Commencer à appliquer le Règlement général sur la protection des données (RGPD) pour Windows Server

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Cet article fournit des informations sur le RGPD et le définit. Il présente également les produits mis à disposition par Microsoft pour vous aider à garantir la conformité.

Introduction

Le 25 mai 2018, une loi européenne sur la confidentialité des données va entrer en vigueur. Elle doit fixer une nouvelle norme globale pour la protection, la sécurité et le respect des données personnelles.

Le Règlement général sur la protection des données (RGPD) vise essentiellement à protéger et à garantir les droits à la protection des données personnelles de chacun. Le RGPD établit des exigences mondiales strictes en matière de protection des données personnelles, qui régissent la façon dont vous gérez et protégez les données personnelles dans le respect des choix individuels, et ce, quel que soit l’emplacement dans lequel les données sont envoyées, traitées ou stockées.

Microsoft et nos clients sont en voie de réaliser les objectifs de protection des données personnelles du RGPD. Pour Microsoft, la protection des données personnelles est un droit fondamental et le RGPD constitue une étape importante dans l’explication et l’exercice des droits à la protection des données personnelles de chacun. Nous sommes également conscients que le RGPD exigera des changements significatifs de la part des organisations du monde entier.

Nous avons exposé notre engagement envers le RGPD et la façon dont nous soutenons nos clients dans le billet de blog Garantir la conformité au RGPD grâce au Microsoft Cloud rédigé par notre responsable de la protection des données personnelles, Brendon Lynch, ainsi que dans le billet de blog Mériter votre confiance par des engagements contractuels au Règlement général sur la protection des données rédigé par Rich Sauer, vice-président conseiller juridique général adjoint de Microsoft.

Il peut sembler difficile d’assurer la conformité au RGPD, mais nous sommes là pour vous aider. Pour obtenir des informations spécifiques sur le RGPD, nos engagements et la façon de vous conformer au RGPD, consultez la section RGPD du Centre de gestion de la confidentialité Microsoft.

Le RGPD et ses implications

Le RGPD est un règlement complexe qui peut exiger des changements considérables dans la façon dont vous collectez, utilisez et gérez les données personnelles. Microsoft se dévoue depuis de longues années à aider ses clients à se conformer aux règlements complexes. En ce qui concerne la conformité au RGPD, nous vous accompagnons et vous aidons à la garantir.

Le RGPD impose des règles aux organisations qui proposent des biens et des services aux citoyens de l’Union européenne (UE), ou qui collectent et analysent des données concernant ces citoyens, et ce, quel que soit le lieu d’activité de ces organisations. Les éléments clés du RGPD sont notamment les suivants :

  • Droits améliorés en matière de protection des données personnelles. La protection des données des citoyens de l’UE est renforcée, en veillant à ce qu’ils aient le droit d’accéder à leurs données personnelles, de corriger les inexactitudes de ces données, d’effacer ces données, de s’opposer au traitement de leurs données personnelles, et de les déplacer.

  • Obligation accrue en matière de protection des données personnelles. La responsabilité des organisations qui traitent les données personnelles est renforcée, ce qui garantit une définition claire des responsabilités en matière de conformité.

  • Signalement obligatoire des violations de données personnelles. Les organisations qui contrôlent des données personnelles sont tenues de signaler, à leurs autorités de contrôle, les violations de données personnelles qui présentent un risque pour les droits et les libertés de chacun, et ce, sans délai indu et, dans la mesure du possible, au plus tard 72 heures après avoir pris connaissance de la violation.

Comme vous pouvez le prévoir, le RGPD peut avoir une incidence considérable sur votre entreprise, en vous obligeant potentiellement à mettre à jour vos stratégies de confidentialité, à mettre en place et à renforcer les contrôles de protection des données et les procédures de notification de violations, à déployer des stratégies hautement transparentes, et à investir davantage dans les technologies de l’information et les formations. Microsoft Windows 10 peut vous aider à répondre efficacement à certaines de ces exigences.

Données personnelles et sensibles

Afin de vous conformer au RGPD, vous devez comprendre la définition des données personnelles et sensibles du règlement, ainsi que le lien entre ces définitions et les données détenues par votre organisation. Vous serez alors en mesure de déterminer l’emplacement dans lequel ces données sont créées, traitées, gérées et stockées.

Selon le RGPD, les données personnelles constituent toute information relative à une personne physique identifiée ou identifiable. Il peut être question d’une identification directe (par exemple, votre nom légal) ou indirecte (par exemple, des informations spécifiques indiquant clairement que les données vous concernent). Le RGPD détaille également le concept des données personnelles qui inclut les identifiants en ligne (tels que les adresses IP, les ID d’appareil mobile) et les données de localisation.

Le RGPD définit spécifiquement les données génétiques (telles que la séquence génétique d’une personne) et les données biométriques. Les données génétiques et biométriques, ainsi que d’autres sous-catégories de données personnelles (données personnelles inhérentes à l’origine raciale ou ethnique, aux opinions politiques, aux croyances religieuses ou philosophiques, ou à l’appartenance syndicale ; données relatives à la santé ; ou données relatives à la vie sexuelle ou à l’orientation sexuelle d’une personne), sont traitées en tant que données personnelles sensibles en vertu du RGPD. Les données personnelles sensibles bénéficient d’une protection renforcée et requièrent généralement le consentement explicite d’une personne pour pouvoir être traitées.

Exemples d’informations relatives à une personne physique identifiée ou identifiable (personne concernée)

Cette liste comporte des exemples de types d’informations réglementées dans le cadre du RGPD. Cette liste est non exhaustive.

  • Nom

  • Numéro d’identification (par exemple, SSN)

  • Données de localisation (par exemple, adresse du domicile)

  • Identifiant en ligne (par exemple, adresse e-mail, noms affichés, adresse IP, ID d’appareil)

  • Données pseudonymes (par exemple, utilisation d’une clé pour identifier des personnes)

  • Données génétiques (par exemple, échantillons biologiques)

  • Données biométriques (par exemple, empreintes digitales, reconnaissance faciale)

Commencer à se conformer au RGPD

Compte tenu des efforts et des ressources nécessaires pour assurer la conformité au RGPD, nous vous recommandons vivement de ne pas attendre la dernière minute. Vous devez passer en revue vos pratiques en matière de confidentialité et de gestion des données dès maintenant. Nous vous recommandons de vous concentrer sur quatre étapes clés :

  • Découvrez. Identifiez les données personnelles dont vous disposez et leur emplacement.

  • Gestion. régir la manière dont les données personnelles peuvent être consultées et utilisées.

  • Protéger. établir des contrôles de sécurité pour prévenir, détecter et traiter les failles de sécurité et les violations de données.

  • Rapport. Prenez les mesures nécessaires en réponse aux demandes de données, signalez les violations de données et conservez la documentation requise.

    Diagram about how the 4 key GDPR steps work together

Chacune de ces étapes s’accompagne d’exemples d’outils, de ressources et de fonctionnalités dans différentes solutions Microsoft, qui peuvent vous aider à répondre aux exigences de l’étape en question. Cet article n’est pas un guide pratique complet. Nous y avons inclus des liens vous permettant d’en savoir plus. Des informations sont également disponibles dans la section RGPD du Centre de gestion de la confidentialité Microsoft.

Sécurité et confidentialité Windows Server

Le RGPD vous oblige à mettre en œuvre des mesures de sécurité techniques et organisationnelles appropriées afin de protéger les données personnelles et les systèmes de traitement. Dans le cadre du RGPD, vos environnements de serveurs physiques et virtuels traitent potentiellement des données personnelles et sensibles. Le terme « traitement » fait référence à n’importe quelle opération ou n’importe quel ensemble d’opérations, comme la collecte, le stockage et la récupération de données.

Votre capacité à répondre à cette exigence et à mettre en œuvre des mesures de sécurité techniques appropriées doit refléter les menaces auxquelles vous êtes confronté dans l’environnement informatique actuel, qui est de plus en plus hostile. Le paysage actuel des menaces de sécurité est un paysage de menaces agressives et tenaces. Auparavant, les attaquants malveillants cherchaient principalement à obtenir une reconnaissance communautaire par leurs attaques ou prenaient simplement plaisir à mettre temporairement un système hors ligne. Les motivations des attaquants ont évolué, ces derniers cherchant désormais à gagner de l’argent en prenant en otage des appareils et des données jusqu’à ce que le propriétaire paie la rançon demandée.

Les attaques modernes portent de plus en plus sur le vol de la propriété intellectuelle à grande échelle, sur la dégradation ciblée de systèmes qui peut occasionner des pertes financières, et même sur le cyberterrorisme qui menace la sécurité des personnes, des entreprises et des intérêts nationaux dans le monde entier. Ces attaquants sont généralement des personnes hautement qualifiées et des experts en sécurité. Certains d’entre eux travaillent pour des États-nations à gros budgets et à ressources humaines apparemment illimitées. De telles menaces nécessitent une approche particulière.

Ces menaces mettent non seulement à mal votre capacité à garder le contrôle de vos données personnelles ou sensibles, mais elles présentent également un risque matériel pour votre entreprise dans son ensemble. Prenez connaissance de ces récentes données provenant de McKinsey, de Ponemon Institute, de Verizon et de Microsoft :

  • Le coût moyen d’une violation de données que vous êtes tenu de signaler selon le RGPD est de 3,5 millions de dollars.

  • 63 % de ces violations impliquent des mots de passe faibles ou volés auxquels vous êtes tenu de remédier selon le RGPD.

  • Plus de 300 000 nouveaux échantillons de programmes malveillants sont créés et diffusés chaque jour, ce qui complique davantage votre tâche de protection des données.

Comme on a pu l’observer avec les récentes attaques par ransomware, autrefois appelées la peste noire d’Internet, les attaquants s’attaquent à de plus grandes cibles qui peuvent se permettre de payer plus, ce qui entraîne des conséquences potentiellement catastrophiques. Le RGPD prévoit des sanctions qui font de vos systèmes, notamment les appareils de bureau et les ordinateurs portables, qui contiennent des données personnelles et sensibles, de véritables cibles riches.

Deux principes clés ont guidé et continuent de guider le développement de Windows :

  • Sécurité. Les données stockées par nos logiciels et services pour le compte de nos clients doivent être protégées et utilisées ou modifiées uniquement de manière appropriée. Les développeurs doivent pouvoir facilement comprendre les modèles de sécurité et les intégrer dans leurs applications.

  • Confidentialité. Les utilisateurs doivent être maîtres de l’utilisation de leurs données. Les stratégies d’utilisation d’informations doivent être clairement définies et exposées à l’utilisateur. Les utilisateurs doivent déterminer s’ils souhaitent recevoir des informations et à quel moment ils souhaitent les recevoir, afin de tirer le meilleur parti de leur temps. Les utilisateurs doivent pouvoir facilement spécifier la nature appropriée de l’utilisation de leurs informations, notamment en contrôlant l’utilisation des e-mails qu’ils envoient.

Microsoft se conforme à ces principes. Comme l’a récemment souligné la PDG de Microsoft, Satya Nadella,

« Dans ce monde qui ne cesse de changer et où les besoins et exigences des entreprises évoluent, certaines réalités sont bien ancrées, comme la demande d’un client en matière de sécurité et de confidentialité. »

Pour vous conformer au RGPD, il est important de comprendre le rôle de vos serveurs physiques et virtuels dans la création, l’accès, le traitement, le stockage et la gestion, dans le cadre du RGPD, des données qui peuvent être personnelles et potentiellement sensibles. Windows Server fournit des fonctionnalités qui vous aideront à vous conformer aux exigences du RGPD en mettant en place des mesures de sécurité techniques et organisationnelles appropriées afin de protéger les données personnelles.

La posture de sécurité de Windows Server 2016 ne passe pas par un logiciel complémentaire ; elle repose sur une architecture à part entière. Quatre principes essentiels permettent de mieux comprendre cette posture :

  • Protéger. Intérêt et innovation permanents en matière de mesures préventives. Blocage des attaques connues et des programmes malveillants connus.

  • Détecter. Outils de surveillance complets permettant de détecter les anomalies et de réagir plus rapidement aux attaques.

  • Répondre. Technologies de pointe en matière de réponse et de récupération, et expertise approfondie en consultation.

  • Isolez. Isolez les composants des systèmes d’exploitation et les secrets de données, limitez les privilèges d’administrateur, et évaluez rigoureusement l’intégrité des hôtes.

Avec Windows Server, votre capacité à détecter les attaques pouvant entraîner des violations de données, à vous protéger et à vous défendre contre ces attaques est considérablement améliorée. Compte tenu des exigences strictes imposées en matière de notification des violations dans le RGPD, afin de réduire les risques qui pourraient entraîner une analyse et une notification coûteuses des violations, assurez-vous que vos systèmes d’appareils de bureau et d’ordinateurs portables sont bien protégés.

La section suivante explique comment les fonctionnalités Windows Server s’accordent parfaitement à la phase « Protéger » de votre processus de conformité au RGPD. Ces fonctionnalités s’inscrivent dans trois scénarios de protection :

  • Protégez vos informations d’identification et limitez les privilèges d’administrateur. Windows Server 2016 vous permet de mettre en place ces changements, afin d’éviter que votre système serve de point de lancement pour d’autres intrusions.

  • Sécurisez le système d’exploitation pour exécuter vos applications et votre infrastructure. Windows Server 2016 offre des couches de protection qui permettent d’empêcher les attaquants externes d’exécuter des logiciels malveillants ou d’exploiter des vulnérabilités.

  • Sécurisez la virtualisation. Windows Server 2016 garantit une virtualisation sécurisée, grâce à des machines virtuelles dotées d’une protection maximale et à une structure Service Guardian. Cela vous permet de chiffrer et d’exécuter vos machines virtuelles sur des hôtes approuvés au sein de votre structure. Vos machines virtuelles sont ainsi mieux protégées contre les attaques malveillantes.

Ces fonctionnalités, détaillées ci-dessous et mises en correspondance avec des exigences spécifiques du RGPD, s’appuient sur une protection avancée des appareils pour préserver l’intégrité et la sécurité du système d’exploitation et des données.

Une disposition clé du RGPD concerne la protection des données à dessein et à défaut. Nous vous aidons à satisfaire à cette disposition grâce à des fonctionnalités de Windows 10 telles que le chiffrement d’appareil BitLocker. BitLocker exploite la technologie du Module de plateforme sécurisée (TPM), qui assure des fonctions de sécurité matérielles. Le circuit du cryptoprocesseur est infalsifiable grâce à plusieurs mécanismes de sécurité physique, et les logiciels malveillants ne peuvent falsifier aucune donnée grâce aux fonctions de sécurité du TPM.

La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM. Les principaux avantages de la technologie de TPM sont que vous pouvez :

  • générer, stocker et limiter l’utilisation des clés de chiffrement ;

  • Exploitez la technologie TPM à des fins d’authentification des appareils de la plateforme, à l’aide de la clé RSA unique du TPM qui est gravée sur elle-même.

  • Assurez l’intégrité de la plateforme en réalisant et en stockant des mesures de sécurité.

Le démarrage approuvé Windows est une protection avancée supplémentaire adaptée à votre système d’exploitation sans violation de données. Il aide à préserver l’intégrité du système en veillant à ce que les programmes malveillants ne puissent pas démarrer tant que le système n’est pas protégé

Windows Server : une aide pour vous conformer au RGPD

Les fonctionnalités clés de Windows Server peuvent vous aider à efficacement mettre en place les mécanismes de sécurité et de confidentialité requis par le RGPD à des fins de conformité. L’utilisation de ces fonctionnalités ne garantit pas votre conformité ; elles constituent une aide.

Le système d’exploitation du serveur se trouve au niveau d’une couche stratégique de l’infrastructure d’une organisation, ce qui ouvre de nouvelles perspectives pour créer des couches de protection contre les attaques visant à voler des données et à interrompre vos activités. Les aspects clés du RGPD, tels que la confidentialité à dessein, la protection des données et le contrôle des accès, doivent être traités au sein de votre infrastructure informatique au niveau du serveur.

Afin de protéger les couches d’identité, de système d’exploitation et de virtualisation, Windows Server 2016 bloque les vecteurs d’attaque courants visant à obtenir un accès illicite à vos systèmes (informations d’identification volées, programmes malveillants et structure de virtualisation compromise). En plus de réduire les risques pour les entreprises, les composants de sécurité intégrés à Windows Server 2016 permettent de répondre aux exigences de conformité des règlements de sécurité clés imposés par le gouvernement et l’industrie.

Ces protections d’identité, de système d’exploitation et de virtualisation vous permettent de mieux protéger votre centre de données exécutant Windows Server en tant que machine virtuelle dans un cloud, et de limiter la capacité des attaquants à compromettre les informations d’identification, à lancer des programmes malveillants et à ne pas être détectés dans votre réseau. De même, lorsqu’il est déployé en tant qu’hôte Hyper-V, Windows Server 2016 assure la sécurité de vos environnements de virtualisation grâce à des machines virtuelles dotées d’une protection maximale et à des fonctionnalités de pare-feu distribué. Avec Windows Server 2016, le système d’exploitation du serveur participe activement à la sécurité de votre centre de données.

Protégez vos informations d’identification et limitez les privilèges d’administrateur.

Le contrôle des accès aux données personnelles et aux systèmes qui traitent ces données s’accompagne d’exigences spécifiques dans le RGPD, notamment en ce qui concerne l’accès par les administrateurs. Les identités privilégiées sont des comptes dotés de privilèges élevés, tels que les comptes d’utilisateur qui sont membres des administrateurs de domaine, des administrateurs d’entreprise, des administrateurs locaux ou même des groupes d’utilisateurs avec pouvoir. Ces identités peuvent également inclure des comptes auxquels des privilèges ont été accordés directement, tels que des privilèges pour réaliser des sauvegardes ou arrêter le système, ou d’autres droits répertoriés dans le nœud Attribution de droits utilisateur dans la console Stratégie de sécurité locale.

Le principe général de contrôle des accès et de conformité au RGPD consiste à protéger ces identités privilégiées contre toute compromission par des attaquants potentiels. Il est essentiel que vous compreniez comment ces identités sont compromises avant de vous préparer et d’empêcher les attaquants d’accéder à ces identités privilégiées.

Comment les identités privilégiées sont-elles compromises ?

Les identités privilégiées peuvent être compromises lorsque les organisations ne disposent d’aucune instruction régissant leur protection. Voici quelques exemples :

  • Plus de privilèges que nécessaire. L’un des problèmes les plus courants est que les utilisateurs disposent de plus de privilèges que nécessaire à l’exécution de leur fonction. Par exemple, un utilisateur qui gère le DNS peut être un administrateur AD. Le plus souvent, cela permet d’éviter de devoir configurer différents niveaux d’administration. Toutefois, si un tel compte est compromis, l’attaquant a automatiquement accès aux privilèges élevés.

  • Connexion permanente avec des privilèges élevés. Un autre problème courant est que les utilisateurs dotés de privilèges élevés peuvent les utiliser pendant une durée illimitée. Cette situation est très courante, par exemple, lorsque les experts informatiques qui se connectent à un appareil de bureau par le biais d’un compte privilégié, restent connectés et utilisent le compte privilégié pour naviguer sur le Web et envoyer/consulter leurs e-mails (fonctions classiques du travail informatique). La nature illimitée de la durée d’utilisation des comptes privilégiés rend le compte plus vulnérable aux attaques et augmente les risques d’une compromission.

  • Recherches par le biais de l’ingénierie sociale. Le point de départ de la majorité des menaces inhérentes aux informations d’identification n’est autre que des recherches sur l’organisation par le biais de l’ingénierie sociale. Par exemple, un attaquant peut entreprendre une attaque d’hameçonnage par e-mail pour compromettre des comptes légitimes (mais pas nécessairement élevés) qui ont accès au réseau d’une organisation. L’attaquant utilise ensuite ces comptes valides pour effectuer des recherches supplémentaires sur votre réseau et pour identifier les comptes privilégiés qui peuvent effectuer des tâches d’administration.

  • Profit des comptes avec des privilèges élevés. Même avec un compte d’utilisateur normal (non élevé), les attaquants peuvent accéder aux comptes dotés d’autorisations élevées dans le réseau. Les méthodes les plus courantes sont les attaques Pass-the-Hash ou Pass-the-Token. Pour plus d’informations sur les attaques Pass-the-Hash et d’autres techniques de vol d’informations d’identification, consultez les ressources sur la page Pass-the-Hash (PtH).

Il existe bien sûr d’autres méthodes qui permettent aux attaquants d’identifier et de compromettre les identités privilégiées (de nouvelles méthodes sont créées chaque jour). Il est donc important d’établir des pratiques afin que les utilisateurs se connectent par le biais de comptes de moindre privilège afin de réduire la capacité des attaquants à accéder aux identités privilégiées. Les sections ci-dessous décrivent les fonctionnalités qui permettent à Windows Server d’atténuer ces risques.

Administration juste-à-temps (JIT) et Just Enough Administration (JEA)

Malgré les méthodes de protection contre les attaques Pass-the-Hash ou Pass-the-Ticket, les informations d’identification d’administrateur peuvent toujours être volées par d’autres moyens, notamment l’ingénierie sociale, les employés mécontents et la force brutale. Par conséquent, en plus d’isoler autant que possible les informations d’identification, il est également souhaitable de limiter la portée des privilèges de niveau administrateur en cas de compromission.

À l’heure actuelle, les comptes administrateur sur-privilégiés, même s’ils n’ont qu’un seul domaine de responsabilité, sont trop nombreux. Par exemple, un administrateur DNS, qui n’a besoin que de privilèges restreints pour gérer les serveurs DNS, se voit souvent accorder des privilèges propres à l’administrateur du domaine. En outre, étant donné que ces informations d’identification sont accordées à perpétuité, aucune limite ne régit leur durée d’utilisation.

Tout compte disposant, de manière non nécessaire, de privilèges propres à l’administrateur du domaine accroît votre exposition aux attaquants qui cherchent à compromettre les informations d’identification. Pour réduire la surface d’attaque, accordez uniquement les droits spécifiques dont un administrateur a besoin pour exécuter la tâche, et uniquement pendant la durée nécessaire à l’exécution.

Avec les technologies Just Enough Administration et d’administration juste-à-temps, les administrateurs peuvent demander les privilèges spécifiques dont ils ont besoin pendant la durée exacte requise. Pour un administrateur DNS, par exemple, l’utilisation de PowerShell dans le cadre de la technologie Just Enough Administration vous permet de créer un ensemble limité de commandes disponibles aux fins de la gestion DNS.

Si l’administrateur DNS doit mettre à jour l’un de ses serveurs, il demande un accès pour gérer le DNS à l’aide de Microsoft Identity Manager 2016. Le flux de travail de demande peut inclure un processus d’approbation tel que l’authentification à deux facteurs, qui peut appeler le téléphone mobile de l’administrateur pour confirmer son identité avant d’accorder les privilèges demandés. Une fois accordés, ces privilèges DNS confèrent un accès au rôle PowerShell pour le DNS pendant une période spécifique.

Imaginez que les informations d’identification de l’administrateur DNS ont été volées dans ce contexte. D’abord, étant donné qu’aucun privilège d’administrateur n’est associé aux informations d’identification, l’attaquant ne serait pas en mesure d’accéder au serveur DNS (ou à tout autre système) pour y apporter des modifications. Si l’attaquant essayait de demander des privilèges pour le serveur DNS, l’authentification à deux facteurs lui demanderait de confirmer son identité. Étant donné qu’il est peu probable que l’attaquant dispose du téléphone mobile de l’administrateur DNS, l’authentification échouerait. Cela empêcherait donc l’attaquant d’entrer dans le système et avertirait le service informatique de l’organisation que les informations d’identification pourraient être compromises.

En outre, de nombreuses organisations utilisent la Solution de mot de passe d’administrateur local (LAPS) gratuite en tant que mécanisme d’administration JIT simple, mais puissant, pour leurs systèmes de serveur et de client. La LAPS permet de gérer les mots de passe des comptes locaux sur les ordinateurs joints à un domaine. Les mots de passe sont stockés dans Active Directory (AD) et protégés par des listes de contrôle d’accès (ACL). Par conséquent, seuls les utilisateurs éligibles peuvent les lire ou demander leur réinitialisation.

Comme indiqué dans le Guide d’atténuation du vol d’informations d’identification Windows,

« les outils et les techniques utilisés par les criminels pour réaliser des attaques de vol et de réutilisation d’informations d’identification s’améliorent. Les attaquants malveillants atteignent plus facilement leurs objectifs. Le vol d’informations d’identification repose souvent sur des pratiques opérationnelles ou sur l’exposition des informations d’identification des utilisateurs. Par conséquent, pour efficacement atténuer ces attaques, une approche holistique inhérente aux personnes, aux processus et à la technologie est nécessaire. En outre, les attaquants volent les informations d’identification après avoir compromis un système pour étendre ou préserver l’accès, de sorte que les organisations doivent contenir les violations rapidement en mettant en place des stratégies qui empêchent les attaquants de se déplacer librement et sans être détectés dans un réseau compromis. »

L’atténuation du vol d’informations d’identification, en particulier des informations d’identification dérivées, était au cœur du processus de conception de Windows Server. Credential Guard confère une sécurité considérablement améliorée contre le vol et la réutilisation d’informations d’identification dérivées. L’architecture de Windows a été modifiée en vue d’éliminer les attaques par isolation basées sur le matériel, plutôt que de simplement assurer une protection contre celles-ci.

Grâce à Windows Defender Credential Guard, les informations d’identification dérivées Kerberos et NTLM sont protégées à l’aide d’une sécurité basée sur la virtualisation, et les techniques et les outils d’attaque de vol d’informations d’identification utilisés dans de nombreuses attaques ciblées sont bloqués. Les programmes malveillants exécutés dans le système d’exploitation avec des privilèges administratifs ne peuvent pas extraire les secrets protégés par la sécurité basée sur la virtualisation. Bien que Windows Defender Credential Guard permette de réduire efficacement les risques, les attaques de menace persistante sont susceptibles d’avoir recours à de nouvelles techniques. Par conséquent, vous devez également intégrer Device Guard, décrit ci-dessous, et d’autres stratégies et architectures de sécurité.

Windows Defender Credential Guard

Windows Defender Credential Guard utilise la sécurité basée sur la virtualisation pour isoler les informations d’identification, empêchant ainsi l’interception des hachages de mot de passe ou des tickets Kerberos. Il a recours à un tout nouveau processus d’autorité de sécurité locale (LSA) isolée, qui n’est pas accessible aux autres composants du système d’exploitation. Tous les fichiers binaires utilisés par la LSA isolée sont signés à l’aide de certificats validés avant leur lancement dans l’environnement protégé ; les attaques de type Pass-the-Hash sont ainsi complètement inefficaces.

Windows Defender Credential Guard utilise :

  • Sécurité basée sur la virtualisation (requise) Également requis :

    • Processeur 64 bits

    • Extensions de virtualisation d’UC, et tables de pages étendues

    • Hyperviseur Windows

  • Démarrage sécurisé (requis)

  • TPM 2.0 discret ou microprogramme (de préférence, avec liaison au matériel)

Vous pouvez utiliser Windows Defender Credential Guard pour protéger les identités privilégiées en protégeant les informations d’identification et les informations d’identification dérivées sur Windows Server 2016. Pour plus d’informations sur les exigences relatives à Windows Defender Credential Guard, consultez Protéger les informations d’identification de domaine dérivées avec Windows Defender Credential Guard.

Windows Defender Remote Credential Guard

Windows Defender Remote Credential Guard sur Windows Server 2016 et la mise à jour anniversaire Windows 10 permet également de protéger les informations d’identification des utilisateurs disposant de connexions Bureau à distance. Auparavant, toute personne utilisant les services Bureau à distance devait se connecter à son ordinateur local, puis devait à nouveau se connecter lors d’une connexion à distance à son ordinateur cible. Cette seconde étape de connexion transmettait les informations d’identification à l’ordinateur cible, ce qui les exposait aux attaques Pass-the-Hash ou Pass-the-Ticket.

Avec Windows Defender Remote Credential Guard, Windows Server 2016 exécute une authentification unique pour les sessions Bureau à distance. Ce faisant, vous ne devez plus entrer une nouvelle fois votre nom d’utilisateur et votre mot de passe. Windows Server 2016 tire profit des informations d’identification que vous avez déjà utilisées pour vous connecter à votre ordinateur local. Pour utiliser Windows Defender Remote Credential Guard, le client et le serveur Bureau à distance doivent répondre aux exigences suivantes :

  • Être associés à un domaine Active Directory et se trouver dans le même domaine ou un domaine doté d’une relation d’approbation.

  • Utiliser l’authentification Kerberos.

  • Exécuter au moins Windows 10 version 1607 ou Windows Server 2016.

  • L’application Windows classique Bureau à distance est requise. L’application Bureau à distance de la plateforme Windows universelle ne prend pas en charge Windows Defender Remote Credential Guard.

Vous pouvez activer Windows Defender Remote Credential Guard par le biais d’un paramètre de registre sur le serveur Bureau à distance et d’un paramètre de stratégie de groupe ou de connexion Bureau à distance sur le client Bureau à distance. Pour plus d’informations sur l’activation de Windows Defender Remote Credential Guard, consultez Protéger les informations d’identification Bureau à distance avec Windows Defender Remote Credential Guard. À l’instar de Windows Defender Credential Guard, vous pouvez utiliser Windows Defender Remote Credential Guard pour protéger les identités privilégiées sur Windows Server 2016.

Sécurisation du système d’exploitation pour exécuter vos applications et votre infrastructure

Aux fins de la prévention des cybermenaces, il est également nécessaire de trouver et de bloquer les programmes malveillants et les attaques qui cherchent à prendre le contrôle en minant les pratiques d’exploitation standard de votre infrastructure. Si les attaquants parviennent à ce qu’un système d’exploitation ou une application s’exécute d’une manière non prédéterminée et non viable, ils utilisent probablement ce système pour effectuer des actions malveillantes. Windows Server 2016 offre des couches de protection qui empêchent les attaquants externes d’exécuter des logiciels malveillants ou d’exploiter des vulnérabilités. Le système d’exploitation protège activement l’infrastructure et les applications en alertant les administrateurs en cas d’activité indiquant la violation d’un système.

Windows Defender Device Guard

Windows Server 2016 inclut Windows Defender Device Guard pour garantir que seuls les logiciels approuvés peuvent être exécutés sur le serveur. La sécurité basée sur la virtualisation lui permet de limiter les fichiers binaires qui peuvent s’exécuter sur le système selon la stratégie de l’organisation. Si un composant, autre que les fichiers binaires spécifiés, tente de s’exécuter, Windows Server 2016 le bloque et journalise l’échec de tentative afin que les administrateurs puissent voir qu’il y a eu une violation potentielle. La notification de violation est une composante essentielle des exigences de conformité au RGPD.

Windows Defender Device Guard est également intégré à PowerShell afin que vous puissiez autoriser les scripts qui peuvent s’exécuter sur votre système. Dans les versions antérieures de Windows Server, les administrateurs pouvaient contourner l’application de l’intégrité du code en supprimant simplement la stratégie du fichier de code. Avec Windows Server 2016, vous pouvez configurer une stratégie signée par votre organisation afin que seule une personne ayant accès au certificat de signature de la stratégie puisse modifier ladite stratégie.

Control Flow Guard

Windows Server 2016 inclut également une protection intégrée contre certaines classes d’attaques de corruption de mémoire. Il est important de retoucher vos serveurs, mais il y a toujours un risque que des programmes malveillants puissent être développés pour une vulnérabilité qui n’a pas encore été identifiée. Certaines des méthodes les plus courantes pour exploiter ces vulnérabilités consistent à fournir des données inhabituelles ou extrêmes à un programme en cours d’exécution. Par exemple, un attaquant peut exploiter une vulnérabilité de dépassement de mémoire tampon en fournissant plus d’entrées que prévu à un programme et dépasser la zone réservée par le programme pour contenir une réponse. Cela peut endommager la mémoire adjacente qui peut contenir un pointeur de fonction.

Lorsque le programme exécute un appel par le biais de cette fonction, il peut accéder à un emplacement imprévu spécifié par l’attaquant. Ces attaques sont également appelées attaques Jump-Oriented Programming (JOP). Control Flow Guard empêche les attaques JOP en prévoyant des restrictions strictes quant au code d’application qui peut être exécuté, en particulier les instructions d’appel indirect. Il intègre des vérifications de sécurité légères en vue d’identifier l’ensemble de fonctions dans l’application qui constituent des cibles valides pour les appels indirects. Lorsqu’une application s’exécute, Control Flow Guard vérifie la validité de ces cibles d’appels indirects.

Si la vérification de Control Flow Guard échoue au moment de l’exécution, Windows Server 2016 arrête immédiatement le programme, ce qui interrompt toute exploitation qui tente d’appeler indirectement une adresse non valide. Control Flow Guard offre une couche supplémentaire importante de protection à Device Guard. Si une application de liste d’autorisation a été compromise, elle pourrait s’exécuter sans avoir été vérifiée par Device Guard, car le processus de filtrage de Device Guard déterminerait que l’application a été signée et est approuvée.

Toutefois, étant donné que Control Flow Guard peut identifier si l’application s’exécute dans un ordre non prédéterminé et non viable, l’attaque échouerait, et l’application compromise ne pourrait pas s’exécuter. Lorsque ces protections sont utilisées ensemble, il très difficile pour les attaquants d’injecter des programmes malveillants dans des logiciels s’exécutant sur Windows Server 2016.

Les développeurs qui créent des applications de gestion de données personnelles sont encouragés à activer Control Flow Guard (CFG) dans leurs applications. Cette fonctionnalité est disponible dans Microsoft Visual Studio 2015 et s’exécute sur les versions « compatibles avec CFG » de Windows, à savoir les versions x86 et x64 de Desktop et Server de Windows 10 et de la mise à jour Windows 8.1 (KB3000850). Vous ne devez pas activer CFG pour chaque partie de votre code, car un mélange de code avec CFG activé et sans CFG activé s’exécute correctement. Toutefois, le fait de ne pas activer CFG pour l’ensemble du code peut créer une brèche dans la protection. En outre, le code avec CFG activé fonctionne parfaitement sur les versions « non compatibles avec CFG » de Windows et est donc totalement compatible avec celles-ci.

Antivirus Windows Defender

Windows Server 2016 inclut les fonctionnalités de pointe de détection active de Windows Defender pour bloquer les programmes malveillants connus. Windows Defender Antivirus (AV) fonctionne avec Windows Defender Device Guard et Control Flow Guard pour empêcher l’installation, sur vos serveurs, de code malveillant de quelque nature que ce soit. Il est activé par défaut. L’administrateur n’a rien à faire. Windows Defender est également optimisé pour prendre en charge les différents rôles de serveur dans Windows Server 2016. Auparavant, les attaquants utilisaient des shells, tels que PowerShell, pour lancer du code binaire malveillant. Dans Windows Server 2016, PowerShell est désormais intégré à Windows Defender AV et analyse les programmes malveillants avant de lancer le code.

Windows Defender AV est une solution anti-programmes malveillants intégrée qui confère des fonctionnalités de gestion de sécurité et de protection contre les programmes malveillants pour les appareils de bureau, les ordinateurs portables et les serveurs. Windows Defender AV a été considérablement amélioré depuis son introduction dans Windows 8. Windows Defender Antivirus dans Windows Server a recours à une approche à plusieurs volets pour renforcer la protection contre les programmes malveillants :

  • La protection assurée par le cloud permet de détecter et de bloquer les nouveaux programmes malveillants en quelques secondes, même si le programme malveillant n’a jamais été identifié auparavant.

  • Le contexte local enrichi améliore l’identification des programmes malveillants. Windows Server signale à Windows Defender AV non seulement les contenus (fichiers et processus), mais également leur provenance, leur emplacement de stockage, etc.

  • Les capteurs globaux étendus maintiennent Windows Defender AV à jour et signalent les derniers programmes malveillants en date. Ceci, de deux façons : en collectant les données du contexte local enrichi à partir de points de terminaison et en analysant ces données de manière centralisée.

  • La protection contre les falsifications permet à Windows Defender AV de se protéger contre les attaques de programmes malveillants. Par exemple, Windows Defender AV utilise des processus protégés qui empêchent les processus non approuvés de falsifier les composants de Windows Defender AV, ses clés de registre, etc.

  • Les fonctionnalités au niveau de l’entreprise offrent aux experts informatiques les outils et les options de configuration nécessaires pour configurer Windows Defender AV en tant que solution anti-programmes malveillants d’entreprise.

Audit de sécurité amélioré

Windows Server 2016 alerte activement les administrateurs en cas de tentatives de violation potentielle grâce à un audit de sécurité amélioré qui génère des informations plus détaillées, qui peuvent être utilisées pour accélérer la détection des attaques et l’analyse d’investigation. Il journalise les événements de Control Flow Guard, Windows Defender Device Guard et d’autres fonctionnalités de sécurité dans un emplacement unique, ce qui permet aux administrateurs de déterminer plus facilement les systèmes à risque.

Les nouvelles catégories d’événements sont les suivantes :

  • Audit de l’appartenance à un groupe. Cela vous permet d’auditer les informations d’appartenance à un groupe dans le jeton de connexion d’un utilisateur. Des événements sont générés lorsque des appartenances à un groupe sont énumérées ou interrogées sur le PC sur lequel la session de connexion a été créée.

  • Audit de l’activité PnP. Cela vous permet d’auditer la détection par Plug-and-Play d’un appareil externe, qui peut contenir des programmes malveillants. Les événements PnP peuvent être utilisés pour suivre les modifications apportées au matériel du système. Une liste des ID de fournisseurs de matériel est incluse dans l’événement.

Windows Server 2016 s’intègre facilement aux systèmes de gestion des événements d’incident de sécurité (SIEM), tels que Microsoft Operations Management Suite (OMS), qui peuvent saisir des informations dans les rapports de veille sur les violations potentielles. La nature détaillée des informations fournies par l’audit amélioré permet aux équipes de sécurité d’identifier les violations potentielles et d’y répondre plus rapidement et plus efficacement.

Virtualisation sécurisée

À l’heure actuelle, les entreprises virtualisent tout ce qu’elles peuvent, de SQL Server à SharePoint, en passant par les contrôleurs domaine Active Directory. Les machines virtuelles (VM) facilitent le déploiement, la gestion, la maintenance et l’automatisation de votre infrastructure. Toutefois, sur le plan de la sécurité, les structures de virtualisation compromises sont un nouveau vecteur d’attaque contre lequel il est difficile de se protéger, jusqu’à présent. Dans le cadre du RGPD, vous devez penser à protéger les machines virtuelles comme vous le feriez pour protéger les serveurs physiques, notamment à l’aide de la technologie TPM pour machine virtuelle.

Windows Server 2016 révolutionne la sécurisation de la virtualisation des entreprises. Il inclut plusieurs technologies qui vous permettent de créer des machines virtuelles qui s’exécuteront uniquement sur votre propre structure, ce qui renforce la protection contre le stockage, le réseau et les appareils hôtes sur lesquels elles s’exécutent.

Machines virtuelles dotées d’une protection maximale

Les composants qui facilitent la migration, la sauvegarde et la réplication des machines virtuelles facilitent également leur modification et leur copie. Une machine virtuelle n’est qu’un fichier ; elle n’est donc pas protégée sur le réseau, dans le stockage, dans les sauvegardes, ou dans d’autres emplacements. Un autre problème se pose : les administrateurs de structure, qu’ils soient administrateurs de stockage ou administrateurs de réseau, ont accès à toutes les machines virtuelles.

Un administrateur compromis au sein de la structure peut facilement contribuer à la compromission des données des machines virtuelles. L’attaquant n’a qu’à utiliser les informations d’identification compromises pour copier les fichiers de machine virtuelle de son choix sur un lecteur USB et accéder à ces fichiers de machine virtuelle à partir de n’importe quel autre système. Si l’une de ces machines virtuelles volées était un contrôleur de domaine Active Directory, par exemple, l’attaquant pourrait facilement en consulter le contenu et utiliser des techniques de force brutale aisément accessibles pour déchiffrer les mots de passe dans la base de données Active Directory, ce qui lui donnerait finalement accès à tous les autres composants et éléments de votre infrastructure.

Windows Server 2016 intègre des machines virtuelles dotées d’une protection maximale pour vous protéger contre de tels scénarios. Les machines virtuelles dotées d’une protection maximale incluent un appareil TPM virtuel, qui permet aux organisations de chiffrer, par BitLocker, leurs machines virtuelles et de garantir que celles-ci s’exécutent uniquement sur des hôtes approuvés pour vous protéger contre les administrateurs de stockage, de réseau et d’hôte compromis. Les machines virtuelles dotées d’une protection maximale sont créées à l’aide de machines virtuelles de 2e génération, qui prennent en charge le microprogramme UEFI (Unified Extensible Firmware Interface) et disposent d’un TPM virtuel.

Service Guardian hôte

Outre les machines virtuelles dotées d’une protection maximale, le service Guardian hôte est un composant essentiel pour la création d’une structure de virtualisation sécurisée. Il permet d’attester l’intégrité d’un hôte Hyper-V avant d’autoriser le démarrage et la migration d’une machine virtuelle dotée d’une protection maximale vers cet hôte. Il contient les clés des machines virtuelles dotées d’une protection maximale et les libère uniquement lorsque l’intégrité de la sécurité est assurée. Il existe deux façons d’attester l’intégrité de la sécurité par les hôtes Hyper-V auprès du service Guardian hôte.

La première façon, qui est la plus sécurisée, est l’attestation approuvée matérielle. Pour le bon fonctionnement de cette solution, vos machines virtuelles dotées d’une protection maximale doivent s’exécuter sur des hôtes dotés de circuits TPM 2.0 et d’UEFI 2.3.1. Ce matériel est nécessaire pour fournir les informations de démarrage mesuré et d’intégrité du noyau du système d’exploitation requises par le service Guardian hôte afin de garantir que l’hôte Hyper-V n’a pas été falsifié.

Les organisations informatiques peuvent aussi utiliser l’attestation approuvée administrative, qui peut être souhaitable si le matériel TPM 2.0 n’est pas utilisé au sein de votre organisation. Ce modèle d’attestation est facile à déployer, car les hôtes sont simplement placés dans un groupe de sécurité et le service Guardian hôte est configuré pour permettre aux machines virtuelles dotées d’une protection maximale de s’exécuter sur des hôtes membres du groupe de sécurité. Grâce à cette méthode, il est facile de s’assurer que l’ordinateur hôte n’a pas été falsifié. Vous éliminez toute possibilité que des machines virtuelles non chiffrées soient copiées sur des lecteurs USB ou que la machine virtuelle s’exécute sur un hôte non autorisé. En effet, les fichiers de machine virtuelle ne s’exécuteront pas sur une machine autre que celles du groupe désigné. Si vous n’avez pas encore le matériel TPM 2.0, vous pouvez commencer avec une attestation approuvée administrative et passer à une attestation approuvée matérielle lorsque votre matériel est mis à niveau.

Module de plateforme sécurisée de machine virtuelle

Windows Server 2016 prend en charge le TPM pour les machines virtuelles, ce qui permet de prendre en charge des technologies de sécurité avancées telles que le chiffrement de lecteur BitLocker® dans les machines virtuelles. Vous pouvez activer la prise en charge du TPM sur n’importe quelle machine virtuelle Hyper-V de 2e génération, avec le gestionnaire Hyper-V ou l’applet de commande Windows PowerShell Enable-VMTPM.

Vous pouvez protéger le TPM virtuel (vTPM) à l’aide des clés de chiffrement locales stockées sur l’hôte ou dans le service Guardian hôte. Le service Guardian hôte requiert plus d’infrastructures, mais il assure une meilleure protection.

Pare-feu de réseau distribué utilisant la mise en réseau à définition logicielle

Afin d’améliorer la protection dans les environnements virtualisés, il convient de segmenter le réseau de façon à ce que les machines virtuelles puissent communiquer uniquement avec les systèmes spécifiques au fonctionnement. Par exemple, si votre application n’a pas besoin de se connecter à Internet, vous pouvez la diviser en partitions. Ce faisant, ces systèmes ne sont plus des cibles pour les attaquants externes. La mise en réseau à définition logicielle (SDN) dans Windows Server 2016 inclut un pare-feu de réseau distribué. Ce dernier vous permet de créer dynamiquement les stratégies de sécurité qui visent à protéger vos applications contre les attaques internes ou externes à un réseau. Ce pare-feu de réseau distribué ajoute des couches à votre sécurité en vous permettant d’isoler vos applications au sein du réseau. Les stratégies peuvent être appliquées dans toute votre infrastructure de réseau virtuel. Elles permettent d’isoler le trafic de machine virtuelle à machine virtuelle, le trafic de machine virtuelle à hôte, ou le trafic de machine virtuelle à Internet, si nécessaire, que ce soit pour des systèmes individuels qui pourraient être compromis ou par programmation sur plusieurs sous-réseaux. Les fonctionnalités de mise en réseau de Windows Server 2016 définies par logiciel vous permettent également d’acheminer ou de mettre en miroir le trafic entrant vers des appliances virtuelles non Microsoft. Par exemple, vous pouvez envoyer l’intégralité de votre trafic d’e-mails par le biais d’une appliance virtuelle Barracuda pour assurer une protection supplémentaire contre le filtrage des courriers indésirables. Cela vous permet de renforcer facilement la sécurité localement ou dans le cloud.

Autres considérations relatives au RGPD concernant les serveurs

Le RGPD prévoit des exigences explicites de notification des violations, une violation de données personnelles étant « une violation de la sécurité entraînant la destruction accidentelle ou illégale, la perte, l’altération, la divulgation non autorisée ou l’accès aux données personnelles transmises, stockées ou traitées ». Il est évident que vous ne pouvez pas essayer de répondre aux exigences strictes du RGPD en matière de notification dans les 72 heures si vous ne pouvez pas détecter la violation en premier lieu.

Comme indiqué dans le livre blanc du centre de sécurité Windows, Post Breach: Dealing with Advanced Threats,

« Contrairement à la préviolation, la postviolation suppose qu’une violation a déjà eu lieu, à titre d’enregistreur de version d’évaluation et d’enquêteur de scène de crime (CSI). La postviolation fournit aux équipes de sécurité les informations et l’ensemble d’outils nécessaires pour identifier et examiner les attaques qui, autrement, ne seraient pas détectées, et pour y répondre. »

Cette section explique comment Windows Server peut vous aider à respecter vos obligations en matière de notification de violation dans le cadre du RGPD. Vous devez d’abord comprendre les données de menace sous-jacentes disponibles pour Microsoft qui sont collectées et analysées dans votre intérêt. Vous devez aussi comprendre comment ces données, grâce à Windows Defender Advanced Threat Protection (ATP), peuvent être critiques pour vous.

Données de diagnostic de sécurité pertinentes

Depuis près de vingt ans, Microsoft transforme les menaces en informations utiles pour renforcer sa plateforme et protéger ses clients. À l’heure actuelle, grâce au cloud et à ses considérables avantages, nous trouvons de nouvelles façons d’utiliser nos moteurs d’analytique enrichis pilotés par la veille des menaces pour protéger nos clients.

En adoptant une combinaison de processus automatisés et manuels, de machine learning et d’experts humains, nous pouvons créer un Intelligent Security Graph qui apprend de lui-même et évolue en temps réel, réduisant ainsi le temps que nous consacrons collectivement à la détection et à la réponse aux nouveaux incidents dans nos produits.

Microsoft Intelligence Security Graph

La fonction de veille des menaces de Microsoft s’étend littéralement à des milliards de points de données : 35 milliards de messages analysés chaque mois, 1 milliard de clients dans les segments des entreprises et des clients accédant à plus de 200 services cloud, et 14 milliards d’authentifications effectuées quotidiennement. Toutes ces données sont rassemblées en votre nom par Microsoft pour créer l’Intelligent Security Graph et vous aider à protéger dynamiquement vos points d’entrée. Ce faisant, votre sécurité, votre productivité et votre conformité aux exigences du RGPD sont garanties.

Détection des attaques et investigation

Même les meilleurs composants et processus de défense de point de terminaison peuvent finir par être violés, les cyberattaques étant de plus en plus sophistiquées et ciblées. Deux fonctionnalités facilitent la détection des violations potentielles : Windows Defender Advanced Threat Protection (ATP) and Microsoft Advanced Threat Analytics (ATA).

Windows Defender Advanced Threat Protection (ATP) vous permet de détecter et d’examiner les attaques avancées et les violations de données sur vos réseaux, et d’y répondre. Dans le cadre du RGPD, vous êtes tenu de vous protéger contre les violations de données par le biais de mesures de sécurité techniques pour garantir la confidentialité, l’intégrité et la disponibilité permanentes des données personnelles et des systèmes de traitement.

Les principaux avantages de Windows Defender ATP sont les suivants :

  • Détection des éléments indétectables. Capteurs intégrés au noyau du système d’exploitation, experts en sécurité Windows et optique unique provenant de plus de 1 milliard de machines et de signaux sur l’ensemble des services Microsoft.

  • Fonctionnalité intégrée, non complémentaire. Sans agent, avec des performances élevées et des répercussions minimales, dans le cloud ; gestion facile sans déploiement.

  • Volet unique pour la sécurité Windows. Découvrez 6 mois d’événements de sécurité et de chronologie de machine unifiés et enrichis, par rapport à Windows Defender ATP, à Windows Defender Antivirus et à Windows Defender Device Guard.

  • Puissance de Microsoft Graph. Microsoft Intelligence Security Graph est mis à profit pour intégrer la détection et l’exploration à l’abonnement ATP Office 365, afin de suivre les attaques et d’y répondre.

Pour plus d’informations, consultez Nouveautés de la version préliminaire de Windows Defender ATP Creators Update.

ATA est un produit local qui permet de détecter les compromissions d’identités au sein d’une organisation. ATA peut capturer et analyser le trafic réseau pour les protocoles d’authentification, d’autorisation et de collecte d’informations (tels que Kerberos, DNS, RPC, NTLM, etc.). ATA utilise ces données pour créer un profil comportemental concernant les utilisateurs et d’autres entités d’un réseau, afin de détecter les anomalies et les modèles d’attaque connus. Le tableau suivant répertorie les types d’attaques détectés par ATA.

Type d’attaque Description
Attaques malveillantes Ces attaques sont détectées en recherchant des attaques répertoriées dans une liste connue de types d’attaques, notamment :
  • Pass-the-Ticket (PtT)
  • Pass-the-hash (PtH)
  • OverPass-the-hash
  • Faux PAC (MS14-068)
  • Golden Ticket
  • Réplications malveillantes
  • Reconnaissance
  • Force brute
  • Exécution à distance
Pour obtenir la liste complète des attaques malveillantes pouvant être détectées et consulter leur description, reportez-vous à Quelles activités suspectes ATA peut-il détecter ?
Comportement anormal Ces attaques sont détectées par le biais d’une analyse comportementale et exploitent le machine learning pour identifier les activités douteuses, notamment :
  • Connexions anormales
  • Menaces inconnues
  • Partage de mot de passe
  • Mouvement latéral
Problèmes et risques de sécurité Ces attaques sont détectées en examinant la configuration actuelle du réseau et du système, notamment :
  • Relation de confiance rompue
  • Protocoles faibles
  • Vulnérabilités de protocole connues

Vous pouvez utiliser ATA pour détecter les attaquants qui tentent de compromettre les identités privilégiées. Pour plus d’informations sur le déploiement d’ATA, consultez les rubriques Planification, Conception et Déploiement dans la documentation Advanced Threat Analytics.

Clause d'exclusion de responsabilité

Cet article est un commentaire sur le RGPD, tel que Microsoft l’interprète, à la date de publication. Nous nous sommes beaucoup consacrés au RGPD, et nous aimons à croire que nous avons judicieusement réfléchi à son intention et à sa signification. Mais l’application du RGPD est vraiment spécifique aux faits, et tous les aspects et interprétations du RGPD ne sont pas bien établis.

Dès lors, cet article sert uniquement à titre d’information et ne doit pas être considéré comme un avis juridique ou comme un moyen de déterminer l’application du RGPD à votre organisation et à vous. Nous vous encourageons à collaborer avec un professionnel légalement qualifié pour discuter du RGPD, de son application spécifique à votre organisation et de la meilleure façon d’en garantir la conformité.

MICROSOFT NE DONNE AUCUNE GARANTIE, EXPLICITE, IMPLICITE OU STATUTAIRE, EN CE QUI CONCERNE LES INFORMATIONS DE CET ARTICLE. Cet article est fourni en l’état. Les informations et idées exprimées dans cet article, y compris les URL et autres références à des sites Web sur Internet, peuvent faire l’objet de modifications sans préavis.

Cet article ne vous fournit aucun droit légal de propriété intellectuelle de tout produit Microsoft. Vous pouvez copier le présent article pour une utilisation interne à des fins de référence uniquement.

Publié en septembre 2017
Version 1.0
© 2017 Microsoft. Tous droits réservés.