Qu'est-ce qu'un PC à cœur sécurisé pour Windows 11 ?
Agence web » Actualités du digital » Qu’est-ce qu’un PC à cœur sécurisé pour Windows 11 ?

Qu’est-ce qu’un PC à cœur sécurisé pour Windows 11 ?

Les PC domestiques peuvent faire face à des menaces très différentes des machines professionnelles, c’est pourquoi Microsoft et ses partenaires de fabrication ont développé le Secured-Core PC pour les entreprises. Cependant, certaines de leurs fonctionnalités de sécurité sont incluses dans toutes les versions de Windows 11. Voyons comment un PC Secured-Core se compare à votre ordinateur portable à la maison.

Lignes de base de sécurité

La sécurité sur Windows 11 commence par les bases pour rester en sécurité, ce que Microsoft appelle des lignes de base de sécurité. Ces lignes de base peuvent varier en fonction des types d’appareils et des menaces spécifiques à l’industrie telles que la sécurité Web ou la protection des données confidentielles.

Le terme « lignes de base de sécurité » concerne spécifiquement les machines Windows Pro, néanmoins il existe certaines bases que la plupart des PC modernes, y compris les appareils Windows 11 Home, utilisent pour rester en sécurité. Un exemple est le Trusted Platform Module Version 2.0 (TPM 2.0), que Microsoft a commencé à exiger pour les machines Windows 11. TPM est une fonctionnalité de sécurité au niveau matériel qui stocke les clés de chiffrement de manière sécurisée pour authentifier le matériel et les logiciels, permettant le chiffrement BitLocker si disponible, ainsi que la protection de l’identité biométrique et d’autres données.

La prochaine fonctionnalité clé de base est Secure Boot, qui permet uniquement aux systèmes d’exploitation signés (connus) de fonctionner. Cela permet d’éviter les rootkits et autres logiciels malveillants malveillants qui pourraient infecter le système. Windows Hello avec authentification d’identité biométrique est également considéré comme une base de référence essentielle.

Enfin, il existe le chiffrement de lecteur BitLocker, qui protège vos données lorsqu’elles ne sont pas utilisées. BitLocker n’est pas disponible pour les PC Windows 11 Home, mais certains prennent en charge une version plus légère appelée Windows Device Encryption.

Alors, que sont les PC à cœur sécurisé ?

Microsoft et ses partenaires ciblent les PC Secured-Core pour les personnes qui ont besoin d’un niveau de sécurité plus élevé en raison de l’industrie ou de la profession dans lesquelles ils évoluent. Les gouvernements peuvent vouloir un PC Secured-Core pour traiter des informations hautement privilégiées, par exemple, comme le feraient les banques. , ou des entreprises avec une propriété intellectuelle très recherchée, ou des ingénieurs travaillant sur des infrastructures critiques. Ces personnes peuvent faire face à des menaces avancées, notamment des attaques ciblées et physiques contre leurs machines afin de voler des données importantes ou des données d’authentification. Secured-Core se concentre sur un large éventail d’attaques potentielles de micrologiciels, qui (en cas de succès) peuvent rester sur une machine même après avoir effacé le système d’exploitation ou remplacé des composants.

Un ordinateur portable argenté exécutant Windows 11 sur un bureau en bois.

Alors, quels sont les niveaux de sécurité supplémentaires que vous obtenez avec Secured Core ? Un exemple est la protection d’accès à la mémoire. Cela protège contre les attaques d’accès direct à la mémoire (DMA) lorsqu’un périphérique malveillant se connecte à un PC via Thunderbolt, PCIe ou une autre interface à haut débit pour obtenir un accès direct à la mémoire.

À partir de là, il peut exécuter des logiciels malveillants, essayer d’obtenir des clés de cryptage ou prendre le contrôle du système. Microsoft a montré un exemple de la manière dont cela pourrait être fait et comment la protection de l’accès à la mémoire atténue ces attaques lors de Microsoft Ignite en 2020. Pour qu’une attaque DMA fonctionne, l’attaquant doit généralement commencer par un accès physique à un appareil vulnérable. De toute évidence, la plupart d’entre nous n’ont pas à s’inquiéter qu’un espion d’entreprise se faufile dans notre chambre d’hôtel pour voler notre ordinateur portable. Les entreprises et les gouvernements, cependant, le font.

Une autre caractéristique des PC Secured Core est la sécurité basée sur la virtualisation (VBS) et l’intégrité du code de l’hyperviseur, dont l’attraction principale est l’intégrité de la mémoire, une fonctionnalité de sécurité facultative de Windows 11 Home. Sur les PC Secured-Core, cela est activé par défaut, et les nouveaux PC et ordinateurs portables pré-construits avec Windows 11 Home peuvent également l’avoir activé. Cependant, les systèmes plus anciens mis à niveau vers Windows 11 ne le font généralement pas.

Pour éviter toute compromission malveillante de votre système, Memory Integrity exécute des processus clés dans un environnement virtuel pour les isoler du système et réduire les risques d’attaque malveillante. Pour ce faire, cependant, il utilise les capacités de virtualisation du PC.

Cela signifie que vous pouvez rencontrer des problèmes si vous utilisez des machines virtuelles via des programmes tels que VirtualBox, ou si vous essayez d’overclocker votre système avec quelque chose comme Ryzen Master. Le plus souvent, l’intégrité de la mémoire ne fonctionnera pas bien avec ces programmes. Si vous rencontrez des problèmes, vous devrez soit démarrer en mode sans échec pour désactiver l’intégrité de la mémoire, soit même vous précipiter pour ouvrir la sécurité Windows et désactiver la fonction avant que l’écran bleu de la mort n’éclabousse votre moniteur.

L’intégrité de la mémoire ne fonctionnera pas non plus si vous avez un matériel plus ancien avec des pilotes obsolètes. La bonne nouvelle est que si vous rencontrez un problème de pilote, Windows vous alertera du problème et ne vous permettra pas d’activer l’intégrité de la mémoire tant que le problème n’est pas résolu.

Si, après toutes ces mises en garde, vous souhaitez essayer d’activer l’intégrité de la mémoire sur votre PC Windows 11 mis à niveau, ouvrez l’application Sécurité Windows en cliquant sur Démarrer > Toutes les applications > Sécurité Windows.

"Sécurité Windows" dans une liste d

Sur le rail de gauche, sélectionnez Device Security, puis sur la page qui apparaît sous Core Isolation, sélectionnez le lien « Core Isolation Details ».

L'application Windows Security affichant l'option de menu Device Security et l'option Core Isolation

Enfin, sous Memory Integrity, basculez le curseur de Off à On.

Windows 11 vous demandera alors de redémarrer votre machine. Après cela, que le destin soit avec vous.

Deux autres fonctionnalités majeures de Secured Core sont System Guard et Dynamic Root of Trust Measurement (DRTM). Ces deux fonctionnalités fonctionnent ensemble pour garantir que le système reste sécurisé pendant le démarrage et pendant l’exécution.

System Guard se concentre sur la protection de l’intégrité du système informatique lors du démarrage, puis s’assure que le système est en bon état grâce à des méthodes de vérification à distance et locales. Cela inclut la possibilité pour le service informatique d’analyser à distance les résultats du processus de démarrage d’un système à l’aide de données stockées et protégées sur l’appareil par le TPM 2.0.

DRTM fait partie de System Guard. Il permet au système de démarrer dans un état non fiable (du point de vue de Windows) pour éviter de devoir vérifier et mettre sur liste blanche toutes les variantes possibles d’un BIOS de carte mère sous le soleil. Ensuite, peu de temps après le démarrage du processus de démarrage, DRTM s’assure que tous les processeurs du système passent par un chemin connu et approuvé pour que le système soit opérationnel.

Pour en savoir plus sur les détails techniques de System Guard et DRTM, consultez la documentation en ligne de Microsoft.

Passer au métal nu

Fondamentalement, un PC Secured-Core consiste à lutter contre les menaces avancées qui tentent de se faufiler dans les logiciels malveillants avant le chargement du système d’exploitation. Une fonctionnalité essentielle pour les PC qui contiennent des données critiques concernant, par exemple, la sécurité énergétique ou une propriété intellectuelle extrêmement précieuse.

Certaines de ces fonctionnalités, ou des fonctionnalités similaires, sont disponibles pour les PC Windows Home, et si vous achetez un nouveau PC, beaucoup d’entre elles seront activées par défaut. Si vous avez construit votre système ou mis à niveau à partir de Windows 10, ils ne seront souvent pas activés, mais vous pouvez les activer. Le démarrage sécurisé est une évidence, mais l’intégrité de la mémoire doit être traitée avec prudence, en particulier sur les machines plus anciennes.

Vous pouvez afficher une liste des PC Secured-Core disponibles sur le site Web de Microsoft.

★★★★★