16/12/2024

Matériel

Les prérequis de Microsoft pour avoir un PC Windows 10 sécurisé

Par l'intermédiaire d'un document à destination aux fabricants de PC, Microsoft détails les règles à respecter pour concevoir une machine qui sera haute sécurisée sous Windows 10. Indirectement, Microsoft au travers de ses recommandations impact la configuration hardware des futures machines.

Lire le document officiel

En effet, ces recommandations s'appuient directement sur des composants matériels, qui eux-mêmes apportent des fonctionnalités de sécurité. Voici un récapitulatif des recommandations émises :

- Virtualization-based Security (VBS)

Cette fonctionnalité de virtualisation est directement liée aux processeurs de 7ème génération, chez AMD et Intel, et permet de créer une zone isolée et sécurisée dans la mémoire pour exécuter les processus liés aux fonctions de sécurité. Ainsi, ces fonctionnalités ne pourront pas être altérées par un programme malveillant.

L'objectif est également d'assurer l'intégrité du noyau Windows grâce à cette couche d'isolation.

Les fonctions nécessaires sont le support de la virtualisation c'est-à-dire VT-d et Vt-x pour Intel, alors que pour AMD ce sera AMD-Vi et RVI. Par ailleurs, la fonctionnalité MBEC (Mode Based Execution Control), exclusive à la 7ème génération de CPU est obligatoire. Le tout sur un processeur 64 bits.

- Le chiffrement et la puce TPM

Microsoft recommande qu'une puce TPM soit présente dans les machines afin de générer les clés de chiffrement et de les stocker, notamment pour utiliser Bitlocker (bien que ce soit possible sans).

Le module TPM devra être conforme à la spécification du Trustworthy Computing Group (TCG), ce qui implique la présence d'une sécurité supplémentaire afin d'éviter de charger un firmware qui ne provient pas du constructeur. Chez Intel, cette fonctionnalité se nomme Boot Guard, du coté d'AMD il s'agit de l'Hardware Verified Boot.

- L'UEFI mais pas n'importe lequel

Pour faire l'interface entre Windows 10 et le firmware, l'UEFI est recommandé mais dans une version 2.4 au minimum et en activant le mode de démarre sécurisé. Concernant le firmware, il doit pouvoir être mis à jour via Windows Update pour que ce processus soit simplifié.

- RAM

La mémoire sera protégée par les attaques grâce à la fonctionnalité "Secure MOR". Par ailleurs, la machine devra embarquer 8 Go de RAM au minimum.

- Environnements virtuels

Pour les environnements virtuels, les pilotes du firmware devront être compatibles avec le standard HVCI (Hypervisor Code Integrity).

Voilà qui vous donne quelques points à vérifier lorsque vous allez envisager l'achat de votre prochain matériel. Quoi qu'il en soit, il y a du travail sur les PC grands publics pour respecter tout ces points, à commencer par la puce TPM.

Source

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

2 commentaires sur “Les prérequis de Microsoft pour avoir un PC Windows 10 sécurisé

  • Peut être que ne pas utiliser Windows 10 reste la meilleure solution 😀

    Répondre
  • Vu cet article, je préfère m’en tenir au Windows8 d’autant plus que la configuration de mon ordinateur ne me le permet pas.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.