Yetaland | Sécurité avec Windows 8.1

Publié le Mis à jour le

Cette rubrique d’évaluation pour les professionnels de l’informatique présente les fonctionnalités de sécurité dans Windows 8.1 et fournit des liens vers du contenu supplémentaire sur ces fonctions .

Le système d’exploitation Windows 8.1 fournit des fonctionnalités de sécurité qui peut protéger les appareils et les données contre les menaces d’accès et de logiciels non autorisés . De Windows 8.1 s’appuie sur la base de la sécurité dans Windows 8 pour apporter des améliorations dans :

Gestion des périphériques grâce à l’appui de la simple certificat Enrollment Protocol (SCEP ) , qui utilise le Device Management Open Mobile Alliance (OMA DM) de protocole .
SCEP est un protocole de gestion de dispositif qui est conçu pour gérer les périphériques mobiles , tels que les téléphones mobiles et les ordinateurs tablettes . SCEP est un protocole certificat d’inscription établi qui a été développé pour les routeurs , et Windows 8 ne prend pas en charge . De Windows 8.1 expose le protocole OMA DM pour les solutions de gestion de terminaux mobiles qui sont mises en œuvre par les fournisseurs de logiciels non – Microsoft ..

Randomisation de la mémoire et de la protection des logiciels malveillants supplémentaires pour les processus de démarrage et fonctionnement , ce qui empêche les logiciels malveillants de trouver un endroit pour s’insérer . En outre , les appareils fonctionnant sous Windows 8.1 doivent avoir confiance Platform Module 2.0 est installé .
Le processus de démarrage pour mettre en œuvre le Unified Extensible Firmware Interface ( UEFI ) . UEFI est une solution basée sur les normes qui fournit les mêmes fonctionnalités que le BIOS du système et ajoute des fonctionnalités de sécurité et d’autres fonctionnalités avancées . Comme BIOS , PC commencent UEFI avant tout autre logiciel , et UEFI commence alors le chargeur de démarrage du système d’exploitation . Le processus de démarrage comprend également un processus pour les systèmes ELAM- conformes pour les logiciels non – Microsoft sur ​​un serveur distant pour vérifier en toute sécurité la sécurité de tous les composants de démarrage d’une manière qui serait très difficile pour les logiciels malveillants à forger .
Le modèle de contrôle d’accès Windows pour améliorer les contrôles sur l’intégrité des étiquettes de code sur les processus avant de commencer .
L’intégrité de certificat par TPM et les processus d’attestation clés . Dans Windows 8.1 , un certificat d’attestation est appliqué à des certificats et des clés publiques .
Biométriques d’empreintes digitales pour la mise en œuvre et une utilisation plus facile .
La protection des données grâce au chiffrement de dispositif élargi dans l’entreprise et la capacité de révoquer sélectivement l’accès aux données d’entreprise sur des périphériques distants .
Cette rubrique contient des informations sur les fonctionnalités de sécurité suivantes :

résistance Malware
Trusted Platform Module
Espace d’adresses randomisation du format
Prévention d’exécution des données
Secure Boot
Trusted Boot
Prouvable PC Santé
windows Defender
Le contrôle d’accès , l’identité et l’authentification
Contrôle d’accès dynamique
Identités et des appareils dignes de confiance
TLS / SSL ( Schannel SSP)
De vérification des pouvoirs de protection et de gestion
Mode d’administration restreint pour Remote Desktop
Protection de LSA
Protégé groupe de sécurité Utilisateurs
Stratégie d’authentification et Silos
Locker Credential
Redémarrage automatique après Windows Update
empreintes digitales biométriques
Cartes à puce virtuelles
La protection des données sensibles
Chiffrement de périphériques
BitLocker
Essuyez sélective
résistance Malware
De Windows 8.1 et Windows 8 travail avec le matériel qui est conçu pour améliorer les logiciels malveillants , y compris les suivantes :

Trusted Platform Module

Un Trusted Platform Module ( TPM) est un processeur de sécurité inviolable , qui est capable de stocker les clés de chiffrement et de hachage . En plus de stocker les données , un module TPM peut signer numériquement des données en utilisant une clé privée que le logiciel ne peut pas accéder . Entre autres fonctions, Windows utilise le TPM pour les calculs cryptographiques et de stocker les clés de volumes BitLocker , cartes à puce virtuelles , et d’autres certificats de clés publiques . Le Unified Extensible Firmware Interface ( UEFI ) et le système d’exploitation peuvent utiliser le TPM pour stocker les mots ( qui vérifient que le fichier n’a pas été modifié ) et les clés ( qui vérifient si une signature numérique est authentique ) .

Dispositifs de TPM basés sur le microprogramme permettent toujours sur des scénarios , tels que InstantGo . De plus en plus de dispositifs personnels apparaissent dans les environnements d’entreprise , et la gestion de ces appareils augmente de volume et de la complexité , l’adoption d’une solution TPM augmente et devient un standard de l’industrie .

Pour soutenir InstantGo , TPM 2.0 est une exigence pour les systèmes d’exploitation Windows 8.1 et Windows 8 , mais seulement recommandé si le support InstantGo n’est pas nécessaire . Sinon TPM 1.2 est le minimum requis pour Windows 8.1 . Pour Windows Server 2012 R2 , TPM n’est pas nécessaire , mais les deux TPM 1.2 et 2.0 sont pris en charge TPM .

Espace d’adresses randomisation du format

Espace d’adressage disposition randomisation ( ASLR ) réalise un type d’ attaque que écrire directement à la mémoire système beaucoup plus difficile en randomisant comment et où les données importantes sont stockées dans la mémoire . Avec ASLR , il est plus difficile pour les logiciels malveillants pour trouver l’emplacement spécifique, il doit attaquer .

Dans Windows 8.1 , ASLR randomisation de la mémoire peut être unique à travers les dispositifs , ce qui rend encore plus difficile pour un exploit que réussit sur ​​un système à fonctionner de manière fiable sur un autre .

Prévention d’exécution des données

Prévention d’exécution des données ( DEP ) réduit considérablement la plage de mémoire que le code malveillant peut utiliser à son profit. DEP utilise le bit ne jamais exécuter ( NX ) sur les processeurs pris en charge pour marquer des blocs de mémoire que les données qui ne doivent jamais être exécutés en tant que code. Par conséquent, même si les utilisateurs malveillants parviennent à charger le code malveillant dans la mémoire , ils ne seront pas en mesure de l’exécuter.

De Windows 8.1 et Windows 8 sont les premières versions de Windows qui nécessitent un processeur qui inclut le support de DEP matériel. Ces systèmes d’exploitation de Windows ne peuvent pas être installés sur un ordinateur qui n’est pas DEP- activé .
Secure Boot
De Windows 8.1 et Windows 8 ne fonctionnera que sur les PC certifiés . La certification est basée , en partie , sur UEFI.UEFI est une solution basée sur les normes qui fournit les mêmes fonctionnalités que le BIOS du système et ajoute des fonctionnalités de sécurité et d’autres fonctionnalités avancées .

Bootkits sont la forme la plus dangereuse de malware . Elles commencent avant le démarrage de Windows , et ils se cachent entre le matériel et le système d’exploitation où ils sont pratiquement indétectables et avoir un accès illimité aux ressources du système .

Implémentations récentes de l’UEFI sont capables d’exécuter des vérifications d’intégrité internes qui vérifient la signature numérique du firmware avant de l’exécuter . Parce que le fabricant de matériel de l’ordinateur ne peut contrôler les certificats numériques sont autorisés à créer une signature valide du microprogramme , UEFI offre une protection contre les rootkits de firmware . Ainsi , l’UEFI est le premier maillon de la chaîne de confiance .

Avec Secure Boot , UEFI de l’ordinateur vérifie que le chargeur de démarrage Windows est sécurisé avant de le charger . Si le chargeur de démarrage a été modifié (par exemple , si un bootkit est installé ) ou remplacé , Secure Boot empêcher son fonctionnement.
Trusted Boot
De Windows 8.1 et Windows 8 également Trusted Boot , qui vérifie que tous les composants de démarrage de Windows sont intègres et dignes de confiance. Le chargeur de démarrage vérifie le noyau de signature numérique avant de le charger . Le noyau , à son tour , vérifie tous les autres composants du processus de démarrage de Windows, y compris les pilotes de démarrage , les fichiers de démarrage , et la composante ELAM .

Dans Windows 8.1 , Bottes de mesure a été ajoutée au processus de démarrage pour les systèmes ELAM- conformes. Boot mesurée permet aux logiciels non – Microsoft sur ​​un serveur distant afin de vérifier en toute sécurité la sécurité de tous les composants de démarrage d’une manière qui serait très difficile pour les logiciels malveillants à forger . Si toute modification du processus de démarrage de Windows ou le pilote de l’ ELAM antimalware est détecté , les réparations de démarrage de confiance du système en restaurant les fichiers originaux .
Prouvable PC Santé
Prouvable PC Health est un service gratuit de consommateurs à qui les propriétaires d’appareils qui se connectent à votre réseau peuvent s’abonner . Dans un sens simple, il fournit une analyse de l’ordinateur à distance , mais le service ne fournit pas l’attestation à distance . Le client Secure Data envoie périodiquement des informations , y compris des données sur l’état de l’ordinateur , le service de cloud . Si un problème est détecté comme les données sont analysées , le service de cloud envoie un message au service client avec des recommandations d’assainissement . Le service client répond à la recommandation en offrant aux utilisateurs les mesures à prendre .
windows Defender
Dans Windows 8 , Windows Defender a été mis à niveau de logiciels espions pour une solution complète de antimalware capable de détecter et d’arrêter une large gamme de logiciels potentiellement malveillants , y compris les virus . Windows Defender prend en charge la fonction ELAM dans Windows 8 , ce qui le rend capable de détecter les rootkits qui infectent les pilotes non – Microsoft . Si Windows Defender détecte un pilote infecté, il empêche le conducteur de démarrer .

Dans Windows Server 2012 R2 et Windows 8.1 , Windows Defender est disponible sur les options d’installation Server Core (sans l’interface utilisateur ) , et elle est activée par défaut .

Windows Defender est principalement destinée à la consommation et des scénarios de PC non gérés , et la plupart des grandes organisations , veut utiliser une solution d’entreprise antimalware tels que System Center 2012 Endpoint Protection , qui comprend également un soutien pour l’ELAM .

Pour plus d’informations sur Windows Defender a été mis en œuvre , voir Windows Defender et communication Internet dans Windows 8 et Windows Server 2012 .

Le contrôle d’accès , l’identité et l’authentification
Cette section décrit les fonctions et leurs modifications qui permettent la capacité de votre utilisateur d’accéder aux ressources .
Contrôle d’accès dynamique
Contrôle d’accès dynamique utilise des méthodes fondées sur des règles dynamiques pour protéger actions , des dossiers et des fichiers . Ces politiques peuvent autoriser ou refuser l’accès , basé sur des combinaisons de propriétés de données utilisateur, dispositif , et , plutôt que des listes d’utilisateurs statique entretenus et des groupes de sécurité .

En utilisant le contrôle d’accès dynamique , les administrateurs peuvent créer des politiques d’audit de détail , potentiellement à documenter qui accède à des informations hautement sensibles et pour répondre aux exigences de déclaration de conformité et d’analyse médico-légale . Contrairement fonctionnalités d’audit traditionnelles où un océan de données d’audit prioritaire sont recueillis, de contrôle d’accès dynamique et ses politiques fondées sur des règles vous permettent de recueillir tout ou cibler des données spécifiques et des types de données à l’audit .

Pour plus d’informations sur l’utilisation de politiques fondées sur des règles dynamiques , voir Dynamic Access Control : Présentation du scénario .
Identités et des appareils dignes de confiance
De Windows 8.1 comprend des améliorations pour augmenter l’ infrastructure à clé publique ( PKI) de confiance en prouvant l’ intégrité des clés et des certificats officiels et locaux et la vérification de leur authenticité .

Sécurisation des certificats privés et les touches avec KSP TPM ainsi attestation clé

Dans Windows 8 , le fournisseur de stockage de clés basé sur TPM ( KSP ) porte sur le risque d’une malveillants certificats utilisateur exportateurs avec des clés privées . Cette mise en œuvre crée une forte liaison entre la clé privée et le matériel par le TPM . Le TPM empêche une clé privée utilisable d’être exportés du système où il pourrait être en mesure d’être utilisé à d’autres fins . Le KSP basé sur TPM assure le côté client , mais le serveur encore confiance en soi des certificats côté client si elles semblent avoir intégrité .

Dans Windows 8.1 ajoute attestation clé . Un serveur ou service peut exiger la preuve que les certificats et les clés où protégés par un TPM , et ils sont restés de cette façon . Si la preuve est apportée , l’accès est accordé . Sinon , l’accès peut être refusé. Avec la capacité de TPM KSP avec attestation clé est une plus grande assurance que les certificats qui ont été provisionnés pour les appareils ont été provisionnés en toute sécurité , sont stockées en toute sécurité , et sont utilisés en toute sécurité sur des dispositifs sécurisés et par les utilisateurs .

Pour plus d’informations sur les mises à jour du fournisseur TPM stockage clé pour la plate-forme et de l’attestation de clé, voir Nouveautés de la TPM dans Windows 8.1 .

Sécurisation des certificats et des clés publiques

Dans Windows 8.1 , un certificat d’attestation est appliqué à des certificats et des clés publiques . La fonctionnalité SmartScreen dans Internet Explorer est aligné avec un service Web qui fournit un système d’alerte précoce visant à notifier les utilisateurs de sites suspects qui pourraient se livrer à des attaques de phishing ou diffusion de logiciels malveillants grâce à une attaque d’ingénierie sociale .

Un service d’analyse est inclus , qui permet de détecter les certificats frauduleux ou utilisés frauduleusement . Le service est capable de détecter lorsque les certificats sont émis par des sources inattendues , et il peut enquêter sur les anomalies qui lancer des actions correctives ou proposer la révocation du certificat .

Pour plus d’informations sur la façon SmartScreen a travaillé dans la version précédente , voir Filtre SmartScreen et communication Internet dans Windows 8 et Windows Server 2012 .
TLS / SSL ( Schannel SSP)
La sécurité de la couche de transport (TLS ) de protocole , un composant de la Security Support Provider Schannel , est utilisé pour sécuriser les données envoyées entre les applications à travers un réseau non sécurisé . TLS / SSL peut être utilisé pour authentifier les serveurs et les ordinateurs clients , et aussi pour crypter les messages entre les parties authentifiées .

Périphériques qui se connectent à des serveurs TLS ont souvent besoin de se reconnecter en raison de expiration de la session . De Windows 8.1 et Windows Server 2012 R2 prennent désormais en charge la RFC 5077 ( TLS session Reprise sans côté serveur État ) . Cette modification offre Windows Phone et les appareils Windows RT avec :

Utilisation réduite des ressources sur le serveur
Largeur de bande réduite , ce qui améliore l’efficacité des connexions client
Réduction du temps passé pour la poignée de main TLS en raison de reprises de la connexion .
noteNote
La mise en œuvre côté client de la RFC 5077 a été ajouté dans Windows 8 .
Pour plus d’informations à propos de la reprise de session TLS apatride , voir le document IETF RFC 5077 .

Pour plus d’informations sur les modifications apportées au protocole Kerberos et l’authentification Digest , consultez la section suivante , la protection des informations d’identification et de gestion.
De vérification des pouvoirs de protection et de gestion
Dans Windows Server 2012 R2 et Windows 8.1 , de nouveaux titres de compétences de protection et de domaine contrôles d’authentification ont été ajoutés à contrer le vol d’informations d’identification .

Mode d’administration restreint pour Remote Desktop Connection
Les Remote Desktop Services ( RDS ) client peuvent se connecter en mode Administrateur restreint . En utilisant ce mode avec des informations d’identification d’administrateur , RDS tente de se connecter de manière interactive à un hôte qui prend également en charge ce mode sans envoyer les informations d’identification . Lorsque l’hôte vérifie que le compte d’ utilisateur qui se connecte à elle détient des droits d’administrateur et supporte le mode restreint Admin, la connexion réussit . Sinon , la tentative de connexion échoue . Mode d’administration restreint ne à tout moment n’envoie pas de texte brut ou d’autres formes réutilisables , des pouvoirs à des ordinateurs distants .

Pour plus d’informations , voir Nouveautés des services Bureau à distance dans Windows Server 2012 R2 .

Protection de LSA
L’Autorité de sécurité locale ( LSA ) , qui comprend le Service de sécurité Autorité LSASS (Local Security ) processus , valide les utilisateurs de signe -ins locaux et distants et maintient des politiques locales de sécurité . Le système d’exploitation Windows 8.1 offre une protection supplémentaire pour la LSA pour éviter l’injection de code par des procédés non protégées . Ceci permet d’obtenir plus de sécurité pour les informations d’identification que les stocke et gère LSA . Ce procédé protégé réglage de LSA peut être configuré dans Windows 8.1 , mais est activée par défaut dans Windows RT 8.1 et ne peut être modifié .

Pour plus d’informations sur la configuration de la protection de la LSA , voir Configuration de la protection de LSA supplémentaires .

Pour plus d’informations sur la LSA et l’ LSASS , voir l’ ouverture de session Windows et l’authentification Présentation technique .

Protégé groupe de sécurité Utilisateurs
Ce nouveau groupe global de domaine déclenche une nouvelle protection non configurable sur les appareils et les ordinateurs hôtes exécutant Windows Server 2012 R2 et Windows 8.1 . Le groupe Utilisateurs protégé permet de protections supplémentaires pour les contrôleurs de domaine et les domaines dans Windows Server 2012 R2 domaines . Cela réduit considérablement les types d’informations d’identification disponible lorsque les utilisateurs sont signés pour les ordinateurs sur le réseau à partir d’un ordinateur non – compromis .

Les membres du groupe Utilisateurs protégé sont limitées en outre par les méthodes d’authentification suivantes :

Un membre du groupe Utilisateurs protégée ne peut signer sur l’utilisation du protocole Kerberos . Le compte ne peut pas s’authentifier en utilisant NTLM , l’authentification Digest , ou CredSSP . Sur un appareil fonctionnant sous Windows 8.1 , les mots de passe ne sont pas mis en cache , de sorte que le dispositif qui utilise l’un de ces fournisseurs de support de sécurité (SSP ) ne pourront pas s’authentifier auprès d’un domaine où le compte est membre du groupe de l’utilisateur protégé .
Le protocole Kerberos ne pas utiliser les types les plus faibles de chiffrement DES ou RC4 dans le processus de pré-authentification . Cela signifie que le nom de domaine doit être configuré pour supporter au moins la suite de chiffrement AES .
Le compte de l’ utilisateur ne peut pas être déléguée avec la délégation contrainte Kerberos ou contrainte. Cela signifie que les anciens liens avec d’autres systèmes peuvent échouer si l’utilisateur est un membre du groupe Utilisateurs protégée .
Les billets subventionnaires défaut Kerberos Ticket ( TGT ) réglage de la durée de vie quatre heures est configurable à l’aide de stratégies d’authentification et silos accessibles à travers le Centre d’administration Active Directory ( ADAC ) . Cela signifie que , lorsque quatre heures se sont écoulées , l’utilisateur doit s’authentifier à nouveau .
Pour plus d’informations , voir Utilisateurs protégées groupe de sécurité.

Stratégie d’authentification et Silos
Politiques Active Directory base de forêt sont introduits , et ils peuvent être appliqués aux comptes dans un domaine avec un R2 niveau fonctionnel de domaine Windows Server 2012 . Ces politiques d’authentification peuvent contrôler qui accueille un utilisateur peut utiliser pour vous connecter Ils travaillent en collaboration avec le groupe de sécurité Utilisateurs protégée , et les administrateurs peuvent appliquer des conditions de contrôle d’accès pour l’authentification des comptes . Ces politiques d’authentification isoler comptes connexes de limiter la portée d’un réseau .

La nouvelle classe d’objet Active Directory , Stratégie d’authentification , vous permet d’appliquer la configuration de l’authentification de compte des classes dans les domaines avec un R2 niveau fonctionnel de domaine Windows Server 2012 . Politiques d’authentification sont appliquées au cours de la Kerberos AS ou l’échange TGS . Classes de compte Active Directory sont :

– utilisateur
– ordinateur
– Compte de service géré
– Groupe Géré compte de service
– Pour plus d’informations sur ces protections supplémentaires pour les informations d’identification , consultez Informations d’identification de la protection et de la gestion .

Locker Credential

Credential Locker est un service qui crée et maintient un stockage sécurisé sur l’ordinateur local qui stocke les noms d’utilisateur et mots de passe que l’utilisateur sauvé de sites web et applications Windows Store . Dans Windows 8 , le courtier d’authentification Web a été introduit afin de relier une application avec des ressources sur le Web et de gérer les informations d’identification .

Credential Locker soutient seamless signe à l’aide des applications Windows Store qui utilisent le Web courtier d’authentification . Il se souvient des mots de passe pour des services tels que Facebook et Twitter , de sorte que l’utilisateur n’a pas à entrer les informations d’identification plusieurs fois . Cette expérience de s’identifier sans soudure a été prolongée à travers les dispositifs de l’utilisateur qui exécutent Windows 8.1 .

Autrefois, quand plusieurs références ont été conservées pour la même ressource , il n’y avait aucun moyen de spécifier des informations d’identification  » par défaut  » . Dans Windows 8.1 , l’utilisateur peut désigner un identifiant par défaut pour une ressource particulière . Et pour aider avec le choix de l’utilisateur , les informations d’identification stockées dans des titres de compétences Locker afficher la date à laquelle leur dernière utilisation .

Pour plus d’informations sur des titres de compétences Locker dans Windows 8 , voir Credential Locker Aperçu .
Redémarrage automatique après Windows Update
Lorsque les utilisateurs de périphériques de reporter ou d’ignorer accepter les mises à jour de logiciels , les appareils peuvent tomber de la conformité aux politiques de l’entreprise . Dans Windows 8.1 , Windows Update effectue automatiquement les mises à jour du système . Si un redémarrage est nécessaire , l’utilisateur qui est connecté à l’ordinateur est automatiquement connecté à nouveau , les applications en cours avant la mise à jour sont renouvelées , et la session est verrouillée (en utilisant le Secure Desktop ) .

Cette fonction de redémarrage automatique nécessite que les pouvoirs de l’utilisateur qui est connecté à la console peuvent être mis en cache , et que BitLocker est activé et peuvent persister pendant tout le processus . Ce nouveau processus ne modifie pas le démarrage initiée par l’utilisateur et vous connecter processus , ou le signe sur et processus d’arrêt .
empreintes digitales biométriques
Améliorations apportées au cadre de Windows biométrie dans Windows 8.1 ont permis scénarios que l’authentification biométrique de levier à l’aide des fonctionnalités intégrées pour l’inscription des utilisateurs , et de nouvelles API exposées aux développeurs Windows Store App pour intégrer l’authentification biométrique dans les applications pour l’autorisation de l’ utilisateur.

Pour plus d’informations sur ces changements et de leurs avantages , consultez Nouveautés dans la biométrie dans Windows 8.1 .

Le Cadre biométrique Windows a prévu des moyens pour les développeurs de dispositifs biométriques à intégrer leurs produits avec Windows . Pour Windows Store développement d’applications , les API ont été ajoutées afin que les développeurs peuvent créer des applications qui peuvent demander l’authentification biométrique . Cette capacité de vérification de l’ autorisation de l’internaute peut restreindre certaines applications à des identités spécifiques , ce qui limite l’utilisation des applications prises en charge lorsque l’appareil est partagé entre les utilisateurs .

Pour une vue d’ensemble du modèle de programmation , consultez la documentation MSDN existant pour l’API cadre biométrique (Windows) .

Pour un résumé des changements apportés à la WBF , voir Windows biométrique Aperçu du cadre .
Cartes à puce virtuelles
Cartes à puce virtuelles offrent authentification multifactorielle et la compatibilité avec de nombreuses infrastructures de cartes à puce . Plus important encore, les cartes à puce virtuelles offrent aux utilisateurs la commodité de ne pas avoir à porter une carte physique, afin que les utilisateurs sont plus susceptibles de suivre les directives de sécurité de leur organisation plutôt que de travailler autour d’eux .

Avec les cartes à puce virtuelles , Windows 8 enregistre le certificat de la carte à puce dans le PC , puis le protège à l’aide de la puce de sécurité TPM inviolable de l’appareil . De cette façon , le PC devient effectivement la carte à puce . L’utilisateur ne peut accéder à la carte à puce virtuelle à partir d’ordinateurs que leurs administrateurs configurent , qui remplit le  » quelque chose qu’ils ont  » exigence . L’utilisateur doit encore saisir un code PIN , qui remplit le  » quelque chose qu’ils savent  » exigence .

Dans Windows 8.1 , le processus d’ inscription des dispositifs de TPM activé comme un dispositif de carte à puce virtuelle s’est améliorée. API sont ajoutés pour simplifier le processus d’inscription , ce qui rend plus facile d’inscrire un terminal avec une carte à puce virtuelle indépendamment du fait qu’ils sont joint au domaine et quel que soit le matériel. Les développeurs peuvent créer des applications Windows Store pour créer et gérer des cartes à puce virtuelles , y compris :

Définition d’une stratégie de code confidentiel
Création d’objets de certificat , et la construction d’une chaîne de certificats et de le vérifier
Effectuer des opérations basées sur des certificats telles que la signature et la vérification et le cryptage et le décryptage (y compris la signature et de vérification basée sur CMS)
Énumération mon magasin et les certificats de filtrage pour les utilisateurs
Installation des certificats pour l’utilisateur Mon magasin
Établir l’identité des utilisateurs qui s’appuient sur le protocole de gestion de dispositif , OMA DM
Pour plus d’informations , voir Comprendre et évaluer Virtual cartes à puce sur le Centre de téléchargement Microsoft .

La protection des données sensibles
Avec l’utilisation de dispositifs personnels pour recevoir et gérer les données d’entreprise , le risque que l’information fuite en dehors de la société est augmenté . Dans Windows Server 2012 R2 et Windows 8.1 , les fonctions et les processus de distinction des données d’entreprise à partir des données de l’utilisateur . Technologies Windows chiffrer et contrôle l’accès aux données de l’entreprise quand une solution de bout -en-bout de prévention de perte de données n’est pas disponible .
Chiffrement de périphériques
Chiffrement de périphériques a été introduit dans Windows RT comme un mécanisme automatique de protection de données pour les appareils grand public . Dans les éditions d’entreprise de Windows 8 , le cryptage de l’appareil a été limitée à BitLocker . Dans Windows 8.1 , le cryptage de l’appareil est disponible dans toutes les éditions de Windows qui sont InstantGo certifiés pour soutenir un état de veille connecté.

Certains avantages de chiffrement de l’appareil comprennent :

Cryptage du volume du système d’exploitation est automatique et configurés par défaut .
La protection est activée une fois un administrateur utilise un compte Microsoft pour vous connecter
Si le cryptage n’est pas géré , la clé passe de récupération est stocké dans SkyDrive .
Dans les éditions Professional et Enterprise de Windows 8.1 , le cryptage de l’appareil peut être reconfiguration pour utiliser les fonctionnalités de BitLocker .
Chiffrement de périphériques de Windows 8.1 permet une plus grande souplesse d’utilisation de l’appareil personnel au sein d’une organisation, car il permet de protéger les données de l’entreprise à travers une variété d’éditions de Windows de sorte que :

Les données sur un dispositif en état de veille connectée est toujours protégée par cryptage .
Données de l’utilisateur sur tous les volumes fixes sur un dispositif en état de veille connectée est toujours protégée par cryptage .
Lorsque l’appareil dans un état ​​de veille connectée est joint au domaine , il peut se conformer aux politiques de sécurité d’entreprise .

BitLocker
BitLocker fournit un support pour le chiffrement du périphérique sur des ordinateurs x64 et x86 avec un TPM qui prend en charge l’état de veille connectée , InstantGo . Auparavant, cette forme de cryptage était uniquement disponible sur les appareils fonctionnant sous Windows RT .

Pour plus d’informations , consultez Nouveautés dans BitLocker pour Windows 8.1 et Windows Server 2012 R2 .
Essuyez sélective
Essuyez sélective est nouveau dans Windows 8.1 , et il permet de sécuriser les données des services de l’entreprise. Applications d’entreprise peuvent être développées pour définir une politique sélective Essuyez sur leurs données , en le protégeant à un domaine Internet qui est détenue par l’entreprise , et peuvent ensuite choisir de révoquer l’accès à des données protégées à ce domaine . Une application client utilise theFileRevocationManager API pour définir et appliquer une politique sélective Essuyez cette façon . Protection des fichiers à un domaine les chiffre à une clé associée à ce domaine et ces fichiers ne sont accessibles à l’utilisateur de les protéger avec cette application. Révocation efface la clé associée à ce nom de domaine donné , ce qui rend le contenu protégé inaccessible . Essuyez sélective usages système de fichiers EFS ( EFS ) pour protéger l’accès aux données avec une clé symétrique qui est stocké dans des titres de compétences Locker .

Essuyez sélective est utilisée par l’ application Mail pour protéger les pièces jointes dans les comptes qui ont un Exchange ActiveSync ( EAS ) ensemble de la politique de sécurité , et de révoquer l’accès à ces pièces jointes quand une commande EAS RemoteWipe est reçu pour le compte . De même , la politique des dossiers de travail peut être configuré pour chiffrer les données , et utilise sélective protection pour le nettoyage .

Exchange ActiveSync ( EAS ) peut révoquer l’accès aux données taggés avec le domaine de messagerie de travail lorsque l’application Mail est utilisé pour accéder travaux email, la politique de protection des dossiers de travail doit être configuré avec un domaine correspondant. Le protocole OMA DM peut être utilisé pour envoyer et recevoir la commande de révoquer l’accès lorsque le dispositif est géré par Windows Intune , ou tout Gestion des périphériques mobiles ( MDM ) de solution qui utilise l’agent DM de Windows OMA . Windows Intune , en utilisant l’agent OMA DM , révoque les domaines de toutes les adresses e-mail gérés quand il reçoit une lingette ou annule l’inscription du dispositif .

Pour plus d’informations sur la façon dont la commande revoke travaille à identifier les données d’entreprise , et quelles politiques sont disponibles en utilisant le moteur de règles Exchange ActiveSync , seeExchange ActiveSync Politique moteur Aperçu .

Pour plus d’informations sur les dossiers de travail , voir le travail des dossiers Aperçu .

Pour plus d’informations sur la compréhension de la gestion de l’appareil mobile à l’aide de Windows Intune , voir Quoi de neuf dans Windows Intune – Nouvelles fonctionnalités , changements

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s