Isolation du noyau est une fonctionnalité de sécurité de Microsoft Windows qui protège les processus de base importants de Windows contre les logiciels malveillants en les isolant en mémoire. Pour ce faire, elle exécute ces processus de base dans un environnement virtualisé.
Remarque : Ce que vous voyez sur la page Isolation du noyau peut varier légèrement en fonction de la version de Windows que vous exécutez.
Intégrité de la mémoire
L’intégrité de la mémoire, également appelée intégrité du code protégée par l’hyperviseur (HVCI) est une fonctionnalité de sécurité Windows qui empêche les programmes malveillants d’utiliser des pilotes de bas niveau pour détourner votre ordinateur.
Un pilote est un logiciel qui permet au système d’exploitation (Windows dans ce cas) et à un appareil (comme un clavier ou une webcam, pour deux exemples) de communiquer entre eux. Lorsque l’appareil demande à Windows de faire quelque chose, il utilise le pilote pour envoyer cette demande.
Conseil : Vous souhaitez en savoir plus sur les pilotes ? Consultez Qu’est-ce qu’un pilote ?
L’intégrité de la mémoire fonctionne en créant un environnement isolé à l’aide de la virtualisation matérielle.
Considérez-le comme un agent de sécurité à l’intérieur d’une cabine verrouillée. Cet environnement isolé (cabine verrouillée dans notre analogie) empêche un attaquant d’altérer la fonctionnalité d’intégrité de la mémoire. Un programme qui demande à exécuter un morceau de code qui peut être dangereux doit transmettre le code à l’intégrité de la mémoire à l’intérieur de cette cabine virtuelle à des fins de vérification. Lorsque l’intégrité de la mémoire est assurée que le code est sécurisé, il le remet à Windows pour qu’il l’exécute. En règle générale, cela se produit très rapidement.
Si l’intégrité de la mémoire n’est pas en cours d’exécution, l’« agent de sécurité » se tient à découvert et il est beaucoup plus facile pour un attaquant d’interférer avec lui ou de le saboter, ce qui permet à un code malveillant de se faufiler plus facilement et de causer des problèmes.
Comment faire pour gérer l’intégrité de la mémoire ?
Dans la plupart des cas, l’intégrité de la mémoire est activée par défaut dans Windows 11 et peut être activée pour Windows 10.
Pour l’activer ou la désactiver :
-
Sélectionnez le bouton Démarrer, puis tapez « Isolation du noyau ».
-
Sélectionnez les paramètres système Isolation du noyau dans les résultats de la recherche pour ouvrir l’application de sécurité Windows.
Dans la page Isolation du noyau, vous trouverez Intégrité de la mémoire avec le bouton bascule pour l’activer ou la désactiver.
Important : Par mesure de sécurité, nous vous recommandons d’activer l’intégrité de la mémoire.
Pour utiliser l’intégrité de la mémoire, vous devez activer la virtualisation matérielle dans l’UEFI ou le BIOS de votre système.
Que se passe-t-il si le système indique que j’ai un pilote incompatible ?
Si l’intégrité de la mémoire ne s’active pas, cela peut indiquer qu’un pilote de périphérique incompatible est déjà installé. Vérifiez auprès du fabricant de l’appareil s’il dispose d’un pilote mis à jour. Si aucun pilote compatible n’est disponible, vous pouvez peut-être supprimer l’appareil ou l’application qui utilise ce pilote incompatible.
Remarque : Si vous essayez d’installer un appareil avec un pilote incompatible après avoir activé l’intégrité de la mémoire, le même message peut s’afficher. Si c’est le cas, le même conseil s’applique : vérifiez auprès du fabricant de l’appareil s’il dispose d’un pilote mis à jour que vous pouvez télécharger, ou n’installez pas cet appareil particulier tant qu’un pilote compatible n’est pas disponible.
Protection de pile renforcée par du matériel en mode noyau
La protection de pile renforcée par du matériel en mode noyau est une fonctionnalité de sécurité Windows basée sur le matériel qui empêche les programmes malveillants d’utiliser des pilotes de bas niveau pour détourner votre ordinateur.
Un pilote est un logiciel qui permet au système d’exploitation (Windows dans ce cas) et à un appareil comme un clavier ou une webcam, par exemple, de communiquer entre eux. Lorsque l’appareil demande à Windows de faire quelque chose, il utilise le pilote pour envoyer cette demande.
Conseil : Vous souhaitez en savoir plus sur les pilotes ? Consultez Qu’est-ce qu’un pilote ?
La protection de pile renforcée par du matériel en mode noyau fonctionne en empêchant les attaques qui modifient les adresses d’expéditeur dans la mémoire en mode noyau pour lancer un code malveillant. Cette fonctionnalité de sécurité nécessite un processeur qui contient la possibilité de vérifier les adresses d’expéditeur du code en cours d’exécution.
Lors de l’exécution du code en mode noyau, les adresses d’expéditeur sur la pile en mode noyau peuvent être endommagées par des programmes ou des pilotes malveillants afin de rediriger l’exécution d’un code normal vers un code malveillant. Sur les processeurs pris en charge, le processeur conserve une deuxième copie des adresses d’expéditeur valides sur une pile de cliché instantané en lecture seule que les pilotes ne peuvent pas modifier. Si une adresse d’expéditeur sur la pile normale a été modifiée, le processeur peut détecter cette différence en vérifiant la copie de l’adresse d’expéditeur sur la pile de cliché instantané. Lorsque cette différence se produit, l’ordinateur génère une erreur d’arrêt, parfois appelée écran bleu, pour empêcher l’exécution du code malveillant.
Tous les pilotes ne sont pas compatibles avec cette fonctionnalité de sécurité, car un petit nombre de pilotes légitimes s’engagent dans la modification de l’adresse d’expéditeur à des fins non malveillantes. Microsoft a fait appel à de nombreux éditeurs de pilotes pour s’assurer que leurs derniers pilotes sont compatibles avec la protection de pile renforcée par du matériel en mode noyau.
Comment faire pour gérer la protection de pile renforcée par du matériel en mode noyau ?
La protection de pile renforcée par du matériel en mode noyau est désactivée par défaut.
Pour l’activer ou la désactiver :
-
Sélectionnez le bouton Démarrer, puis tapez « Isolation du noyau ».
-
Sélectionnez les paramètres système Isolation du noyau dans les résultats de la recherche pour ouvrir l’application de sécurité Windows.
Dans la page Isolation du noyau, vous trouverez Protection de pile renforcée par du matériel en mode noyau, ainsi que le bouton bascule pour l’activer ou la désactiver.
Pour utiliser la protection de pile renforcée par du matériel en mode noyau, vous devez avoir activé l’intégrité de la mémoire et vous devez exécuter un processeur qui prend en charge la Technologie de mise en application du flux de contrôle Intel ou la Pile de cliché instantané AMD.
Que se passe-t-il si j’ai un pilote ou un service incompatible ?
Si la protection de pile renforcée par du matériel en mode noyau ne parvient pas à s’activer, cela peut indiquer qu’un pilote ou un service de périphérique incompatible est déjà installé. Vérifiez auprès du fabricant de l’appareil ou de l’éditeur de l’application si un pilote mis à jour est disponible. Si aucun pilote compatible n’est disponible, vous pouvez peut-être supprimer l’appareil ou l’application qui utilise ce pilote incompatible.
Certaines applications peuvent installer un service au lieu d’un pilote pendant l’installation de l’application et installer le pilote uniquement au lancement de l’application. Pour une détection plus précise des pilotes incompatibles, les services qui sont connus pour être associés à des pilotes incompatibles sont également énumérés.
Remarque : Si vous essayez d’installer un appareil ou une application avec un pilote incompatible après avoir activé la protection de pile renforcée par du matériel en mode noyau, le même message peut s’afficher. Si c’est le cas, les mêmes conseils s’appliquent : vérifiez auprès du fabricant de l’appareil ou de l’éditeur de l’application s’il existe un pilote mis à jour que vous pouvez télécharger, ou n’installez pas l’appareil ou l’application en question tant qu’un pilote compatible n’est pas disponible.
Protection de l’accès à la mémoire
Également appelée « Protection DMA du noyau », elle protège votre appareil contre les attaques qui peuvent se produire lorsqu’un appareil malveillant est branché à un port PCI (interconnexion de composants périphériques) comme un port Thunderbolt.
Pour illustrer l’une de ces attaques, nous pouvons citer l’exemple de quelqu’un qui laisse son PC pour une petite pause-café et qui, pendant son absence, se fait attaquer par un pirate qui branche un périphérique de type USB et s’empare des données sensibles de l’ordinateur ou injecte un logiciel malveillant qui lui permet de contrôler le PC à distance.
La protection de l’accès à la mémoire empêche ce type d’attaques en refusant l’accès direct à la mémoire à ces périphériques, sauf dans des circonstances particulières, notamment lorsque le PC est verrouillé ou que l’utilisateur est déconnecté.
Nous vous recommandons d’activer la protection d’accès à la mémoire.
Conseil : Si vous souhaitez plus de détails techniques à ce sujet, consultez Protection DMA du noyau.
Protection du microprogramme
Chaque appareil dispose d’un logiciel qui a été enregistré dans la mémoire morte de l’appareil, c’est-à-dire dans une puce de la carte mère. Ce logiciel est utilisé pour les fonctions de base de l’appareil, à savoir le chargement du système d’exploitation qui exécute toutes les applications que nous avons l’habitude d’utiliser. Ce logiciel étant difficile (mais pas impossible) à modifier, nous l’appelons microprogramme.
Du fait que le micrologiciel se charge en premier et s’exécute sous le système d’exploitation, les outils de sécurité et les fonctionnalités qui s’exécutent dans le système d’exploitation ont du mal à le détecter ou à s’en défendre. À l’instar d’une maison dont la sécurité dépend de fondations solides, un ordinateur a besoin d’un microprogramme sécurisé pour garantir la sécurité du système d’exploitation, des applications et des données client sur cet ordinateur.
Windows Defender System Guard est un ensemble de fonctionnalités qui permet de s’assurer que les attaquants ne peuvent pas faire démarrer votre appareil avec un microprogramme non approuvé ou malveillant.
Nous vous recommandons de l’activer si votre appareil le prend en charge.
Les plateformes qui offrent une protection du microprogramme protègent généralement le mode de gestion du système (SMM), un mode de fonctionnement hautement privilégié, à des degrés divers. Vous pouvez vous attendre à l’une des trois valeurs, avec un nombre plus élevé indiquant un plus grand degré de protection SMM :
-
Votre appareil est conforme à la version 1 de protection du microprogramme : celle-ci offre les atténuations de sécurité fondamentales pour aider SMM à résister à l’exploitation par des programmes malveillants et empêche l’exfiltration de secrets du système d’exploitation (y compris VBS)
-
Votre appareil est conforme à la version 2 de protection du microprogramme : en plus de la version 1 de protection du microprogramme, la version 2 garantit que SMM ne peut pas désactiver la sécurité basée sur la virtualisation (VBS) et les protections DMA du noyau
-
Votre appareil est conforme à la version 3 de protection du microprogramme : en plus de la version 2 de protection du microprogramme, elle renforce le SMM en empêchant l’accès à certains registres qui ont la possibilité de compromettre le système d’exploitation (y compris VBS)
Conseil : Si vous souhaitez obtenir plus de détails techniques à ce sujet, consultez Windows Defender System Guard : comment une racine de confiance basée sur le matériel aide à protéger Windows
Protection de l’autorité de sécurité locale
La protection de l’autorité de sécurité locale (LSA) est une fonctionnalité de sécurité Windows qui permet d’empêcher le vol des informations d’identification utilisées pour la connexion à Windows.
L’autorité de sécurité locale (LSA) est un processus crucial dans Windows impliqué dans l’authentification des utilisateurs. Elle est responsable de la vérification des informations d’identification pendant le processus de connexion et de la gestion des jetons d’authentification et des tickets utilisés pour activer l’authentification unique pour les services. La protection LSA permet d’empêcher les logiciels non approuvés de s’exécuter dans LSA ou d’accéder à la mémoire LSA.
Comment faire pour gérer la protection de l’autorité de sécurité locale
La protection LSA est activée par défaut sur les nouvelles installations de Windows 11 version 22H2 et 23H2 sur les appareils gérés par l’entreprise. Elle est activée par défaut sur toutes les nouvelles installations de Windows 11 version 24H2 et ultérieures.
Si vous effectuez une mise à niveau vers Windows 11 24H2 et que la protection LSA n’est pas encore activée, celle-ci tente de s’activer après la mise à niveau. La protection LSA passe en mode évaluation après la mise à jour et vérifie les problèmes de compatibilité pendant une période de 5 jours. Si aucun problème n’est détecté, la protection LSA s’active automatiquement lors du prochain redémarrage après la fin de la fenêtre d’évaluation.
Pour l’activer ou la désactiver :
-
Sélectionnez Démarrer dans la barre des tâches, puis tapez « Isolation du noyau ».
-
Sélectionnez les paramètres système d’Isolation du noyau dans les résultats de la recherche pour ouvrir l’application de sécurité Windows.
Dans la page Isolation du noyau, vous trouverez la protection de l’autorité de sécurité locale , ainsi que le bouton bascule pour l’activer ou la désactiver. Une fois que vous avez modifié le paramètre, vous devez redémarrer pour qu’il prenne effet.
Que se passe-t-il si j’ai un logiciel incompatible ?
Si la protection LSA est activée et qu’elle bloque le chargement d’un logiciel dans le service LSA, une notification s’affiche indiquant le fichier bloqué. Vous pouvez peut-être supprimer le logiciel qui charge le fichier ou désactiver les avertissements futurs pour ce fichier lorsque son chargement dans LSA est bloqué.
Microsoft Defender Credential Guard
Remarque : Microsoft Defender Credential Guard s’affiche uniquement sur les appareils exécutant les versions Entreprise de Windows 10 ou 11.
Lorsque vous utilisez votre ordinateur professionnel ou scolaire, il se connecte discrètement et accède à toute une série d’éléments tels que des fichiers, des imprimantes, des applications et d’autres ressources au sein de votre organisation. Pour sécuriser ce processus tout en facilitant la tâche de l’utilisateur, votre ordinateur doit contenir un certain nombre de jetons d’authentification (souvent appelés « secrets ») à tout moment.
Si un attaquant peut accéder à un ou plusieurs de ces secrets, il peut être en mesure de les utiliser pour accéder à la ressource de l’organisation (fichiers sensibles, etc.) à laquelle le secret est destiné. Microsoft Defender Credential Guard permet de protéger ces secrets en les plaçant dans un environnement protégé et virtualisé où seuls certains services peuvent y accéder si nécessaire.
Nous vous recommandons de l’activer si votre appareil le prend en charge.
Conseil : Si vous souhaitez obtenir plus de détails techniques à ce sujet, consultez Fonctionnement de Defender Credential Guard.
Liste de blocage des pilotes vulnérables de Microsoft
Un pilote est un logiciel qui permet au système d’exploitation (Windows dans ce cas) et à un appareil (comme un clavier ou une webcam, pour deux exemples) de communiquer entre eux. Lorsque l’appareil demande à Windows de faire quelque chose, il utilise le pilote pour envoyer cette demande. De ce fait, les pilotes disposent d’un grand nombre d’accès sensibles dans votre système.
Depuis la mise à jour Windows 11 2022, nous disposons désormais d’une liste de blocage des pilotes qui présentent des failles de sécurité connues, qui ont été signés avec des certificats utilisés pour signer des logiciels malveillants ou qui contournent le modèle de sécurité Windows.
Si vous disposez de l’intégrité de la mémoire, du contrôle intelligent des applications ou du mode S Windows activé, la liste de blocage des pilotes vulnérables est également activée.