> Tech > Meilleure gestion de l’environnement d’exécution des programmes…

Meilleure gestion de l’environnement d’exécution des programmes…

Tech - Par iTPro - Publié le 24 juin 2010
email

Windows Server 2008 utilise comme Windows Vista un nouveau système de gestion de la sécurité de l’environnement d’exécution des programmes. Cette fonctionnalité appelée Windows Integrity Control (WIC), protège le système d’exploitation de l’exécution de code de faible confiance. En fait, WIC rajoute un niveau de contrôle d’intégrité supplémentaire aux permissions

habituellement déclarées à l’aide des listes de contrôles d’accès (ACLs). Il existe 5 niveaux d’intégrité mis à disposition des développeurs allant du niveau 0 pour les jetons d’accès anonymes au niveau 400 pour l’identité LocalSystem. Les processus s’exécutant en mode utilisateur utilisent le niveau 200 (Standard User Token – Authenticated Users) mais par exemple, une application telle que Internet Explorer 7 lorsqu’elle fonctionne en mode protégé disposera du niveau d’IL (Integrity Level) bas, égal à 100, lequel provoquera un refus d’accès ou une élévation de privilège que l’utilisateur pourra accepter ou refuser.

La fonctionnalité Windows Integrity Control (WIC) intégrée à Windows Server 2008 affecte un niveau d’intégrité aux utilisateurs et aux objets sécurisables de telle sorte qu’il est possible de disposer d’un niveau de distinction supplémentaire en plus du niveau de privilèges habituel. Lorsqu’une ressource est atteinte par un objet sécurisable, le niveau d’intégrité de l’appelant est comparé à celui de l’objet. Si le niveau de l’appelant est inférieur à celui de l’objet alors les opérations d’écriture ou d’effacement sont interdites. Microsoft précise que ces contrôles sont prioritaires puisqu’ils ont lieu avant même le contrôle des ACLs. Dans le cas où les ACLs accorderaient plus de privilèges, le contrôle WIC interdira l’opération si l’appelant dispose d’un niveau d’intégrité inférieur à celui de l’objet. Le contrôle WIC implémente donc une nouvelle couche de protection capable de renforcer de manière significative les applications déployées sous Windows Server 2008.

Plusieurs niveaux d’intégrité sont implémentés : bas, médium, haut et Système. Généralement, le niveau par défaut pour la majorité des applications est medium. Cependant en fonction de l’application le niveau pourra être baissé sur low. C’est le cas d’Internet Explorer 7 lorsqu’il fonctionne en mode IEPM (IE protection mode). En effet, lorsque le mode IEPM est utilisé alors le contrôle WIC fixe un niveau d’intégrité très bas de telle sorte que les privilèges du processus IE et des ses extensions seront très limités. Ces nouveaux mécanismes sont intégrés au coeur du système d’exploitation et vont assurément renforcer de manière significative la sécurité du système et des applications.

Téléchargez gratuitement cette ressource

Guide de Services Cloud Managés

Guide de Services Cloud Managés

Accélérer votre transformation digitale, protéger et sécuriser vos environnements Cloud avec les offres de support, d'accompagnement et de services managés. Découvrez le TOP 3 des Services Managés pour accompagner la transformation de vos environnements Cloud, gagner en agilité et en sécurité dans un monde d'incertitudes.

Tech - Par iTPro - Publié le 24 juin 2010