Confiance nulle et intégrité des appareils Windows
Les organisations ont besoin d’un modèle de sécurité qui s’adapte plus efficacement à la complexité de l’environnement de travail moderne. Les administrateurs informatiques doivent adopter l’espace de travail hybride tout en protégeant les personnes, les appareils, les applications et les données où qu’ils se trouvent. L’implémentation d’un modèle Confiance nulle pour la sécurité permet de traiter les environnements complexes d’aujourd’hui.
Les principes Confiance nulle sont les suivants :
- Vérifiez explicitement. Toujours authentifier et autoriser en fonction de tous les points de données disponibles, y compris l’identité de l’utilisateur, l’emplacement, l’intégrité de l’appareil, le service ou la charge de travail, la classification des données et les anomalies de surveillance
- Utilisez l’accès avec privilèges minimum. Limiter l’accès utilisateur avec des stratégies adaptatives juste-à-temps et juste-suffisant, basées sur les risques et protection des données pour sécuriser les données et maintenir la productivité
- Supposons qu’il y a violation. Empêcher les attaquants d’obtenir l’accès afin de réduire les dommages potentiels aux données et aux systèmes. Protéger les rôles privilégiés, vérifier le chiffrement de bout en bout, utiliser l’analytique pour obtenir une visibilité et piloter la détection des menaces pour améliorer les défenses
Le concept Confiance nulle de vérification s’applique explicitement aux risques introduits par les appareils et les utilisateurs. Windows active les fonctionnalités d’attestation d’intégrité de l’appareil et d’accès conditionnel , qui sont utilisées pour accorder l’accès aux ressources d’entreprise.
L’accès conditionnel évalue les signaux d’identité pour confirmer que les utilisateurs sont bien ceux qu’ils prétendent être avant d’avoir accès aux ressources d’entreprise.
Windows 11 prend en charge l’attestation d’intégrité des appareils, ce qui permet de confirmer que les appareils sont en bon état et qu’ils n’ont pas été falsifiés. Cette fonctionnalité permet aux utilisateurs d’accéder aux ressources de l’entreprise, qu’ils soient au bureau, à la maison ou lorsqu’ils voyagent.
L’attestation permet de vérifier l’identité et la status des composants essentiels, ainsi que le fait que l’appareil, le microprogramme et le processus de démarrage n’ont pas été modifiés. Les informations sur le microprogramme, le processus de démarrage et le logiciel sont utilisées pour valider l’état de sécurité de l’appareil. Ces informations sont stockées par chiffrement dans le module de plateforme sécurisée (TPM) du coprocesseur de sécurité. Une fois l’appareil attesté, il peut être autorisé à accéder aux ressources.
Attestation d’intégrité de l’appareil sur Windows
De nombreux risques de sécurité peuvent apparaître pendant le processus de démarrage, car ce processus peut être le composant le plus privilégié de l’ensemble du système. Le processus de vérification utilise l’attestation à distance comme canal sécurisé pour déterminer et présenter l’intégrité de l’appareil. L’attestation distante détermine :
- Si l’appareil peut être approuvé
- Si le système d’exploitation a démarré correctement
- Si le système d’exploitation a le bon ensemble de fonctionnalités de sécurité activées
Ces déterminations sont effectuées à l’aide d’une racine de confiance sécurisée à l’aide du module de plateforme sécurisée (TPM). Les appareils peuvent attester que le module de plateforme sécurisée est activé et que l’appareil n’a pas été falsifié.
Windows inclut de nombreuses fonctionnalités de sécurité pour protéger les utilisateurs contre les programmes malveillants et les attaques. Toutefois, l’approbation des composants de sécurité Windows ne peut être obtenue que si la plateforme démarre comme prévu et n’a pas été falsifiée. Windows s’appuie sur le démarrage sécurisé UEFI (Unified Extensible Firmware Interface), le logiciel anti-programme malveillant à lancement précoce (ELAM), la racine dynamique de confiance pour la mesure (DRTM), le démarrage approuvé et d’autres fonctionnalités de sécurité matérielle et microprogramme de bas niveau. Lorsque vous mettez votre PC sous tension jusqu’au démarrage de votre logiciel anti-programme malveillant, Windows dispose de la configuration matérielle appropriée pour vous assurer de votre sécurité. Le démarrage mesuré et approuvé, implémenté par les chargeurs de démarrage et le BIOS, vérifie et enregistre par chiffrement chaque étape du démarrage de manière chaînée. Ces événements sont liés à un coprocesseur de sécurité (TPM) qui agit comme racine de confiance. L’attestation à distance est le mécanisme par lequel ces événements sont lus et vérifiés par un service pour fournir un rapport vérifiable, impartial et résilient aux falsifications. L’attestation à distance est l’auditeur approuvé du démarrage de votre système, ce qui permet à des entités spécifiques d’approuver l’appareil.
Voici un résumé des étapes impliquées dans l’attestation et la Confiance nulle côté appareil :
Au cours de chaque étape du processus de démarrage, comme le chargement d’un fichier, la mise à jour de variables spéciales, etc., des informations telles que les hachages de fichier et la signature sont mesurées dans les fichiers PCR TPM. Les mesures sont liées par une spécification tcg (Trusted Computing Group ) qui détermine les événements pouvant être enregistrés et le format de chaque événement
Une fois windows démarré, l’attesteur/vérificateur demande au TPM d’extraire les mesures stockées dans son registre de configuration de plateforme (PCR) avec un journal TCG. Les mesures de ces deux composants forment ensemble la preuve d’attestation qui est ensuite envoyée au service d’attestation
Le module de plateforme sécurisée est vérifié à l’aide des clés/du matériel de chiffrement disponibles sur le circuit microprogrammé avec un service de certificats Azure
Ces informations sont ensuite envoyées au service d’attestation dans le cloud pour vérifier que l’appareil est sécurisé. Microsoft Endpoint Manager s’intègre à Microsoft Azure Attestation pour passer en revue l’intégrité complète de l’appareil et connecter ces informations à Microsoft Entra l’accès conditionnel. Cette intégration est essentielle pour Confiance nulle solutions qui aident à lier l’approbation à un appareil non approuvé
Le service d’attestation effectue les tâches suivantes :
- Vérifiez l’intégrité de la preuve. Cette vérification est effectuée en validant les pcr qui correspondent aux valeurs recalculées en relisant le journal TCG
- Vérifiez que le module de plateforme sécurisée dispose d’une clé d’identité d’attestation valide émise par le module TPM authentifié
- Vérifiez que les fonctionnalités de sécurité sont dans les états attendus
Le service d’attestation retourne un rapport d’attestation qui contient des informations sur les fonctionnalités de sécurité en fonction de la stratégie configurée dans le service d’attestation
L’appareil envoie ensuite le rapport au cloud Microsoft Intune pour évaluer la fiabilité de la plateforme en fonction des règles de conformité de l’appareil configurées par l’administrateur
L’accès conditionnel, ainsi que l’état de conformité de l’appareil, décident ensuite d’autoriser ou de refuser l’accès
Autres ressources
Pour en savoir plus sur les solutions Microsoft Confiance nulle, consultez le Centre d’aide Confiance nulle.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour