La mise à jour d’avril 2018 de Windows 10 apporte à tous les fonctionnalités de sécurité «Core Isolation» et «Memory Integrity». Ceux-ci utilisent la sécurité basée sur la virtualisation pour protéger les processus de votre système d’exploitation de base contre la falsification, mais la protection de la mémoire est désactivée par défaut pour les personnes qui effectuent une mise à niveau.
Qu’est-ce que Core Isolation?
Dans la version d’origine de Windows 10, sécurité basée sur la virtualisation (VBS) Les fonctionnalités n’étaient disponibles que sur les éditions Entreprise de Windows 10 dans le cadre de «Device Guard». Avec la mise à jour d’avril 2018, Core Isolation apporte des fonctionnalités de sécurité basées sur la virtualisation à toutes les éditions de Windows 10.
Certaines fonctionnalités Core Isolation sont activées par défaut sur les PC Windows 10 qui répondent à certains exigences matérielles et micrologicielles, y compris avoir un processeur 64 bits et une puce TPM 2.0. Cela nécessite également que votre PC prenne en charge la technologie de virtualisation Intel VT-x ou AMD-V et qu’elle soit activée dans les paramètres UEFI de votre PC.
Lorsque ces fonctionnalités sont activées, Windows utilise les fonctionnalités de virtualisation matérielle pour créer une zone sécurisée de mémoire système isolée du système d’exploitation normal. Windows peut exécuter des processus système et des logiciels de sécurité dans cette zone sécurisée. Cela empêche les processus importants du système d’exploitation d’être altérés par tout ce qui s’exécute en dehors de la zone sécurisée.
Même si un malware s’exécute sur votre PC et connaît un exploit qui devrait lui permettre de casser ces processus Windows, la sécurité basée sur la virtualisation est une couche de protection supplémentaire qui les isolera des attaques.
Qu’est-ce que l’intégrité de la mémoire?
La fonctionnalité connue sous le nom «Intégrité de la mémoire» dans l’interface de Windows 10 est également appelée «Intégrité du code protégé par hyperviseur» (HVCI) dans la documentation de Microsoft.
L’intégrité de la mémoire est désactivée par défaut sur les PC mis à niveau vers la mise à jour d’avril 2018, mais vous pouvez l’activer. Il sera activé par défaut sur les nouvelles installations de Windows 10 à l’avenir.
Cette fonctionnalité est un sous-ensemble de Core Isolation. Windows nécessite normalement des signatures numériques pour les pilotes de périphériques et tout autre code qui s’exécute en mode noyau Windows de bas niveau. Cela garantit qu’ils n’ont pas été falsifiés par des logiciels malveillants. Lorsque «Intégrité de la mémoire» est activé, le «service d’intégrité du code» de Windows s’exécute à l’intérieur du conteneur protégé par l’hyperviseur créé par Core Isolation. Cela devrait rendre presque impossible pour les logiciels malveillants de falsifier les contrôles d’intégrité du code et d’accéder au noyau Windows.
Problèmes de machine virtuelle
Étant donné que l’intégrité de la mémoire utilise le matériel de virtualisation du système, elle est incompatible avec les programmes de machine virtuelle tels que VirtualBox ou VMware. Une seule application peut utiliser ce matériel à la fois.
Vous pouvez voir un message indiquant qu’Intel VT-X ou AMD-V n’est pas activé ou disponible si vous installez un programme de machine virtuelle sur un système avec l’intégrité de la mémoire activée. Dans VirtualBox, vous pouvez voir le message d’erreur «Le mode brut n’est pas disponible grâce à Hyper-V» lorsque la protection de la mémoire est activée.
Dans tous les cas, si vous rencontrez un problème avec le logiciel de votre machine virtuelle, vous devez désactiver l’intégrité de la mémoire pour l’utiliser.
Pourquoi est-il désactivé par défaut?
La fonctionnalité principale d’isolation des noyaux ne devrait poser aucun problème. Il est activé sur tous les PC Windows 10 qui peuvent le prendre en charge et il n’y a pas d’interface pour le désactiver.
Cependant, la protection de l’intégrité de la mémoire peut causer des problèmes avec certains pilotes de périphérique ou d’autres applications Windows de bas niveau, c’est pourquoi elle est désactivée par défaut lors des mises à niveau. Microsoft pousse toujours les développeurs et les fabricants de périphériques à rendre leurs pilotes et logiciels compatibles, c’est pourquoi il est activé par défaut sur les nouveaux PC et les nouvelles installations de Windows 10.
Si l’un des pilotes dont votre PC a besoin pour démarrer est incompatible avec la protection de la mémoire, Windows 10 désactivera silencieusement la protection de la mémoire pour garantir que votre PC puisse démarrer et fonctionner correctement. Donc, si vous essayez de l’activer et redémarrez uniquement pour constater qu’il est toujours désactivé, c’est pourquoi.
Si vous rencontrez des problèmes avec d’autres périphériques ou des logiciels défectueux après l’activation de la protection de la mémoire, Microsoft vous recommande de rechercher des mises à jour avec l’application ou le pilote spécifique. Si aucune mise à jour n’est disponible, désactivez la protection de la mémoire.
Comme nous l’avons mentionné ci-dessus, l’intégrité de la mémoire sera également incompatible avec certaines applications qui nécessitent un accès exclusif au matériel de virtualisation du système, comme les programmes de machine virtuelle. D’autres outils, y compris certains débogueurs, nécessitent également un accès exclusif à ce matériel et ne fonctionneront pas avec l’intégrité de la mémoire activée.
Comment activer l’intégrité de la mémoire d’isolation de noyau
Vous pouvez voir si les fonctionnalités Core Isolation sont activées sur votre PC et activer ou désactiver la protection de la mémoire à partir de l’application Windows Defender Security Center. (Cet outil sera renommé «Sécurité Windows» dans le cadre de la mise à jour d’octobre 2018.)
Pour l’ouvrir, recherchez «Centre de sécurité Windows Defender» dans votre menu Démarrer ou accédez à Paramètres> Mise à jour et sécurité> Sécurité Windows> Ouvrir le Centre de sécurité Windows Defender.
Cliquez sur l’icône «Sécurité de l’appareil» dans le Centre de sécurité.
Si l’isolation de noyau est activée sur le matériel de votre PC, vous verrez le message «La sécurité basée sur la virtualisation est en cours d’exécution pour protéger les parties principales de votre appareil» ici.
Pour activer (ou désactiver) la protection de la mémoire, cliquez sur le lien «Détails de l’isolation du noyau».
Cet écran vous montre si l’intégrité de la mémoire est activée ou non. C’est la seule option ici pour le moment.
Pour activer l’intégrité de la mémoire, basculez le commutateur sur «Activé». Si vous rencontrez des problèmes d’application ou de périphérique et que vous devez désactiver l’intégrité de la mémoire, revenez ici et basculez le commutateur sur «Off».
Vous serez invité à redémarrer votre ordinateur et la modification ne prendra effet qu’une fois que vous l’avez fait.
Autres fonctionnalités de Windows Defender Exploit Guard
L’isolation du noyau et l’intégrité de la mémoire font partie des nombreuses nouvelles fonctionnalités de sécurité que Microsoft a ajoutées dans le cadre de Windows Defender Exploit Guard. Il s’agit d’un ensemble de fonctionnalités conçues pour protéger Windows contre les attaques.
La protection contre les exploits, qui protège votre système d’exploitation et vos applications contre de nombreux types d’exploits, est activée par défaut. Cela remplace l’ancien outil EMET de Microsoft et inclut des fonctionnalités anti-exploit pour lesquelles nous recommandions précédemment d’installer Malware Anti-Exploit. Tous les utilisateurs de Windows 10 disposent désormais d’une protection contre les exploits.
Il existe également un accès contrôlé aux dossiers, qui protège vos fichiers contre les ransomwares. Il n’est pas activé par défaut car il nécessite une configuration. Si vous activez cette fonctionnalité, vous devrez autoriser l’accès aux applications avant qu’elles ne puissent accéder aux fichiers de vos dossiers de fichiers personnels.
À l’avenir, l’intégrité de la mémoire sera activée par défaut sur tous les nouveaux PC, offrant une protection supplémentaire contre les attaques. Seuls les utilisateurs avancés qui utilisent un logiciel de machine virtuelle et d’autres outils nécessitant un accès au matériel de virtualisation du système devront le désactiver.
