L’une des missions de Microsoft est de toujours améliorer la sécurité windows. En publiant un document à destination des fabricants de PC, Microsoft détails les règles à respecter pour concevoir une machine qui sera haute sécurisée sous Windows 10.
Vous pouvez consulter le document officiel
Sachez que vous pouvez, à tout moment savoir quelles sont les technologies prises en charge sur votre machine via le centre de sécurité Windows defender (à partir de la fall creators update).
Pour ce faire, rendez-vous dans le centre de sécurité windows defender. Directement sur la page d’accueil, cliquer sur « sécurité des appareils ».
Chacuns des éléments visible sur cette page est par conséquent prise en charge par votre matériel et paramétrable directement ici.
Voici une traduction et des explications sur les différents éléments préconisés par Microsoft :
Virtualization-based Security (VBS)
Cette fonctionnalité de virtualisation est directement liée aux processeurs de 7ème génération, chez AMD et Intel, et permet de créer une zone isolée et sécurisée dans la mémoire pour exécuter les processus liés aux fonctions de sécurité. Ainsi, ces fonctionnalités ne pourront pas être altérées par un programme malveillant.
L’objectif est également d’assurer l’intégrité du noyau Windows grâce à cette couche d’isolation.
Les fonctions nécessaires sont le support de la virtualisation c’est-à-dire VT-d et Vt-x pour Intel, alors que pour AMD ce sera AMD-Vi et RVI. Par ailleurs, la fonctionnalité MBEC (Mode Based Execution Control), exclusive à la 7ème génération de CPU est obligatoire. Le tout sur un processeur 64 bits.
Le chiffrement et la puce TPM
Microsoft recommande qu’une puce TPM soit présente dans les machines afin de générer les clés de chiffrement et de les stocker, notamment pour utiliser Bitlocker (bien que ce soit possible sans).
Le module TPM devra être conforme à la spécification du Trustworthy Computing Group (TCG), ce qui implique la présence d’une sécurité supplémentaire afin d’éviter de charger un firmware qui ne provient pas du constructeur. Chez Intel, cette fonctionnalité se nomme Boot Guard, du coté d’AMD il s’agit de l’Hardware Verified Boot.
L’UEFI
Pour faire l’interface entre Windows 10 et le firmware, l’UEFI est recommandé mais dans une version 2.4 au minimum et en activant le mode de démarre sécurisé. Concernant le firmware, il doit pouvoir être mis à jour via Windows Update pour que ce processus soit simplifié.
RAM
La mémoire sera protégée par les attaques grâce à la fonctionnalité « Secure MOR ». Par ailleurs, la machine devra embarquer 8 Go de RAM au minimum.
Environnements virtuels
Pour les environnements virtuels, les pilotes du firmware devront être compatibles avec le standard HVCI (Hypervisor Code Integrity).
Voilà qui vous donne quelques points à vérifier lorsque vous allez envisager l’achat de votre prochain matériel. Quoi qu’il en soit, il y a du travail sur les PC grands publics pour respecter tout ces points.