Sécurité Windows, les éléments materiels nécessaires

L’une des missions de Microsoft est de toujours améliorer la sécurité windows. En publiant un document à destination des fabricants de PC, Microsoft détails les règles à respecter pour concevoir une machine qui sera haute sécurisée sous Windows 10.

Vous pouvez consulter le document officiel

Sachez que vous pouvez, à tout moment savoir quelles sont les technologies prises en charge sur votre machine via le centre de sécurité Windows defender (à partir de la fall creators update).

Pour ce faire, rendez-vous dans le centre de sécurité windows defender. Directement sur la page d’accueil, cliquer sur « sécurité des appareils ».

Chacuns des éléments visible sur cette page est par conséquent prise en charge par votre matériel et paramétrable directement ici.

Sécurité windows, inspecter les spécification matériel

Voici une traduction et des explications sur les différents éléments préconisés par Microsoft :

Virtualization-based Security (VBS)

Cette fonctionnalité de virtualisation est directement liée aux processeurs de 7ème génération, chez AMD et Intel, et permet de créer une zone isolée et sécurisée dans la mémoire pour exécuter les processus liés aux fonctions de sécurité. Ainsi, ces fonctionnalités ne pourront pas être altérées par un programme malveillant.

L’objectif est également d’assurer l’intégrité du noyau Windows grâce à cette couche d’isolation.

Les fonctions nécessaires sont le support de la virtualisation c’est-à-dire VT-d et Vt-x pour Intel, alors que pour AMD ce sera AMD-Vi et RVI. Par ailleurs, la fonctionnalité MBEC (Mode Based Execution Control), exclusive à la 7ème génération de CPU est obligatoire. Le tout sur un processeur 64 bits.

Shéma explicatif de Virtualization-based Security (VBS)

Le chiffrement et la puce TPM

Microsoft recommande qu’une puce TPM soit présente dans les machines afin de générer les clés de chiffrement et de les stocker, notamment pour utiliser Bitlocker (bien que ce soit possible sans).

Le module TPM devra être conforme à la spécification du Trustworthy Computing Group (TCG), ce qui implique la présence d’une sécurité supplémentaire afin d’éviter de charger un firmware qui ne provient pas du constructeur. Chez Intel, cette fonctionnalité se nomme Boot Guard, du coté d’AMD il s’agit de l’Hardware Verified Boot.

Un exemple de puce TPM

L’UEFI

Pour faire l’interface entre Windows 10 et le firmware, l’UEFI est recommandé mais dans une version 2.4 au minimum et en activant le mode de démarre sécurisé. Concernant le firmware, il doit pouvoir être mis à jour via Windows Update pour que ce processus soit simplifié.

intérêt d'un bios UEFI

RAM

La mémoire sera protégée par les attaques grâce à la fonctionnalité « Secure MOR ». Par ailleurs, la machine devra embarquer 8 Go de RAM au minimum.

Exemple de Barrette de RAM

Environnements virtuels

Pour les environnements virtuels, les pilotes du firmware devront être compatibles avec le standard HVCI (Hypervisor Code Integrity).

Shéma HVCI

 

Voilà qui vous donne quelques points à vérifier lorsque vous allez envisager l’achat de votre prochain matériel. Quoi qu’il en soit, il y a du travail sur les PC grands publics pour respecter tout ces points.

Laissez un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *