Qu'est-ce que l'isolation principale?
Dans la version initiale de Windows 10, les fonctionnalités de sécurité basées sur la virtualisation (VBS) n'étaient disponibles que sur les éditions Enterprise de Windows 10 dans le cadre de «Device Guard». Avec la mise à jour d'avril 2018, Core Isolation apporte à toutes les fonctionnalités de sécurité basées sur la virtualisation éditions de Windows 10.
Certaines fonctionnalités d'isolation de base sont activées par défaut sur les PC Windows 10 qui répondent à certaines exigences en matière de matériel et de microprogrammes, notamment avec un processeur 64 bits et une puce TPM 2.0. Il faut également que votre ordinateur prenne en charge la technologie de virtualisation Intel VT-x ou AMD-V et qu’elle soit activée dans les paramètres UEFI de votre ordinateur.
Lorsque ces fonctionnalités sont activées, Windows utilise les fonctionnalités de virtualisation matérielle pour créer une zone sécurisée de la mémoire système isolée du système d'exploitation normal. Windows peut exécuter des processus système et des logiciels de sécurité dans cette zone sécurisée. Cela évite que des processus importants du système d'exploitation ne soient altérés par des éléments extérieurs à la zone sécurisée.
Même si un logiciel malveillant est en cours d'exécution sur votre PC et connaît un exploit qui devrait lui permettre de déchiffrer ces processus Windows, la sécurité basée sur la virtualisation constitue une couche de protection supplémentaire qui les isolera des attaques.
Qu'est-ce que l'intégrité de la mémoire?
La fonctionnalité appelée «intégrité de la mémoire» dans l’interface de Windows 10 est également appelée «intégrité de code protégée par l’hyperviseur» (HVCI) dans la documentation de Microsoft.
L'intégrité de la mémoire est désactivée par défaut sur les PC mis à niveau vers la mise à jour d'avril 2018, mais vous pouvez l'activer. Il sera activé par défaut sur les nouvelles installations de Windows 10 à venir.
Cette fonctionnalité est un sous-ensemble de l’isolation principale. Windows requiert normalement des signatures numériques pour les pilotes de périphérique et tout autre code qui s'exécute en mode noyau Windows de bas niveau. Cela garantit qu’ils n’ont pas été altérés par des logiciels malveillants. Lorsque «Intégrité de la mémoire» est activé, le «service d'intégrité du code» de Windows s'exécute dans le conteneur protégé par l'hyperviseur créé par Core Isolation. Cela devrait pratiquement empêcher les logiciels malveillants d'altérer les contrôles d'intégrité du code et d'accéder au noyau Windows.
Problèmes de machine virtuelle
Un message indiquant que Intel VT-X ou AMD-V n'est pas activé ou disponible si vous installez un programme de machine virtuelle sur un système avec l'intégrité de la mémoire activée peut s'afficher. Le message d'erreur «Le mode brut n'est pas disponible avec l'aide de Hyper-V» peut s'afficher dans VirtualBox lorsque la protection de la mémoire est activée.
Dans les deux cas, si vous rencontrez un problème avec le logiciel de votre machine virtuelle, vous devez désactiver l’intégrité de la mémoire pour pouvoir l’utiliser.
Pourquoi est-il désactivé par défaut?
La fonction principale d’isolation du cœur ne devrait pas causer de problèmes. Il est activé sur tous les ordinateurs Windows 10 qui peuvent le prendre en charge, et aucune interface ne permet de le désactiver.
Toutefois, la protection de l’intégrité de la mémoire peut entraîner des problèmes avec certains pilotes de périphérique ou d’autres applications Windows de bas niveau. C’est pourquoi elle est désactivée par défaut lors des mises à niveau. Microsoft pousse toujours les développeurs et les fabricants de périphériques à rendre leurs pilotes et leurs logiciels compatibles. C’est pourquoi il est activé par défaut sur les nouveaux PC et les nouvelles installations de Windows 10.
Si l'un des pilotes requis par votre ordinateur pour démarrer est incompatible avec la protection de la mémoire, Windows 10 désactivera la protection de la mémoire en mode silencieux afin de vous assurer que votre ordinateur peut démarrer et fonctionner correctement. Donc, si vous essayez de l’activer et que vous redémarrez uniquement pour trouver qu’il est toujours désactivé, c’est pourquoi.
Si vous rencontrez des problèmes avec d'autres périphériques ou des logiciels défectueux après avoir activé la protection de la mémoire, Microsoft vous recommande de rechercher les mises à jour à l'aide de l'application ou du pilote spécifique. Si aucune mise à jour n'est disponible, désactivez la protection de la mémoire.
Comme nous l’avons mentionné ci-dessus, l’intégrité de la mémoire sera également incompatible avec certaines applications nécessitant un accès exclusif au matériel de virtualisation du système, telles que les programmes de machine virtuelle. D’autres outils, notamment certains débogueurs, nécessitent également un accès exclusif à ce matériel et ne fonctionnent pas avec l’intégrité de la mémoire activée.
Comment activer l'intégrité de la mémoire d'isolation principale
Vous pouvez voir si les fonctions d'isolation de base sont activées sur votre PC et activer ou désactiver la protection de la mémoire à partir de l'application Windows Defender Security Center. (Cet outil sera renommé «Sécurité Windows» dans le cadre de la mise à jour d'octobre 2018).
Pour l'ouvrir, recherchez «Windows Defender Security Center» dans le menu Démarrer ou allez dans Paramètres> Mise à jour et sécurité> Sécurité Windows> Ouvrir le Centre de sécurité Windows Defender.
Pour activer (ou désactiver) la protection de la mémoire, cliquez sur le lien «Détails de l'isolation de base».
Pour activer l’intégrité de la mémoire, placez le commutateur sur «On». Si vous rencontrez des problèmes d’application ou de périphérique et que vous devez désactiver l’intégrité de la mémoire, revenez ici et basculez le commutateur sur «Off».
Autres fonctionnalités de Windows Defender Exploit Guard
L'isolation principale et l'intégrité de la mémoire font partie des nombreuses nouvelles fonctionnalités de sécurité ajoutées par Microsoft dans le cadre de Windows Defender Exploit Guard. Il s'agit d'un ensemble de fonctionnalités conçues pour protéger Windows contre les attaques.
La protection contre les exploits, qui protège votre système d'exploitation et vos applications contre de nombreux types d'exploits, est activée par défaut. Il remplace l’ancien outil EMET de Microsoft et inclut des fonctionnalités anti-exploitation pour lesquelles nous avions précédemment recommandé l’installation de Malware Anti-Exploit. Tous les utilisateurs Windows 10 bénéficient désormais d’une protection contre les attaques.
Il existe également un accès contrôlé aux dossiers, qui protège vos fichiers contre les ransomware. Il n’est pas activé par défaut car il nécessite une configuration. Si vous activez cette fonctionnalité, vous devrez autoriser les applications à accéder avant de pouvoir accéder aux fichiers de vos dossiers personnels.
À l'avenir, l'intégrité de la mémoire sera activée par défaut sur tous les nouveaux PC, offrant une protection supplémentaire contre les attaques. Seuls les utilisateurs avancés utilisant un logiciel de machine virtuelle et d'autres outils nécessitant un accès au matériel de virtualisation du système devront le désactiver.
