Comment être mieux protéger des menaces modernes grâce à Windows 10

Traduction FR :
 Grégory Mouchon| IT-Central.fr
Auteur & Source :

Logo Windows 10Windows 7 a été publié en 2009, depuis lors, les menaces de sécurité ont changé et évolué. Windows 10 a été développé dans cet esprit et c’est pourquoi nous avons évolué vers le modèle « Windows As A Service« .

Windows 10 inclut de nombreuses nouvelles fonctionnalités pour rester protégé et nous en ajoutons d’autres avec les nouvelles « releases » de Windows. Aujourd’hui, nous allons couvrir certains des avantages de l’utilisation de Windows 10 dans les environnements d’entreprise.

Protection des fondations

Découvrons comment Windows 10 peut rester sécurisé en protégeant son processus de démarrage.

Ci-dessous, vous trouverez un diagramme qui montre tous les composants de sécurité pendant le processus de démarrage de Windows. Cela permet de contribuer à aider Windows à se protéger des Root-Kit et des Boot-kit.

UEFI - Secure Boot & Trusted Boot
  • Secure Boot: UEFI ne charge que les OS de confiance.
  • Trusted Boot: Assure que Windows vérifie l’intégrité des composants du système d’exploitation avant de les charger.
  • Early Launch Anti-Malware (ELAM): Permet de charger Antivirus et Anti malware avant les logiciels tiers.
  • Measured Boot: Enregistre l’activité du processus de démarrage qui est ensuite envoyé aux serveurs de confiance pour détecter toute activité indésirable.

La combinaison de ces 4 composants assure la protection de Windows contre les attaques de bas niveau.

Protection de l’identité

Dans les entreprises, l’identité est essentielle et doit être protégée. Nous insistons sur le fait que les mots de passe ne sont pas sûrs et que ce type d’authentification doit être changé. Nous avons introduit une nouvelle procédure d’authentification simple et sécurisée appelée « Windows Hello For Business » (WHfB).

Logo - Windows Hello For Business - WHfB

WHfB remplace les mots de passe par des clés asymétriques et une authentification multifactorielle qui augmentent considérablement la sécurité des utilisateurs au niveau de leur identité. Il permet également une expérience simple et intuitive qui vient remplacer la nécessite de devoir se souvenir des mots de passe.

Lorsqu’un environnement est compromis, nous constatons généralement que les pirates informatiques tentent d’accéder à des comptes avec des privilèges plus élevés. Pour ce faire, ils doivent généralement se propager par mouvements latéraux et infecter le plus d’appareils possible. Une façon d’y parvenir est de voler les identifiants enregistrés dans la mémoire et qui est utilisé pour le Single Sign On (Kerberos Token).

Avec Windows Defender Credential Guards, les composants centraux qui hébergent les informations d’identification sont protégés de leur hôte dans un environnement séparé (LSAIso).

Ci-dessous une image qui montre comment les composants critiques sont isolés et protégés par l’hyperviseur.

Windows Defender Credential Guards - LSAIso

Protection contre les menaces modernes

L’une des façons d’infecter un PC est d’envoyer une URL qui renverra l’utilisateur vers un site Web malveillant.

Windows 10 1709 a introduit Windows Defender Application Guard in Edge qui protège les utilisateurs du code indésirable d’Internet. Il permet d’exécuter Microsoft Edge dans un conteneur en tirant parti de la technologie du bac à sable qui a été introduite avec Windows 10. (VBS)

L’image ci-dessous montre que Application Guard exécute Edge dans une petite VM complètement isolée de l’hôte.

Windows Defender Application Guard

Nous avons également intégré un contrôle d’intégrité du code dans Windows 10 avec Device Guard pour assurer son intégrité. Même si Device Guard est très efficace, les clients ont constaté qu’il était complexe et ajoutait du travail supplémentaire à la maintenance. À partir de Windows 10 1703, nous avons simplifié la maintenance en introduisant « managed installer » qui permettait aux équipes IT d’autoriser les logiciels installés par SCCM. À partir de Windows 10 1709, nous avons simplifié encore plus les choses en ajoutant des listes blanches « Cloud Powered Whitelist » basées sur notre Intelligent Security Graph. Vous pouvez maintenant, en quelques clics, bloquer automatiquement les fichiers dont la réputation est mauvaise !

Nous souhaitions également que Windows 10 soit sécurisé et protégé contre les menaces modernes. Nous incluons maintenant un antivirus intégré: Windows Defender Antivirus.

Avec Windows 10 1709, nous avons apporté « Windows Defender Exploit Guard » qui inclut:

  • La protection contre les exploits qui permet d’appliquer des techniques d’atténuation des exploits sur les applications de votre entreprise.
  • Les règles de réduction de la surface d’attaque peuvent réduire la surface d’attaque de vos applications grâce à des règles intelligentes qui arrêtent les vecteurs utilisés par les logiciels comme Office, script et email malveillants.
  • La protection réseau étend la protection contre les logiciels malveillants et l’ingénierie sociale offerte par Windows Defender SmartScreen dans Edge pour couvrir le trafic réseau et la connectivité sur les périphériques de votre entreprise.
  • Le contrôle d’accès aux dossiers permet de protéger les fichiers des dossiers système clés, contre les modifications apportées par les applications malveillantes et suspectes, y compris les logiciels malveillants de chiffrement de fichiers (Cryptovirus).

Le tableau ci-dessous montre comment Exploit Guard permet aux administrateurs système d’arrêter les comportements suspects. (Règles de réduction de la surface d’attaque)

Exploit Guard

Un autre bon exemple de l’efficacité d’Exploit Guard est celui d’un scénario où un malware se connecterait à la commande Control.

Dans l’exemple ci-dessous, nous voyons que Exploit Guard empêche les logiciels malveillants de contacter le centre de commande qui téléchargerait une charge utile malveillante et divulguerait des secrets d’entreprise. (Protection réseau).

Exploit Guard - Protection réseau

Et si on essayait de bloquer ces codes malveillants avant tout ?

Un des vecteurs d’infection provient de fichiers téléchargés sur Internet. Pour les pirates informatiques, il est assez facile de générer un nouveau hachage pour leur malware afin de contourner la détection d’Antivirus, mais Windows Defender Antivirus inclut maintenant « Block at First Sight« .

Lorsqu’un fichier est téléchargé sur Internet et que Windows Defender ne sait pas si ce fichier est sûr ou non, il télécharge les métadonnées dans le nuage, et au niveau du Cloud Backend, il appliquera une analyse automatique du fichier, à base d’analyse heuristique, de machine learning,  afin de déterminer si les fichiers sont malveillants ou pas. La réponse est alors envoyée pour demander à Windows defender de bloquer son exécution si nécessaire. Tout ça en quelques secondes.

Détection & réponse

Nous avons vu comment Windows 10 se protège et comment il peut être protégé contre les attaques. Mais un autre aspect important de la sécurité est la façon de détecter les situations dans lesquelles votre environnement est compromis.

Windows Defender Advanced Threat Protection (Windows Defender ATP) est un service de sécurité qui permet aux clients de détecter, d’enquêter et de répondre aux menaces avancées sur leurs réseaux.

Windows Defender ATP

 

Les capacités d’investigation des points de terminaison de ce service vous permettent d’explorer les alertes de sécurité et de comprendre la portée et la nature d’une éventuelle brèche. Vous pouvez soumettre des fichiers pour une analyse approfondie et recevoir les résultats sans quitter le portail ATP de Windows Defender.

Windows Defender ATP fonctionne avec les technologies de sécurité Windows existantes sur les terminaux, telles que Windows Defender Antivirus, AppLocker et Windows Defender Device Guard. Il peut également fonctionner côte à côte avec des solutions de sécurité tierces et des produits antimalware.

Pour résumer

Le but de cet article est de montrer qu’en raison des menaces modernes, une sécurité moderne doit être mise en place. Windows 10 est conçu pour les menaces d’aujourd’hui et apporte de nouvelles applications pour vous aider à rester protégé. La suite Windows Defender peut être ajoutée à vos solutions de sécurité existantes ou les remplacer. Il est aussi largement intégré dans nos outils de gestion tels que Microsoft Intune et System Center Configuration Manager.

Dans cet article, nous n’avons couvert que quelques-unes des fonctionnalités de Windows 10, si vous souhaitez plus de détails, veuillez contacter votre représentant Microsoft.

Cette image récapitulation bien les fonctions de sécurité intégrées de Windows 10.

Tableau des caractéristiques de sécurité de Windows 10 - Windows 10 Sécurité Features

Vous pouvez également jeter un coup d’œil à The Total Economic Impact of Microsoft Windows Defender Advanced Threat Protection

Merci de votre lecture

Si vous aimez les infos techniques sur Windows 10, vous pouvez me suivre sur Twitter

Share

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *