Vue d’ensemble de Device Guard

Device Guard est un ensemble de fonctionnalités de sécurité matérielle et logicielle d’entreprise qui, lorsqu’elles sont configurées simultanément, verrouillent un appareil pour qu’il puisse uniquement exécuter des applications approuvées. Si l’application n’est pas approuvée, elle ne peut pas être exécutée. Cela signifie également que même si une personne malveillante parvient à obtenir le contrôle du noyau Windows, elle sera beaucoup moins susceptible d’exécuter un code malveillant après le redémarrage de l’ordinateur en raison des décisions concernant ce qui peut être exécuté et à quel moment.

Device Guard utilise la nouvelle sécurité basée sur la virtualisation de Windows 10 Entreprise pour isoler le service d’intégrité du code du noyau Microsoft Windows proprement dit, autorisant ainsi le service à utiliser des signatures définies par la stratégie contrôlée par l’entreprise pour déterminer ce qui est fiable. En effet, le service d’intégrité du code s’exécute avec le noyau dans un conteneur Windows protégé par l’hyperviseur.

Pour plus d’informations sur l’implémentation de Device Guard, voir Guide de déploiement de Microsoft Device Guard.

Pourquoi utiliser Device Guard

Avec des milliers de nouveaux fichiers malveillants créés chaque jour, les méthodes traditionnelles utilisées pour lutter contre les programmes malveillants, telles que la détection basée sur les signatures, offrent une protection insuffisante. Device Guard sur Windows 10 Entreprise permet de passer d’un mode dans lequel les applications sont approuvées (à moins d’être bloquées par un antivirus ou d’autres solutions de sécurité) à un mode dans lequel le système d’exploitation approuve uniquement les applications autorisées par votre entreprise.

Device Guard protège également contre les attaques jour zéro et répond aux défis des virus polymorphes.

Avantages de Microsoft Device Guard

Vous pouvez tirer parti de Device Guard en fonction des éléments activés et utilisés :

  • Protection renforcée contre les programmes malveillants, facile à gérer pour l’entreprise
  • La protection contre les programmes malveillants la plus avancée jamais proposée sur la plateforme Windows
  • Résistance améliorée contre la falsification

Fonctionnement de Microsoft Device Guard

Device Guard autorise le système d’exploitation Windows 10 Entreprise à exécuter uniquement le code signé par des signataires approuvés, tel que défini par votre stratégie d’intégrité du code par le biais de configurations matérielles et de sécurité, notamment :

  • Intégrité du code en mode utilisateur (UMCI, User Mode Code Integrity)

  • Nouvelles règles d’intégrité du code du noyau, y compris les nouvelles contraintes de signature WHQL (Windows Hardware Quality Labs)

  • Démarrage sécurisé avec restrictions de base de données (db/dbx)

  • Sécurité basée sur la virtualisation, qui permet de protéger les applications de mémoire système et en mode noyau ainsi que les pilotes d’une éventuelle falsification

  • Facultatif : Module de plateforme sécurisée (TPM) version 1.2 ou 2.0

Device Guard fonctionne avec votre processus de génération d’image, vous permettant ainsi d’activer la fonctionnalité de sécurité basée sur la virtualisation pour les appareils compatibles, de configurer votre stratégie d’intégrité du code et de définir n’importe quel autre paramètre de système d’exploitation dont vous avez besoin pour Windows 10 Entreprise. Device Guard vous aide également à protéger vos appareils :

  1. Votre appareil s’initialise à l’aide du démarrage sécurisé UEFI (Universal Extensible Firmware Interface), afin que les kits de démarrage ne puissent pas se lancer et que Windows 10 Entreprise démarre avant tout autre processus.

  2. Après avoir lancé en toute sécurité les composants de démarrage Windows, Windows 10 Entreprise peut démarrer les services de sécurité basés sur la virtualisation Hyper-V, y compris l’intégrité du code en mode noyau. Ces services protègent le noyau du système, les pilotes privilégiés et les défenses du système, telles que les solutions de protection contre les logiciels malveillants, en empêchant l’exécution des programmes malveillants au début du processus de démarrage, ou dans le noyau après le démarrage.

  3. Device Guard utilise l’intégrité UMCI pour garantir que tous les éléments exécutés en mode utilisateur, tels qu’un service, une application de plateforme Windows universelle (UWP) ou une application Windows classique sont approuvés, autorisant uniquement l’exécution des fichiers binaires approuvés.

  4. Le module de plateforme sécurisée (TPM) démarre en même temps que Windows 10 Entreprise. Le module TPM fournit un composant matériel isolé qui permet de protéger les informations sensibles, telles que les informations d’identification de l’utilisateur et les certificats.

Matériel et logiciel nécessaires

Le tableau suivant présente la configuration matérielle et logicielle que vous devez installer et configurer pour implémenter le Device Guard.

Condition requiseDescription

Windows 10 Entreprise

Le PC doit exécuter Windows 10 Entreprise.

Version du microprogramme UEFI 2.3.1 ou supérieure et démarrage sécurisé

Pour vérifier que le microprogramme utilise la version UEFI 2.3.1 ou supérieure et le démarrage sécurisé, vous pouvez le comparer à la configuration requise System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby du Programme de compatibilité matérielle Windows.

Extensions de virtualisation

Les extensions de virtualisation suivantes sont requises pour prendre en charge la sécurité basée sur la virtualisation :

  • Intel VT-x ou AMD-V
  • Traduction d’adresse de second niveau

Verrouillage du microprogramme

Le programme d’installation du microprogramme doit être verrouillé pour empêcher le démarrage des autres systèmes d’exploitation et éviter les modifications apportées aux paramètres UEFI. Vous devez également désactiver les méthodes de démarrage autrement qu’à partir du disque dur.

Architecture x64

Les fonctionnalités utilisées par la sécurité basée sur la virtualisation de l’hyperviseur Windows peuvent être exécutées sur un PC 64 bits uniquement.

Une IOMMU (unité de gestion de mémoire d’entrée/sortie) VT-d ou AMD Vi

Dans Windows 10, une IOMMU améliore la résilience du système contre les attaques de mémoire. ¹

Processus de mise à jour de microprogramme sécurisé

Pour vérifier que le microprogramme est conforme au processus de mise à jour de microprogramme sécurisé, vous pouvez le comparer à la configuration requise System.Fundamentals.Firmware.UEFISecureBoot du Programme de compatibilité matérielle Windows.

 

Avant d’utiliser Device Guard dans votre société

Pour pouvoir utiliser correctement Device Guard, vous devez définir votre environnement et vos stratégies.

Signature de vos applications

Le mode Device Guard prend en charge les applications UWP et les applications Windows classiques. La relation de confiance entre Device Guard et vos applications est établie lorsque vos applications sont signées à l’aide d’une signature déterminée comme fiable. Vous ne pouvez pas utiliser n’importe quelle signature.

La signature peut s’effectuer à l’aide des moyens suivants :

  • Processus de publication Boutique Microsoft. Toutes les applications provenant de la Boutique Microsoft sont automatiquement signées à l’aide de signatures spéciales se reportant à notre autorité de certification ou à la vôtre.

  • Votre propre certificat numérique ou une infrastructure à clé publique (PKI). Les éditeurs de logiciels indépendants et les entreprises peuvent connecter leurs propres applications Windows classiques eux-mêmes, en s’ajoutant à la liste des signataires approuvés.

  • Autorité de signature autre que Microsoft. Les éditeurs de logiciels indépendants et les entreprises peuvent utiliser une autorité de signature approuvée autre que Microsoft pour signer toutes leurs applications Windows classiques.

  • Service web fourni par Microsoft (à paraître plus tard cette année). Les éditeurs de logiciels indépendants et les entreprises peuvent utiliser un service web plus sûr fourni par Microsoft pour signer leurs applications Windows classiques.

Stratégie d’intégrité du code

Pour pouvoir utiliser la protection de l’application incluse dans Device Guard, vous devez créer une stratégie d’intégrité du code à l’aide des outils fournis par Microsoft, mais vous devez la déployer à l’aide de vos outils de gestion actuels, tels que la stratégie de groupe. La stratégie d’intégrité du code est un document XML codé en binaire qui contient les paramètres de configuration pour les modes utilisateur et noyau de Windows 10 Entreprise, ainsi que les restrictions sur les exécutions de script Windows 10. Cette stratégie limite le code qui peut être exécuté sur un appareil.

Pour la fonctionnalité Device Guard, les appareils peuvent uniquement disposer de l’intégrité du Code préconfigurée si les paramètres sont fournis par un client pour une image fournie par le client.

Remarque  Ce document XML peut être signé dans Windows 10 Entreprise afin de renforcer la protection contre les utilisateurs administratifs qui tenteraient de modifier ou de supprimer cette stratégie.
 

Sécurité basée sur la virtualisation utilisant l’hyperviseur Windows 10 Entreprise

L’hyperviseur Windows 10 Entreprise introduit de nouvelles fonctionnalités autour des niveaux de confiance virtuelle, ce qui permet aux services Windows 10 Entreprise de s’exécuter dans un environnement protégé, en situation d’isolation par rapport au système d’exploitation en cours d’exécution. La sécurité basée sur la virtualisation de Windows 10 Entreprise permet de protéger l’intégrité du code du noyau et d’isoler les informations d’identification de l’autorité de sécurité locale. En autorisant le service d’intégrité du code du noyau à s’exécuter comme un service hébergé par l’hyperviseur, vous augmentez le niveau de protection autour du système d’exploitation racine grâce à l’ajout de protections supplémentaires contre les programmes malveillants qui compromettent la couche du noyau.

Important  Les appareils Device Guard qui exécutent l’intégrité du code du noyau avec la sécurité basée sur la virtualisation doivent disposer de pilotes compatibles (les pilotes hérités peuvent être mis à jour). Toutes les fonctionnalités de virtualisation doivent également être activées. Cela inclut les extensions de virtualisation et la prise en charge IOMMU.
 

 

 

Afficher: