Conformité et certification de Device Guard

  • Article

Device Guard est un ensemble de fonctionnalités de sécurité matérielle et logicielle qui, lorsqu’elles sont configurées simultanément, verrouillent un appareil pour qu’il puisse uniquement exécuter les applications approuvées. Si l’application n’est pas approuvée, elle ne peut pas être exécutée. Cela signifie également que même si une personne malveillante parvient à obtenir le contrôle du noyau Windows, elle sera beaucoup moins susceptible d’exécuter un code malveillant après le redémarrage de l’ordinateur en raison des décisions concernant ce qui peut être exécuté et à quel moment.

Device Guard utilise la nouvelle sécurité basée sur la virtualisation de Windows 10 pour isoler le service d’intégrité du code du noyau Windows lui-même, autorisant le service à utiliser des signatures définies par la stratégie contrôlée par l’entreprise pour déterminer ce qui fiable. En effet, le service d’intégrité du code s’exécute avec le noyau dans un conteneur Windows protégé par l’hyperviseur.

Pour plus d’informations sur l’implémentation de Device Guard, voir Guide de déploiement de Microsoft Device Guard.

Pourquoi utiliser Device Guard

Avec des milliers de nouveaux fichiers malveillants créés chaque jour, les méthodes traditionnelles utilisées pour lutter contre les programmes malveillants, telles que la détection basée sur les signatures, offrent une protection insuffisante. Device Guard sur Windows 10 permet de passer d’un mode dans lequel les applications sont approuvées (à moins d’être bloquées par un antivirus ou d’autres solutions de sécurité) à un mode dans lequel le système d’exploitation approuve uniquement des applications autorisées par votre entreprise.

Device Guard protège également contre les attaques jour zéro et répond aux défis des virus polymorphes.

Avantages de Microsoft Device Guard

Vous pouvez tirer parti de Device Guard en fonction des éléments activés et utilisés :

  • Protection renforcée contre les programmes malveillants, facile à gérer pour l’entreprise
  • La protection contre les programmes malveillants la plus avancée jamais proposée sur la plateforme Windows
  • Résistance améliorée contre la falsification

Fonctionnement de Microsoft Device Guard

Device Guard autorise le système d’exploitation Windows 10 à exécuter uniquement le code signé par des signataires approuvés, tel que défini par votre stratégie d’intégrité du code par le biais de configurations matérielles et de sécurité, notamment :

  • Intégrité du code en mode utilisateur (UMCI, User Mode Code Integrity)

  • Nouvelles règles d’intégrité du code du noyau, y compris les nouvelles contraintes de signature WHQL (Windows Hardware Quality Labs)

  • Démarrage sécurisé avec restrictions de base de données (db/dbx)

  • Sécurité basée sur la virtualisation, qui permet de protéger les applications de mémoire système et en mode noyau ainsi que les pilotes d’une éventuelle falsification

  • Facultatif : Module de plateforme sécurisée (TPM) version 1.2 ou 2.0

Device Guard fonctionne avec votre processus de génération d’image, vous permettant ainsi d’activer la fonctionnalité de sécurité basée sur la virtualisation pour les appareils compatibles, de configurer votre stratégie de vérification de l’intégrité du code et de définir n’importe quel autre paramètre de système d’exploitation dont vous avez besoin pour Windows 10. Device Guard vous aide également à protéger vos appareils :

  1. Votre appareil s’initialise à l’aide du démarrage sécurisé Interface micrologicielle extensible unifiée (UEFI, Universal Extensible Firmware Interface), afin que les kits de démarrage ne puissent pas se lancer et que Windows 10 démarre avant tout autre processus.

  2. Après avoir lancé en toute sécurité les composants de démarrage Windows, Windows 10 peut démarrer les services de sécurité basés sur la virtualisation Hyper-V, y compris l’intégrité du code en mode noyau. Ces services protègent le noyau du système, les pilotes privilégiés et les défenses du système, telles que les solutions de protection contre les logiciels malveillants, en empêchant l’exécution des programmes malveillants tôt dans le processus de démarrage, ou dans le noyau après le démarrage.

  3. Device Guard utilise l’intégrité UMCI pour garantir que tous les éléments exécutés en mode utilisateur, tel qu’un service, une application Universal Windows Platform (UWP) ou une application Windows classique sont approuvés, autorisant uniquement l’exécution des fichiers binaires approuvés.

  4. Le module de plateforme sécurisée (TPM) démarre en même temps que Windows 10. Le module TPM fournit un composant matériel isolé qui permet de protéger les informations sensibles, telles que les informations d’identification de l’utilisateur et les certificats.

Matériel et logiciel nécessaires

Le tableau suivant présente la configuration matérielle et logicielle que vous devez installer et configurer pour implémenter le Device Guard.

Condition requise Description

Windows 10 Entreprise

Le PC doit exécuter Windows 10 Entreprise.

Version du microprogramme UEFI 2.3.1 ou supérieure et démarrage sécurisé

Pour vérifier que le microprogramme utilise la version UEFI 2.3.1 ou supérieure et le démarrage sécurisé, vous pouvez le comparer à la configuration requise System.Fundamentals.Firmware.CS.UEFISecureBoot.ConnectedStandby du Programme de compatibilité matérielle Windows.

Extensions de virtualisation

Les extensions de virtualisation suivantes sont requises pour prendre en charge la sécurité basée sur la virtualisation :

  • Intel VT-x ou AMD-V
  • Traduction d’adresse de second niveau

Verrouillage du microprogramme

Le programme d’installation du microprogramme doit être verrouillé pour empêcher le démarrage des autres systèmes d’exploitation et éviter les modifications apportées aux paramètres UEFI. Vous devez également désactiver les méthodes de démarrage autrement qu’à partir du disque dur.

Architecture x64

Les fonctionnalités utilisées par la sécurité basée sur la virtualisation de l’hyperviseur Windows peuvent être exécutées sur un PC 64 bits uniquement.

Une IOMMU (unité de gestion de mémoire d’entrée/sortie) VT-d ou AMD Vi

Dans Windows 10, une IOMMU améliore la résilience du système contre les attaques de mémoire. ¹

Processus de mise à jour de microprogramme sécurisé

Pour vérifier que le microprogramme est conforme au processus de mise à jour de microprogramme sécurisé, vous pouvez le comparer à la configuration requise System.Fundamentals.Firmware.UEFISecureBoot du Programme de compatibilité matérielle Windows.

 

Rubriques associées

Exécution des applications sur des appareils protégés par Device Guard

Créer une stratégie d’intégrité du code Device Guard basée sur un appareil de référence