Espion de sécurité Reconsidérer les 10 lois immuables de sécurité, partie 2

Jesper M. Johansson

Contenu

Loi 4: Si vous autorisez un technicien incorrect télécharger des programmes sur votre site Web, il ne ’s pas votre site Web plus.
Loi 5: mots de passe faible trump sécurité renforcée.
Loi 6: ordinateur n'est aussi sécurisée que l'administrateur est digne de confiance.
Loi 7: données chiffrées sont uniquement aussi sûr que la clé de déchiffrement.
Conclusion

Dans l'article du mois dernier de TechNet Magazine , Je soccer désactiver une série en trois parties reconsidérer la dissertation connue « 10 immuables lois de la sécurité. » Mon objectif consiste à évaluer les huit ans après que qu'ils sont premier postulated et voir ou non ils toujours contenir — en d'autres termes, pour voir si elles vraiment sont « immuables ». (Vous trouverez la première partie de cette série en Microsoft.com/technet/archive/Community/Columns/Security/essays/10imlaws.mspx.)

J'AI trouvé que les trois premières lois contenir des très bien. Maintenant je suis prêt à scrutinize quatre plus de la législation. Dans article finale du mois prochain, j'aborder les lois trois finales, ainsi qu'offrent des détails de nouveau qu'avantages huit années de hindsight.

Loi 4: Si vous autorisez un technicien incorrect télécharger des programmes sur votre site Web, il n'est votre site Web plus.

Vous pensez peut-être que la loi 4 semble un peu bizarre. Après tout, les autres lois sont très haut niveau, ne pas parler à des services spécifiques mais la fonctionnalité générale. Les trois premières lois tous les décrivent les scénarios où votre ordinateur est plus votre ordinateur. Puis vous atteindre 4 de la loi, qui traite des sites Web.

Pour comprendre 4 de la loi, contexte historique est très important. Les lois ont été initialement publiés dans 2000. C'était une fois lorsque le Web était toujours relativement nouveau et immature. Sites tels que Amazon et eBay ont toujours développement. Et alors que les actions qui s'exécutaient des commandes arbitraires sur des sites Web étaient commonplace, les correctifs n'a pas été.

Contre cette backdrop Microsoft probablement vu 4 de la loi comme une instruction publique nécessaire dont vous avez besoin pour prendre la responsabilité de votre site Web sert. Piloté ce point a été par la maison, style sledgehammer, en septembre 2001 lorsque Nimda vu. Nimda était un ver multi-vector réseau, et parmi les vecteurs de qu'elle utilisée pour la diffusion était pour infecter des sites Web vulnérables et modifier les exécuter le ver.

La période qui entoure la loi 4 était également une des defacements de site Web. Attrition.org exécute un miroir de nombreux les defacements à partir de que (temps attrition.org/Mirror/attrition/Months.HTML). Il y a eu la plupart des ces defacements souvent des sites visible. Sécurité notable même formation organisation SANS Institute avait sa page d'accueil defaced. la figure 1 illustre le defacement du site Web état Arizona en octobre 1998.

La figure 1 Defacement du site Web état Arizona (cliquez sur l'image pour l'agrandir)

Le problème était que, en puis personnes étaient généralement flous sur Qu'est devenu réellement lorsqu'un site Web a été defaced. Le consensus était que vous vous avez débarrasser de la page malveillant et s'est passé sur avec la durée de vie. Si vous étiez en la ball, vous corrigé le trou les pirates utilisées (si vous pouvez rechercher).

Personnes n'ont pas été recherche à l'image complète. 4 De la loi a été conçu pour faire penser à propos de la procédure peut être due lorsqu'un site Web a été defaced, pas ce qui ne se passer des personnes.

Malheureusement, la loi 4 n'a pas complètement réussi. En dépit du 4 de la loi, par 2004 j'a augmenté weary de la réponse à la question: "ne peut pas nous simplement supprimer la page Web le pirate mis et associés sur notre activité comme d'habitude?" Pas un homme de quelques mots, J'AI essayé dispel ces notions à nouveau avec un article appelé « Aide : je réception pirater. Maintenant que je faire? » ( site technet.microsoft.com /en-us/library/cc512587.aspx).

La question, est toutefois, si la loi 4 toujours contient dès aujourd'hui. Est un technicien incorrect réellement propriétaire votre site si il pouvez télécharger un programme au ? Plus granularly il posséder votre site, ou les visiteurs de votre ou les deux ? 4 De la loi n'est réellement Effacer en tant que à laquelle il fait référence, pas donc je vais analyser les deux.

Par rapport au propriétaire de votre site, la réponse est Oui. Le technicien incorrect possède votre site si vous laissez lui placer des programmes sur elle (il existe, toutefois, quelques exceptions j'allons étudier dans un instant). Avec un site Web classique, deux choses que l'utilisateur incorrect pouvez faire en téléchargeant les programmes, et il existe une très grande implication du fait qui il est en mesure de télécharger sur votre site.

La première chose que le technicien incorrect faire est de rendre votre site répondre à ses besoins. Si quelqu'un est intéressé à servir le contenu interdit, comme enfant pornographie, ce qui mieux placer pour cela que sur un site qui ne peut pas être repéré nouveau pour le pirate lui-même ? Criminels serait bien plutôt servir ce type de contenu hors de votre site Web à la leur.

La deuxième que le technicien incorrect faire télécharger un programme sur votre site consiste à prendre le contrôle du système derrière le site. Ceci, bien sûr, dépend si il peut en réalité exécuter le programme sur votre serveur Web. Avoir simplement le programme il sans lui faire quoi que ce soit pas va vous aider. Toutefois, si l'utilisateur incorrect peut exécuter le programme, il sans aucun doute propriétaire de votre site et peut maintenant non seulement rendre répondre à ses propres besoins mais également l'utiliser pour reprendre les autres éléments.

L'implication à laquelle J'AI fait référence est encore plus importante que les caractéristiques. Dans l'article « Aide : je réception pirater », le point que je essayait de rendre figurait que vous ne savez exactement quels la mauvaise technicien peut avoir effectuée après qu'il scindé en. Si un technicien incorrect parvient à placer son propre contenu sur votre site, vous devez demander à quoi d'autre qu'il aurait pu fait.

La réponse pourrait potentiellement être beaucoup de choses. Qui est la partie vraiment critique de ce puzzle. Si un technicien incorrect pouvez exécutez des programmes sur un serveur de votre site Web, il possède complètement ce site et son action. Il n'est vraiment pas votre site Web plus.

Par rapport à compromettre les visiteurs du site, cette question est plus difficile à répondre. Navigateurs ont été riddled avec des failles de sécurité dans le 1990s au plus tard. Autour de 2004, la situation améliorer considérablement. Principaux navigateurs Aujourd'hui, Internet Explorer et Firefox, sont assez plein en termes de sécurité. En fait, par rapport à nous avions dans le 1990s, navigateurs aujourd'hui sont veritable bastions de sécurité.

Si un technicien incorrect peut compromettre les visiteurs de votre dépend fortement deux choses. Tout d'abord, y a-t-il trous dans les navigateurs qui il peut exploiter ? Il y a peut-être, mais pas presque à il sont il utilisé pour être. Et ensuite, peut le technicien incorrect persuader aux utilisateurs de compromettre eux-mêmes ? La réponse, est disturbingly souvent, Oui.

Beaucoup trop d'utilisateurs installera choses qui un site Web indique les installer. C'est un problème sérieux, que nous ne peut pas résoudre une avec la technologie. Dans juillet, août et septembre 2008 versements de sécurité espion, J'AI étudié ce problème. Par rapport à 4 de la loi, cela Malheureusement signifie que l'utilisateur incorrect de très bonnes chances de pouvoir compromettre les visiteurs de votre.

Les exceptions mentionnées plus haut doivent être évidentes. Les sites Web faire plusieurs choses aujourd'hui qui ont été pas foreseen en la 1990s au plus tard. Par exemple, les sites de collaboration interne, tels que Microsoft SharePoint, sont courants. Toute personne disposant d'autorisations appropriées peut télécharger un programme sur un tel site, mais cela signifie que ni le site, ni un utilisateur qui mène à, sera compromis. C'est tout simplement que le site est conçu pour. Les utilisateurs sont considérés comme approuvés, dans une certaine mesure, simplement en raison d'avoir les autorisations nécessaires accéder au site.

Et puis shareware sites. Alors qu'il a été malware validé dans les dans le passé, ils sont conçus pour partager des logiciels. Dans et de lui-même ne signifie pas que tout utilisateur est compromis. Pour résumer, ces sites comporte protections afin d'assurer qu'elles restent sécurisés et que les utilisateurs ne sont pas automatiquement compromises en accédant à leur. Je considère que l'exception qui confirme la règle. Par conséquent, la loi 4, au moins de pensée, toujours contient, en dépit du certains sites sont conçus pour autoriser les personnes, mauvais et parfait télécharger des programmes sur les.

Loi 5: mots de passe faible trump sécurité renforcée.

Mots de passe ont été une passion de mien depuis de nombreuses années. Mots de passe ou, plus généralement, secrets partagés sont un excellent moyen d'authentifier les sujets. Il y a qu'un seul problème secondaire avec les : ils écrouler complètement face de nature humaines.

Retour dans les halcyon jours de l'informatique lorsque time-sharing informatique a été tout d'abord inventé, le besoin de permet de distinguer entre les utilisateurs est devenu apparent. Le système devait permet de distinguer entre les données d'Alice et les données Robert. Idéalement, Bob devrait être peut empêcher Alice de lire ses données, bien que ce soit une demande libre.

La solution était comptes d'utilisateur et mots de passe. Nous avons utilisé un compte sur un ordinateur. Et nous avons dû généralement un mot de passe, qui est généralement l'une des opérations suivantes :

• Le nom d'une de vos enfants
• Prénom votre conjoint
• Nom de votre animal de compagnie
• « Dieu" (si vous étiez le super utilisateur)

Fast-Forward années 30 ou c'est le cas. Nous avons maintenant des centaines de comptes, sur les sites Web tout sur Internet et sur plusieurs ordinateurs. Chaque un de ces systèmes nous indique que nous ne devez pas utiliser le même mot de passe sur tout autre système. Vous êtes conseillé de rendre fort, ne pas pour écrire et il modifier tous les 30 à 60 jours.

Étant donné que humains ordinaires ne peut pas modifier les quatre mots de passe en jour ouvré et réellement Mémoriser un d'eux, le résultat net est que, ils utiliser Malheureusement, le même mot de passe sur tous les systèmes (ou éventuellement deux différents mots de passe). Et qu'ils sont généralement choisis dans la liste suivante de possibilités :

• Le nom d'une de vos enfants portant le numéro 1 ajouté à elle
• Prénom de votre conjoint portant le numéro 1 ajouté à elle
• Nom de votre animal de compagnie avec le numéro 1 ajouté à elle
• « GodGod11 » (uniquement si vous êtes le super utilisateur)

Nous n'avez pas avancées presque loin comme une serait espère que dans les années 30 intermédiaires. Chercheurs sont toujours recherche les mots de passe une zone fruitful de recherche ; pour plus d'informations, reportez-vous à l'article PC World « trop de mots de passe ou pas assez Brainpower » (à pcworld.com/businesscenter/article/150874/too_many_passwords_or_not_enough_brain_power.HTML).

Clairement, mots de passe, comme ils sont généralement utilisés, sont une très faible forme de la sécurité. Il existe encore moyens pour utiliser des mots de passe en toute sécurité. Par exemple, vous pouvez générer des mots de passe forts et les écrire vers le bas, rien réellement n'est incorrect avec celui. Toutefois, personnes sont donc inundated avec conseils de sécurité incorrect de partout et tout le monde que les utilisateurs en réalité il est préférable d'utiliser le même mot de passe partout où que pour écrire vers le bas leurs mots de passe.

Le fait est que beaucoup de sécurité boils vers un point faible. Prenez l'accès réseau privé virtuel (VPN) d'entreprise, par exemple. J'ont été nombreuses discussions sur les différentes technologies VPN en ; évaluations de fournisseur dans lequel les fournisseurs point sortie les virtues de leur très fort et très lent, chiffrement ; comment leur faire pivoter les clés de cryptage pour vous assurer que l'agresseur ne peut pas Dénicher les paquets et cryptanalyze les.

Mais tout cela manque complètement le point. Un agresseur ne va pas pour essayer de cryptanalyze un flux de paquets qui prendra 10 millions années pour rompre à l'aide disponible actuellement technologie informatique. Y a-t-il réellement n'importe quelle valeur de ralentir le réseau d'un ordre de grandeur pour obtenir la cryptographie prendra millions de 100 ans pour rompre ? Honnêtement, je n'est pas particulièrement occupe si quelqu'un années 100 millions à partir de maintenant (ou même les années de 10 millions à partir de maintenant) une certaine manière parvient à déchiffrer ma messagerie professionnelle.

Est le chiffrement réellement la faible intéressant pointez ? L'utilisateur malveillant est beaucoup plus susceptible d'exploiter la vulnérabilité simple, le fait que mots de passe utilisateur sont souvent un des mots de passe J'AI simplement répertoriés.

Chiffrement fort très très peu beaucoup si tous vos utilisateurs Sélectionnez un mot de passe six ou huit caractères. Par conséquent, nous maintenant déplacez vers formulaires plus puissant d'authentification, tel que des cartes à puce et des générateurs de code PIN uniques.

Il offrent une amélioration énorme, mais qu'ils n'améliorent pas toujours sécurité. Cartes à puce, par exemple, sont très facile de perdre ou laissez à la maison. Et les générateurs de code code uniques tenir parfaitement sur votre détenteur badge qui ressemble très négatif autour de votre corps. La fois suivante que vous accédez à récupérer un café à l'usine entre la rue, voir si vous pouvez repérer le technicien examiner ce code unique en cours, la lecture votre nom d'utilisateur désactiver votre badge et essayer de deviner l'élément petit peu de caractère aléatoire qui est tout il maintenant doit dans pouvoir se connecter que vous à votre réseau d'entreprise.

La loi 5 très certainement comporte aujourd'hui, et il continuera à maintenir dans le futur. Cependant, je pense qu'il peut être considérablement généralisé. Mots de passe plus simplement faibles trump sécurité renforcée. Plus généralement, vous pouvez dire « authentification faible » ou même « points faibles » trump sécurité renforcée.

Informatique sécurité dans son ensemble est coupable des pas pas à pas revenir à l'image plus large. Nous avons tendance à se concentrer sur un petit fragment du problème, qui nous pouvons affichée au mieux résoudre avec technologies de sécurité renforcée. Trop souvent nous pas réaliser qu'il existe systémique points faibles qui nous n'ont réduit pas, ou même pensé, qui affiche tout la technologie nous sont plaçant dans moot place.

Par exemple, envisagez comment de nombreuses organisations essayez fixer les périphériques amovibles que les utilisateurs peuvent utiliser, mais autoriser sortant Secure Shell (SSH) et les connexions d'envoi de courrier électronique crypté. La quantité perte de données est vraiment réduit en limitant les périphériques amovibles si vous autorisez des données pour être transmis avec le cryptage pour que vous ne pouvez pas voir même les données ? Ceci est un des problèmes principaux que nous professionnels de la sécurité doit résoudre si nous à survivre et prosper.

Loi 6: ordinateur n'est aussi sécurisée que l'administrateur est digne de confiance.

Je suis amazed que, même aujourd'hui, nous conserver voir les rapports d'exploits fonctionnent uniquement avec les administrateurs, exploite pire encore, qui fonctionnent uniquement si vous êtes déjà administrateur. Que j'écris ce que je suis assis dans un aéroport sur mon manière dans la conférence noir Hat 2008. Même il j'intercepté une présentation qui route le principe que « si vous avez accès racine, ici est comment vous pouvez tirer sur le système ».

D'une part, il est comforting savoir que la pire chose que certaines personnes peuvent proposer est comment faire pour modifier le système, même un peu plus stealthily, s'ils disposent déjà de la droite pour modifier le système. D'autre part, je trouver il frustrante qui personnes ne semblent pas pour voir comment inutile qui est et conserver tente d'inventer de nouvelles façons de le faire et l'heure précieux déchets, plus important et l'énergie sur la protection contre il.

Le fait est simple : tout utilisateur qui est administrateur (ou racine, ou super utilisateur ou tout ce qui reste vous pouvez appeler le rôle) est omnipotent dans le monde de ce système. Qu'utilisateur a la possibilité de faire quoi que ce soit !

Il existe certainement noisier ainsi subtler manières de faire tout ce qui il est qu'un utilisateur malveillant de ce tri souhaite faire. Mais le fait de base reste exactement le même : vous ne pouvez pas détecter efficacement tout ce qui un administrateur malveillant ne veut pas à détecter. Tel un utilisateur possède les moyens de masquer ses pistes et vérifiez tout ce que semble être effectué par quelqu'un d'autre.

Il est clair, puis que la loi 6 toujours applique, au moins au niveau de certains. Si un individu auquel a été accordé puissances omnipotent sur un ordinateur devient défectueux, il vraiment, réellement, n'est pas votre ordinateur les plus. Dans un sens très réel, l'ordinateur est uniquement aussi sécurisée que l'administrateur est digne de confiance.

Il existe quelques points supplémentaires à prendre en considération, cependant. Tout d'abord, la notion d'administrateur, du point de vue de l'ordinateur, comprend non seulement la personne ou le personnes vu attribuer ce rôle. Il inclut également tout logiciel qui est exécutée dans le contexte de sécurité de ce rôle. Et par extension, puis, le rôle d'administrateur inclut également n'importe quel auteur de tout ce logiciel.

Ceci est un point critique. Lorsque la loi 6 indique que l'ordinateur est uniquement aussi sécurisée que l'administrateur est digne de confiance, la signification est beaucoup plus large qu'il semble. Ne jamais oublier qu'agissant l'ordinateur est, administrateur signifie n'importe quel processus s'exécutant dans le contexte de sécurité d'un utilisateur administratif. Si cet utilisateur destiné à exécuter en fait que la partie du code ou conçu pour endommager avec lui est inutile.

Ceci est un point critique car elle est uniquement récemment qu'un utilisateur moyen peut fonctionner feasibly un ordinateur Windows en que non-administrateur. C'est un objectif principal du contrôle (compte d'utilisateur) dans Windows Vista. Même, il n'y a aucune limite de sécurité entre un utilisateur contexte administratif et le contexte non administratif. Par conséquent, la loi 6 s'applique à tout utilisateur qui a le potentiel pour devenir un administrateur, pas seulement ceux qui sont administrateurs pour l'instant.

Par conséquent, la seule façon ne pas soumis à la loi 6 est vraiment ne pas être un administrateur, mais au lieu de cela fonctionne tant qu'utilisateur standard cette propriété a la valeur true. Malheureusement, il s'agit pas de la valeur par défaut même dans Windows Vista, et nombreuses Original Equipment Manufacturers OEM (en fait désactiver le contrôle de compte d'utilisateur complètement.

Le contrôle de compte d'utilisateur, conseils toutefois, un peu à l'avenir à venir. La fonctionnalité plus visible du contrôle de compte d'utilisateur est le processus une élévation, illustré figure 2 . Toutefois, l'avantage stratégique plus important n'est pas l'élévation à un administrateur mais la possibilité de fonctionner efficacement un ordinateur sans être un administrateur en premier lieu. Windows Vista inclut plusieurs améliorations pour vous que possible. Par exemple, contrairement aux versions antérieures de Windows, vous pouvez modifier le fuseau horaire sans être un administrateur, autorisant les voyageurs à non administrateurs. Déplacement vers l'avant, probablement sera plusieurs de ces types d'améliorations.

La figure 2 de la fonctionnalité plus visible et éventuellement leastimportant, du contrôle de compte d'utilisateur est l'invite d'élévation (cliquez sur l'image pour l'agrandir)

6 De la loi contient aujourd'hui et continueront à maintenir. Toutefois, le commutateur vers un monde où les utilisateurs peuvent fonctionner leurs ordinateurs comme un administrateur est un des deux principaux facteurs moderating sur 6 de la loi. Le second facteur n'est pas très nouveau : systèmes de contrôle d'accès obligatoire.

Dans les systèmes contrôle accès obligatoire, objets possèdent des étiquettes et des règles strictes pour comment les objets peuvent être relabeled. Logiciel applique la sécurité à un objet cohérent avec son étiquette, en dehors du contrôle immédiat de l'administrateur. Proprement parler, dans des implémentations en cours, l'administrateur peut prendre généralement des diverses mesures illégitimes pour remplacer ces contrôles.

Toutefois, le principe est promesse de livraison, et il peut possible un jour afin de limiter ce que les administrateurs peuvent faire. Mais même s'il existait pour obtenir des restrictions pour limiter ce que les administrateurs peuvent faire, vous pourriez toujours de dire que les utilisateurs seraient plus administrateurs dans le sens du terme réel. Par conséquent, la loi 6 est decidedly immuable.

Loi 7: données chiffrées sont uniquement aussi sûr que la clé de déchiffrement.

La loi 7 est probablement le moins controversés de toutes les lois. Chiffrement est bien trop souvent considérée comme la panacée pour plusieurs problèmes de sécurité. La vérité, cependant, est que cryptage est un outil utile dans le monde de la sécurité, il n'est pas et ne sera, une solution autonome pour la majorité des problèmes que nous face.

Le chiffrement est partout où que vous activez. Dans Windows, chiffrement est utilisé pour les mots de passe, des fichiers, pour la navigation sur le Web et d'authentification. Chiffrement pas tous est conçu pour être réversible, mais les exemples plus importants de chiffrement réversible notamment le système de fichiers EFS (ENCRYPTING) et le cache d'informations d'identification utilisé pour les mots de passe et noms d'utilisateur, comme illustré dans la figure 3 .

La figure 3 le cache d'informations d'identification dans Windows Vista est protégée par chiffrement (cliquez sur l'image pour l'agrandir)

EFS et le cache d'informations d'identification sont protégés par une clé de chiffrement dérivée le mot de passe de l'utilisateur. Cela a plusieurs conséquences. Premier, si le mot de passe de l'utilisateur est réinitialisé (défini sur un nouveau mot de passe sans entrer l'ancien), toutes les données stockées dans ces emplacements seront perdus à moins qu'une clé de récupération désignée.

Mais encore plus important pour notre étude, tandis que le chiffrement lui-même utilise très forts des clés et les protocoles, la sécurité de la clé est dépend le mot de passe de l'utilisateur. En d'autres termes, les données sont non plus sécurisées que le mot de passe fort. Le mot de passe, est en effet, une clé de déchiffrement même si, dans ce cas particulier, il est une clé de déchiffrement secondaire, ce qui signifie qu'il décrypte une autre clé de déchiffrement.

Ceci est crucial. Ces types de chaînes de dépendance sont partout dans le monde informatique. Il y a des années, une personne exécuté une attaque d'ingénierie sociale contre VeriSign et obtenue deux certificats de signature de code dans le nom de Microsoft. Un certificat de signature de code est effectivement une clé de décryptage, qui est utilisée pour vérifier que l'entité nommée dans le certificat a la clé de chiffrement.

Toutefois, dans ce cas, la personne demandant le certificat ne l'entité nommée dans le certificat. En d'autres termes, l'agresseur devait désormais clés de signature dans Nom de personne. Les clés peuvent ont été sécurisées, mais une fois que vous analysez le reste de la chaîne de dépendance, vous découvrez la faille irrécupérable.

Tout cela sert à prouver un point : la clé de déchiffrement est essentielle pour la sécurité des données, mais la clé de déchiffrement peut être protégés par beaucoup plus faibles secrets. J'ai vu trop nombreux systèmes où les implémenteurs créé dans le cryptage plus fort thinkable et protégé par la clé de déchiffrement avec une autre mesure de sécurité mais a échoué réaliser que cette seconde couche avait un trou significatif. Lors de l'implémentation de tout cryptage, vous devez vous assurer que vous analysez la chaîne entière de protection. Simplement chiffré par lui-même rendre les données sécurisées.

La loi 7 toujours contient puis. Il est un des plus unassailable de la législation 10. En fait, il est le plus proche nous obtenons une loi de physique dans cette entreprise. Il doit également servir une leçon à tous nous, rappelant nous pour analyser la chaîne entière protection de nos données sensibles. Par conséquent, il est acceptable pour ont clés qui n'ont pas la protection plus forte possible, mais il est important que ces clés doivent uniquement être utilisées pour chiffrer les données simplement nécessite ce niveau inférieur de protection.

Conclusion

Jusqu'à présent, les lois immuables de sécurité sont 7 pour 7. Chacune des lois que j'ont révisé toujours comporte la valeur true ces depuis plusieurs années plus tard, et il semble peu probable que leur va être considérablement disproven bientôt à tout moment.

En fait, les lois ont démontré un peu impressionnant de foresight. Le seul qui semble de lieu jusqu'à présent est numéro 4, mais, comme mentionné précédemment, de même qu'un doit toujours être considérées comme immuable.

Mois prochain je vais conclure cette série avec un aspect à lois 8, 9 et 10. Et je vais commenter où la législation peut-être concerner tous les aspects de sécurité.

Jesper M. Johansson est architecte logiciel travaillant sur le logiciel de sécurité et contribue également à l'élaboration de TechNet Magazine. Il contient un Dr. dans Gestion des informations systèmes, a plus de 20 ans expérience de sécurité et est plus Valuable Professional (MVP Microsoft) dans la sécurité d'entreprise. Son dernier ouvrage est The Windows Server 2008 Security Resource Kit.