Windows 8 et la sécurité

Windows 8 et la Sécurité

Bernard OurghanlianCTO & CSO

Microsoft France

Serveurs / Entreprise / Réseaux / IT

• De nombreuses nouvelles fonctionnalités de sécurité de Windows 8 ne seront pas abordées ici faute de temps – merci de bien vouloir m’en excuser

• Des éléments complémentaires sont présentés notamment pendant les sessions : – Le modèle de sécurité des Windows Apps (SEC313)– Mécanismes internes de la sécurité de Windows 8

(CLI301)

Avertissement

• Windows 8 : évolution de l’infrastructure en matière de sécurité

• Windows 8 : contrôle d’accès dynamique et classification des données

• Windows 8 : les fondamentaux

Sommaire

3

EVOLUTION DE L’INFRASTRUCTURE DE SECURITE

Windows 8 : évolution de l’infrastructure en matière de sécurité

Windows 8 : contrôle d’accès dynamique et classification des données

Windows 8 : les fondamentaux 4

Infrastructure : nouveautés sécurité de Windows 8

5

Résistance contre les malwaresProtéger le terminal, les données et les ressources de l’organisation en rendant le terminal sécurisé par défaut et moins vulnérable aux effets du malwareChiffrement omniprésent des terminauxSimplifier la gestion du provisionnement et de la conformité des volumes chiffrés sur un plus large ensemble de types de terminaux et de technologies de stockageContrôle d’accès moderne pour des modes de travail flexiblesModerniser le contrôle d’accès et la gestion des données tout en augmentant la sécurité des données au sein de l’organisation

Protéger contre et gérer les menaces

Protéger les données sensibles

Protéger l’accès aux ressources

• Un malware peut compromettre le processus de boot et l’intégrité de Windows

• Un malware peut se dissimuler de Windows et des logiciels anti-malware

• Un malware peut se charger avant le logiciel anti-malware et mettre ce dernier hors service

• L’antivirus est toujours à la traine derrière le dernier malware

Résistance au malware : les problèmes

6

• Boot sécurisé– Protection de bout en bout du processus de boot

• OS loader Windows • Fichiers système de Windows et pilotes de

périphériques• Logiciel anti-malware

– Fait en sorte d’empêcher• Le démarrage d’un système d’exploitation compromis• Un logiciel de démarrer avant Windows• Un logiciel tiers de démarrer avant l’anti-malware

– Permet une remédiation automatique et l’auto-guérison

Résistance au malware : boot sécurisé et évalué

Windows 8 tire parti des évolutions du hardware

Universal Extensible Firmware Interface (UEFI)• Une évolution majeure du BIOS traditionnel• Une solution indépendante de l’architecture conçue pour tous les

facteurs de forme• Fournit le support pour de nouvelles possibilités en termes de sécurité tel

que le boot sécurisé

Trusted Platform Module (TPM)• Un processeur de chiffrement de sécurité inviolable conçu pour effectuer des

opérations de chiffrement• TPM v.Next (2.0) a été conçu pour adresser les besoins de certains pays et les

préoccupations en termes de coûts• Peut être implémenté sous forme d’un composant discret ou au sein du firmware sur

un SOC

Les besoins pour mettre en place une sécurité robuste ne peuvent être satisfaits par le logiciel seul. Le logiciel doit établir une racine de confiance sécurisée au moyen d’un

hardware digne de confiance

• Bénéfices clés pour la sécurité– Boot sécurisé– Support eDrive pour BitLocker– Support du déverrouillage réseau pour BitLocker– Support multicast pour WDS

• Une exigence pour obtenir le logo Windows• Autres bénéfices

– Support SOC (ARM et Intel)– Meilleure expérience utilisateur

• Boot rapide, logo de l’OEM, pas de nécessité de flashage arrière, etc.

– Support des disques système de plus de 2,2 To– Boot « sans couture » (graphique UEFI)

Pourquoi UEFI ?

• Proposition de valeur du TPM– Permet la mise en place d’une sécurité de qualité commerciale via l’isolation des clés

physiques et virtuelles de l’OS– Spécification 1.2 : standard mature, des années de déploiement et de renforcement de

la sécurité– Des améliorations dans le provisionnement du TPM en ont abaissé la barrière du

déploiement

• Evolution du standard du TCG : TPM v.Next (2.0)– Extensibilité algorithmique permettant la mise en œuvre et le déploiement dans des

pays supplémentaires (remplacement des algorithmes de chiffrement)– Les scénarios de sécurité sont compatibles avec TPM 1.2 ou 2.0

• Windows 8 : Support de TPM 2.0 permettant le choix d’implémentation– TPM discret– TPM en firmware (ARM Trustzone, Intel Platform Trust Technology (PTT))– Exigence pour le logo Windows pour AOAC (Always-On Always Connected) seulement

Evolution du TPM

UEFI

OS Loader Window

s 8

Noyau Window

s et Drivers

Early Load Anti-

Malware

Drivers tiers

Login Window

s

Attestation

distante

BIOSMBR et Boot

Sector

OS Loader (Bootkit)

Noyau Window

s et Drivers

(Rootkit)

Drivers tiers

(Malware)

Démarrage Anti-malware

Login Window

s

Séquence de boot traditionnelle (avec injection de malware)

Séquence de boot Windows 8

Firmware enforces policy to only start

signed, recognised OS loaders

L’OS Loader assure que seuls les composants

du noyau et les drivers signés sont chargés

Microsoft or 3rd Party anti-malware is loaded.

Les mesures stockés dans le TPM peuvent être accédés par le

logiciel anti-malware pour attestation

distante

Boot sécurisé : BIOS vs. UEFI

• UEFI ne lancera qu’un OS Loader vérifié• En substance, un malware ne peut remplacer le boot loader

UEFI 2.3.1 natifOS Loader

vérifié seulement

Démarrage de l’OS

Boot sécurisé

Windows 8

Les processus de boot existants

BIOSTout code

d’OS LoaderDémarrage

de l’OS

• Le BIOS lance n’importe quel OS loader, même du malware• Maintenant le firmware rend obligatoire la politique de sécurité et ne lance que des OS loaders dignes de confiance

• L’OS loader rend obligatoire la vérification de signature des composants chargés ultérieurement

Early launch anti-malware (ELAM)

13

Processus de

boot existantsBIOS

Tout code de

Loader

Logiciel Anti-

Malware

Tout driver tiers

Windows

Logon

Processus de

boot Windows 8UEFI Natif

OS Loader

Drivers tiersELAM

Windows Logon

Politique rendue obligatoire• Le boot driver Anti-Malware est signé de manière spécifique• Windows démarre le logiciel ELAM avant tout autre boot driver tiers• Le driver ELAM peut rendre obligatoire la politique, même pour des

boot start drivers• Les malwares de type rootkit ne peuvent désormais plus contourner

l’inspection anti-malware

Boot mesuré avec attestation

Processus de

boot

existant

BIOSOS

Loader

Anti-Malwar

e

Drivers tiers

Initialisation du Kernel

Processus de

boot

Windows 8

UEFIOS

LoaderDrivers tiers

Initialisation du Kernel

Attestation

ELAM

• Des clients post-boot peuvent utiliser des mesures signées par le TPM pour prouver l’état initial du système et du logiciel ELAM

• Le logiciel ELAM peut invalider les déclarations sur l’état de santé du client si le client arrête de rendre obligatoire la politique de sécurité (i.e. ne fournit plus de mises à jour de signature ou exécute un logiciel inconnu)

Politique rendue obligatoire

TPM

Sécuriser le terminal – Protéger contre les menaces

Windows OS Loader

Boot UEFI

Noyau Windows et pilotes Logiciel AM

La logiciel anti-malware est lancé avant tous les logiciels tiers

Politique de Boot

Politique AM

Logiciel tiers

Le boot sécurisé évite les OS Loader malfaisants

1

2

TPM3

Les évaluations des composants y compris le logiciel AM sont stockés dans le TPM

Terminal Service d’attestation

4

Le terminal retrouve les évaluations par le TPM de l’état du terminal à la demande

Revendication de la santé du terminal

Windows Logon

Sécuriser le terminal lors du boot : en résumé

Boot Sécurisé• Evite ou détecte les tentatives de malware d’altérer le hardware d’un

terminal ou son système d’exploitation• S’assure que le logiciel anti-malware est toujours dipsonible et non

altéré• Détecte automatiquement et répare le système contre l’intrusion de

malware sans interaction avec l’utilisateur• Fournit une protection avancée en tirant parti du hardware de sécurité

et de la racine de confiance que permet ce dernier

Boot évalué• Utilisé pour évaluer l’intégrité des logiciels Windows et anti-malware• Service d’attestation distant qui peut analyser les évaluations d’intégrité qui sont

effectuées par le boot évalué• Aide à empêcher les systèmes compromis d’accéder aux ressources de l’entreprise• Services d’attestation distants pouvant être proposés par des tiers

1. Microsoft Defender est le composant au cœur de la défense anti-malware de Windows 8 fournissant la détection basée signature et de comportement du malware à la fois de façon passive (analyse périodique) et active (surveillance de comportement)

2. En service par défaut et configuré à travers l’Action Center sur Windows 8. Si un utilisateur installe une solution anti-malware tierce, alors Defender est mis hors service. Si la solution tierce devient inactive souvent en raison de l’expiration de l’essai), après 15 jours l’utilisateur est progressivement encouragé à remédier à la situation, y compris par la réactivation automatique de Defender

3. Les entreprises peuvent utiliser des solutions tierces ou System Center Endpoint Protection qui fournit le support d’une gestion basée sur des politiques et la génération de rapports consolidés. Le cœur du moteur anti-malware est le même.

Détection intégrée de malware

Early Launch Antimalware

Protections de l’intégrité du Boot

Protections Mémoire et Processus (ASLR, DEP, AppLocker,

SmartScreen, etc.)

Plateforme Antimalware

Dét

ection

bas

ée

Sig

nat

ure

Dét

ection

de

com

por

tem

ent

Trad

uct

ion

Dyn

amiq

ue

Prot

ection

co

ntr

e le

s vu

lnér

abili

tés

Def

ender

O

fflin

e

Res

taura

tion

dep

uis

le C

loud

Defe

nder

/ Syst

em

C

ente

r Endpoin

t Pro

tect

ion

Pla

tefo

rm

e

Win

dow

s 8

• Différences fonctionnelles limitées entre Windows 7 et Windows 8. Changement : – Support de IKEv2 pour le mode transport IPSec– Utilisation de cmdlets Powershell pour la configuration– Règles pour les Windows Store Apps

• 3 profils clé : Domain, Public et Private. Plusieurs profils peuvent être actifs simultanément, c’est-à-dire qu’un utilisateur peut être sur un hotspot Wi-Fi (profil Public) tout en étant connecté à un VPN (profil Domain)

• Points clés de configuration à noter :– Le filtrage sortant permet tous les accès par défaut– La journalisation est hors service par défaut

Pare-feu pour restriction de traffic entrant et sortant

• Windows Firewall with Advanced Security peut aussi être utilisé pour configurer comment et quand l’authentification doit survenir

• Ces paramétrages sont beaucoup plus importants avec Windows 8 car ils sont essentiels pour IPSec et DirectAccess

• Notez au passage, qu’ils n’autorisent ni n’interdisent une connexion – c’est le travail des règles du pare-feu

Pare-feu pour restriction de trafic entrant et sortant

Isolation

Auth exemptionServer-to-server

Tunnel

Custom Rule

Restreint en fonction de critères comme l’auth. KerberosNe requiert pas d’auth. entre les hôtes spécifiques

Auth. requise entre les hôtes spécifiques

Force l’utilisation d’un tunnel

Aucun des précédents

• Les développeurs de Windows Store Apps peuvent déclarer certaines capacités de leurs apps (capabilities) pour les classes d’accès réseau requises par l’App en question

• Quand l’App est installée, des règles approximatives du pare-feu sont créées automatiquement pour permettre l’accès

• Les administrateurs peuvent alors personnaliser la configuration du pare-feu pour raffiner cet accès s’ils désirent davantage de contrôle sur l’accès réseau pour l’App. Important – la capacité n’est pas contrôlée par les règles du pare-feu elles-mêmes

• Les politiques de groupe peuvent configurer ces restrictions sur une base par App ou par capacité

• Ces frontières réseau aident à assurer que les Apps qui ont été compromises peuvent seulement accéder les réseaux auxquels elles ont explicitement reçu l’accès . Ceci réduit de manière significative le périmètre de leur impact sur les autres Apps, l’ordinateur et le réseau. De plus, les Apps peuvent être isolées et protégées d’un accès malfaisant depuis le réseau

Isoler les Windows Store Apps avec Windows Firewall with Advanced Security

Isoler les Windows Store Apps (suite)

Fournit l’accès sortant à l’Internet et aux réseaux indignes de confiance (par exemple, les réseaux intranet où l’utilisateur a désigné le réseau comme « Public »). La plupart des Apps qui requièrent un accès Internet utilisent cette capacité

Home/Work Networking

Internet (Client)

Internet (Client and Server)

Proximity

Fournis l’accès entrant et sortant aux réseaux intranet que l’utilisateur a désigné comme un réseau « home » ou « work », ou, si le réseau a un contrôleur de domaine authentifié, l’accès entrant aux ports critiques est toujours bloqué

Fournit une communication near-field communication (NFC) avec les terminaux qui sont en proximité de l’ordinateur. « Proximity » peut être utilisé pour envoyer des fichiers ou se connecter à une application sur un terminal proche.

Fourni l’accès entrant et sortant à l’Internet et aux réseaux indignes de confiance. Cette capacité est un sur-ensemble de la capacité Internet (Client). L’accès entrant aux ports critiques est toujours bloqué.

Cap

acités

Rés

eau W

indow

s Sto

re A

pp

• La sécurisation des Apps avec, en particulier, la notion d’AppContainer est présentée en détail dans la session SEC313

Sécurisation des Apps

Sécuriser les connexions – Contrôle d’accès moderne

Authentification avec cartes à puce virtuelles• Manière facile à déployer et peu coûteuse de mettre en place une

authentification à plusieurs facteurs• Fournit une expérience « sans couture » et toujours prête pour les

utilisateurs finaux• Tire parti du hardware de sécurité qui est inclus dans de nombreux

terminaux

Direct Access• Toujours connecté. Si vous êtes sur Internet, vous êtes sur le réseau

d’entreprise• Connectivité sécurisée de bout en bout avec chiffrement fort• Options d’authentification flexibles à un ou plusieurs facteurs• Assure la conformité de l’état de santé du poste avant l’accès au réseau

d’entreprise• Fournit les correctifs quand les postes sont connectés à l’Internet• Déployé facilement et sans changement au sein de l’infrastructure réseau

existante

• Problème– L’authentification multi-facteur est difficile à

mettre en œuvre en raison des défis en termes de provisionnement, du coût et du support

• Besoin Windows 8– Fournir de nouvelles formes d’authentification

de telle façon que l’authentification multi-facteur puisse être plus largement adoptée

Contrôle d’accès moderne

Authentification basée sur un TPM

ENTREPRISE• Besoins

– La machine et l’identifiant de l’utilisateur utilisent des certificats protégés par le hardware sans nécessiter des périphériques séparés

• Scénarios clés– Authentification des

utilisateurs pour les accès distants

– Signature d’email/document– Authentification forte des

machines sur le réseau

CONSOMMATEUR• Besoins

– Une banque doit « connaitre » son client en utilisant une méthode disponible sur le marché afin de remplir, par exemple, les exigences de la FFIEC (Federal Financial Institutions Examination Council) - US

• Scénarios clés– Certificat utilisateur lié au TPM– Authentification utilisateur plus

forte sans nécessiter le besoin de mots de passe complexes ou de second facteur externe

• Le Windows Smartcard Framework a été étendu pour supporter les TPM

• Permet à des terminaux que l’utilisateur utilise déjà (PC) d’être utilisés comme des cartes à puce virtuelles

• Le TPM protège la carte à puce virtuelle et interdit l’export de certificat

Nouveau mécanisme d’authentification

• Fournit les trois fonctions les plus importantes des cartes à puce– Interdiction de l’exportation– Chiffrement isolé– Protection contre les attaques

• Pas de coût en dehors du fait d’avoir un poste muni d’un TPM

• Facile à utiliser, difficile à voler• Authentification à 2 facteurs

Cartes à puce virtuelles : une option pour une authentification à 2 facteurs

Comparaison techniqueCartes à puce Cartes à puce virtuelles (TPM)

Protège les clés privées en utilisant un dispositif de chiffrement intégré dans la carte à puce

Protège les clés privées en utilisant un dispositif de chiffrement intégré dans la carte à puce virtuelle

Stocke les clés privées dans une zone mémoire non volatile de la carte, accessible uniquement depuis la carte

Stocke les clés privées sur le disque dur, en n’utilisant leur forme déchiffrée que sur le TPM lui-même

Non export garanti par le fabricant de la carte qui peut revendiquer l’isolation des informations privées des accès de l’OS

Non export garanti par le fabricant du TPM qui peut revendiquer l’impossibilité pour un adversaire de répliquer ou de supprimer le TPM

Les opérations de chiffrement sont effectuées et isolées au sein de la carte

Les opérations de chiffrement sont effectuées et isolées au sein du chip TPM sur le poste de l’utilisateur

La protection contre les attaques est fournie par la carte elle-même

La protection contre les attaques est fournie par le TPM

Comparaison fonctionnelleCarte à puce Carte à puce virtuelle (TPM)

L’utilisateur doit disposer de sa carte à puce et de son lecteur pour accéder à une ressource réseau

Les crédentités ne peuvent être exportés depuis un poste donné, mais elles peuvent être réémises pour le même utilisateur sur un autre poste

La portabilité des crédentités est obtenue en insérant la carte à puce dans un lecteur sur un autre poste

Stocke les clés privées sur le disque dur, en n’utilisant leur forme déchiffrée que sur le TPM lui-même

Plusieurs utilisateurs peuvent accéder à des ressources réseau sur la même machine en insérant chacun leur carte à puce personnelle

Plusieurs utilisateurs peuvent accéder aux ressources réseau depuis la même machine chacun d’entre eux se voyant doté d’une carte à puce virtuelle sur cette machine

Comparaison en termes de sécuritéCarte à puce Carte à puce virtuelle (TPM)

La carte est conservée par l’utilisateur, ce qui rend les scénarios d’attaque difficiles sur le plan logistique

La carte est stockée sur l’ordinateur de l’utilisateur qui peut être laissé seul ou oublié, ce qui augmente la fenêtre de risque pour une attaque

La carte à puce est généralement utilisée pour un seul scénario, ce qui peut entrainer son oubli ou sa perte

La carte à puce virtuelle est installée sur un terminal qui a d’autres utilités pour l’utilisateur dont la responsabilité est donc plus fortement sollicitée

Si la carte est perdue ou volée, l’utilisateur ne remarquera son absence que s’il a besoin de se connecter

La carte à puce virtuelle est installée sur un terminal et est utilisée pour d’autres buts ; sa perte sera donc remarquée plus rapidement

• Authentification à deux facteurs pour l’accès distant– L’accès au domaine (comme chez Microsoft)– Très semblable à une carte à puce bien que celle-ci soit toujours insérée

– on doit seulement saisir le code PIN

• Authentification du client– Via SSL ou quelque chose de ressemblant– Utilisation potentielle au sein de banques, ressources de l’organisation

accessibles via un navigateur, etc.

• Redirection de la carte à puce virtuelle pour les connexions distantes– Utilisation d’une carte à puce virtuelle locale sur une machine distante– Les crédentités peuvent être utilisées comme si elles avaient été créées

sur le PC distant

Utilisation pour l’authentification

• Chiffrement des mails via S/MIME– Comme les cartes conventionnelles, les cartes virtuelles détiennent des

clés qui peuvent être utilisées pour le chiffrement et le déchiffrement des mails

– Le chiffrement / le déchiffrement est effectué au sein du TPM, donc plus sécurisé que les autres modes de stockage de clés

• BitLocker pour les volumes de données– Les clés utilisées par BitLocker peuvent être stockées sur des cartes à

puce virtuelles– Donc, pour accéder au volume, ce dernier ne peut être retiré de la

machine originelle et l’utilisateur doit connaitre le code PIN de la carte à puce virtuelle

– A la fois le disque local et le disque portable (pour les sauvegardes) peuvent être chiffrés

Utilisation pour la protection

Sécuriser les ressources – Protéger les données sensibles

Provisionnement amélioré•Processus de paramétrage intégré du chiffrement BitLocker qui simplifie le provisionnement de postes sécurisés

•Bien meilleures performances qui améliore de façon spectaculaire le temps de provisionnement d’un poste (min vs. h.)

•Provisionne BitLocker sur n’importe que terminal ayant le logo Windows sans restrictions régionales

Protection de volume pour l’entreprise•Options flexibles de protection de volume et amélioration de la sécurité sur les disques Windows 8 afin d’améliorer l’expérience des utilisateurs finaux

•Nouvelles options de protection pour que BitLocker soit utilisé sur un ensemble plus large de clients et de serveurs

Prêt pour les serveurs•Permet le chiffrement de volumes sur les SAN•Supporte la protection de volumes sur des serveurs en cluster•Supporte l’authentification multi-facteur en mode inattendu

Amélioration de la performance•Amélioration de la performance système à travers l’utilisation des Self Encrypting Drives (SED) (eDrive)

•Améliore de façon spectaculaire le temps pris pour chiffrer les nouveaux volumes (minutes vs. heures)

BitLocker et BitLocker to Go

• Difficultés actuelles– Quand on provisionne un nouveau poste, le processus de chiffrement peut prendre plus d’une

heure– Le chiffrement effectué en logiciel a un impact sur la performance globale du système et la durée

de la batterie• Windows ne supporte pas les disques auto-chiffrants qui résolvent ce problème et sont

disponibles aujourd’hui– Les PC qui sont patchés et nécessitent un redémarrage sont incapables de démarrer en mode

« inattendu » quand on utilise un code PIN– Tous les PC ne sont pas équipés de TPM– Il est nécessaire de requérir le chiffrement avant de donner accès à l’email

• Les exigences de Windows 8– Un large support pour le chiffrement des disques sur toutes les architectures matérielles– Réduire le temps pour chiffrer un nouveau PC– Améliorer les performances du système et la durée de la batterie– Supporter un vaste ensemble de périphériques de stockage et de configurations (eDrives, SAN,

Clusters,…)– Améliorer le processus de patching quand un 2ème facteur d’authentification peut être utilisé– Supporter à la fois les TPM discrets et ceux basés sur le firmware (UEFI)

Chiffrement omniprésent

• Support par BitLocker du Trusted Platform Module (TPM)– Support pour TPM v1.2 et v2.0– Support pour des TPM discrets et en firmware– L’installation de Windows provisionnera un firmware basé sur le

TPM pour les machines qui supportent des environnements d’exécution sécurisés (ARM TrustZone; Platform Trust Technology (PTT) Intel)

• La flexibilité des options de chiffrement améliore le processus de provisionnement– Chiffrement de l’espace disque utilisé seulement ou le disque entier– Pré-provisionnement du PC avec BitLocker avant de procéder à

l’installation de Windows

Amélioration du provisionnement

48

Nouvelles options pour les protecteurs

• Password Protector (volume de l’OS)– Permet l’utilisation d’un mot de passe sur le volume de l’OS. Utile pour les postes sans TPM

• Network Protector– Permet à des PC connectés au réseau de l’organisation de booter sans PIN– Simplifie le processus de patch pour les serveurs et les postes, wake on LAN, facilite l’usage pour les utilisateurs finaux

• Active Directory Account/Group Protector– Permet à un volume de données d’être déverrouillé quand un utilisateur ou un compte de machine accède le volume

Volume de l’OS Voumes de données Volumes amovibles

TPM seulTPM+PINTPM+StartupKeyTPM+PIN+StartupKeyStartupKey ProtectorNetwork Protector (nouveau)Password Protector (nouveau)Public Key Protector (DRA – Data Recovery Agent)

Password ProtectorSmartcard ProtectorCompte AD ou Groupe (nouveau)Public Key Protector (DRA – Data Recovery Agent)

Password ProtectorSmartcard ProtectorCompte AD ou Groupe (nouveau)Public Key Protector (DRA – Data Recovery Agent)

• Les possibilités et le comportement du Network Protector– Utilise en combinaison avec TPM + PIN– PIN non nécessaire si le boot a lieu quand on est connecté au réseau d’entreprise– PIN nécessaire si le boot a lieu quand on n’est pas connecté au réseau d’entreprise

• Exigences– Client – TPM, UEFI 2.3.1 avec support pour DHCPv4 et DHCPv6 (exigence pour le logon

Windows 8), port LAN connecté– Serveur – Windows Server 2012 avec Windows Deployment Services (WDS)

• Processus de boot réseau– Le PC boote et utilise DHCP pour contacter un serveur WDS si une connexion cablée

existe– Si le serveur WDS est disponible, le client requiert une clé depuis le serveur WDS ; si

non un code PIN est nécessaire– Le serveur WDS valide le client et envoie une clé de déverrouillage au client à travers

le réseau– Le client reçoit la clé et déverrouille le volume de l’OS Windows. Le système boote

Nouvelles options de protecteur : Network Protector

50

Windows 7 Windows 8

Active DirectoryClé USBImpressionData Recovery Agent

Active DirectoryClé USBImpressionData Recovery AgentSkydrive (nouveau)

• Options de sauvegarde de la clé de recouvrement

Récupération du volume client

51

• Recouvrement de volume via Skydrive• Utilisé pour des machines non jointes au domaine• Séquestre les clés pour les volumes OS, données, et

amovibles• Skydrive dispose d’une interface utilisateur qui fournira

l’accès aux clés de recouvrement

• Implications en termes de performance de BitLocker avec Windows 7– Surcoût pendant le chiffrement, le démarrage, les opérations normales, etc.– Implications exacerbées sur des portables ou des tablettes sur batteries– Disques auto-chiffrants non supportés avec Windows 7

• Windows 8 améliore les performances de BitLocker et supporte les eDrives– Le traitement du chiffrement est déporté vers le hardware– Ceci permet de réduire l’utilisation du courant et augmente la durée des

batteries– Suppression du temps initial de chiffrement des volumes. Amélioration des

opérations normales– BitLocker gère les clés (AD et MBAM)– Les systèmes sans Self Encrypting Drives utilisent un chiffrement logiciel

Support des Self Encrypting Drives (eDrives)

52

• Support par BitLocker des SAN– Support de volumes sur iSCSI et Fiber Channel– Le chiffrement d’un gros volume vide est rapide quand on utilise l’option

« chiffrement de l’espace utilisé seulement »– Supporte des volumes de données sur un LUN– Le Thin Provisioning est détecté automatiquement

• Exigences– Le Host Bus Adapter (HBA) doit remplir les exigences du logo Windows– Les RAID doivent remplir les exigences du logo Windows

• Remarque : les fonctionnalités RAID telles que la déduplication et le déchargement de la copie ne fonctionneront pas quand un volume est protégé par BitLocker

Support des Storage Area Networks (SAN)

53

• BitLocker support les clusters Windows– Volumes partagés Cluster (CSV - Cluster Shared Volumes) – Volumes de basculement traditionnels

• Options protecteurs– Utilisation de l’AD via Account/Group Protector– L’identité Cluster Name Object (CNO) déverrouille le

volume– Le cluster déverrouille le volume quand il le monte

• Exigence – Un contrôleur de domaine Windows Server 2012

Support des clusters

54

Besoins hardware et utilisation par les différentes fonctionnalités

Fonctionnalité TPM* UEFI eDrives

1 BitLocker: chiffrement volume X X X**

2 BitLocker: déverouillage volume réseau X X

3 Boot sécurisé X

4 Boot sécurisé : ELAM X

5 Evaluation du boot X X

6 Cartes à puce virtuelles (TPM) X X

7 Stockage de certificat (basé TPM) X X

8 Provisionnement automatique du TPM X X

* La fonctionnalité tire parti du TPM discret. S’il n’y en a pas, il est possible d’utiliser l’environnement d’exécution sécurisé du firmware ** Permet de bénéficier d’amélioration de performance mais ne requiert pas d’eDrive

CONTRÔLE D’ACCÈS DYNAMIQUE ET CLASSIFICATION DES DONNÉES




Protéger l’accès aux ressources

Contrôle d’accès dynamique• Le contrôle d’accès s’adapte automatiquement aux changements au sein de

l’environnement et réduit de façon spectaculaire le coût de gérer et de sécuriser l’accès aux ressources sur les serveurs de fichiers

• L’accès aux ressources est fondés sur des étiquettes qui peuvent être ajoutées dynamiquement aux ressources en fonction de la localisation, de l’application ou être ajoutées manuellement par le possesseur du contenu

• Un système de contrôle intelligent tire parti des propriétés des utilisateurs et des états du terminal pour prendre des décisions d’autorisation

• Peut assurer que les ressources sont chiffrées et restent sur des systèmes et des disques (chiffrés) sécurisés

• Facile à déployer et à administrer grâce à des fonctionnalités avancées de création et d’audit des contrôles d’accès

• Introduction du modèle fondé sur les revendications au sein de la plateforme Windows

• Introduction d’un modèle permettant de cibler les politiques d’accès et d’audit sur la base d’un étiquetage afin de conduire la mise en place d’une politique de sécurité efficace et d’implémenter ce modèle pour les fichiers

• Combler le gap entre l’informatique et les propriétaires d’information en utilisant une notion d’étiquetage pour les fichiers

Quelques évolutions importantes pour Windows 8 sur le sujet de l’identité

Les évolutions avec Windows 8/Windows Server 2012

Placer les revendications au cœur de la plateforme d’authentification via Kerberos avec Active Directory

Améliorer la plateforme d’autorisation pour les fichiers pour créer et gérer des politiques d’accès plus riches avec des revendications

Améliorer la plateforme d’audit des fichiers pour mettre en place des contrôles d’audit efficaces au sein de l’organisation

Projeter les revendications utilisateurs et terminaux pour une consommation par les .apps .NET

Améliorer l’infrastructure de gestion de fichiers







• Le Contrôleur de Domaine émet des groupes et… des revendications ! – Les revendications (utilisateur et terminal) proviennent des

attributs d’identité au sein d’AD– Identité composite – fait correspondre un utilisateur au

terminal qui sera autorisé comme un principal (au sens Kerberos)

– Les revendications sont délivrées au sein d’un PAC Kerberos

• Un jeton Windows a des sections– Données utilisateur et terminal– Revendications et groupes !

• OID vers revendication pour les autorisations basés sur les certificats

• Support pour transformation des revendications inter-forêts

AuthentificationQUOI DE NEUF

Jeton Windows 8

Owner

Group

User Groups

Claims

Device Groups

Claims







Autorisation

MISE A JOUR DU MODELE d’ACL

Support pour les expressions

avec primitives ‘AND’/’OR’

User.memberOf (USA-Employees) AND User.memberOf (Finance-Division) AND User.memberOf (Authorization-Project)

Support des revendications utilisateur

depuis AD

User.Division = ‘Finance’ AND User.CostCenter = 20000

Support pour revendications statiques

depuis AD

User.Division = ‘Finance’AND Device.ITManaged = True

Politique cible en fonction du type de ressource

IF (Resource.Impact = ‘HBI’)ALLOW AU Read User.EmployeeType = ‘FTE’

• Pas d’expressions dans ACL

• Inflation des groupes

• ACL basées sur groupe• Inflation des groupes

• Impossible de contrôler l’accès sur l’état du terminal

• Impossible de cibler une politique sur type de res.

• Support de revendications dans les ACE gérées comme des chaînes SDDL (Security Descriptor Definition Language)

• Ajouts/suppression de chaînes SDDL via des fonctions standards de manipulation de chaînes

Windows 7Avec Windows

8 Exemple

Politique de contrôle d’accès basée sur des expressions

Revendications utilisateurUser.Department = Finance

User.Clearance = High

POLITIQUE D’ACCESS’applique à : @Resource.Impact == “High”

Allow | Read, Write | if (@User.Clearance == “High”) AND (@Device.Managed == True)

Revendications terminalDevice.Department = Finance

Device.Managed = True

Propriétés ressourcesResource.Department =

FinanceResource.Impact = High

Active Directory

Serveur de fichiers

• Amélioration des API SDDL pour fonctionner avec les revendications

• Application des Security Descriptors aux objets• Amélioration des API CheckAccess en mode

user pour fonctionner avec les revendications• Création et distribution centrale des politiques d’accès

– Politique d’accès centralisée à l’information créée dans l’AD– Politique d’accès distribuée via les politiques de groupe vers les serveurs cibles

• Nouvelle IHM pour les ACL– Fournir le support des ACL avec des revendications pour les utilisateurs finaux– Peut être invoquée depuis une application custom

AutorisationAMELIORATIONS







• Cibler des audits sur la base d’expressions fondées sur des revendications– N’auditer que selon dont vous avez besoin !

• Ex: Auditer seulement l’accès à « mes données sensibles » par « mes sous-traitants »

– Réduire le volume d’audit et simplifier l’analyse et la gestion des audits

• Amélioration des métadonnées du schéma dans les événements d’audit– Permet un meilleur reporting et de meilleures corrélations

• Plateforme de test– Tester les changements de politiques d’accès avec ZERO impact sur les

opérations et la production– Tester les différences de captures d’événements d’audit lors des accès

AuditCE QUI EST NOUVEAU







• AD FS 2.1 est disponible en standard sous la forme d’un server role au sein de Windows Server 2012– Le rôle existant d’ ADFS 1.x a été remplacé par le nouvel AD FS 2.1– Le Claims Aware Web agent continuera d’être livré sous la forme d’un

composant « déprécié » afin de permettre la continuité opérationnelle des applications existantes et construire sur la base de la dll de SSO d’ADFS 1.x

– Ajoute le support pour permettre l’émission de revendications terminal depuis le ticket Kerberos pour des applications Claims Aware

– Pas de support d’AD LDS comme un espace de stockage pour l’authentification

– Pas de support pour un ‘NT token’ web agent

AD FS 2.1 dans Windows 8/Windows Server 2012







Infrastructure de classification de fichiersInformation d’étiquetage

Basé sur l’emplacement

Manuel

Classification automatique

Application

FCI

Classificateur de contenu

intégré

Plugin de classification

tiers

// instantiate new classification managerFsrmClassificationManager cls =

new FsrmClassificationManager();

//get defined properties ICollection c = cls.EnumPropertyDefinitions(_FsrmEnumOptions.FsrmEnumOptions_None);

// inspect each property definitionforeach (IFsrmPropertyDefinition p in c){/*...*/}

Points d’intégration

Comment peut-on classifier l’information ?

• Basé sur le répertoire dans lequel est créée le fichier• Déterminé par le « responsable métier » qui définit le répertoire

En fonction de l’emplacement

• Spécifié par l’utilisateur• On peut utiliser des modèles de documents pour les paramètres par

défaut• Applications de création de données qui marquent les fichiers créées

par les utilisateurs

Manuel

• Classification automatique basée sur le contenu et d’autres caractéristiques

• Bonne solution pour classifier une grosse masse d’information déjà existante

Classification automatique

• Applications métier qui stockent des informations sur les serveurs de fichiers

• Applications de gestion de donnéesApplication

Propriétés de classification de base

Domaine Propriétés Valeurs

Information Privacy

Personally Identifiable Information High; Moderate; Low; Public; Not PII

Protected Health Information High; Moderate; Low

Information SecurityConfidentiality High; Moderate; LowRequired Clearance Restricted; Internal Use; Public

Legal

CompliancySOX; PCI; HIPAA/HITECH; NIST SP 800-53; NIST SP 800-122; U.S.-EU Safe Harbor Framework; GLBA; ITAR; PIPEDA; EU Data Protection Directive; Japanese Personal Information Privacy Act

Discoverability Privileged; HoldImmutable Yes/No

Intellectual PropertyCopyright; Trade Secret; Parent Application Document; Patent Supporting Document

Records Management Retention Long-term; Mid-term; Short-term; Indefinite

Retention Start Date <Date Value>

Organizational

Impact High; Moderate; Low

Department Engineering ;Legal; Human Resources …

Project <Project>Personal Use Yes/No

Infrastructure de classification de fichiersAppliquer la politique en fonction de la classification

84

Tache de gestion de

fichiers

Fait correspondre le fichier à la politiqueClassifier le fichier

FCIContrôle d’accès

Contrôle d’audit

Chiffrement RMS

Rétention

Autres actionsPoints d’intégration

Appliquer la politique

Contrôle d’accès dynamique en bref

Identifier les données

Etiquetage manuel par les

propriétaires de contenus

Classification automatique (étiquetage)

Etiquetage applicatif

Contrôler l’accès

Politiques d’accès centrales basées sur les étiquettes

des fichiers

Conditions d’accès basées sur des

expressions utilisant revendications utilisateurs et

étiquettes

Remédiation en cas de refus d’accès

Auditer l’accès

Conditions d’audit basées sur des

expressions utilisant revendications utilisateurs et

étiquettes

Politiques d’audit qui peuvent être

appliquées sur différents serveurs

de fichiers

Staging des audits pour simuler les changements de politique dans un

environnement réel

Protéger les données

Protection RMS automatique des

documents Office en fonction des étiquettes

Protection en quasi-temps réel juste après que le

fichiers ait été étiqueté

Extensibilité pour des protecteurs

différents de RMS Office

LES FONDAMENTAUX




• Menace : Les buffer overflow et les autres attaques mémoire permettant le contrôle d’un pointeur en mémoire et l’exécution de code arbitraire

• La situation pour ce qui concerne les exploits mémoire :– Seuls 6 % des systèmes ont été compromis à travers des exploits mémoire (SIR)– La plupart des exploits ciblent des applications tierces et d’anciens logiciels (XP)– La plupart des exploits échouent quad les protections mémoire sont en service– Mais les exploits de type zéro-day existent et les attaquants se focalisent vers les

zones mémoire moins protégées

• Windows 8 introduit au moins 20 mécanismes complémentaires de sécurisation de la mémoire qui atténuent des ensembles de vulnérabilités, cassent certaines techniques d’exploitation connues et augmentent le coût de l’exploitation de ces vulnérabilités

Windows 8 et atténuation des exploits mémoire

Windows 8 et atténuation des exploits mémoire

Génération de code

Address Space Layout Randomisation

Windows Heap

Noyau Windows

Paramètres par défaut

Protections /GS disponible pour la compilation avec VS 2010

Introduit avec Vista, les attaquants s’appuient sur les lacunes dans ASLR

Renforcement effectif de la Heap, nouvelles techniques d’attaque

Exploits à distance limités, mais la plus grand partie de la mémoire Kernel est marquée exécutable

D’avantage de sécurité par défaut mais on repose sur l’usage applicatif

Windows 7 Amélioration /GS, vérifications de plages,

optimisation par scellement, virtual table guard

ASLR forcé, randomisation de bas en haut / haut en bas, entropie élevées

Contrôles d’intégrité, pages de garde, et randomisation de l’ordre d’allocation

DEP, ASLR, SMEP/PXN, protection contre déréférencement Null, contrôles intégrité

Défauts plus sévères pour les Apps, IE10, Office, terminaux ARM

Windows 8

• Amélioration /GS pour la protection contre les stack buffer overrun– Disponible avec Visual Studio 2010, amélioré avec VS2012– Windows 8 construit entièrement avec l’amélioration /GS

• Les heuristiques /GS protègent désormais davantage de fonctions– Tableaux ne contenant pas de pointeurs et structures C

• Optimisation /GS supprime les contrôles non nécessaires

• Fermeture des lacunes dans la protection– Exemples : MS04-035, MS06-054, MS07-017

Génération de code : amélioration /GS

• Si une classe est « scellée », elle ne peut pas avoir de classe dérivée. D’où il s’en suit que les appels à des méthodes virtuelles deviennent des appels directs

• Eliminer les appels indirects réduit les surfaces d’attaques pour les exploitations :

• Atténue des vulnérabilités telles que CVE-2011-1996• A titre d’exemple, on a « dévirtualisé » 4500 appels dans

mshtml.dll

Génération de code : scellement

class ClassName sealed : public Cinterface{ … }

• Insertion par le compilateur d’un contrôle des limites des tableaux

• Atténue complètement certaines vulnérabilités• CVE-2009-2512, CVE-2010-2555

• Limité à des scenarios spécifiques (notamment pile de taille fixe)

Génération de code : vérification de plages

CHAR Buffer[256];UINT i;If (i >= ARRAYSIZE(Buffer)) { __report_rangecheckfailure();}Buffer[i] = 0;

Potentiellement contrôle par l’attaquant

Code inséré par le compilateur

• Atténuation probabiliste d’une éventuelle corruption de pointeur vtable permis par une annotation de l’interface

• Une entrée supplémentaire est ajoutée à la vtable, dont l’emplacement mémoire est randomisé par ASLR

• Un contrôle est ajouté aux appels de la méthode virtuelle pour trouver l’entrée supplémentaire et si l’on arrive pas à la trouver, on « met à mort » le processus

Génération de code : Virtual Table Guard

• ASLR a été introduit d’abord avec Windows Vista et a conduit à une évolution majeure dans l’approche des attaquants

• Les attaquants dépendent maintenant :– D’EXE/DLL dont l’édition de lien n’a pas été faites avec /DYNAMICBASE– De l’éparpillement de l’espace d’adressage (heap/JIT)– Des régions mémoire prévisibles– Des divulgations d’information

• Avec Windows 8, les processus peuvent désormais forcer les images non-ASLR à être randomisée (Force ASLR) :– Se comporte comme si la base préférée d’une image n’était pas disponible– La randomisation de bas en haut fournit l’entropie nécessaire pour ces images– Les processus peuvent choisir la mise en service de ce comportement

• Dans Windows 8, un grand nombre de vecteurs de divulgation d’information ne sont plus utilisables :– ImagePointers a été supprimé de SharedUserData (une structure à la même adresse

relative dans tous les processus)



Espace d’adressag

e

Windows 7 :• Heaps et stacks sont randomisés• PEB/TEB sont randomisés mais avec une

entropie limitée• VirtualAlloc et MapViewOfFile ne sont pas

randomisés• Il peut donc exister des régions mémoire

prévisibles

Windows 8 :• Toutes les allocations de bas en haut / de

haut en bas sont randomisées• Effectué en biaisant les adresses de base

des allocations• PEB/TEB reçoivent maintenant beaucoup

plus d’entropie• Les 2 sont au choix (EXE marqué

/DYNAMICBASE)

Allocations de haut en bas(PEBs, TEBs, MEM_TOP_DOWN)

Allocations de bas en haut(Stacks, Heaps, Mapped files, VirtualAlloc, etc)

Entropie élevée pour les processus 64 bits

• 8 Go de variation dans la start address de haut en bas

• Mis en service automatiquement si la randomisation de haut en bas est en fonction

Randomisation haute entropie de bas en haut

Randomisation haute entropie de haut en bas

Randomisation haute entropie des images

• 1 To de variation dans la start address de bas en haut

• Casse l’éparpillement traditionnel de l’espace d’adressage (heap/JIT)

• Les processus doivent choisir la mise en service

• Les images basées au-dessus de 4 Go reçoivent plus d’entropie

• Toutes les images système ont été déplacées au-dessus de 4 GoH

aute

entr

opie

/ A

SLR

pou

r le

s pro

cess

us

64 b

its

• ASLR avec Windows 8 tire parti du grand espace d’adressage (8 To) des processus 64 bits afin de réduire la probabilité de deviner une adresse

Entropie élevée pour les processus 64 bits

32 bits

64 bits

32 bits

64 bits

64 (HE)

Allocations de bas en haut (à choisir)

0 0 8 8 24

Stacks14 14 17 17 33

Heaps5 5 8 8 24

Allocation de bas en haut (à choisir)

0 0 8 17 17

PEB/TEB4 4 8 17 17

Images EXE8 8 8 17* 17*

Images DLL8 8 8 19* 19*

Images DLL non-ASLR (à choisir)

0 0 8 8 24

* Les DLL 64 bits basées sous 4 Go reçoivent 14 bits, les EXE sous 4 Go reçoivent 8 bits

Windows 7 Windows 8

La Heap

• Le renforcement de la Heap a été introduit et s’est révélé être extrêmement efficace. Quelques nouvelles attaques proposées par les chercheurs en sécurité mais les exploits réels ciblent les données applicatives sur la Heap et pas les métadonnées

• La conception générale de la Heap n’a pas changé mais quelques contrôles d’intégrité ont été introduits dans la LFH (utilise pour des tailles <16 KO)

Allocateur (LFH – Low-Fragmentation Heap)

Changement avec Windows 8

Impact

LFH est désormais un allocateur basé sur une bitmap

Corruption de LinkOffset désormais impossible

Suppression de plusieurs gestionnaires d’exception de type catch-all

Les exceptions ne sont plus avalées

Un Heap handle de peut désormais plus être libéré

Empêche des attaques qui tentent de corrompre l’état du Heap handle

La Heap CommitRoutine est encodée avec une clé globale

Empêche les attaques qui permettent le contrôle du pointeur de CommitRoutine

Validation de l’en-tête d’extension de bloc

Empêche la libération involontaire de blocs de la Heap en usage

Les blocs occupés ne peuvent pas être alloués

Empêche diverses attaques qui réallouent un bloc en usage

L’encodage de la Heap est mis en service en mode kernel

Meilleure protection des en-têtes d’entrée de Heap

La Heap

• Les pages de garde sont désormais utilisées pour partitionner la Heap• Conçu pour empêcher / localiser une

corruption• Toucher une page de garde génère une

exception

• Les points d’insertion pour les pages de garde sont contraints à ne concerner que des grandes allocations, des segments de Heap et des sous-segments de la taille maximale pour la LFH

Pages de garde

• L’ordre d’allocation est désormais non déterministe (seulement LFH) • Rend peu fiable les exploits s’appuyant sur

la manipulation de la Heap

Randomisation de l’ordre d’allocation

… Mémoire HeapPage de

GardeMémoire Heap …

1er 2nd3èm

e4èm

e5èm

e6èm

e7èm

e8èm

e9èm

eD C

7ème

5ème 1er

6ème 2nd

9ème

4ème

3ème

8ème

DC

Débordement

Cible

Ordre d’allocation

Le noyau

• Les vulnérabilités du Kernel ont été moins la cible des attaquants avec seulement quelques exploits ciblant le Kernel à distance– Mais, la cible des attaques semble être

en train de se diriger à nouveau vers le Kernel en raison de l’utilisation des bacs à sable, si l’on en juge par la compréhension de certains exploits du Kernel en local qui sont la preuve de certains exploits sophistiqués du Kernel à distance

• DEP est largement mis en service au sein du noyau de Windows 8 (cf. tableau ci-joint)

Data Execution Prevention (DEP) au niveau Kernel x86 x64 ARM

Version de Windows 7 8 7 8 8

Paged pool X X NX NX NX

Non-paged pool X X X X X

Non-paged-pool (NX) * N/A NX N/A NX NX

Session pool X X NX NX NX

Image data sections X X NX NX NX

Kernel stacks NX NX NX NX NX

Idle/DPC/Initial Stacks X NX X NX NX

Page table pages X NX X NX NX

PFN database X NX X NX NX

System cache X NX X NX NX

Shared user data X NX X NX NX

HAL heap X NX X NX NX• Windows 8 introduit NonPagedPoolNx comme

nouvelle région mémoire

Le noyau

• Nouvelles fonctionnalités de sécurité des processeurs permettant d’interdire l’exécution par le superviseur de code se trouvant dans les pages user

• Requiert Intel Ivy Bridge ou ARM avec support PXN

Améliorations ASLR Kernel

Support pour SMEP/PXN

Protection déréférencement Null

Autres améliorations

• L’ASLR Kernel a été tout d’abord introduit avec Windows Server 2008, avec 4 bits d’entropie pour les drivers, 5 bits pour NTOS/HAL

• L’entropie a été améliorée avec Windows 8 à travers un biais du segment de base du kernel, entropie 22 bits / 12 bits. Randomisation des régions de boot

• L’unlinking sûr a été mis en service globalement, pas juste pour la Heap et pour la Kernel pool

• Amélioration de l’entropie à travers l’amorçage du PRNG depuis le TPM

• L’Object manager a été renforcé contre les débordements de comptes de référence

• La divulgation d’information par le Kernel via certain appels systèmes a été résolue

• L’exploitation en local d’une déréférencement par le Kernel est généralement trivial

• Windows 8 interdit le mappage des premiers 64 K, de telle façon que tout déréférencement NULL par le Kernel devient un déni de service et pas une mort de processus

• NTVDM a aussi été mis hors service pas défaut

Paramétrage par défautParamétrage par défaut pour Windows 8

32 bit (x86) 64 bit (x64) ARMTout le code

W8 UI Apps

IE10 Défaut

W8 UI Apps

IE 10 Défaut

DEP Oui Oui Choix On On Choix Oui

ASLR (images) Oui Oui Choix On On Choix Oui

ASLR (force la relocation)

Oui Oui Choix On On Choix N/A *

ASLR (bas-haut) Oui Oui Choix On On Choix Oui

ASLR (haut-bas) Oui Oui Choix On On Choix Oui

ASLR (haute entropie)

N/A N/A N/A On On Choix N/A (pas 64 bits)

SEHOP Oui Oui Choix N/A N/A N/A N/A (pas requis)

Fin de la Heap Oui Oui Choix Oui Oui Oui Oui* Les images ARM PE doivent choisir DEP et ASLR, donc ASLR en mode Force n’est pas requis

Q&R

102

© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions,

it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.