Contrôle d’accès mandataire pour Windows 7Christian Toinard,Damien Gros,Jérémy Briffaut

Cet article présente une implémentation novatrice pour le renforcement des fonctions de contrôle d'accès de Windows 7. Basée sur le Type Enforcement, cette approche propose de mettre en place un contrôle d'accès de type mandataire supportant l'application de propriétés de sécurité avancées. De façon similaire à LSM pour le noyau Linux, notre implémentation offre un contrôle d'accès à grain n reposant sur le détournement des appels système. L'ajout d'une labellisation du système de fichiers offre une correspondance précise entre la ressource et son contexte de sécurité. De plus, dans le but de faciliter l'écriture d'une politique de sécurité, nous avons mis en place un mécanisme d'apprentissage qui se base sur les événements observés par notre solution pour les transformer en règles de contrôle d'accès. Ainsi, cette implémentation assure le contrôle des flux d'information directs, que ce soit entre un sujet et un objet ou entre deux sujets, offrant ainsi protection ou confinement contre les attaques de type 0-day. Cet article propose également une preuve de concept développée pour Windows 7, portable sur les autres systèmes d'exploitation de la famille Windows. Nous avons pu tester l'impact de notre implémentation sur les performances du système.