Contrôle d’accès mandataire pour Windows 7 — Christian Toinard, Damien Gros, Jérémy Briffaut
Date : 07 June 2012 à 12:30 — 30 min.
Cet article présente une implémentation novatrice pour le renforcement des fonctions de contrôle d'accès de Windows 7. Basée sur le Type Enforcement, cette approche propose de mettre en place un contrôle d'accès de type mandataire supportant l'application de propriétés de sécurité avancées. De façon similaire à LSM pour le noyau Linux, notre implémentation off?re un contrôle d'accès à grain ?n reposant sur le détournement des appels système. L'ajout d'une labellisation du système de ?fichiers off?re une correspondance précise entre la ressource et son contexte de sécurité. De plus, dans le but de faciliter l'écriture d'une politique de sécurité, nous avons mis en place un mécanisme d'apprentissage qui se base sur les événements observés par notre solution pour les transformer en règles de contrôle d'accès. Ainsi, cette implémentation assure le contrôle des ?flux d'information directs, que ce soit entre un sujet et un objet ou entre deux sujets, o?ffrant ainsi protection ou con?finement contre les attaques de type 0-day. Cet article propose également une preuve de concept développée pour Windows 7, portable sur les autres systèmes d'exploitation de la famille Windows. Nous avons pu tester l'impact de notre implémentation sur les performances du système.