X
Windows 10 booste sa sécurité
Loïc Duval / mercredi 24 janvier 2018 / Thèmes: Sécurité SI, Dossier

Windows 10 booste sa sécurité

…et autres nouveautés pour les entreprises

Avec sa Fall Creators Update, Microsoft renforce considérablement les défenses de Windows tout en intégrant encore un peu plus les scénarios BYOD et mobiles. Une mise à jour majeure sur laquelle les entreprises ne doivent pas faire l’impasse…

Windows 10 Fall Creators Update intègre une puissante fonctionnalité pour protéger vos données des ransomwares qui franchissent les autres protections intégrées.

Microsoft poursuit avec la régularité d’un métronome les mises à jour majeures bi-annuelles de Windows 10. Après une édition « Creators Update », plutôt orientée grand public, sortie en mars dernier, l’éditeur a, comme prévu, délivré mi-octobre sa « Fall Creators Update » (nom de code Redstone 3) aux fonctionnalités professionnelles renforcées malgré des annonces très grand public. Si l’objectif numéro un de cette mise à jour est de rendre la réalité mixte accessible à tous, force est de constater que Microsoft a également mis le paquet sur la sécurité du système et la protection des données.

La bonne nouvelle, c’est que ces protections ne sont pas dédiées à l’univers de l’entreprise et que tout un chacun peut bénéficier d’un renforcement considérable de ses défenses, notamment face aux ransomwares et aux exploits.

Un anti rançongiciel

Dans une année qui a vu les fléaux WannaCry, NotPetya, et bien d’autres rançongiciels paralyser des entreprises et effacer l’intégralité des documents et photos des utilisateurs, Microsoft ne pouvait guère rester sans réponse. Celle-ci se prénomme « Controlled Folder Access ». Une fois activée, cette fonctionnalité interdit l’accès aux dossiers sensibles de l’utilisateur à toute application non explicitement autorisée. L’utilisateur définit luimême les dossiers qui doivent ainsi être protégés de toute utilisation inappropriée. L’idée de base de cette défense, c’est qu’un code malveillant – qu’il s’agisse d’un exécutable, d’une DLL ou d’un script – et notamment tous ceux trop récents ou trop évolués pour être interceptés par Windows Defender, n’ait pas moyen d’accéder aux fichiers de l’utilisateur et par conséquent n’ait pas moyen de les chiffrer pour les prendre en otage.

Cette protection n’est pas activée par défaut et n’est pas non plus évidente à dénicher. En outre, elle est probablement totalement désactivée et inaccessible si vous utilisez un autre antivirus que Windows Defender sur votre PC. Pour y accéder, il faut aller dans Windows Defender, puis dans « Protection contre les virus et menaces » (l’icône juste sous l’Accueil) puis dans « Paramètres de protection contre les virus et menaces ». Repérez la section « Dispositif d’accès contrôlé aux dossiers ». Cliquez sur l’interrupteur pour l’activer.

Cette section propose deux options :

● « Dossiers protégés » permet de spécifier les dossiers dont l’accès sera contrôlé. Par défaut on y trouve les dossiers clés de l’utilisateur. Pensez à y ajouter OneDrive et vos autres dossiers importants ;

● « Autoriser une app … » : par défaut seules les applications réputées comme absolument saines par Microsoft sont autorisées à accéder aux dossiers ainsi protégés. Toutes les autres s’en voient refuser l’accès. L’utilisateur n’a donc pas d’alertes à affronter lorsqu’il utilise des applications comme Microsoft Office ou Adobe CC Suite. L’option est avant tout là pour autoriser des applications que vous avez créées vous-même ou des applications propres à l’entreprise et donc inconnues de Microsoft. Mais l’activation de cette fonctionnalité peut toutefois poser quelques incompatibilités notamment lors de l’installation de logiciels qui cherchent à placer des fichiers dans « Mes documents » ou une icône sur le bureau – si celui-ci a été intégré aux « Dossiers protégés ». Il faudra éventuellement la désactiver momentanément, le temps d’installer les logiciels dont vous avez besoin et que vous savez sains. Notez que cette difficulté d’installation ne semble pas exister avec les logiciels en provenance du Windows Store.

Avec Exploit Protection, Windows 10 intègre enfin les multiples boucliers de renforcement des configurations Windows jusqu’ici proposés via le très technique outil EMET.

Accessible à toutes les versions de Windows, la protection anti-ransomware a été cependant pensée pour l’entreprise. Elle peut se contrôler via les « Stratégies de Groupe », mais également via PowerShell et via les outils MDM comme Windows Intune. En outre, elle propose un mode « Audit » qui permet, avant de l’activer, d’étudier les dossiers et applications qui seront touchés par son activation sans entraîner de blocage.

Le retour d’EMET

EMET, acronyme de Enhanced Mitigation Experience Toolkit, est un outil né avec Windows XP SP3 que les administrateurs pouvaient télécharger et installer pour fortifier des postes Windows sensibles. Ce bouclier se voulait une défense contre l’exploitation de vulnérabilités zero-day au sein du système et des logiciels qu’il héberge. Sa présence pouvant influer sur l’expérience utilisateur ou la compatibilité de certains logiciels, EMET n’était pas un outil livré en standard mais réservé aux experts.

L’an dernier, Microsoft a non seulement annoncé que Windows 10 ne serait plus compatible avec EMET à partir de la Fall Creators Update, mais que le support de cette extension s’arrêterait en juillet 2018. Cette décision, très critiquée dans l’univers de la sécurité, a néanmoins une explication :

Les principales fonctionnalités d’EMET sont désormais intégrées dans Windows 10 au sein d’une série de boucliers anti-exploits regroupés sous l’appellation Windows Defender Exploit Guard (WDEG). Bien que portant l’étiquette « Windows Defender », et contrairement à l’anti-ransomware, WDEG reste accessible et utilisable avec la grande majorité des antivirus tierces. WDEG se dissimule derrière le nouvel onglet « Contrôle des applications et du navigateur » de Windows Defender sous l’option « Exploit protection ». Il suffit de cliquer sur « Paramètres d’Exploit protection » pour en découvrir les entrailles.

WDEG comporte deux volets : les paramètres système et les paramètres des programmes :

● Les réglages de l’onglet « Paramètres système » protègent Windows contre les principales techniques de perversion du système. La plupart des paramètres sont désormais activés par défaut – à l’exception de la randomisation des images système – et sont appliqués par défaut aux applications Win32.

● Les boucliers de l’onglet « Paramètres du programme » permettent d’augmenter la sécurité intrinsèque des applications Win32 « historiques » susceptibles de comporter de nombreuses failles. En théorie, toutes les applications Win32 plus récentes devraient être recompilées avec l’option Control Flow Guard activée – dans Visual Studio – qui évite bien des failles supervisées par Exploit Guard. Cet onglet permet aussi de désactiver, pour une application donnée, des paramètres Exploit Guard activés au niveau système lorsqu’ils génèrent des incompatibilités.

Les pirates vont désormais devoir contourner un nouveau bouclier dédié aux malwares dissimulés au sein des emails et des documents Office : Windows Attack Surface Reduction.

Rentrer dans le détail des 21 fortifications ajustables dépasse le cadre de cet article, mais vous pouvez vous référer à la documentation Microsoft (http://bit. ly/2mkWTaq). Pour les administrateurs habitués à EMET qui ont déjà défini une longue liste d’applications métier avec leurs fichiers paramètres EMET XML spécifiques, sachez que Microsoft fournit une commande PowerShell permettant de les convertir au format d’Exploit Guard : Get-ProcessMitigation.

ASR : bouclier dédié e-mail & Office

Parmi les nouvelles défenses regroupées sous la bannière Windows Defender Exploit Guard se trouve un nouveau bouclier dénommé Windows ASR (Attack Surface Reduction). Celui-ci se focalise uniquement sur Word, Excel, PowerPoint et OneNote ainsi que sur vos activités e-mails que vous utilisiez, Outlook ou un Webmail (Outlook.com, Gmail. com). D’une manière générale, ASR cherche à empêcher l’exécution de toutes ces menaces qui se cachent dans les pièces attachées ou les macros des documents Office infectés.

ASR se compose de sept règles comportementales que l’on peut activer/désactiver séparément :

● Block executable content from email client and webmail : interdit toute exécution de codes ou de scripts depuis Outlook ou un Webmail ;

● Block Office applications from creating child processes : interdit aux applications Office l’exécution de processus enfants ;

● Block Office applications from creating executable content : interdit la création depuis Office d’un contenu exécutable (DLL, scripts, exe, scr, etc.).

● Block Office applications from injecting code into other processes : interdit aux applications Office d’injecter du code dans d’autres processus ;

● Block JavaScript or VBScript from launching downloaded executable content : interdit aux scripts de lancer des programmes et autres contenus exécutables. Cette fonctionnalité s’étend au système, pas uniquement aux applications Office ;

● Block execution of potentially obfuscated scripts : interdit toute exécution de scripts contenant du code masqué. Cette fonctionnalité appelle l’API AMSI (AntiMalwareScanInterface) des antivirus pour déterminer si le script à exécuter contient des instructions qui ont volontairement été masquées pour cacher leur malveillance ;

● Block Win32 API calls from Office macro : interdit aux macros l’appel aux AP Win32. Autrement seules les macros Office manipulant des éléments Office pourront s’exécuter sans encombre. Toutes celles qui tentent d’accéder au système échoueront. C’est notamment vrai des ransomwares écrits en VBA et dissimulés sous forme de macros dans les .DOC et .XLS.

Windows Defender Application Guard se charge de lancer Edge dans un conteneur sécurisé dès qu’un collaborateur tente d’accéder à un site qui n’est pas dans la liste blanche définie par l’entreprise.

Il n’existe pas d’interface utilisateur dédiée à ASR. La fonctionnalité – disponible sur les versions Pro et Entreprise – s’administre uniquement via les stratégies de groupe, via PowerShell ou via les outils MDM, comme Windows Intune. Ce bouclier dispose d’un mode « audit » afin d’étudier l’impact de son activation au sein de votre organisation si vous décidez de l’activer. Un bémol toutefois, les règles d’ASR ne peuvent être activées que si les protections temps réel de Windows Defender le sont aussi, autrement dit uniquement si Windows Defender est l’antivirus principal de votre système.

WDAG : vers un Web sans danger…

Autre nouveauté essentielle, Windows Defender Application Guard (WDAG) cherche à apporter une réponse radicale aux menaces véhiculées par Internet, qu’il s’agisse de « drive by download » (téléchargements à l’insu de l’utilisateur), de scripts malveillants embarqués dans les pages, d’exploits via le Web ou encore de téléchargements impulsifs aussi malvenus que dangereux. La solution n’a en revanche aucun impact sur le Phishing et le vol d’identifiants par des pages Web.

Elle consiste simplement à faire en sorte que chaque fois qu’un employé utilise Internet Explorer ou Microsoft Edge pour accéder à un site autre que ceux placés dans la « liste blanche » des sites autorisés par l’entreprise, la navigation se réalise à travers une version « isolée » de Edge. Concrètement, Edge est en réalité lancé grâce à Hyper-V dans un conteneur sans que l’utilisateur n’en ait la perception. Toute infection sera donc cantonnée au conteneur qui est anonymisé et qui est détruit à la fermeture du navigateur. La fonctionnalité n’est disponible que dans les éditions « Entreprise » de Windows 10 et ne fonctionne que sur des PC supportant la virtualisation – autrement dit dotés de processeurs 64 bits supportant Intel VT-x ou AMD-V. Microsoft ne conseille l’activation de cette protection que sur des PC dotés d’au moins 8 Go de RAM, d’un SSD et d’un processeur quad-core.

Le service Windows Defender Advanced Threat Protection et sa console de supervision de la sécurité des endpoints deviennent de plus en plus incontournables.

Cette fonctionnalité s’implémente au travers des Stratégies de groupe, de System Center Configuration Manager ou des outils MDM, ce qui la rend compatible avec les PC Byod non joints au domaine.

Indispensable ATP

Toutes ses nouvelles défenses ont un point commun. Elles ont été pensées pour être supervisées au travers de Windows Defender Advanced Threat Protection (ATP). Elles ne font que renforcer la perspicacité des analyses d’ATP et la pertinence des tableaux de bord de surveillance de la sécurité de vos postes. ATP a été créé à l’origine, à la mi-2016, comme une solution d’analyse post brèche de sécurité, autrement dit comme un outil d’investigation et de réponse. Quand tout a échoué, ATP permet de déterminer quelle est la brèche utilisée, comment a-t-elle été utilisée et à quelles fins elle est utilisée par les pirates. Les capteurs d’ATP sont intégrés au cœur de Windows 10, ce qui évite le déploiement d’agents sur les postes. La solution globale s’appuie sur un service hébergé sur Azure, et sur Azure Active Directory. Ce dernier fournit une console qui agrège les logs sécurité provenant de vos postes, fournit un tableau de bord de votre sécurité, envoie des alertes en cas d’événements critiques et utilise la base de connaissances de Microsoft pour détecter les failles et compromissions.

Avec Windows 10 Fall Creators Update, ATP passe à la vitesse supérieure en offrant des tableaux de bord plus visuels et parlants – grâce à l’intégration de PowerBI – et en récupérant toutes les informations et signaux remontés par WDEG, WDAG, ASR et Controlled Folders. Les nouveaux tableaux de bord aident à identifier les points faibles de vos PC et affichent des scores de protection par machine. De nouveaux événements et de nouvelles alertes font leur apparition par exemple lorsqu’un employé force l’affichage d’un site interdit par la protection SmartScreen, lorsque des connexions sont bloquées par Windows Firewall, lorsque Windows Defender détecte un code douteux, lorsque Windows Defender Application Guard isole ou bloque une attaque confinée au sein d’un conteneur, etc.

Bref, ATP permet une vision globale des attaques, risques et autres événements de sécurité captés par tous les boucliers au cœur de Windows 10. C’est un tableau de bord de la sécurité d’autant plus essentiel qu’il couvre désormais les serveurs Windows Server et s’ouvre à d’autres plates-formes. Microsoft vient en effet d’annoncer des partenariats avec Bitdefender pour remonter les incidents GravityZone Cloud détectés sur Mac OS X et Linux dans ATP, Ziften et sa plate-forme Zenith pour Mac OS X et Linux, ainsi que Lookout, pour les incidents sur les plates-formes mobiles Android et iOS également remontés vers ATP.

D’autres améliorations

Outre les innovations présentées ci-dessus, Microsoft a également renforcé les fonctionnalités de sécurité existantes. Windows Defender gagne en carrure puisque ses détections cloud sont désormais boostées par l’IA du Microsoft Intelligent Security Graph (ISG) afin de mieux contrer les menaces polymorphiques. Les PC servant de kiosque – grâce à la fonctionnalité « Windows Assigned Access »  – gagnent en simplicité avec des fonctions d’administration distante via le Cloud et la possibilité de lancer plusieurs Apps en mode Kiosque – jusqu’ici restreint à une seule app. Et Windows Hello se voit enrichi de nouveaux mécanismes d’authentification multi facteurs avec la prise en charge des capteurs de proximité, d’Intel Authenticate et de la fonction Dynamic Lock (verrouillage automatique du PC dès que l’utilisateur s’éloigne).

Bref, comme on le voit, la Fall Creators Update constitue une mise à jour majeure de Windows, notamment pour toutes les entreprises, petites, moyennes ou grandes, conscientes des enjeux de sécurité. Plus que suffisant pour l’adopter fissa…


Windows AutoPilot

La sortie de Windows 10 Fall Creators Update donne l’occasion à Microsoft d’introduire un nouveau service fourni dans son offre Microsoft 365 : Windows AutoPilot. Ce service permet de déployer en self-service une configuration système (applications comprises) via le cloud. Lorsque l’utilisateur reçoit un nouveau PC, celui-ci se configure automatiquement selon les spécifications de l’entreprise, même s’il n’est pas joint à un domaine (enrôlement automatique via Windows Intune). Les configurations peuvent être poussées en fonction de l’utilisateur ce qui fait que si le PC est réassigné à un nouvel utilisateur, AutoPilot lui poussera automatiquement la configuration adéquate.


Des nouveautés grand public

Fall Creators Update, c’est aussi un ensemble de nouvelles fonctionnalités grand public qui peuvent trouver leur place en entreprise. C’est par exemple le cas de l’annotation des PDF sous Edge ou encore de Story Remix, un outil de diaporama et mise en animation de vos photos qui n’est pas sans rappeler le Memories de l’iPhone ou l’excellent et abandonné Microsoft Photo Story 3. Autre nouveauté majeure, OneDrive Files On Demand qui restaure une fonctionnalité Windows 8 jusqu’ici perdue : celle de pouvoir voir le contenu intégral du dossier OneDrive et non uniquement les fichiers synchronisés. De quoi gagner de la place sur son PC portable. Enfin, la fonction « Localiser mon PC » (pour traquer la dernière position connue de son appareil Windows) s’enrichit d’une fonction « Où est mon stylet ? » bien pratique pour tous ceux qui utilisent le stylet sur leur Surface.


Passer d’un device à l’autre

Windows 10 Fall Creators Update marque un premier pas dans la mise en place d’expériences utilisateurs cross-devices les plus fluides possibles. Si la fonctionnalité Timeline promise n’apparaîtra pas avant la prochaine mise à jour, Redstone 4, en mars prochain, on peut déjà poursuivre sur PC ses navigations web débutées sur mobile en installant Edge pour iOS et Android. Et les développeurs peuvent exploiter les nouvelles API facilitant les échanges multi-devices. L’application tierce Roamit les exploite pour offrir un copier/coller de n’importe quoi entre plusieurs machines – des PC mais aussi mobiles Android. À découvrir sur : roamit.ghiasi.net


La réalité mixte se concrétise

Windows 10 Fall Creators Update marque aussi le lancement officiel des premiers casques Windows Mixed Reality. Ces casques de réalité virtuelle embarquent des capteurs scannant l’environnement pour éviter d’avoir à placer des caméras autour de soi et permettre une plus grande mobilité casque sur la tête. Attention, si ces casques font un fantastique cadeau de Noël, ils réclameront souvent une mise à jour de votre équipement. Une app Windows Store permet de vérifier la compatibilité de votre matériel : Windows Mixed Reality PC Check. Lien : https://www.microsoft.com/store/productId/9NZVL19N7CNC

8813

x
hardcore black fuck malay hijab fuck big black dick
Rechercher dans les dossiers

Actuellement à la Une...
Microsoft fait évoluer Excel afin de prendre en charge un nombre toujours plus grand de types de données. Outre les chiffres et les lettres, les informations Stock et Geography, le tableur va s’intégrer avec Power BI, améliorer Power Query et donner accès à des jeux de données issus de Wolfram.  

En juillet 2018, l’ESN française s’attaquait au marché nord-américain en procédant à l’acquisition de Syntel. Le rachat de cette entreprise américaine spécialisée dans les services applicatifs et principalement tournée vers les secteurs financiers coûtait à Atos la modique somme de 3,4 milliards de dollars. Le Français va pouvoir y rajouter 855 millions de dollars, montant de l’amende infligée par la justice américaine à Syntel, reconnue coupable de vol de propriété intellectuelle.

On prend les mêmes et on recommence ! La France est de nouveau confinée depuis cette nuit, et les attestations de déplacement dérogatoire font leur retour, sans grand changement puisqu’on retrouve les mêmes versions qu’en mars dernier, ainsi que l’application web générant un QR Code. La nouveauté se situe au niveau de l'application TousAntiCovid mise à jour à cette occasion.

[L1foCR] Un peu moins d’un an après avoir obtenu la qualification de sa région Secteur public par l’ANSSI, Outscale ouvre une seconde région qualifiée SecNumCloud, anticipant une forte croissance de la demande des administrations et collectivités. 

Le service d’accès Internet par satellite de Space X sera très prochainement lancé en Amérique du Nord. Starlink promet des débits entre 50 à 150 Mbps, non exempts de pertes de connectivité, à un tarif de 99 dollars par mois, auquel s’ajoute 499 dollars d’équipement et d’installation. 

Toutes les autres News
LIVRES BLANCS

Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


Tous les Livres Blancs