Partager via


Sécurité matérielle Windows

Diagramme de contenant une liste de fonctionnalités de sécurité.

En savoir plus sur la prise en charge des fonctionnalités de sécurité matérielles dans Windows.

Racine de confiance matérielle

Nom de la fonctionnalité Description
Windows Defender System Guard Dans les PC à cœur sécurisé, Windows Defender System Guard lancement sécurisé protège le démarrage avec une technologie appelée Dynamic Root of Trust for Measurement (DRTM). Avec DRTM, le système suit initialement le processus de démarrage sécurisé UEFI normal. Toutefois, avant de lancer, le système entre dans un état approuvé contrôlé par le matériel qui force le ou les processeurs à descendre un chemin de code sécurisé par le matériel. Si un rootkit/bootkit de programme malveillant a contourné le démarrage sécurisé UEFI et réside en mémoire, DRTM l’empêche d’accéder aux secrets et au code critique protégé par l’environnement de sécurité basé sur la virtualisation. La technologie de réduction de la surface d’attaque du microprogramme peut être utilisée à la place de DRTM sur des appareils de prise en charge tels que Microsoft Surface.
Module de plateforme sécurisée Les TPM offrent des avantages en matière de sécurité et de confidentialité pour le matériel système, les propriétaires de plateforme et les utilisateurs. Windows Hello, BitLocker, Windows Defender System Guard et d’autres fonctionnalités Windows s’appuient sur le module de plateforme sécurisée pour des fonctionnalités telles que la génération de clés, le stockage sécurisé, le chiffrement, les mesures d’intégrité de démarrage et l’attestation. La version 2.0 de la spécification inclut la prise en charge des algorithmes plus récents, qui peuvent améliorer les performances de signature des pilotes et de génération de clés.

À compter de Windows 10, la certification matérielle de Microsoft exige que tous les nouveaux PC Windows incluent TPM 2.0 intégré et activé par défaut. Avec Windows 11, les appareils nouveaux et mis à niveau doivent avoir TPM 2.0.
Microsoft Pluton Les processeurs de sécurité Microsoft Pluton sont conçus par Microsoft en partenariat avec des partenaires silicon. Pluton améliore la protection des appareils Windows avec une racine de confiance matérielle qui fournit une protection supplémentaire pour les clés de chiffrement et d’autres secrets. Pluton est conçu pour réduire la surface d’attaque car il intègre la puce de sécurité directement dans le processeur. Il peut être utilisé avec un TPM 2.0 discret ou comme un processeur de sécurité autonome. Lorsque la racine de confiance se trouve sur une puce distincte et discrète sur la carte mère, le chemin de communication entre la racine de confiance et le processeur peut être vulnérable aux attaques physiques. Pluton prend en charge la norme du secteur TPM 2.0, ce qui permet aux clients de bénéficier immédiatement de la sécurité renforcée dans les fonctionnalités Windows qui s’appuient sur des TPM, notamment BitLocker, Windows Hello et Windows Defender System Guard.

En plus de fournir une racine de confiance, Pluton prend également en charge d’autres fonctionnalités de sécurité au-delà de ce qui est possible avec la spécification TPM 2.0, et cette extensibilité permet de fournir des microprogrammes pluton et des fonctionnalités de système d’exploitation supplémentaires au fil du temps via Windows Update. Les appareils Windows 11 compatibles avec Pluton sont disponibles et la sélection d’options avec Pluton augmente.

Sécurité assistée par le silicium

Nom de la fonctionnalité Description
Sécurité basée sur la virtualisation (VBS) En plus d’une racine de confiance matérielle moderne, il existe de nombreuses autres fonctionnalités dans les dernières puces qui renforcent le système d’exploitation contre les menaces, telles que la protection du processus de démarrage, la protection de l’intégrité de la mémoire, l’isolation de la logique de calcul sensible à la sécurité, etc. Deux exemples incluent la sécurité basée sur la virtualisation (VBS) et l’intégrité du code protégée par l’hyperviseur (HVCI). La sécurité basée sur la virtualisation (VBS), également appelée isolation de cœur, est un bloc de construction critique dans un système sécurisé. VBS utilise des fonctionnalités de virtualisation matérielle pour héberger un noyau sécurisé séparé du système d’exploitation. Cela signifie que même si le système d’exploitation est compromis, le noyau sécurisé reste protégé.

À compter de Windows 10, tous les nouveaux appareils doivent être fournis avec la prise en charge du microprogramme pour VBS et HCVI activée par défaut dans le BIOS. Les clients peuvent ensuite activer la prise en charge du système d’exploitation dans Windows.
Avec les nouvelles installations de Windows 11, la prise en charge du système d’exploitation pour VBS et HVCI est activée par défaut pour tous les appareils qui remplissent les conditions préalables.
Intégrité du code protégée par l’hyperviseur (HVCI) L’intégrité du code protégé par l’hyperviseur (HVCI), également appelée intégrité de la mémoire, utilise VBS pour exécuter l’intégrité du code en mode noyau (KMCI) dans l’environnement VBS sécurisé au lieu du noyau Windows main. Cela permet d’empêcher les attaques qui tentent de modifier le code du mode noyau, comme les pilotes. Le rôle KMCI consiste à case activée que tout le code du noyau est correctement signé et n’a pas été falsifié avant qu’il ne soit autorisé à s’exécuter. HVCI permet de s’assurer que seul le code validé peut être exécuté en mode noyau.

À compter de Windows 10, tous les nouveaux appareils doivent être fournis avec la prise en charge du microprogramme pour VBS et HCVI activée par défaut dans le BIOS. Les clients peuvent ensuite activer la prise en charge du système d’exploitation dans Windows.
Avec les nouvelles installations de Windows 11, la prise en charge du système d’exploitation pour VBS et HVCI est activée par défaut pour tous les appareils qui remplissent les conditions préalables.
Protection de pile appliquée par le matériel. La protection de pile appliquée par le matériel intègre des logiciels et du matériel pour une défense moderne contre les cybermenaces telles que la corruption de la mémoire et les attaques zero-day. Basée sur la technologie d’application de flux de contrôle (CET) d’Intel et d’AMD Shadow Stacks, la protection de pile appliquée par le matériel est conçue pour protéger contre les techniques d’exploitation qui tentent de détourner les adresses de retour sur la pile.
Protection de l’accès direct à la mémoire (DMA) du noyau La protection DMA du noyau protège les périphériques externes contre l’accès non autorisé à la mémoire. Les menaces physiques telles que les attaques DMA (Drive-by Direct Memory Access) se produisent généralement rapidement lorsque le propriétaire du système n’est pas présent. Les périphériques PCIe à chaud tels que Thunderbolt, USB4 et CFexpress permettent aux utilisateurs d’attacher de nouvelles classes de périphériques externes, y compris des cartes graphiques ou d’autres périphériques PCI, à leurs PC avec la facilité plug-and-play d’USB. Étant donné que les ports pci hot plug sont externes et facilement accessibles, les appareils sont vulnérables aux attaques DMA drive-by.

PC à cœur sécurisé

Nom de la fonctionnalité Description
Protection du microprogramme pc à cœur sécurisé Microsoft a travaillé avec des partenaires OEM pour proposer une catégorie spéciale d’appareils appelée PC à cœur sécurisé. Les appareils sont fournis avec des mesures de sécurité supplémentaires activées au niveau de la couche de microprogramme, ou cœur de l’appareil, qui sous-tend Windows. Les PC à cœur sécurisé aident à prévenir les attaques de programmes malveillants et à réduire les vulnérabilités du microprogramme en lançant dans un état propre et approuvé au démarrage avec une racine de confiance appliquée par le matériel. La sécurité basée sur la virtualisation est activée par défaut. Et avec la mémoire système de protection intégrée de l’intégrité du code protégée par l’hyperviseur (HVCI), les PC à cœur sécurisé garantissent que tous les exécutables sont signés par des autorités connues et approuvées uniquement. Les PC à cœur sécurisé protègent également contre les menaces physiques telles que les attaques d’accès direct à la mémoire (DMA) par lecteur.
Verrou de configuration à cœur sécurisé Le verrou de configuration à cœur sécurisé est une fonctionnalité SCPC (Secured-Core PC) qui empêche les utilisateurs d’apporter des modifications indésirables aux paramètres de sécurité. Avec le verrouillage de configuration, le système d’exploitation surveille les clés de Registre qui configurent chaque fonctionnalité et, lorsqu’il détecte une dérive, revient à l’état SCPC souhaité par le service informatique en quelques secondes.