Format de rechange : Conseils en matière de configuration de renforcement de Microsoft Windows 7 Entreprise (ITSB-110) (PDF, 60 Ko
1 Objet
Ce document fournit des conseils sur la façon de déployer le système d’exploitation (SE) Microsoft Windows 7 Entreprise (c.-à-d. Windows 7) de manière à prévenir la compromission des biens et des infrastructures TI du gouvernement du Canada (GC) au sein d’un environnement Protégé B générique connecté à Internet. Il est destiné aux praticiens des systèmes d’information, aux praticiens de la sécurité et aux autorités d’évaluation et d’autorisation de sécurité collectivement responsables de la gestion des risques liés aux réseaux ministériels.
2 Incidence
Plusieurs ministères du GC ont déployé ou procèdent actuellement au déploiement de Windows 7 comme SE principal. Les configurations moins qu’optimales de ces SE plus récents présentent toutefois bon nombre de risques à la sécurité, ce qui peut constituer un éventuel risque de compromission pour les biens et les infrastructures TI de ces organismes.
2.1 Points à considérer
Le fait de mettre en œuvre l’un des guides de configuration recommandés ci-dessous, sans pour autant tenir compte des exigences en matière de conception et de sécurité de l’ensemble de l’architecture d’entreprise du ministère, ne procurera pas les niveaux d’assurance de la sécurité exigés pour un environnement Protégé B. Les activités de gestion des risques devraient inclure une surveillance constante pour assurer l’efficacité des contrôles de sécurité mis en œuvre.
Avant de choisir la stratégie de configuration la plus appropriée à un tel environnement, il est recommandé que les ministères passent en revue leurs évaluations des menaces et des risques (EMR) respectives puisqu’elles tiennent compte des exigences du ministère sur le plan opérationnel et de la sécurité, ainsi que de leur posture de sécurité.
3 Stratégies d'atténuation
Au moment de sélectionner et de mettre en œuvre une configuration de base de Windows 7, il est important de privilégier une configuration suggérée par un des nombreux organismes de normalisation réputés. Le CST a relevé trois organismes de normalisation ayant développé et publié des guides pertinents. Ces organismes et leurs guides de configuration respectifs sont répertoriés ci-dessous :
- Center for Internet Security (CIS) - Microsoft Windows 7 Benchmark.
- National Institute of Standards and Technology (NIST) - United States Government Configuration Baseline Windows 7.
- Defense Information Systems Agency (DISA) - Windows 7 Security Technical Implementation Guide (STIG).
Chacun de ces organismes propose des conseils normatifs visant à mettre en place une configuration sécurisée de Windows 7. En mettant en pratique l’un de ces trois choix de conseils et en prenant dûment en considération leur EMR, les ministères seront en mesure de gérer Windows 7 aux fins d’utilisation dans leur environnement Protégé B.
4 Mise en oeuvre
Après avoir sélectionné une configuration de référence, les ministères doivent adapter la configuration de renforcement de Windows 7 de façon à contrer toute vulnérabilité ou menace particulière relevée dans l’EMR de leurs réseaux TI. Les conclusions de l’EMR pourraient indiquer qu’il est nécessaire d’appliquer des paramètres additionnels ou de modifier certains des paramètres recommandés.
4.1 Caractéristiques de sécurité et outils de Windows 7
D’autres caractéristiques de sécurité et outils propres à Windows 7 ou offerts par Microsoft sous forme de téléchargement gratuit s’inscrivent dans la stratégie d’atténuation des risques. Le présent bulletin recommande les caractéristiques de sécurité de Windows 7 suivantes :
- BitLocker est une fonction de chiffrement intégral du disque dur approuvé par le Programme de validation des modules cryptographiques (PVMC). Elle permet de protéger les données inactives dans l’environnement de Windows 7 contre les attaques hors ligne ou les démarrages malveillants à partir d’un autre SE. Au moment de chiffrer les données du GC, il est primordial de configurer BitLocker conformément aux normes du Federal Information Processing Standards (FIPS). Le CST déconseille le chiffrement des renseignements du GC à partir de modules PVMC non conformes aux normes du FIPS.
- L'utilitaire Enhanced Mitigation Experience Toolkit (EMET) permet d’éviter l’exploitation des vulnérabilités présentes dans les logiciels inclus dans les applications traditionnelles et tierces. Les techniques d’atténuation des risques employées comprennent notamment la prévention de l’exécution des données, la protection structurée contre le remplacement du gestionnaire d’exceptions et la programmation orientée anti-retour.
- AppLocker est un complément à la politique de restriction liée aux logiciels précédemment mise en place par Microsoft. Il propose des options de définition souples pour l’établissement de listes blanches.
- L'outil Security Compliance Manager (SCM) de Microsoft permet d’établir les exigences de sécurité minimales pour les paramètres de registre d’un SE Windows particulier. SCM ne met pas en œuvre les exigences minimales, mais peut les exporter sous forme de stratégie de groupe aux fins de déploiement sur l’ensemble du domaine.
- La fonction Desired Configuration Manager (DCM) de Microsoft permet d’évaluer la conformité d’un hôte Windows en fonction des exigences minimales désirées (importées de SCM). La vérification de la conformité comprend notamment la version du SE, la configuration des applications, les mises à jour et d’autres paramètres de sécurité.
- L'Environnement isolé de conversion Microsoft Office (MOICE pour Microsoft Office Isolated Conversion Environment) est une fonction nouvellement ajoutée au Module de compatibilité Microsoft Office. Cette fonction permet d’ouvrir en toute sécurité les fichiers binaires de Word, Excel et PowerPoint enregistrés dans les courriels sous forme de pièce jointe.
4.2 Conséquences du déploiement de la configuration par défaut du SE
Déployer Windows 7 après avoir mis à jour la configuration permet de tirer parti d’une panoplie de fonctions robustes susceptibles d’améliorer la posture de sécurité du GC. Par contre, le déploiement de Windows 7 dans sa configuration par défaut (originale) peut mener à la compromission des biens de TI du ministère.
5 Résumé
Les risques associés à la gestion de Windows 7 au sein d’un environnement Protégé B exigent d’effectuer une EMR exhaustive et de choisir une stratégie d’atténuation qui comporte une surveillance continue. Les ministères pourront utiliser l’un des guides de configuration Windows 7 recommandés par le CST mentionnés ci-dessus, ainsi que des caractéristiques de sécurité et des outils supplémentaires, pour établir les exigences minimales en fonction desquelles ils élaboreront une solution de sécurité adaptée à leurs besoins.
Pour mettre en œuvre une solution susceptible de réduire le risque à un niveau acceptable, il est essentiel de tenir compte des exigences de conception et de sécurité de l’ensemble de l’architecture d’entreprise du ministère.
6 Aide et renseignements
Services à la clientèle de la STI
Téléphone : 613-991-7654
Courriel : itsclientservices@cse-cst.gc.ca
© Sa Majesté la Reine du chef du Canada, représentée par le ministre du Centre de la sécurité de télécommunications, 2014.