteurs de proximité, d’Intel Authenticate et de la fonction Dynamic Lock (verrouillage automatique du PC dès que l’utilisateur s’éloigne).

Bref, comme on le voit, la Fall Creators Update constitue une mise à jour majeure de Windows, notamment pour toutes les entreprises, petites, moyennes ou grandes, conscientes des enjeux de sécurité. Plus que suffisant pour l’adopter fissa…


Windows AutoPilot

La sortie de Windows 10 Fall Creators Update donne l’occasion à Microsoft d’introduire un nouveau service fourni dans son offre Microsoft 365 : Windows AutoPilot. Ce service permet de déployer en self-service une configuration système (applications comprises) via le cloud. Lorsque l’utilisateur reçoit un nouveau PC, celui-ci se configure automatiquement selon les spécifications de l’entreprise, même s’il n’est pas joint à un domaine (enrôlement automatique via Windows Intune). Les configurations peuvent être poussées en fonction de l’utilisateur ce qui fait que si le PC est réassigné à un nouvel utilisateur, AutoPilot lui poussera automatiquement la configuration adéquate.


Des nouveautés grand public

Fall Creators Update, c’est aussi un ensemble de nouvelles fonctionnalités grand public qui peuvent trouver leur place en entreprise. C’est par exemple le cas de l’annotation des PDF sous Edge ou encore de Story Remix, un outil de diaporama et mise en animation de vos photos qui n’est pas sans rappeler le Memories de l’iPhone ou l’excellent et abandonné Microsoft Photo Story 3. Autre nouveauté majeure, OneDrive Files On Demand qui restaure une fonctionnalité Windows 8 jusqu’ici perdue : celle de pouvoir voir le contenu intégral du dossier OneDrive et non uniquement les fichiers synchronisés. De quoi gagner de la place sur son PC portable. Enfin, la fonction « Localiser mon PC » (pour traquer la dernière position connue de son appareil Windows) s’enrichit d’une fonction « Où est mon stylet ? » bien pratique pour tous ceux qui utilisent le stylet sur leur Surface.


Passer d’un device à l’autre

Windows 10 Fall Creators Update marque un premier pas dans la mise en place d’expériences utilisateurs cross-devices les plus fluides possibles. Si la fonctionnalité Timeline promise n’apparaîtra pas avant la prochaine mise à jour, Redstone 4, en mars prochain, on peut déjà poursuivre sur PC ses navigations web débutées sur mobile en installant Edge pour iOS et Android. Et les développeurs peuvent exploiter les nouvelles API facilitant les échanges multi-devices. L’application tierce Roamit les exploite pour offrir un copier/coller de n’importe quoi entre plusieurs machines – des PC mais aussi mobiles Android. À découvrir sur : roamit.ghiasi.net


La réalité mixte se concrétise

Windows 10 Fall Creators Update marque aussi le lancement officiel des premiers casques Windows Mixed Reality. Ces casques de réalité virtuelle embarquent des capteurs scannant l’environnement pour éviter d’avoir à placer des caméras autour de soi et permettre une plus grande mobilité casque sur la tête. Attention, si ces casques font un fantastique cadeau de Noël, ils réclameront souvent une mise à jour de votre équipement. Une app Windows Store permet de vérifier la compatibilité de votre matériel : Windows Mixed Reality PC Check. Lien : https://www.microsoft.com/store/productId/9NZVL19N7CNC

7388

x
Rechercher dans les dossiers

Actuellement à la Une...
Après Oodrive en janvier, c’est au tour de Outscale d’obtenir la précieuse qualification SecNumCloud, délivrée par l’Anssi. Outre la reconnaissance des engagements de la filiale de Dassault Systèmes en matière de sécurité, ce « visa de sécurité » est surtout un argument dont Outscale pourra se targuer auprès de ses clients.

Big Blue est réputée pour ses avancées technologiques développées dans ses laboratoires. IBM Research a encore frappé avec un nouvel algorithme capable de synthétiser les réseaux de neurones profonds.

Le Cloud pour les grandes entreprises de Dell Technologies se rénove pour apporter une meilleure gestion du stockage et une meilleure visibilité sur les coûts.

Compuware vient de rendre publique une étude réalisée pour son compte par Vanson Bourne auprès de 400 responsables informatiques dans le monde. Le principal résultat est que seulement 7 % des entreprises ont automatisé leurs tests d’applications sur mainframe.

Pour beaucoup d’applications, un faible temps de latence reste un critère essentiel. Aussi le Cloud Amazon va multiplier ses implantations de petits datacentres au plus près de ses clients.

Sous la contrainte de la norme DSP2, le secteur bancaire est contraint d’évoluer vers des opérations plus ouvertes vers l’extérieur en suivant un concept relativement nouveau, l’Open Banking. HSBC s’appuie sur la plate-forme de Mulesoft pour créer de nouveaux services et mieux servir ses 38 millions de clients.

Si financièrement le temps n’est pas au beau fixe pour l’équipementier, il tente de rassurer à l’occasion de son évènement londonien, et mise sur l’intelligence artificielle, avec Mist sur la partie WLAN, pour renouer avec la croissance.

C’est une première : un outil développé dans le cadre du « Data Transfer Project » va être mis à disposition du public pour transférer des fichiers personnels entre deux grandes plates-formes, directement, sans téléchargement intermédiaire. Une pratique qui devrait se généraliser rapidement.

GitHub a sorti une nouvelle version en bêta de son service Actions. Publié pour la première fois en 2018, il est voué à l’organisation de workflows en liaison avec des événements. Sa principale nouveauté est le support de l’intégration et du déploiement en continu (CI/CD). La version finalisée était attendue pour la mi-novembre 2019. Article paru dans L'Informaticien n°181.

L’emblématique constructeur de voitures de sport certifie ses véhicules à la revente avec la blockchain de Salesforce. Celle-ci avait déjà servi à certifier une Lamborghini Aventador S comme une œuvre d’art.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs