Exporter (0) Imprimer
Développer tout

Vue d’ensemble du démarrage sécurisé

Mis à jour: février 2014

S'applique à: Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2

Le démarrage sécurisé est une norme de sécurité mise au point par les acteurs de l’industrie du PC pour vérifier que votre PC démarre uniquement à l’aide d’un logiciel approuvé par le fabricant du PC.

Quand le PC démarre, le microprogramme vérifie la signature de chaque logiciel de démarrage, notamment les pilotes du microprogramme (ROM en option) et le système d’exploitation. Si les signatures sont correctes, le PC démarre et le microprogramme cède le contrôle au système d’exploitation.

Les versions suivantes de Windows prennent en charge le démarrage sécurisé : Windows 8.1, Windows Server 2012 R2, Windows RT 8.1, Windows 8, Windows Server 2012 et Windows RT.

noteRemarque
Avez-vous vu le filigrane « SecureBoot n’est pas configuré correctement » après la mise à niveau vers Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 ?

Nous avons publié un correctif de suppression du filigrane.

Les utilisateurs de Windows 8.1 et Windows Server 2012 R2 peuvent installer un correctif pour supprimer le filigrane immédiatement : article 2902864 de la Base de connaissances Microsoft.

Pour plus d’informations, voir « Le démarrage sécurisé n’est pas configuré correctement » : résolution des problèmes.

  • Ai-je besoin du démarrage sécurisé pour effectuer une mise à niveau vers la version la plus récente de Windows ?

    Non. Il n’y a pas d’exigences supplémentaires au niveau du matériel pour Windows Vista ou Windows 7.

    Le démarrage sécurisé est une fonctionnalité facultative qui peut être activée par un fabricant de PC pour renforcer la sécurité de votre PC. Elle est présente sur tous les PC certifiés par le logo Windows 8.1, Windows RT 8.1, Windows® 8 et Windows RT.

  • Que se passe-t-il si mon nouveau matériel n’est pas approuvé ?

    Votre PC risque de ne pas pouvoir démarrer. Deux types de problèmes peuvent survenir :

    • Le microprogramme peut ne pas approuver le système d’exploitation, la ROM en option, le pilote ou l’application car il ou elle n’est pas approuvé(e) par la base de données de démarrage sécurisé.

    • Certains composants matériels nécessitent des pilotes en mode noyau qui doivent être signés. Remarque : de nombreux pilotes 32 bits (x86) anciens ne sont pas signés, car la signature des pilotes en mode noyau est une condition requise récente pour le démarrage sécurisé. Pour plus d’informations, voir Conditions requises relatives à la signature des pilotes en mode noyau pour la fonctionnalité de démarrage sécurisé.

    Pour plus d’informations, voir Windows 8 avec le démarrage sécurisé activé peut ne plus démarrer après l’installation de nouveau matériel.

  • Comment faire pour ajouter du matériel ou exécuter des logiciels ou des systèmes d’exploitation qui n’ont pas été approuvés par mon fabricant ?

    • Vous pouvez vérifier si des mises à jour logicielles ont été publiées par Microsoft et/ou par le fabricant du PC.

    • Vous pouvez contacter le fabricant de votre PC pour demander que le nouveau matériel ou logiciel soit ajouté à la base de données de démarrage sécurisé.

    • Sur la plupart des PC, vous pouvez désactiver le démarrage sécurisé via le BIOS du PC. Pour plus d’informations, voir Désactivation du démarrage sécurisé.

      Sur les PC Windows RT 8.1 et Windows RT avec logo de certification, le démarrage sécurisé doit être configuré de manière à ne pas pouvoir être désactivé.

  • Comment modifier la base de données de démarrage sécurisé de mon PC ?

    Cela ne peut être effectué que par le fabricant du PC.

Le démarrage sécurisé nécessite un PC conforme aux spécifications UEFI version 2.3.1, Errata C ou plus.

Le démarrage sécurisé est pris en charge pour les PC de classe 2 et de classe 3 UEFI. Pour les PC de classe 2 UEFI, quand le démarrage sécurisé est activé, le module de prise en charge de compatibilité doit être désactivé pour que le PC ne puisse démarrer que des systèmes d’exploitation autorisés et basés sur l’interface UEFI.

Le démarrage sécurisé ne nécessite pas de module de plateforme sécurisée (TPM).

Pour activer le débogage en mode noyau, activez TESTSIGNING. Pour désactiver NX, vous devez désactiver le démarrage sécurisé. Pour plus d’informations pour les OEM, voir le Guide pour la création et la gestion de clés de démarrage sécurisé Windows 8.

Quand le démarrage sécurisé est activé sur un PC, celui-ci compare chaque élément de logiciel, y compris les pilotes UEFI (également appelés ROM en option) et le système d’exploitation, aux bases de données de signatures correctes connues conservées dans le microprogramme. Si chaque élément de logiciel est valide, le microprogramme exécute le logiciel et le système d’exploitation.

Avant le déploiement du PC, l’OEM stocke les bases de données de démarrage sécurisé sur le PC. Cela comprend la base de données de signatures (db), la base de données de signatures révoquées (dbx) et la base de données KEK (Key Enrollment Key) sur le PC. Ces bases de données sont stockées dans la mémoire RAM non volatile du microprogramme (NV-RAM) au moment de la fabrication.

La base de données de signatures (db) et la base de données de signatures révoquées (dbx) répertorient les signataires ou hachages d’images des applications UEFI, les chargeurs de système d’exploitation (par exemple le chargeur de système d’exploitation Microsoft ou Gestionnaire de démarrage), ainsi que les pilotes UEFI qui peuvent être chargés sur le PC et les images révoquées des éléments qui ne sont plus approuvés et qui ne doivent pas être chargés.

La base de données KEK (Key Enrollment Key) est une base de données distincte de clés de signature qui peut être utilisée pour mettre à jour la base de données de signatures et la base de données de signatures révoquées. Microsoft exige qu’une clé spécifiée soit contenue dans la base de données KEK pour pouvoir à l’avenir ajouter de nouveaux systèmes d’exploitation à la base de données de signatures ou des images inappropriées connues à la base de données de signatures révoquées.

Une fois ces bases de données ajoutées, et après le test et la validation ultimes du microprogramme, l’OEM verrouille le microprogramme contre toute modification, à l’exception des mises à jour qui sont signées avec la clé appropriée ou effectuées par un utilisateur physiquement présent qui utilise les menus du microprogramme, puis il génère une clé de plateforme. La clé de plateforme peut être utilisée pour signer des mises à jour dans la base de données KEK ou pour désactiver le démarrage sécurisé.

Les OEM doivent contacter le fabricant de leur microprogramme pour obtenir des outils et une assistance lors de la création de ces bases de données. Pour plus d’informations, voir le Guide pour la création et la gestion de clés de démarrage sécurisé Windows 8.

  1. Une fois le PC sous tension, les bases de données de signatures sont toutes comparées à la clé de plateforme.

  2. Si le microprogramme n’est pas approuvé, le microprogramme UEFI doit lancer une récupération propre à l’OEM pour restaurer le microprogramme approuvé.

  3. Si un problème se pose au niveau du Gestionnaire de démarrage Windows, le microprogramme tente de démarrer une copie de sauvegarde de ce gestionnaire. Si cette opération échoue également, le microprogramme doit lancer une mise à jour propre à OEM.

  4. Une fois que le Gestionnaire de démarrage Windows a commencé à s’exécuter, si un problème se pose au niveau des pilotes ou du noyau NTOS, l’Environnement de récupération Windows (WinRE) est chargé pour pouvoir récupérer ces pilotes ou l’image du noyau.

  5. Windows charge le logiciel anti-programme malveillant.

  6. Windows charge d’autres pilotes de noyau et initialise les processus en mode utilisateur.

Pour plus d’informations, voir le livre blanc intitulé Démarrage sécurisé et démarrage mesuré : sécurisation renforcée des premiers composants de démarrage contre les programmes malveillants.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft