Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !

Configuration de la sécurité Windows

Protection des postes de travail Windows 11

Avec l’avènement des interconnexions entre les réseaux privés et publics, de plus en plus d’entreprises ouvrent leur système d’information à leurs partenaires.

Il devient donc primordial de connaître les ressources critiques et de protéger les postes de travail fixes et itinérants des collaborateurs de l’entreprise.

Lorsque l’administrateur souhaite mettre en place une architecture sécurisée, il doit tout d’abord connaître les forces en présence en évaluant ses propres compétences, rédiger une documentation détaillée du système d’information (SI) et maîtriser la prise en charge organisationnelle. La seconde étape consiste à oublier les stéréotypes pour se mettre à la place de l’attaquant, en essayant de connaître ses motivations : un employé mécontent, de l’espionnage pour obtenir des gains financiers, une réponse à un défi...

L’administrateur sécurité doit défendre tous les points de son SI en étant vigilant en permanence, alors que le pirate informatique peut choisir le point le plus faible en attaquant quand il le souhaite. Les différents réseaux doivent être contrôlés et sécurisés : le réseau local, le réseau distant et les partenaires professionnels du type extranet, afin de se prémunir d’une surveillance du réseau, d’une usurpation d’identité ou d’une modification des données...

Le système Windows 11 possède les mêmes bases de sécurité que Windows 10, qui lui-même les tenait de Windows 7, comme le contrôle d’accès utilisateur ou le Centre de notifications, mais apporte des améliorations sur les fonctionnalités AppLocker et BitLocker.

Certaines fonctionnalités de Windows 10 ont été conservées : Credential Guard et Device Guard.

En outre, la fonctionnalité WIP (Windows Information Protection) a remplacé EDP (Enterprise Data Protection).

Grâce à celle-ci, l’administrateur peut créer une stratégie de protection selon quatre niveaux :

0 - Désactivée....

Sécurisation des données hors connexion

Contre le vol de disques durs ou de médias amovibles comme les clés USB, la vigilance est primordiale.

Pour pallier cette problématique, Microsoft propose la technologie de chiffrement de lecteur BitLocker, apparue avec le système Windows Vista.

1. BitLocker

Inclus dans les versions Entreprise, Education et Professionnel de Windows 11, BitLocker protège toutes les données stockées sur les partitions, en mode hors connexion. En effet, lors du processus de démarrage, le disque dur est déchiffré par BitLocker, qui n’empêche donc pas l’accès non autorisé à des données lorsque Windows 11 fonctionne. Privilégiez dans ce cas EFS pour chiffrer vos documents.

BitLocker est aussi utile en cas de mise hors service définitive d’un disque dur. En le chiffrant complètement, la solution devient vite rentable par rapport au coût d’une entreprise spécialisée dans la destruction physique des disques.

Une autre fonctionnalité intéressante apportée par BitLocker est le contrôle d’intégrité, qui authentifie au travers d’une puce TPM (Trusted Platform Module) le matériel de l’ordinateur et les fichiers critiques (NTFS boot sector, boot manager...) de Windows 11. Ainsi, en cas de vol d’un disque dur chiffré par cette méthode, les données qu’il contient ne seront pas accessibles via un autre ordinateur. Un virus ne pourra pas non plus s’implanter durant la phase de démarrage du système d’exploitation.

Voici un tableau comparatif des technologies BitLocker et EFS :

 

BitLocker

EFS

Chiffrement complet des partitions

X

 

Authentification forte (mot de passe et mémoire flash USB)

X

 

Méthode de récupération (mot de passe ou Agent)

X

X

Chiffrement complet d’un périphérique amovible

X

 

Vérification de l’intégrité du système et du matériel

X

 

Protection des données une fois l’ordinateur démarré

 

X

Chiffrement de fichiers

X

X

Utilisation d’un certificat utilisateur

 

X

Assure le DLP (Data Loss Prevention)

X

X

Prise en charge des partitions non NTFS pour les périphériques...

Gestion des mises à jour de sécurité

La sécurité d’un système d’exploitation passe également par la correction de bugs dans celui-ci et l’ajout de fonctionnalités. Microsoft publie régulièrement des mises jour pour son système d’exploitation phare. Avec Windows 11, l’entreprise a annoncé une amélioration de la taille de celles-ci, avec un volume en baisse de 40 %.

Les mises à jour sont maintenant regroupées selon leur objectif :

  • Mises à jour des fonctionnalités (précédemment appelées « mises à niveau ») : elles contiennent des révisions de sécurité et de qualité, mais aussi des ajouts et des modifications de fonctionnalités importantes. Auparavant publiées deux fois par an, Microsoft renoue avec une mise à jour de fonctionnalités annuelle avec Windows 11. D’ailleurs Windows 11 est une mise à jour de fonctionnalités de Windows 10.

  • Mises à jour qualité (appelée également Tuesday patch) : elles regroupent les mises à jour de sécurité, critiques et de pilotes. Elles sont généralement publiées le deuxième mardi de chaque mois (même si elles peuvent être publiées à tout moment si une faille hautement critique est décelée et exploitée). Ainsi, les administrateurs peuvent se préparer à l’application des correctifs, en début de semaine, et ainsi anticiper et corriger les problèmes éventuels.

  • Mises à jour de pilotes : comme leur nom l’indique, ces mises à jour améliorent les pilotes et sont spécifiques à vos machines.

  • Mises à jour de produits Microsoft : elles concernent généralement Office.

Maintenir Windows 11 à jour permet de s’assurer de la stabilité et de la protection du système. Le service Windows Update gère le téléchargement et l’installation des mises à jour des produits Microsoft, lorsque l’utilisateur est connecté au réseau internet. En cas de déconnexion durant un téléchargement, une reprise est effectuée dès lors que la connexion...

Contrôle des applications avec AppLocker

Le contrôle des applications installées et sous licence sur les postes d’une entreprise est un enjeu majeur pour tout administrateur système. Face à ce défi, Microsoft propose la fonctionnalité AppLocker, qui restreint l’exécution et l’installation des logiciels définies depuis un serveur Windows sur des clients Windows 8.1 (Entreprise), Windows 10 et 11. Il en résulte une réduction de la charge d’administration et un contrôle accru des types de fichiers exécutables, évitant ainsi la propagation des logiciels malveillants, comme les chevaux de Troie.

AppLocker combine l’inventaire et la standardisation des applications, la protection contre les logiciels non autorisés et la conformité des licences.

AppLocker remplace la fonctionnalité des stratégies de restriction logicielle des versions précédentes de Windows. Par exemple, lors de la mise à jour vers Windows 10, puis 11 d’un ordinateur Windows 7 possédant une stratégie de restriction logicielle appliquée, une nouvelle règle AppLocker devra être créée pour supporter le blocage d’un logiciel.

Les règles de restriction sont disponibles pour l’exécution de logiciels, de scripts et pour l’installation de programmes.

Les extensions suivantes peuvent être soumises à restriction avec un serveur Windows Server 2012 (ou supérieur) et des clients Windows 11 (Professionnel ou Entreprise) ayant la fonctionnalité AppLocker activée :

  • Fichiers exécutables : .exe, .com...

  • Scripts : .ps1, .bat, .cmd, .vbs, .js...

  • Fichiers d’installation : .msi, .msp, .mst...

  • Applications empaquetées : .appx...

  • Fichiers DLL (Dynamic Link Library) : .dll, .ocx...

AppLocker propose des règles basées sur l’éditeur et donc sur la signature numérique de ses applications : par exemple, une entreprise crée une règle autorisant toute version de l’application...

Device Guard

Device Guard représente un ensemble de fonctionnalités liées à la sécurité matérielle et logicielle qui, lorsqu’elles sont définies simultanément, oblige l’utilisateur à n’utiliser que des applications préapprouvées par l’administrateur.

La fonctionnalité utilise une sécurité basée sur la virtualisation de Windows 11 Entreprise pour isoler le service d’intégrité du code du noyau.

Le poste de travail du salarié ne peut ainsi être utilisé que pour exécuter du code signé par des signataires approuvés par l’entreprise.

Device Guard nécessite un microprogramme UEFI 2.3.1 ou supérieur, supportant le démarrage sécurisé, afin d’empêcher le chargement en mémoire d’applications malveillantes au cours du processus de démarrage du système d’exploitation. De plus, un conteneur protégé par Hyper-V isolant les processus critiques de Windows 11 Entreprise est requis.

 Celui-ci doit être activé depuis les Paramètres, Applications, Fonctionnalités facultatives, Plus de fonctionnalités Windows.

 Sélectionnez Hyperviseur Hyper V.

images/06RI26N1.png

Depuis Windows 10 version 1607, l’activation des fonctionnalités n’est pas nécessaire....

Windows Defender Credential Guard

Windows Defender Credential Guard apporte une couche de sécurité supplémentaire car, couplée avec Device Guard, les utilisateurs d’un domaine Active Directory auront leur mot de passe stocké dans un conteneur virtuel et non dans LSA (Local Security Authority). Credential Guard a pour fonction de protéger les données confidentielles d’un ordinateur virtuel Hyper-V, comme il le ferait pour un ordinateur physique.

Une architecture 64 bits avec Windows 11 Entreprise installé sur un ordinateur physique, ainsi qu’un microprogramme UEFI 2.3.1 minimum et une infrastructure Hyper-V avec les extensions Intel VT-x/AMD-V et SLAT (Second Level Address Translation), sont nécessaires.

 La stratégie de groupe locale (gpedit.msc) utilise le nœud Activer la sécurité basée sur la virtualisation pour activer la prise en charge du mode Secure-Boot depuis le chemin ci-dessous : Configuration ordinateur - Modèles d’administration - Système - Device Guard.

 Cliquez sur la case Activé et, dans le champ Configuration Credential Guard, sélectionnez Activé sans verrouillage.

images/06RI27N1.png

Configuration du Pare-feu Windows Defender avec fonctions avancées de sécurité

Un pare-feu est l’équivalent d’un verrou apposé sur une porte, il complique la tâche d’une personne mal intentionnée, sans protéger complètement l’ensemble de l’habitation. Il doit être utilisé en conjonction d’autres mesures, comme l’utilisation d’un antivirus ou la gestion des mises à jour de sécurité.

Il a pour fonction la protection du poste de travail Windows 11 contre les accès non autorisés d’ordinateurs présents sur un réseau (Internet, local...).

Le pare-feu fourni avec Windows XP était considéré comme peu sûr, car il ne filtrait que les communications entrantes. Le pare-feu avec fonctions avancées de sécurité livré avec Windows 11 vérifie que les paquets qui circulent sont sûrs grâce à une connexion initiée (pare-feu avec état) et procure un filtrage dans les deux sens des flux transitant.

Windows 11 gère des profils réseau, en référence au lieu dans lequel se trouve l’utilisateur. À chaque première connexion, celui-ci est invité à définir son emplacement actuel : privé (domicile), domaine (entreprise) et public (cybercafé). Par exemple, l’administrateur peut autoriser l’accès au Bureau à distance (port par défaut 3389 en TCP) lorsque l’utilisateur se trouve sur le domaine de la société, et refuser son utilisation lorsqu’il est connecté depuis un réseau moins sécurisé, comme celui d’un cybercafé. Pour chaque emplacement, le pare-feu possède un ensemble de règles par défaut appliqué.

Windows 11 est livré avec deux pare-feu, l’un proposant des actions simples, comme autoriser ou non un programme, c’est le Pare-feu Windows Defender, l’autre offrant une gestion plus précise des paramètres, c’est le Pare-feu Windows Defender avec fonctions avancées de sécurité.

 Le Pare-feu Windows est accessible depuis les Paramètres, Confidentialité et sécurité, Sécurité Windows.

 Cliquez sur le bouton Ouvrir Sécurité Windows.

images/06RI28N1.png

 Dans la fenêtre Sécurité Windows, cliquez sur Pare-feu et protection du réseau, puis Paramètres avancés. Validez par Oui le message de contrôle de compte utilisateur.

images/06RI29N1.png

Il est possible d’accéder au pare-feu depuis le Panneau de configuration, et au Pare-feu avec fonctions avancées de sécurité depuis les Outils Windows ou depuis Paramètres avancés de l’interface Pare-feu Windows....

Gestionnaire d’identification

L’authentification unique, ou SSO (Single Sign-On), permet à un utilisateur d’un système Windows 11 de ne procéder qu’à une seule authentification pour accéder à plusieurs ressources (serveurs, sites internet...). Une personne utilise souvent le même mot de passe pour accéder à des sites internet différents (Facebook, LinkedIn, messagerie électronique comme Windows Live) réduisant ainsi le niveau de sécurité de ces services : si le mot de passe partagé était subtilisé, l’ensemble des ressources qu’il protège serait compromis.

Face à cette problématique, Microsoft propose le Gestionnaire d’identification, qui est un coffre-fort électronique dont la principale fonction est le stockage sécurisé des identifiants et mots de passe utilisés régulièrement par un compte utilisateur. Windows 11 se charge ensuite de les saisir automatiquement lors de l’accès à une ressource précise.

Les mots de passe deviennent complexes car le travail de mémorisation n’est plus nécessaire : ce que nous ignorons ne peut être dévoilé.

En utilisant un compte Microsoft pour s’authentifier, l’utilisateur peut ouvrir des sessions sur d’autres postes Windows 11 et ainsi accéder...

Audit

L’audit dans un domaine Active Directory ou un groupe de travail permet de suivre les actions effectuées par les utilisateurs et les ordinateurs. En fonction des informations journalisées, l’administrateur pourra visualiser et corriger un problème, mais aussi détecter une intrusion et ainsi anticiper un nouveau type d’attaque.

Généralement, les événements des échecs sont plus instructifs que ceux liés aux réussites. Tout ne doit pas être audité, car l’utilisation de cette fonctionnalité entraîne une charge de traitement supplémentaire (CPU, RAM, espace disque) auprès des postes de travail, serveurs et contrôleurs de domaine.

Un attaquant possédant des privilèges administrateur pourra supprimer ses traces, donc les événements stockés dans les journaux répertoriant ses actions malveillantes : il peut être intéressant de séparer les rôles, en octroyant par exemple le droit à un compte de service de générer les événements sur un serveur distant dédié au stockage, mais ce compte ne pourrait pas les supprimer ou les modifier. Un compte d’audit aurait accès aux journaux en lecture à des fins d’expertise. Ces actions peuvent être effectuées grâce aux événements transmis (cf. chapitre Protection et récupération du système, section Dépannage du système).

La stratégie...

Sécurité dans Microsoft Edge

Microsoft Edge est le navigateur internet livré avec Windows 11. Il ne prend plus en charge les barres d’outils, les scripts Visual Basic et ActiveX qui étaient souvent exploités par les hackers. Les extensions utiliseront uniquement HTML5 et JavaScript.

De plus, Microsoft Edge héberge chaque onglet de site visité dans un bac à sable, constituant un conteneur totalement indépendant.

Une autre fonctionnalité intéressante est la possibilité de s’authentifier sur un site internet via son compte Microsoft (code PIN et identification biométrique).

Edge apporte des améliorations sur la sécurité, telles que Navigation InPrivate, qui permet de visiter des sites internet sans laisser de traces ou encore SmartScreen qui vérifie le site visité par rapport à une liste de sites répertoriés comme malveillants. On trouve également la protection contre le suivi (fonctionnalité de tracking) visant à empêcher un site de récupérer vos habitudes de navigation afin de vous proposer des annonces publicitaires ciblées.

Le navigateur de Microsoft a été créé en utilisant le cycle de vie du développement de la sécurité (SDL) : Microsoft Edge empêche par exemple un code malveillant de s’exécuter...

Sécurité Windows et antivirus

Pour aider l’administrateur à protéger Windows 11 contre les logiciels espions et malveillants, Microsoft fournit gratuitement un antivirus. Le logiciel peut vérifier les postes de travail physiques ou virtuels et offre les fonctions communes aux programmes concurrents :

  • Mise à jour automatique des définitions virales via le service Windows Update.

  • Scan rapide, complet, manuel ou planifié : exclusion possible de fichiers, de dossiers, de partitions et de processus.

  • Alertes affichées dans le Centre de notifications lors de l’installation ou l’exécution d’un programme indésirable. Selon son niveau, quatre actions sont proposées : ignorer, mettre en quarantaine, supprimer ou toujours autoriser.

  • Protection en temps réel des composants critiques du système : un agent contrôle les programmes démarrés automatiquement, les paramètres de Windows 11, les composants additionnels et téléchargements de Microsoft Edge, les services et pilotes, l’inscription et l’exécution d’applications.

  • L’antivirus peut maintenant détecter les virus exécutés dans le kernel (noyau) et la mémoire vive, afin de traiter ceux-ci même lorsqu’ils sont de type 0-day : en effet, une vulnérabilité zero-day (en français...

Résumé du chapitre

Windows 11 offre un large éventail d’outils de sécurité, afin de couvrir l’intégralité des besoins de l’utilisateur. Concernant la protection des postes de travail, l’UAC contribue à empêcher les programmes malveillants de s’installer sur le poste de travail en utilisant des privilèges élevés, et le Centre de notifications propose dans une vue centrale les messages récents relatifs à la sécurité. 

EFS, quant à lui, chiffre les fichiers et dossiers choisis de manière transparente sur une partition NTFS. Il n’est pas possible de chiffrer et compresser un fichier ou un dossier en même temps. L’agent de récupération est un compte d’utilisateur pouvant déchiffrer n’importe quel fichier chiffré. Il doit être créé afin d’éviter la perte définitive de données chiffrées.

BitLocker chiffre l’intégralité des partitions, en mode hors connexion. BitLocker To Go fait de même sur les périphériques amovibles USB.

Tout comme les versions précédentes des systèmes Microsoft, il est important d’installer les mises à jour de sécurité pour Windows 11, afin que le système reste stable et sécurisé. L’entreprise...