Qu’est-ce qu’un Secure Core PC pour Windows 11 ?

Les PC domestiques peuvent faire face à une grande variété de menaces provenant des machines professionnelles, c’est pourquoi Microsoft et ses partenaires fabricants ont développé des PC d’entreprise à cœur sécurisé . Cependant, certaines de leurs fonctionnalités de sécurité sont incluses dans toutes les versions de Windows 11. Voyons comment un PC sécurisé se compare à votre ordinateur portable domestique.

Base de sécurité

La sécurité dans Windows 11 commence par les bases de la sécurité, que Microsoft appelle les bases de sécurité. Ces lignes de base peuvent varier selon les types d’appareils et les menaces spécifiques à l’industrie telles que la sécurité Web ou la protection de la vie privée.

Le terme « base de sécurité » fait spécifiquement référence aux PC Windows Pro, cependant, il existe certaines bases que la plupart des PC modernes, y compris les appareils Windows 11 Home, utilisent pour la sécurité. Un exemple est le Trusted Platform Module version 2.0 (TPM 2.0), que Microsoft a notoirement commencé à exiger pour les PC Windows 11. TPM est une fonctionnalité de sécurité au niveau matériel qui stocke en toute sécurité les clés de chiffrement pour authentifier le matériel et les logiciels, y compris le chiffrement BitLocker, le cas échéant. , et pour protéger l’identification biométrique et d’autres données.

La prochaine fonctionnalité clé est le démarrage sécurisé, qui permet uniquement aux systèmes d’exploitation signés (connus) de fonctionner. Cela permet d’empêcher les rootkits et autres logiciels malveillants malveillants d’infecter le système. Windows Hello avec identification biométrique est également considéré comme une référence importante.

Enfin, il y a BitLocker Drive Encryption, qui protège vos données lorsqu’elles ne sont pas utilisées. BitLocker n’est pas disponible pour les PC domestiques Windows 11, mais certains prennent en charge une version plus légère appelée Windows Device Encryption.

Qu’est-ce qu’un PC sécurisé ?

Microsoft et ses partenaires ciblent les PC sécurisés pour les personnes qui ont besoin d’un niveau de sécurité plus élevé en raison de l’industrie ou de la profession dans laquelle elles travaillent. ou des entreprises avec une propriété intellectuelle très recherchée, ou des ingénieurs travaillant sur des infrastructures critiques. Ces personnes peuvent faire face à des menaces avancées, y compris des attaques ciblées et physiques sur leurs ordinateurs pour voler des données sensibles ou des données d’authentification. Secured-Core se concentre sur un large éventail d’attaques potentielles sur les micrologiciels qui (en cas de succès) peuvent rester sur une machine même après le nettoyage du système d’exploitation ou le remplacement de composants.

Alors, quelles couches de sécurité supplémentaires obtenez-vous avec Secured Core ? Un exemple est la protection d’accès à la mémoire. Cela protège contre les attaques d’accès direct à la mémoire (DMA) où un périphérique malveillant se connecte à un PC via Thunderbolt , PCIe ou une autre interface à haut débit pour obtenir un accès direct à la mémoire.

À partir de là, il peut lancer des logiciels malveillants, essayer d’obtenir des clés de cryptage ou prendre le contrôle du système. Microsoft a montré un exemple de la façon dont cela peut être fait et comment la protection de l’accès à la mémoire atténue ces attaques pendant Microsoft Ignite 2020 . Pour qu’une attaque DMA fonctionne, l’attaquant doit généralement commencer par accéder physiquement à l’appareil vulnérable. De toute évidence, la plupart d’entre nous n’ont pas à s’inquiéter qu’un espion d’entreprise se faufile dans notre chambre d’hôtel pour voler notre ordinateur portable. Les entreprises et les gouvernements, cependant, le font.

Une autre caractéristique des ordinateurs Secured Core est la sécurité basée sur la virtualisation (VBS) et l’intégrité du code de l’hyperviseur, dont le principal attrait est l’intégrité de la mémoire, une fonctionnalité de sécurité supplémentaire dans Windows 11 Famille. Sur les PC sécurisés, cette fonctionnalité est activée par défaut, et sur les nouveaux PC et ordinateurs portables Windows 11 Home prédéfinis, elle peut également être activée. Cependant, les systèmes plus anciens mis à niveau vers Windows 11 ne le font généralement pas.

Pour éviter toute compromission malveillante de votre système, Memory Integrity exécute des processus clés dans un environnement virtuel pour les isoler du système et réduire les risques d’attaque malveillante. Cependant, il utilise la puissance de la virtualisation des PC pour ce faire.

Cela signifie que vous pourriez rencontrer des problèmes si vous exécutez des machines virtuelles avec des programmes comme VirtualBox ou si vous essayez d’overclocker votre système avec quelque chose comme Ryzen Master. Le plus souvent, Memory Integrity ne fonctionne pas avec ces programmes. Si vous rencontrez des problèmes, vous devrez soit démarrer en mode sans échec pour désactiver l’intégrité de la mémoire, soit même exécuter la sécurité Windows et désactiver cette fonctionnalité avant que l’écran bleu de la mort n’apparaisse sur votre moniteur.

L’intégrité de la mémoire ne fonctionnera pas non plus si vous avez un matériel plus ancien avec des pilotes obsolètes. La bonne nouvelle est que si vous rencontrez un problème de pilote, Windows vous avertira du problème et ne vous laissera pas activer l’intégrité de la mémoire tant que le problème n’est pas résolu.

Si, après toutes ces mises en garde, vous souhaitez essayer d’activer l’intégrité de la mémoire sur un PC domestique Windows 11 mis à jour, ouvrez l’application Sécurité Windows en cliquant sur Démarrer > Toutes les applications > Sécurité Windows.

Dans le volet de gauche, sélectionnez « Sécurité de l’appareil », puis sur la page qui apparaît dans la section « Isolation du noyau », sélectionnez le lien « Détails de l’isolation du noyau ».

Enfin, dans la section « Intégrité de la mémoire », déplacez le curseur de « Off » sur « Marche ».

Windows 11 vous demandera alors de redémarrer votre ordinateur. Après cela, que le destin soit avec vous.

Deux autres fonctionnalités importantes de Secured Core sont System Guard et Dynamic Root of Trust Measurement (DRTM). Ces deux fonctionnalités fonctionnent ensemble pour assurer la sécurité du système pendant le démarrage et pendant le fonctionnement.

System Guard se concentre sur la protection de l’intégrité d’un système informatique lors du démarrage, puis sur la garantie qu’il est dans un état sain grâce à des méthodes de vérification à distance et locales. Cela inclut la possibilité pour le service informatique d’analyser à distance les résultats du processus de démarrage du système à l’aide de données stockées et protégées sur l’appareil à l’aide de TPM 2.0.

DRTM fait partie de System Guard. Cela permet au système de démarrer dans un état non fiable (du point de vue de Windows) pour surmonter le besoin de vérifier et de mettre sur liste blanche tous les BIOS de carte mère possibles sous le soleil. Ensuite, peu de temps après le démarrage du processus de démarrage, DRTM s’assure que tous les processeurs du système suivent un chemin connu et approuvé pour que le système soit opérationnel.

Pour plus de détails techniques sur System Guard et DRTM, consultez la documentation en ligne de Microsoft .

Atteindre le métal nu

Essentiellement, un ordinateur avec un noyau sécurisé est conçu pour lutter contre les menaces avancées qui tentent de s’infiltrer dans le système avant le démarrage du système d’exploitation. Une fonctionnalité essentielle pour les PC qui contiennent des données importantes concernant, par exemple, la sécurité énergétique ou une propriété intellectuelle extrêmement précieuse.

Certaines de ces fonctionnalités ou des fonctionnalités similaires sont disponibles pour les PC Windows Home, et si vous achetez un nouveau PC, beaucoup d’entre elles seront activées par défaut. Si vous avez construit votre système ou mis à niveau à partir de Windows 10, ils ne seront souvent pas activés, mais vous pouvez les activer. Le démarrage sécurisé ne pose aucun problème, mais l’intégrité de la mémoire doit être traitée avec prudence, en particulier sur les machines plus anciennes.

Vous pouvez afficher une liste des ordinateurs Secured-Core disponibles sur le site Web de Microsoft.