1. Livres & vidéos
  2. Windows 11
  3. Configuration de la sécurité Windows
Extrait - Windows 11 Installation et configuration (2e édition)
Extraits du livre
Windows 11 Installation et configuration (2e édition)
1 avis
Revenir à la page d'achat du livre

Configuration de la sécurité Windows

Protection des postes de travail Windows 11

Avec l’avènement des interconnexions entre les réseaux privés et publics, de plus en plus d’entreprises ouvrent leur système d’information à leurs partenaires. Il devient donc primordial de connaître les ressources critiques et de protéger les postes de travail fixes et itinérants des collaborateurs de l’entreprise. L’omniprésence d’un accès internet rend la protection constante obligatoire.

Lorsque l’administrateur souhaite mettre en place une architecture sécurisée, il doit tout d’abord connaître les forces en présence en évaluant ses propres compétences, rédiger une documentation détaillée du système d’information (SI) et maîtriser la prise en charge organisationnelle. La seconde étape consiste à oublier les stéréotypes pour se mettre à la place de l’attaquant, en essayant de connaître ses motivations : un employé mécontent, de l’espionnage pour obtenir des gains financiers, une réponse à un défi...

L’administrateur sécurité doit défendre tous les points de son SI en étant vigilant en permanence, alors que le pirate informatique peut choisir le point le plus faible en attaquant quand il le souhaite. Les différents réseaux doivent être contrôlés et sécurisés : le réseau local, le réseau distant et les partenaires professionnels du type extranet, afin de se prémunir d’une surveillance du réseau, d’une usurpation d’identité ou d’une modification des données...

La dernière version de Windows 11 poursuit ce combat sur les mêmes bases de sécurité que Windows 10, avec le contrôle d’accès utilisateur ou le Centre de notifications, mais apporte des améliorations sur les fonctionnalités de contrôle d’applications. Certaines fonctionnalités de Windows 10 sont toujours présentes : Credential Guard et Device Guard. En outre, la fonctionnalité WIP (Windows Information Protection) a remplacé EDP (Enterprise Data Protection). Grâce à celle-ci, l’administrateur peut créer...

Chiffrement des fichiers

La cryptographie est une science permettant de convertir des informations compréhensibles en informations codées, ceci afin de masquer le contenu pour le protéger. Le chiffrement est le procédé utilisé pour rendre incompréhensible une information tant que la clé de déchiffrement n’est pas connue.

Il existe deux principaux types de chiffrements :

  • Symétrique : clé unique permettant de chiffrer et déchiffrer un message.

  • Asymétrique : deux clés sont utilisées, la clé privée, gardée secrète, déchiffre l’information, tandis que la clé publique, fournie par exemple à un correspondant, sert au chiffrement de l’information par celui-ci.

Windows 11 utilise ces deux types de chiffrements pour protéger les données personnelles de l’utilisateur contre le vol de disques ou de médias amovibles comme les clés USB.

1. EFS

EFS (Encrypting File System) chiffre les fichiers sélectionnés de manière transparente sur une partition NTFS. Disponible depuis Windows 2000, uniquement dans les éditions Professionnel et Entreprise, ce système permet de partager un fichier chiffré en ajoutant les certificats EFS des utilisateurs ayant besoin d’y accéder.

Basé sur un chiffrement à clé publique, EFS peut chiffrer un dossier et tous les fichiers qu’il contient sans demander de mot de passe à l’utilisateur : la clé de déchiffrement est basée sur son compte et le mot de passe associé. En cas de copie ou de déplacement d’un fichier chiffré vers une partition non NTFS, celui-ci perdra son attribut de chiffrement.

EFS utilise une clé symétrique qui est elle-même chiffrée à l’aide de la clé publique de l’utilisateur. Un certificat, basé sur les clés publique et privée de celui-ci (chiffrement asymétrique) est stocké dans son profil.

Si un utilisateur ne possède pas la clé de déchiffrement lors de l’ouverture d’un fichier chiffré, un message « Accès refusé » apparaîtra.

La paire de clés publique et privée, d’une validité...

Gestion des mises à jour

La sécurité d’un système d’exploitation passe également par la correction de bugs dans celui-ci et l’ajout de fonctionnalités. Microsoft publie régulièrement des mises à jour pour son système d’exploitation phare. Avec la première version de Windows 11, l’entreprise avait annoncé une amélioration de la taille de celles-ci, avec un volume en baisse de 40 %. Microsoft a poursuivi sur cet axe avec la dernière version 24H2 : les mises à jour sont plus légères, seules les applications à mettre à jour sont téléchargées, les autres ayant été mises à jour par l’intermédiaire du Microsoft Store. Le temps d’installation a été optimisé de 45 % par rapport à la mise à jour 22H2, le temps de redémarrage de 39 %. Plusieurs processus fonctionnent en parallèle ; une mise en cache des éléments déjà examinés est faite et utilisée plus tard si besoin.

Les mises à jour sont maintenant regroupées selon leur objectif :

  • Mises à jour des fonctionnalités (précédemment appelées « mises à niveau ») : elles contiennent des révisions de sécurité et de qualité, mais aussi des ajouts et des modifications de fonctionnalités importantes. Alors qu’elles étaient auparavant publiées deux fois par an, Microsoft renoue avec une mise à jour de fonctionnalités annuelle avec Windows 11. D’ailleurs Windows 11 est une mise à jour de fonctionnalités de Windows 10.

  • Mises à jour qualité (appelée également Tuesday patch) : elles regroupent les mises à jour de sécurité, critiques et de pilotes. Elles sont généralement publiées le deuxième mardi de chaque mois (même si elles peuvent être publiées à tout moment si une faille hautement critique est décelée et exploitée). Ainsi, les administrateurs peuvent se préparer à l’application des correctifs, en début de semaine, et ainsi anticiper et corriger les problèmes éventuels....

Sécurité Windows

Pour aider l’utilisateur et l’administrateur à protéger les machines sous Windows 11, Microsoft propose un module regroupant plusieurs outils pour afficher l’état de la sécurité du poste et prendre les mesures adéquates : Sécurité Windows. Il est accessible depuis le panneau Paramètres, sous le menu Confidentialité et sécurité ou directement depuis le menu Démarrer en saisissant le mot-clé « sécurité » et en cliquant sur le résultat Sécurité Windows.

Le logiciel gérant la sécurité adopte désormais une interface épurée. Le menu situé à gauche est composé comme suit :

  • Le bouton Accueil affiche l’état de la sécurité du poste de travail.

  • Le bouton Protection contre les virus et menaces, symbolisé par un bouclier, affiche l’historique des menaces et permet d’obtenir les mises à jour de l’antivirus. De plus, les menaces potentielles nécessitant une action de l’utilisateur sont affichées.

  • Le bouton Protection du compte permet de sécuriser les informations de connexion et de configurer le verrouillage dynamique.

  • L’antenne Pare-feu et protection du réseau liste les connexions réseau, leur état (connecté/déconnecté), et permet de configurer le pare-feu du système. 

  • Le bouton Contrôle des applications et du navigateur affiche les paramètres du filtre Windows Defender SmartScreen pour les applications installées ainsi que le navigateur Edge. Il est possible d’installer Microsoft Defender Application Guard, une fonctionnalité qui isole des sites web ou des fichiers Office non fiables dans un conteneur virtuel isolé. C’est également dans cette rubrique que vous pourrez paramétrer Exploit Protection, une fonctionnalité à l’origine dans Microsoft EMET (Enhanced Mitigation Experience Toolkit) qui empêche le fonctionnement de nombreuses techniques d’attaque.

  • Le bouton Sécurité des appareils, symbolisé par un ordinateur portable, gère la sécurité de la couche de virtualisation Hyper-V.

  • Le bouton Performances et intégrité...

Sécurité dans Microsoft Edge

Microsoft Edge est le navigateur internet livré avec Windows 11. La sécurité est un point important de l’application :

  • Edge ne prend plus en charge les barres d’outils, les scripts Visual Basic et ActiveX qui étaient souvent exploités par les hackers. Les extensions utiliseront uniquement HTML5 et JavaScript.

  • Il est possible de s’authentifier sur un site internet via son compte Microsoft (code PIN et identification biométrique).

  • Le navigateur de Microsoft a été créé en utilisant le cycle de vie du développement de la sécurité (SDL) : Microsoft Edge empêche par exemple un code malveillant de s’exécuter dans une mémoire définie comme non exécutable.

  • SmartScreen vérifie le site visité par rapport à une liste de sites répertoriés comme malveillants.

  • Edge utilise la technique de sandboxing (bac à sable) : chaque onglet du navigateur est exécuté dans un processus isolé. Ainsi, les onglets ne peuvent pas interagir entre eux ni accéder aux ressources vitales du système.

  • La navigation InPrivate permet de visiter des sites internet sans laisser de traces.

  • On trouve également la protection contre le suivi (fonctionnalité de tracking) visant à empêcher un site de récupérer...

Windows Sandbox

La Windows Sandbox (Bac à sable Windows) est une fonctionnalité de sécurité intégrée dans Windows 10 et 11. Elle consiste en une machine virtuelle légère, réinitialisée à chaque ouverture, qui permet l’exécution d’applications, l’ouverture de fichiers et l’accès à Internet dans un environnement complètement isolé du système principal. En cas de danger, la sécurité ne sera pas compromise, l’infection ne pourra pas se répandre. De plus, comme cette machine virtuelle ne nécessite aucune configuration complexe, elle sera donc facile à mettre en place et à utiliser.

Elle comporte néanmoins quelques limitations :

  • Une seule instance pourra être exécutée.

  • Elle utilisera les fichiers du système principal. Il n’est donc pas possible d’exécuter une Sandbox avec une autre version de Windows.

  • Certaines fonctionnalités Windows ne sont pas prises en charge : les fonctionnalités facultatives, le Microsoft Store, le Bloc-notes…

1. Installation

Pour utiliser la fonctionnalité Bac à sable, votre machine nécessite quelques prérequis :

  • La virtualisation doit être disponible et activée dans le BIOS/UEFI.

  • Windows 11 édition Professionnel, Entreprise...

Contrôle des applications avec AppLocker

Le contrôle des applications installées et sous licence sur les postes d’une entreprise est un enjeu majeur pour tout administrateur système. Face à ce défi, Microsoft propose la fonctionnalité AppLocker, qui restreint l’exécution et l’installation des logiciels définies depuis un serveur Windows sur des clients Windows 8.1 (Entreprise), Windows 10 et 11. Il en résulte une réduction de la charge d’administration et un contrôle accru des types de fichiers exécutables, évitant ainsi la propagation des logiciels malveillants, comme les chevaux de Troie.

AppLocker combine l’inventaire et la standardisation des applications, la protection contre les logiciels non autorisés et la conformité des licences.

AppLocker remplace la fonctionnalité des stratégies de restriction logicielle des versions précédentes de Windows. Par exemple, lors de la mise à jour vers Windows 10, puis 11 d’un ordinateur Windows 7 possédant une stratégie de restriction logicielle appliquée, une nouvelle règle AppLocker devra être créée pour supporter le blocage d’un logiciel.

Les règles de restriction sont disponibles pour l’exécution de logiciels, de scripts et pour l’installation de programmes.

Les extensions suivantes peuvent être soumises à restriction avec un serveur Windows Server 2012 (ou supérieur) et des clients Windows 11 (Professionnel ou Entreprise) ayant la fonctionnalité AppLocker activée :

  • fichiers exécutables : .exe, .com... ;

  • scripts : .ps1, .bat, .cmd, .vbs, .js... ;

  • fichiers d’installation : .msi, .msp, .mst... ;

  • applications empaquetées : .appx... ;

  • fichiers DLL (Dynamic Link Library) : .dll, .ocx...

AppLocker propose des règles basées sur l’éditeur et donc sur la signature numérique de ses applications : par exemple, une entreprise crée une règle autorisant toute version de l’application Skype ultérieure à la version 2.0 à s’exécuter...

Device Guard

Device Guard est un ensemble de fonctionnalités liées à la sécurité matérielle et logicielle qui, lorsqu’elles sont définies simultanément, oblige l’utilisateur à n’utiliser que des applications préapprouvées par l’administrateur. Device Guard utilise une sécurité basée sur la virtualisation de Windows 11 Entreprise pour isoler le service d’intégrité du code du noyau.

Le poste de travail du salarié ne peut ainsi être utilisé que pour exécuter du code signé par des signataires approuvés par l’entreprise.

Les fonctionnalités de Device Guard ne sont prises en charge pleinement que dans les éditions Entreprise et Education de Windows 11. Néanmoins, il est possible d’utiliser certaines d’entre elles dans l’édition Professionnel : par exemple, la fonctionnalité de sécurité avancée WDAC.

Device Guard nécessite un processeur compatible avec la virtualisation, un module TPM 2.0 et un microprogramme UEFI 2.3.1 ou une version supérieure, supportant le démarrage sécurisé, afin d’empêcher le chargement en mémoire d’applications malveillantes au cours du processus de démarrage du système d’exploitation. De plus, un conteneur protégé...

Gestionnaire d’identification

L’authentification unique, ou SSO (Single Sign-On), permet à un utilisateur d’un système Windows 11 de ne procéder qu’à une seule authentification pour accéder à plusieurs ressources (serveurs, sites internet...).

Une personne utilise souvent le même mot de passe pour accéder à des sites internet différents (Facebook, LinkedIn, messagerie électronique comme Windows Live) réduisant ainsi le niveau de sécurité de ces services : si le mot de passe partagé était subtilisé, l’ensemble des ressources qu’il protège serait compromis.

Face à cette problématique, Microsoft propose le Gestionnaire d’identification, qui est un coffre-fort électronique dont la principale fonction est le stockage sécurisé des identifiants et mots de passe utilisés régulièrement par un compte utilisateur. Windows 11 se charge ensuite de les saisir automatiquement lors de l’accès à une ressource précise. Les mots de passe peuvent alors être plus complexes, car le travail de mémorisation n’est plus nécessaire : ce que nous ignorons ne peut être dévoilé.

En utilisant un compte Microsoft pour s’authentifier, l’utilisateur peut ouvrir des sessions sur d’autres...

Audit

L’audit dans un domaine Active Directory ou un groupe de travail permet de suivre les actions effectuées par les utilisateurs et les ordinateurs. En fonction des informations journalisées, l’administrateur pourra visualiser et corriger un problème, mais aussi détecter une intrusion et ainsi anticiper un nouveau type d’attaque.

Généralement, les événements des échecs sont plus instructifs que ceux liés aux réussites. Tout ne doit pas être audité, car l’utilisation de cette fonctionnalité entraîne une charge de traitement supplémentaire (CPU, RAM, espace disque) auprès des postes de travail, serveurs et contrôleurs de domaine.

Un attaquant possédant des privilèges administrateur pourra supprimer ses traces, donc les événements stockés dans les journaux répertoriant ses actions malveillantes : il peut être intéressant de séparer les rôles, en octroyant par exemple le droit à un compte de service de générer les événements sur un serveur distant dédié au stockage, mais ce compte ne pourrait pas les supprimer ou les modifier. Un compte d’audit aurait accès aux journaux en lecture à des fins d’expertise. Ces actions peuvent être effectuées grâce aux événements transmis (cf. chapitre Protection et récupération du système - Dépannage du système).

Avec l’introduction de Windows Server 2012 et Windows 11, Microsoft a considérablement enrichi le système...

Résumé du chapitre

Windows 11 offre un large éventail d’outils de sécurité, afin de couvrir l’intégralité des besoins de l’utilisateur. Concernant la protection des postes de travail, l’UAC contribue à empêcher les programmes malveillants de s’installer sur le poste de travail en utilisant des privilèges élevés, et le Centre de notifications propose dans une vue centrale les messages récents relatifs à la sécurité. 

Les données sont protégées avec EFS et BitLocker. EFS chiffre les fichiers et dossiers sélectionnés de manière transparente sur une partition NTFS. Il n’est pas possible de chiffrer et compresser un fichier ou un dossier en même temps. L’agent de récupération est un compte d’utilisateur pouvant déchiffrer n’importe quel fichier chiffré. Il doit être créé afin d’éviter la perte définitive de données chiffrées. BitLocker chiffre l’intégralité des partitions, en mode hors connexion. BitLocker To Go fait de même sur les périphériques amovibles USB.

Tout comme les versions précédentes des systèmes Microsoft, il est important d’installer les mises à jour de sécurité pour Windows 11, afin...