Jason Perlow est technologue avec plus de deux décennies d'expérience dans l'intégration de grands environnements informatiques multi-fournisseurs hétérogènes dans les entreprises du Fortune 500.Ses opinions exprimées ne représentent pas nécessairement celles de son employeur, la Fondation Linux.
Full BioPosted in Tech Broileron | Topic: Windows 11Lorsque Windows 11 a été introduit fin juin 2021, beaucoup étaient excités par son interface utilisateur remaniée - et d'innombrables amateurs de PC se sont précipités pour télécharger les versions de canaux de développeur d'initié Windows du nouveau système d'exploitation.
Mis en exergue
Mais, comme ils l'ont rapidement découvert, le nouveau système d'exploitation possède plusieurs nouvelles exigences pour les PC pour prendre en charge ses nouvelles fonctionnalités de sécurité basées sur le matériel et la virtualisation.Ces fonctionnalités sont essentielles pour sécuriser les charges de travail des consommateurs et des entreprises à partir de logiciels malveillants plus sophistiqués et d'exploiter les menaces qui évoluent actuellement dans la nature.
Also: Microsoft just blew up the only reason you can't use a Linux desktop
Il s'avère que toutes ces fonctionnalités sont déjà intégrées à Windows 10 si vous exécutez la version 20H2 (mise à jour Windows 10 octobre 2020).En tant que consommateur, petite entreprise ou entreprise, vous pouvez en profiter si vous déploiez la politique de groupe ou cliquez simplement dans le menu de sécurité des périphériques de Windows 10 pour les allumer.Vous n'avez pas besoin d'attendre la sortie de Windows 11 ou d'acheter un nouveau PC.
Caractéristique 1: TPM 2.0 et sécuriser le démarrage
Le module de plate-forme de confiance (TPM) est une technologie conçue pour fournir des fonctions cryptographiques liées à la sécurité basées sur le matériel.Si vous avez un PC qui a été fabriqué au cours des cinq dernières années, il y a de fortes chances que vous ayez une puce TPM sur votre carte mère qui prend en charge la version 2.0.Vous pouvez déterminer cela en ouvrant le gestionnaire de périphériques et en élargissant "les dispositifs de sécurité."Si cela dit" Module de plate-forme de confiance 2.0, "Tu es prêt à partir.
Ceci est affiché comme "Processeur de sécurité" dans le menu Paramètres de sécurité de l'appareil dans Windows 10 (et Windows 11).
Alors, que fait réellement TPM?Il est utilisé pour générer et stocker des clés cryptographiques uniques à votre système, y compris une clé de cryptage RSA unique au TPM de votre système lui-même.En plus d'être utilisés traditionnellement avec des cartes à puce et des VPN, les TPM sont utilisés pour prendre en charge le processus de démarrage sécurisé.Il mesure l'intégrité du code de démarrage du système d'exploitation, y compris le firmware et les composants du système d'exploitation individuels, pour s'assurer qu'ils n'ont pas été compromis.
Il n'y a rien à faire pour le faire fonctionner;il le fait, à condition qu'il ne soit pas désactivé dans votre UEFI.Votre organisation peut choisir de déployer Secure Boot sur Windows 10 via la politique de groupe ou une solution basée sur l'Enterprise MDM telle que Microsoft Endpoint Manager.
Alors que la plupart des fabricants expédient leurs PC avec TPM activés, certains peuvent le faire désactiver, donc s'il n'apparaît pas dans le gestionnaire de périphériques ou que le montre comme désactivé, démarrez dans vos paramètres du micrologiciel UEFI et regardez.
If the TPM has never been prepared for use on your system, simply invoke the utility by running tpm.msc from the command line.
Fonction 2: Sécurité basée sur la virtualisation (VBS) et HVCI
Tandis que TPM 2.0 est courant dans de nombreux PC depuis six ans, la fonctionnalité qui fait que le caoutchouc de sécurité tire sur la route de Windows 10 et Windows 11 est HVCI ou l'intégrité du code protégée par l'hyperviseur, également appelée intégrité de mémoire ou isolement de base,Comme il apparaît dans le menu de sécurité de l'appareil Windows.
Bien qu'il soit requis par Windows 11, vous devez l'allumer manuellement dans Windows 10.Cliquez simplement sur "Détails d'isolement du noyau", puis activez l'intégrité de la mémoire avec l'interrupteur à bascule.Il peut prendre environ une minute pour que votre système l'allume, car il doit vérifier chaque page de mémoire sous Windows avant de l'activer.
Cette fonctionnalité n'est utilisable que sur des processeurs 64 bits avec des extensions de virtualisation basées sur le matériel, telles que VT-X d'Intel et AMD-V.Bien que initialement implémentés dans des puces de classe de serveur dès 2005, ils sont présents dans presque tous les systèmes de bureau depuis au moins 2015, ou Intel Generation 6 (Skylake).Cependant, il nécessite également une traduction d'adresse de deuxième niveau (SLAT), qui est présent dans le VT-X2 d'Intel avec des tables de page étendues (EPT) et l'indexation de virtualisation rapide d'AMD (RVI).
Il y a une exigence HVCI supplémentaire que tous les périphériques d'E / S capables d'accès à la mémoire directe (DMA) sont assis derrière un IOMMU (Unité de gestion de la mémoire d'entrée-sortie).Ceux-ci sont mis en œuvre dans des processeurs qui prennent en charge les instructions Intel VT-D, ou AMD-VI.
Cela ressemble à une longue liste d'exigences, mais l'essentiel est que vous êtes prêt à faire si la sécurité de l'appareil indique que ces fonctionnalités sont présentes dans votre système.
La virtualisation n'est-elle pas principalement utilisée pour améliorer la densité de charge de travail dans les serveurs de données ou par les développeurs de logiciels pour isoler leur configuration de test sur leurs ordinateurs de bureau ou exécuter des OS étrangères tels que Linux?Oui, mais la virtualisation et la conteneurisation / sable sont désormais de plus en plus utilisées pour fournir des couches de sécurité supplémentaires dans les systèmes d'exploitation modernes, y compris Windows.
Dans Windows 10 et Windows 11, VBS ou une sécurité basée sur la virtualisation, utilise Hyper-V de Microsoft pour créer et isoler une région de mémoire sécurisée à partir du système d'exploitation.Cette région protégée est utilisée pour exécuter plusieurs solutions de sécurité qui peuvent protéger les vulnérabilités héritées dans le système d'exploitation (comme le code d'application non modernisé) et arrêter les exploits qui tentent de vaincre ces protections.
HVCI utilise VBS pour renforcer l'application des politiques d'intégrité du code en vérifiant tous les pilotes et binaires en mode noyau avant de commencer et d'empêcher les pilotes non signés et les fichiers système d'être chargés dans la mémoire du système.Ces restrictions protègent les ressources vitales du système d'exploitation et les actifs de sécurité tels que les informations d'identification des utilisateurs - donc même si les logiciels malveillants ont accès au noyau, l'étendue d'un exploit peut être limitée et contenue parce que l'hyperviseur peut empêcher le malware d'exécuter du code ou d'accéder aux secrets.
VBS remplit également des fonctions similaires pour le code d'application - il vérifie les applications avant qu'elles ne soient chargées et ne les commence que si elles proviennent de signataires de code approuvés, ce qui en attribue des autorisations sur chaque page de la mémoire système.Tout cela est effectué dans une région de mémoire sécurisée, qui fournit des protections plus robustes contre les virus du noyau et les logiciels malveillants.
Considérez VBS comme le nouvel agent d'application du code de Windows, votre noyau et votre robocop d'application qui vit dans une boîte de mémoire protégée qui est activée par votre processeur compatible de virtualisation.
Caractéristique 3: Microsoft Defender Application Guard (MDAG)
Une fonctionnalité particulière que de nombreux utilisateurs de Windows ne connaissent pas est Microsoft Defender Application Guard, ou (MDAG).
Il s'agit d'une autre technologie basée sur la virtualisation (également connue sous le nom de conteneurs Hyper-V "Krypton") qui, lorsqu'ils sont combinés avec le dernier Microsoft Edge (et les versions actuelles de Chrome et Firefox à l'aide d'une extension), crée une instance de mémoire isolée de votre navigateur,Empêcher votre système et vos données d'entreprise d'être compromises par des sites Web non fiables.
Si le navigateur est infecté par des scripts ou des attaques de logiciels malveillants, le conteneur Hyper-V, qui s'exécute séparément du système d'exploitation hôte, est maintenu isolé de vos processus de systèmes critiques et de vos données d'entreprise.
MDAG est combiné avec les paramètres d'isolement du réseau configurés pour votre environnement afin de définir vos limites de réseau privé telles que définies par la politique de groupe de votre entreprise.
En plus de protéger vos séances de navigateur, MDAG peut également être utilisé avec Microsoft 365 et Office pour empêcher Word, PowerPoint et Excel d'accès à des ressources de confiance telles que les informations d'identification et les données de l'entreprise.Cette fonctionnalité a été publiée dans le cadre d'un aperçu public en août 2020 pour les clients Microsoft 365 E5.
MDAG, qui fait partie de Windows 10 Professional, Enterprise et Educational SKUS, est activé avec le menu des fonctionnalités Windows ou une commande PowerShell simple;il ne nécessite pas que Hyper-V soit allumé.
Alors que MDAG cible principalement les entreprises, les utilisateurs finaux et les petites entreprises peuvent l'activer avec un script simple qui définit les objets de politique de groupe.Cet excellent article de vidéo et d'accompagnement publié sur URTech.CA couvre le processus plus en détail.
