Les meilleurs morceaux de Windows 11 sont déjà dans Windows 10. Il vous suffit de les activer

Technologie : Vous pouvez profiter des fonctions avancées de sécurité matérielle de Windows aujourd’hui, sans avoir à charger un quelconque code bêta de Windows 11. Oui, vous pouvez (presque) tout faire avec Windows 10.

Lorsque Windows 11 a été présenté en juin dernier, beaucoup ont été enthousiasmés par son interface utilisateur remaniée – et d’innombrables passionnés de PC se sont précipités pour télécharger les builds du Windows Insider Developer Channel du nouveau système d’exploitation.

Mais, comme ils l’ont rapidement découvert, le nouveau système d’exploitation a plusieurs nouvelles exigences pour les PC, afin de prendre en charge son nouveau matériel et les fonctions de sécurité basées sur la virtualisation. Ces fonctions sont essentielles pour sécuriser les charges de travail des particuliers et des entreprises contre les logiciels malveillants actuels.

Il s’avère que toutes ces fonctionnalités sont déjà intégrées à Windows 10 si vous utilisez la version 20H2 (Windows 10 October 2020 Update). Vous pouvez en profiter si vous déployez une stratégie de groupe ou si vous cliquez simplement dans le menu « Sécurité des périphériques » de Windows 10 pour les activer. Vous n’avez pas besoin d’attendre la sortie de Windows 11 ou d’acheter un nouveau PC.

641b51f0-5323-4ac8-bc6e-4266502c8c4a.jpg

Le menu « Sécurité et périphériques » dans Windows 10 20H2. Jason Perlow/ZDNet.

 publicité 

Fonctionnalité 1 : TPM 2.0 et Secure Boot

Le module TPM (Trusted Platform Module) est une technologie conçue pour fournir des fonctions cryptographiques liées à la sécurité et basées sur le matériel. Si votre PC a été fabriqué au cours des cinq dernières années, il y a de fortes chances que la puce TPM de votre carte mère prenne en charge la version 2.0. Vous pouvez le déterminer en ouvrant le « Gestionnaire de périphériques » et en développant « Périphériques de sécurité ». S’il est indiqué « Trusted Platform Module 2.0 », vous êtes prêt.

96116a12-86c2-413b-9379-d425e4f834fe.jpg

Gestionnaire de périphériques Microsoft Windows avec TPM 2.0. Jason Perlow/ZDNet.

Ceci est indiqué comme « Processeur de sécurité » dans le menu « Paramètres de sécurité du périphérique » dans Windows 10 (et Windows 11).

Que fait réellement TPM ? Il est utilisé pour générer et stocker des clés cryptographiques propres à votre système, notamment une clé de chiffrement RSA propre au TPM de votre système. En plus d’être utilisés traditionnellement avec les cartes à puce et les VPN, les TPM sont utilisés pour prendre en charge le processus Secure Boot. Il mesure l’intégrité du code de démarrage du système d’exploitation, y compris le micrologiciel (firmware) et les composants individuels du système d’exploitation, pour s’assurer qu’ils n’ont pas été compromis.

Il n’y a rien à faire pour qu’il fonctionne ; il fonctionne tout simplement, à condition qu’il ne soit pas désactivé dans votre UEFI. Votre organisation peut choisir de déployer Secure Boot sur Windows 10 via une stratégie de groupe ou une solution MDM d’entreprise telle que Microsoft Endpoint Manager.

Alors que la plupart des fabricants livrent leurs PC avec le TPM activé, certains peuvent l’avoir désactivé, donc s’il n’apparaît pas dans le gestionnaire de périphériques ou s’il est désactivé, démarrez dans les paramètres de votre micrologiciel UEFI et regardez.

Si le TPM n’a jamais été préparé pour être utilisé sur votre système, invoquez simplement l’utilitaire en exécutant tpm.msc depuis la ligne de commande.

security-processor-again.jpg

Détails du processeur de sécurité (TPM 2.0) dans Sécurité et périphériques Windows.

Fonctionnalité 2 : Virtualisation-Based Security (VBS) et HVCI

Alors que le TPM 2.0 est commun à de nombreux PC depuis six ans, la fonctionnalité qui fait vraiment la différence en matière de sécurité dans Windows 10 et Windows 11 est HVCI, ou Hypervisor-Protected Code Integrity, également appelée Memory Integrity ou Core Isolation, telle qu’elle apparaît dans le menu Windows Device Security.

Bien qu’elle soit requise par Windows 11, vous devez l’activer manuellement dans Windows 10. Il suffit de cliquer sur « Détails de l’isolation du noyau », puis d’activer l’intégrité de la mémoire à l’aide de l’interrupteur à bascule. Cela peut prendre environ une minute pour que votre système l’active, car il doit vérifier chaque page de mémoire dans Windows avant de l’activer.

Cette fonction n’est utilisable que sur les processeurs 64 bits dotés d’extensions de virtualisation basées sur le matériel, telles que VT-X d’Intel et AMD-V. Bien qu’initialement implémentées dans les puces de classe serveur dès 2005, elles sont présentes dans presque tous les systèmes de bureau depuis au moins 2015, ou la génération 6 d’Intel (Skylake). Cependant, elle nécessite également la traduction d’adresses de second niveau (SLAT – Second Level Address Translation), qui est présente dans la VT-X2 d’Intel avec les tables de pages étendues (EPT – Extended Page Tables) et l’indexation de virtualisation rapide (RVI – Rapid Virtualization Indexing) d’AMD.

Il existe une exigence HVCI supplémentaire selon laquelle tous les périphériques d’E/S capables d’accès direct à la mémoire (DMA – Direct Memory Access) doivent se trouver derrière une IOMMU (Input-Output Memory Management Unit). Ces unités sont mises en œuvre dans les processeurs qui prennent en charge les instructions Intel VT-D ou AMD-Vi.

La liste des exigences peut sembler longue, mais l’essentiel est que vous êtes prêt si Device Security indique que ces caractéristiques sont présentes dans votre système.

562012b9-92fe-465b-bb6e-7d8a85265cec.jpg

Fonctionnalité d’isolation du noyau (intégrité de la mémoire) de Windows 10 Device Security. Jason Perlow/ZDNet.

La virtualisation n’est-elle pas principalement utilisée pour améliorer la densité de la charge de travail dans les serveurs des centres de données ? Ou par les développeurs de logiciels pour isoler leur configuration de test sur leurs ordinateurs de bureau ? Ou exécuter des systèmes d’exploitation étrangers tels que Linux ? Oui, mais la virtualisation et la conteneurisation/sandboxing sont désormais de plus en plus utilisées pour fournir des couches de sécurité supplémentaires dans les systèmes d’exploitation modernes, y compris Windows.

Dans Windows 10 et Windows 11, VBS, ou Virtualization-based Security, utilise Hyper-V de Microsoft pour créer et isoler une région de mémoire sécurisée du système d’exploitation. Cette région protégée est utilisée pour exécuter plusieurs solutions de sécurité qui peuvent protéger les vulnérabilités existantes dans le système d’exploitation (comme celles provenant d’un code d’application non modernisé) et arrêter les exploits qui tentent de déjouer ces protections.

HVCI utilise VBS pour renforcer l’application de la politique d’intégrité du code en vérifiant tous les pilotes et binaires en mode noyau avant leur démarrage et en empêchant les pilotes et fichiers système non signés d’être chargés dans la mémoire système. Ces restrictions protègent les ressources vitales du système d’exploitation et les actifs de sécurité tels que les informations d’identification des utilisateurs. Ainsi, même si un logiciel malveillant accède au noyau, l’ampleur de l’exploitation peut être limitée et contenue car l’hyperviseur peut empêcher le logiciel malveillant d’exécuter du code ou d’accéder à des secrets.

VBS remplit également des fonctions similaires pour le code d’application. Il vérifie les applications avant leur chargement et ne les lance que si elles proviennent de signataires de code approuvés, en attribuant des autorisations à chaque page de la mémoire système. Tout ceci est effectué dans une région de mémoire sécurisée, ce qui fournit des protections plus robustes contre les virus et les logiciels malveillants du noyau.

Considérez VBS comme le nouveau responsable de l’application du code de Windows, votre Robocop du noyau et des applications, qui vit dans une zone de mémoire protégée, activée par votre CPU compatible avec la virtualisation.

Fonctionnalité 3 : Microsoft Defender Application Guard (MDAG)

Une fonctionnalité particulière que de nombreux utilisateurs de Windows ne connaissent pas est Microsoft Defender Application Guard, ou (MDAG).

Il s’agit d’une autre technologie basée sur la virtualisation (également connue sous le nom de conteneurs Hyper-V « Krypton ») qui, lorsqu’elle est associée à la dernière version de Microsoft Edge (et aux versions actuelles de Chrome et Firefox à l’aide d’une extension), crée une instance de mémoire isolée de votre navigateur, empêchant ainsi votre système et les données de votre entreprise d’être compromis par des sites web non fiables.

297df0a2-2293-4dc0-8715-17a2b44a65b3.jpg

Windows Defender Application Guard en cours d’utilisation sur Microsoft Edge. Jason Perlow/ZDNet.

En cas d’infection du navigateur par des scripts ou des logiciels malveillants, le conteneur Hyper-V, qui s’exécute séparément du système d’exploitation hôte, reste isolé des processus de vos systèmes critiques et des données de votre entreprise.

MDAG est combiné avec les paramètres Network Isolation configurés pour votre environnement afin de définir les limites de votre réseau privé telles que définies par la stratégie de groupe de votre entreprise.

wdag-edge.png

Comment MDAG fonctionne sur le PC hôte et le conteneur de navigateur Hyper-V isolé. Source : Microsoft.

En plus de protéger vos sessions de navigateur, MDAG peut également être utilisé avec Microsoft 365 et Office pour empêcher les fichiers Word, PowerPoint et Excel d’accéder à des ressources de confiance comme les informations d’identification et les données de l’entreprise. Cette fonctionnalité a été publiée dans le cadre d’un aperçu public, en août 2020, pour les clients Microsoft 365 E5.

MDAG, qui fait partie des UGS Windows 10 Professionnel, Entreprise et Education, est activé avec le menu des fonctionnalités Windows ou une simple commande PowerShell ; il ne nécessite pas l’activation d’Hyper-V.

96116a12-86c2-413b-9379-d425e4f834fe.jpg

Microsoft Defender Access Guard dans le menu Activer ou désactiver les fonctionnalités de Windows. Jason Perlow/ZDNet.

Bien que MDAG cible principalement les entreprises, les utilisateurs finaux et les petites entreprises peuvent l’activer à l’aide d’un simple script qui définit les objets de stratégie de groupe. Cette excellente vidéo et cet article d’accompagnement publiés sur URTech.ca couvrent le processus de manière plus détaillée.

Source : ZDNet.com

Catégories