Microsoft recherche toujours des solutions visant rendre Windows plus rsilient aprs l’incident CrowdStrike du 19 juillet 2024. Et l’une des premires initiatives de Microsoft est appele Quick Machine Recovery . Il s’agit d’un nouvel outil de rcupration visant permettre aux administrateurs de rparer distance les systmes qui rencontrent des problmes de dmarrage. Cet outil permettra aux administrateurs de rcuprer des correctifs cibls dans Windows Update afin de rparer les bogues lis au dmarrage, ce qui ncessite normalement un accs physique la machine. Quick Machine Recovery sera dploy comme une fonctionnalit de Windows 11.
Microsoft lance un nouvel outil de rcupration aprs l’incident CrowdStrike
Le fournisseur de services de scurit CrowdStrike a provoqu une panne informatique mondiale le 19 juillet 2024 aprs avoir dploy une mise jour logicielle dfectueuse. Les donnes recueillies aprs l’incident ont rvl qu’il a mis hors service au moins 8,5 millions de systmes, causant l’annulation de milliers de vols sur plusieurs jours et occasionnant des pertes financires importantes. L’incident a dclench un vif dbat sur l’accs des tiers au noyau Windows.
L’incident a pouss les clients de Microsoft chercher des solutions pour viter qu’un tel vnement ne se reproduise. Aujourd’hui, Microsoft apporte quelques rponses sous la forme d’une nouvelle initiative de rsilience Windows conue pour amliorer la scurit et la fiabilit de Windows. Il travaille sur un nouvel utilitaire appel Quick Machine Recovery qui permettra aux administrateurs de rcuprer plus facilement les systmes Windows en cas de crash.
Quick Machine Recovery permettra aux administrateurs d’une entreprise donne de rechercher et de rcuprer des correctifs dans le service Windows Update afin de rparer les bogues lis au dmarrage, ce qui ncessite normalement un accs physique la machine. Microsoft affirme que Quick Machine Recovery sera lanc des fins de test via Windows Insider au dbut de l’anne 2025 avant un dploiement plus large une date ultrieure non prcise.
Envoy par David Weston, vice-prsident de la scurit des entreprises et des systmes d’exploitation chez Microsoft
Dans le cas d’un vnement futur, qui, esprons-le, n’arrivera jamais, nous pourrions envoyer [une mise jour] de Windows Update cet environnement de rcupration qui dirait de supprimer ce fichier pour tout le monde. S’il y a un problme central que nous devons communiquer un grand nombre de clients, cela nous donne la possibilit de le faire partir de Windows RE.
CrowdStrike est confront une pression croissante pour avoir provoqu l’effondrement d’un large pan du systme informatique mondial et des menaces juridiques psent sur lui. Bien que Microsoft ne soit pas techniquement responsable de l’incident, il subit galement les critiques. Microsoft a t victime de cet incident au mme titre que les points de terminaison qui ont subi le BSOD. David Weston estime que c’est quelque chose que Microsoft n’aurait jamais vu.
Le 10 septembre 2024, Microsoft a organis un sommet (Windows Endpoint Security Ecosystem Summit) qui a runi les fournisseurs de logiciels de scurit qui ncessite un accs au noyau. Les participants ont discut de l’amlioration de la rsilience et de la protection de l’infrastructure critique des clients mutuels. Microsoft, CrowdStrike, ESET, et Trend Micro, ainsi que d’autres fournisseurs de logiciels de scurit des points finaux ont particip au sommet.
Quick Machine Recovery s’appuie sur les amliorations apportes l’environnement de rcupration de Windows (Windows Recovery Environment – Windows RE). Cette fonction est l’une des nombreuses nouvelles fonctionnalits centres sur la scurit qui seront intgres Windows 11 l’anne prochaine.
De nouvelles fonctionnalits qui visent amliorer la rsilience de Windows
Microsoft travaille avec des fournisseurs de solutions de scurit dans le cadre de l’initiative Microsoft Virus Initiative (MVI) afin d’ajouter de nouvelles fonctionnalits et de nouveaux outils Windows. Ils permettront aux logiciels de scurit de fonctionner en dehors du noyau Windows afin d’viter l’avenir des incidents comme celui de juillet. Bien que beaucoup appellent Microsoft restreindre l’accs au noyau Windows, l’entreprise n’entend pas le faire.
Les logiciels de scurit Windows utilisent gnralement des pilotes de noyau qui permettent un accs de bas niveau au systme d’exploitation afin de dtecter les comportements inhabituels, de surveiller le trafic rseau et de mettre fin aux processus malveillants. Mais comme l’a prouv l’incident CrowdStrike, cet accs au niveau du noyau augmente le risque qu’un pilote ou une mise jour dfectueux fasse planter un appareil qui ne dmarre plus correctement.
Pour viter ces incidents l’avenir, Microsoft mise sur les pratiques de dploiement scuris (Safe Deployment Practices – SDP) qui exigeront que toutes les mises jour de produits de scurit soient progressives, qu’elles utilisent des anneaux de dploiement et qu’elles soient surveilles pour garantir un impact ngatif minimal. Selon Microsoft, cela permet de s’assurer de la fiabilit des logiciels, garantir l’intgrit des systmes Windows et viter les pannes.
Microsoft invite tous les fournisseurs adopter les SDP. Pour aider nos clients et partenaires accrotre leur rsilience, nous dveloppons de nouvelles fonctionnalits Windows qui permettront aux dveloppeurs de produits de scurit de concevoir leurs produits en dehors du mode noyau , a dclar David Weston. Toutefois, selon de nombreux critiques, cette solution ne protge pas efficacement le noyau Windows contre de nouvelles pannes de type CrowdStrike.
Microsoft travaille galement sur une nouvelle fonctionnalit pour la protection des administrateurs. Cette fonctionnalit cre un compte administrateur cach sur le systme d’exploitation vers lequel les utilisateurs sont transfrs chaque fois qu’ils doivent effectuer une action sensible, avant d’tre renvoys vers leur compte de bas niveau. Pour accder ce compte, les utilisateurs devront s’authentifier l’aide d’informations d’identification valides.
Cela diffre du systme actuel de contrle d’accs des utilisateurs o il suffit d’appuyer sur un bouton Oui dans une fentre contextuelle pour passer en mode administrateur. l’avenir, Windows 11 offrira galement la prise en charge de la cl de scurit pour Windows Hello, un systme d’impression renforc par la scurit appel Windows Protected Print, et un systme de hotpatching permettant de dployer des correctifs sans redmarrer les PC.
En outre, Windows 11 offrira la possibilit de rafrachir la configuration des PC aux valeurs par dfaut aprs un certain temps, la prise en charge du DNS Zero Trust (excuter toutes les requtes DNS via un DNS de confiance uniquement) et la possibilit de chiffrer et de restreindre l’accs aux documents sensibles via Windows Hello.
Source : Microsoft
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l’utilitaire Quick Machine Recovery annonc par Microsoft ?
Selon vous, en quoi ce nouvel utilitaire facile-t-il la tche des administrateurs systme ?
Que pensez-vous des fonctions de protection des comptes administrateur prvues par Microsoft ?
Voir aussi