Que sont “l'isolation de base” et “l'intégrité de la mémoire” dans Windows 10?
La mise à jour d'avril 2018 de Windows 10 offre à tous les fonctionnalités de sécurité «Isolement principal» et «Intégrité de la mémoire». Celles-ci utilisent la sécurité basée sur la virtualisation pour protéger les processus principaux de votre système d'exploitation contre la falsification, mais la protection de la mémoire est désactivée par défaut pour les personnes qui effectuent une mise à niveau..
Qu'est-ce que l'isolation principale??
Dans la version initiale de Windows 10, les fonctionnalités de sécurité basées sur la virtualisation (VBS) n'étaient disponibles que sur les éditions Enterprise de Windows 10 dans le cadre de «Device Guard». éditions de Windows 10.
Certaines fonctionnalités d'isolation de base sont activées par défaut sur les PC Windows 10 qui répondent à certaines exigences en matière de matériel et de microprogrammes, notamment un processeur 64 bits et une puce TPM 2.0. Votre ordinateur doit également prendre en charge la technologie de virtualisation Intel VT-x ou AMD-V et être activé dans les paramètres UEFI de votre ordinateur..
Lorsque ces fonctionnalités sont activées, Windows utilise les fonctionnalités de virtualisation matérielle pour créer une zone sécurisée de la mémoire système isolée du système d'exploitation normal. Windows peut exécuter des processus système et des logiciels de sécurité dans cette zone sécurisée. Ceci protège les processus importants du système d'exploitation contre toute tentative d'altération en dehors de la zone sécurisée..
Même si un logiciel malveillant est en cours d'exécution sur votre PC et connaît un exploit qui devrait lui permettre de déchiffrer ces processus Windows, la sécurité basée sur la virtualisation constitue une couche de protection supplémentaire qui les isolera des attaques..
Qu'est-ce que l'intégrité de la mémoire??
La fonctionnalité appelée «intégrité de la mémoire» dans l'interface de Windows 10 est également appelée «intégrité de code protégée par l'hyperviseur» (HVCI) dans la documentation de Microsoft..
L'intégrité de la mémoire est désactivée par défaut sur les PC mis à niveau vers la mise à jour d'avril 2018, mais vous pouvez l'activer. Il sera activé par défaut sur les nouvelles installations de Windows 10 à venir..
Cette fonctionnalité est un sous-ensemble de l’isolation principale. Windows requiert normalement des signatures numériques pour les pilotes de périphérique et tout autre code s'exécutant en mode noyau Windows de bas niveau. Cela garantit qu'ils n'ont pas été altérés par des logiciels malveillants. Lorsque «L'intégrité de la mémoire» est activée, le «service d'intégrité du code» de Windows s'exécute dans le conteneur protégé par l'hyperviseur créé par Core Isolation. Cela devrait pratiquement empêcher les logiciels malveillants d'altérer les contrôles d'intégrité du code et d'accéder au noyau Windows..
Problèmes de machine virtuelle
Comme Memory Integrity utilise le matériel de virtualisation du système, il est incompatible avec les programmes de machine virtuelle tels que VirtualBox ou VMware. Une seule application peut utiliser ce matériel à la fois..
Vous pouvez voir un message indiquant que Intel VT-X ou AMD-V n'est pas activé ou disponible si vous installez un programme de machine virtuelle sur un système sur lequel l'intégrité de la mémoire est activée. Le message d'erreur «Le mode brut n'est pas disponible avec l'aide de Hyper-V» peut s'afficher dans VirtualBox lorsque la protection de la mémoire est activée.
Dans les deux cas, si vous rencontrez un problème avec le logiciel de votre machine virtuelle, vous devez désactiver l’intégrité de la mémoire pour pouvoir l’utiliser..
Pourquoi est-il désactivé par défaut?
La fonction principale d'isolation de base ne devrait poser aucun problème. Il est activé sur tous les ordinateurs Windows 10 pouvant le prendre en charge, et aucune interface ne permet de le désactiver..
Toutefois, la protection de l’intégrité de la mémoire peut entraîner des problèmes avec certains pilotes de périphérique ou d’autres applications Windows de bas niveau. C’est pourquoi elle est désactivée par défaut lors des mises à niveau. Microsoft pousse toujours les développeurs et les fabricants de périphériques à rendre leurs pilotes et leurs logiciels compatibles. C'est pourquoi il est activé par défaut sur les nouveaux PC et les nouvelles installations de Windows 10..
Si l'un des pilotes requis par votre ordinateur pour démarrer est incompatible avec la protection de la mémoire, Windows 10 désactive automatiquement la protection de la mémoire afin de vous assurer que votre ordinateur peut démarrer et fonctionner correctement. Donc, si vous essayez de l'activer et de redémarrer pour trouver qu'il est toujours désactivé, c'est pourquoi.
Si vous rencontrez des problèmes avec d'autres périphériques ou des logiciels défectueux après avoir activé la protection de la mémoire, Microsoft vous recommande de rechercher les mises à jour avec l'application ou le pilote spécifique. Si aucune mise à jour n'est disponible, désactivez la protection de la mémoire..
Comme nous l'avons mentionné ci-dessus, l'intégrité de la mémoire sera également incompatible avec certaines applications nécessitant un accès exclusif au matériel de virtualisation du système, telles que les programmes de machine virtuelle. D'autres outils, y compris certains débogueurs, nécessitent également un accès exclusif à ce matériel et ne fonctionneront pas si la fonction d'intégrité de la mémoire est activée..
Comment activer l'intégrité de la mémoire d'isolation principale
Vous pouvez voir si les fonctions d'isolation de base sont activées sur votre PC et activer ou désactiver la protection de la mémoire à partir de l'application Windows Defender Security Center. (Cet outil sera renommé «Sécurité Windows» dans le cadre de la mise à jour d'octobre 2018).
Pour l'ouvrir, recherchez «Windows Defender Security Center» dans le menu Démarrer ou allez dans Paramètres> Mise à jour et sécurité> Sécurité Windows> Ouvrir le Centre de sécurité Windows Defender..
Cliquez sur l'icône «Sécurité du périphérique» dans le Centre de sécurité..
Si l’isolation principale est activée sur le matériel de votre PC, le message «La sécurité basée sur la virtualisation est en cours d’exécution pour protéger les principales pièces de votre appareil» est ici..
Pour activer (ou désactiver) la protection de la mémoire, cliquez sur le lien «Détails sur l'isolation du noyau»..
Cet écran vous indique si l’intégrité de la mémoire est activée ou non. C'est la seule option ici pour l'instant.
Pour activer l’intégrité de la mémoire, placez le commutateur sur «On». Si vous rencontrez des problèmes d’application ou de périphérique et que vous devez désactiver l’intégrité de la mémoire, revenez ici et basculez le commutateur sur «Off».
Vous serez invité à redémarrer votre ordinateur. Les modifications ne prendront effet que lorsque vous aurez terminé..
Autres fonctionnalités de Windows Defender Exploit Guard
L'isolation principale et l'intégrité de la mémoire font partie des nombreuses nouvelles fonctionnalités de sécurité ajoutées par Microsoft dans le cadre de Windows Defender Exploit Guard. Ceci est une collection de fonctionnalités conçues pour protéger Windows contre les attaques.
La protection contre les exploits, qui protège votre système d'exploitation et vos applications contre de nombreux types d'exploits, est activée par défaut. Ceci remplace l'ancien outil EMET de Microsoft et inclut des fonctionnalités anti-exploitation pour lesquelles nous avions précédemment recommandé l'installation de Malware Anti-Exploit. Tous les utilisateurs de Windows 10 ont maintenant une protection contre les attaques.
Il existe également un accès contrôlé aux dossiers, qui protège vos fichiers contre les ransomwares. Il n'est pas activé par défaut, car il nécessite une configuration. Si vous activez cette fonctionnalité, vous devrez autoriser les applications à accéder avant de pouvoir accéder aux fichiers de vos dossiers personnels..
À l'avenir, l'intégrité de la mémoire sera activée par défaut sur tous les nouveaux PC, offrant une protection supplémentaire contre les attaques. Seuls les utilisateurs avancés utilisant le logiciel de la machine virtuelle et d'autres outils nécessitant un accès au matériel de virtualisation du système devront le désactiver..