Enterprise Data Protection avec Windows 10

blog ai3 Header Enterprise Data Protection avec Windows 10

 

1- Introduction

Comme vous le savez une des choses les plus précieuses pour une entreprise, ce sont ses données, après ses employés bien sûr :-). Pour une entreprise il devient donc primordiale de mettre en place les outils et les politiques de sécurité adéquates afin d’éviter la fuite de ses informations. Or de nos jours cette tâche devient de plus en plus compliqueé, avec une évolution des usages des utilisateurs consommant ces données, et le croisement entre données personnelles et données d’entreprise.

En réponse à cette vaste problématique, je vous propose de voir ensemble un nouvel outil, Enterprise Data Protection, permettant de mettre en place des mécanismes limitant les possibilités de fuite des informations d’entreprise.

Au cours de cet article nous allons voir quels sont les fonctionnalités offertes par Enterprise Data Protection. Nous verrons ensuite comment mettre en place une stratégie EDP via l’utilisation de Microsoft Intune. Dans un second article, que vous pouvez trouver ici, nous verrons comment déployer une stratégie EDP sur des postes clients

Concernant la partie consacrée à la mise en place de EDP, il est préférable d’avoir un minimum de connaissance concernant Azure AD, ainsi que sur Microsoft Intune.

2- Présentation de Enterprise Data Protection

Le but de Enterprise Data Protection est de protéger les données d’entreprise en ayant le moins d’impact possible sur l’expérience utilisateur, et en permettant à l’utilisateur de continuer de pouvoir gérer ses données personnelles. Pour se faire EDP va se baser sur les règles ayant étaient définis au niveau de stratégies de sécurité afin de savoir dans un premier temps quelles sont les emplacements réseaux considérés comme des sources de données d’entreprise, et faire en sorte que toutes les données provenant de ces différentes sources soient protégées lorsque celles-ci arrivent sur le poste client.

Toujours en se basant sur les règles établies au niveau des stratégies, l’utilisateur pourra manipuler ces données d’entreprise au travers des applications qui auront été définies comme application d’entreprise. Les applications ne faisant pas partie de cette liste ne pourront pas accéder à ces données.

Enfin pour certaine de ces applications d’entreprise, dîtes applications éclairées, l’utilisateur lors de la modification ou de la création de document pour choisir entre usage personnel et usage professionnel.

En cas de perte ou de vol du matériel, l’équipe IT pourra faire un nettoyage (Swipe) de celui-ci. Cette opération aura pour conséquence de supprimer toutes les données d’entreprise, ainsi que les applications d’entreprise de l’appareil. En cas de départ d’un employé, cette opération sera aussi possible. Dans ce cas là les données personnelles, ainsi que les applications personnelles de l’utilisateur ne seront pas affectées par cette opération.

Enterprise Data Protection va donc vous permettre de définir des politiques de sécurité qui seront déployées sur les postes clients, vous me direz que jusque là rien de nouveau.

La mise en place d’Enterprise Data Protection se fait via la définition de stratégies de sécurité, qui seront déployéees sur les postes clients via un outil de MDM. Au niveau de ces stratégies les éléments suivants pourront être définis (liste non exhaustive) :

  • Les applications d’entreprise :
  • Les emplacements réseaux d’entreprise :
  • Comportement à adopter en cas de tentative de partage entre application d’entreprise et application personnelle :

3- Mise en place

Afin de pouvoir mettre en place toute cette mécanique vous allez devoir vous appuyer sur un MDM. Dans le cadre de cet article nous allons utiliser Intune.

Afin de pouvoir mettre en place EDP via l’utilisation d’Intune nous allons dans un premier temps nous connecter au portail Intune et créer une nouvelle stratégie.

Pour EDP il faut dans un premier temps choisir Windows comme cible de la stratégie et ensuite au niveau de la liste des choix possibles, sélectionner Enterprise Data Protection (Windows 10 Desktop and Mobile and later). Au niveau des options possibles il faut choisir Créer et déployer une stratégie personnalisée.

Vous pouvez alors créer votre stratégie.

blog ai3 CreatePolicy1 Enterprise Data Protection avec Windows 10

Après avoir renseigner les informations générales concernant notre nouvelle stratégie nous allons pouvoir passer à la mise en place des règles concernant les applications.

blog ai3 CreatePolicy2 Enterprise Data Protection avec Windows 10

C’est à ce niveau là que nous allons configurer les applications pouvant consommées les données d’entreprise. Toutes les applications qui ne seront pas configurées à ce niveau là ne pourront donc pas accéder aux données entreprise.

C’est aussi ici que vous allez pouvoir configurer le comportement qui sera mise en place lorsque l’utilisateur fera une action de type copier/coller.

Les 4 comportements pouvant être mise en place sont les suivants:

  • Bloquer : En cas de tentative de partage de données entre applications d’entreprises en application publiques, l’utilisateur sera bloqué, et sera informé des risques de cette action. Celle-ci sera tracée dans un journal de logs 
  • Surcharger : En cas de tentative de partage de données entre applications d’entreprises en application publiques, l’utilisateur sera informé des risques de cette action. L’utilisateur pourra choisir d’abandonner cette action ou de continuer. Celle-ci sera tracée dans un journal de logs.
  • Autoriser (Silent) : Le partage des informations d’entreprises avec des applications publiques (hors entreprise) ne seront pas bloquée. Par contre toutes ces actions de partages seront tracées dans un journal de logs.
  • Désactiver : Aucune action ne sera effectuée concernant les données d’entreprise.

La bonne pratique concernant la mise en place de cette règle est dans un premier temps de passer par une surcharge pour s’assurer que nous avons correctement définis les règles concernant les applications et les emplacements réseaux, avant de passer à un blocage des échanges d’informations entre applications.

1.1 – Gestion des applications de type Universal Apps.

Afin de récupérer les informations qui vous seront nécessaires à la déclaration de vos applications Store, vous pouvez suivre la procédure suivante.

Rendez-vous sur le site web du store Microsoft à l’adresse suivante : https://www.microsoft.com/fr-fr/store/apps/windows

Rechercher l’application que vous désirez ajouter, et allez sur la page de détails de celle-ci.

Au niveau de la page de détails de l’application, récupérer l’ID de celle-ci qui correspond à la dernière partie de l’URL, comme montrée dans l’image ci-dessous.

blog ai3 storeApp1 Enterprise Data Protection avec Windows 10

 

Etant en possession de l’ID de l’application rendez-vous à l’URL suivante :

https://bspmts.mp.microsoft.com/v1/public/catalog/Retail/Products/<id Application>/applockerdata

Où « <id Application » correspond à l’ID de l’application que vous avez récupérée lors de l’étape précédente.

Vous arriverez alors sur une page présentant un flux JSON avec différentes informations comme vous pouvez le voir sur l’image ci-dessous.

blog ai3 storeApp2 Enterprise Data Protection avec Windows 10

 

Au niveau de l’interface Intune sélectionner « Ajouter » au niveau de la section « App rules » afin d’ajouter l’application Store.

Dans un premier temps donner un nom à l’application que vous désirez ajouter.

Au niveau de l’écran d’ajout le champs Publisher correspond au champs publisherCertificateName du flux JSON.

Et le champs Product name correspond au champs packageIdentityName du flux JSON.

blog ai3 storeApp3 Enterprise Data Protection avec Windows 10

 

Après avoir saisie toutes les informations relatives à l’application cliquez sur OK pour valider l’ajout de celle-ci.

A noter que pour vos applications d’entreprise vous devrez récupérer l’information du publisher au niveau du certificat que vous utilisez pour générer votre application et l’information concernant le nom du package au niveau de Visual Studio.

1.2 – Gestion des applications classique.

Attention si vous devez installer des applications Desktop développées en interne, il faudra absolument que celles-ci soient signées afin que celles-ci puissent être prisent en compte.

 

blog ai3 storeApp4 Enterprise Data Protection avec Windows 10

 

Pour les applications ne pouvant pas être prisent en compte par EDP, mais qui doivent manipuler des données d’entreprise, il est possible de les exclure de la politique EDP.

Cela permettra à ces applications de pouvoir manipuler des données d’entreprise, mais la mécanique d’encryptage automatique et la gestion des restrictions au niveau réseau ne seront pas prisent en compte pour ces dites applications.

La configuration des applications étant terminée, nous allons pouvoir passer à la configuration des emplacements réseaux où sont stockés les données de l’entreprise.

C’est à ce niveau que nous allons pouvoir définir les différents emplacements réseau qui seront considérés comme des emplacements de données d’entreprise. Ces informations seront utilisées par EDP pour savoir si les données utilisées par une application sont des données d’entreprise, et si c’est le cas comment gérer c’est données.Pour se faire vous pouvez créer différents type d’emplacement, que vous pourrez sélectionner lors de la création d’un nouvel emplacement. Les types pouvant être utilisés sont les suivants :

  • Enterprise Cloud Ressource : comme sont nom l’indique, ce type d’emplacement est utilisé pour configuré toute les ressources de type Cloud gérées par l’entreprise. Au niveau de ce type d’emplacement vous pourrez définir des ressources utilisant un proxy et des ressources sans proxy. Si vous devez définir plusieurs ressources, vous devrez séparer celles-ci par un |.
  • Enterprise Network Domain Names : Vous permettra de déclarer les suffixes DNS de votre entreprise.
  • Enterprise Proxy Servers : Permet de spécifier les noms de domaine des serveurs Proxy de votre entreprise.
  • Enterprise Internal Proxy Servers : Permet la définition des proxy internes de l’entreprise.
  • Enterprise IPV4 ranges : Vous permet de spécifier un intervalle d’adresses IP de type IPV4 faisant partie de votre réseau interne.
  • Enterprise IPV6 ranges :  Vous permet de spécifier un intervalle d’adresses IP de type IPV4 faisant partie de votre réseau interne.
  • Neutral Ressources :

 

blog ai3 network1 Enterprise Data Protection avec Windows 10

 

Afin de pouvoir déployer votre stratégie, il vous faudra au minimum définir un entrée pour les éléments suivants : Enterprise Network Domain Names, Enterprise IPV4 ranges.

Si ces deux catégories de réseau ne sont pas définies dans votre stratégie vous aurez des erreurs lors du déploiement de celle-ci.

Important : Si au niveau de votre société vous avez des employées nomade se déplaçant chez des clients, si ces clients possèdent des proxys, les applications configurées comme applications d’entreprise ne pourront plus accéder à celles-ci, du fait que les proxys ne seront pas connus au niveau EDP.

Après avoir définis les informations concernant les emplacements réseaux devant être prise en compte au niveau de la stratégie EDP, il nous faut maintenant déclarer un certificat qui nous permettra de pouvoir récupérer les informations cryptées sur le poste client en cas de problème.

Pour ce faire vous devrait charger un certificat qui sera utilisé dans le cadre du cryptage des informations. Le cryptage se fera alors via l’utilisation de la clé publique que vous aurait définit au niveau de ce paramètre. En cas de problème vous pourrais donc utilisé la clé privée du certificat en votre possession pour pouvoir décrypter les informations en cas de problème.

Pour les besoins de cet article, nous allons générer un article depuis un poste client. Bien sûr dans un environnement de production vous devrez vous appuyer soit sur un certificat issue de votre PKI, soit sur un certificat que vous aurez acheté chez une autorité racine de confiance. La première chose à faire pour générer notre certificat et d’ouvrir une invite de commande en mode administrateur. Ensuite rendez-vous dans le répertoire dans lequel vous désirez générer votre certificat.

Tapez alors la commande suivante :  cipher /r:edpcertificat (où edpcertificat sera le nom de notre certificat)

Entrer le mot de passe qui vous permettra de protéger la clé privée du certificat, et vous devriez alors avoir deux fichiers ,au niveau du répertoire que vous aurez choisi, un fichier .cer et un fichier .pfx.Vous pouvez maintenant télécharger votre certificat depuis l’interface Intune.

 

blog ai3 certificats Enterprise Data Protection avec Windows 10

Notre configuration est maintenant pratiquement terminée, il ne nous reste plus que quelques paramètres à définir et notre stratégie EDP sera prête a être déployée.

La première option consiste à paramétrer le fait que l’utilisateur puisse choisir le fait de pouvoir sauvegarder un fichier en tant que fichier personnel au niveau de Windows File Explorer (cette option est positionnée à true par défaut).

La deuxième option concerne Windows 10 Mobile, et permet de paramétrer le fait que des données d’entreprise ne puissent être accéder par des applications lorsque l’appareil est verrouillé (cette option est positionnée à true par défaut).

Le troisième paramètre permet de définir le fait que les clés de cryptage locales soient révoquées lorsque un appareil se désinscrit de la stratégie EDP. Ceci permet de faire en sorte que les données protégées par EDP ne sont plus accessibles (par défaut ce paramètre est positionné à true).

Le quatrième paramètre permet de définir le fait d’allouer à Windows Search le droit d’indexer et de rechercher dans des données protégées par EDP (par défaut ce paramètre est positionné à false).

Le cinquième est dernier paramètre concerne le fait de voir l’icone de protection au niveau des fichiers protégées par EDP (par défaut ce paramètre est positionné à true).

Le paramétrage de ces différents paramètres étant terminé, vous pouvez sauvegarder votre stratégie. Ceci étant fait nous allons maintenant passer au déploiement de celle-ci.

La configuration de notre stratégie EDP étant terminée nous allons maintenant voir comment la déployée sur un poste Windows 10, pour cette opération je vous donnes rendez-vous dans un prochain article pour voir comment, étape par étape, mettre en place un environnement complet dans lequel nous déploierons notre stratégie.

A bientôt.

David Moïsa.

Cloud, Security and Development in mind.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.