Qu’est-ce que la sécurité basée sur la virtualisation (VBS) dans Windows 11, 10

La sécurité basée sur la virtualisation (VBS) est une technologie disponible à partir des processeurs Intel 8e génération et AMD Zen 2.
En anglais elle se nomme Virtualization-Based Security (VBS).
Windows 10 et Windows 11 utilise cette technologie avec Hyper-V pour améliorer la sécurité de votre PC en créant un environnement virtuel sécurisé.
Ainsi, L'OS de Microsoft utilise VBS, cette technologie d'extension de virtualisation CPU, pour lutter contre l'exploitation de vulnérabilité mais aussi la compromission du système par un malware.
VSM tire parti des extensions de virtualisation du CPU pour séquestrer les processus critiques et leur adresses mémoires contre la falsification par des logiciels malveillants.
C'est donc un élément très important pour améliorer la sécurité d'un appareil.

Déjà présent dans Windows 10, ces fonctionnalités de sécurité sont devenues un élément importante de Windows 11.
En effet, la nouvelle version de Windows, Windows 11, requiert des processeurs avec la sécurité basée sur la virtualisation (VBS) et des améliorations tels que MBEC.
C'est pour cela que Windows 11 n'est compatible qu'avec des processeurs Intel de génération 8 et plus, et des processeurs AMD Zen 2, Zen 3.

Mais qu'est-ce que la sécurité basée sur la virtualisation (VBS), comment ça marche et à quoi cela sert ?
Ce tutoriel répond à toutes ces questions sur VBS dans Windows 11, 10.

Qu'est-ce que la sécurité basée sur la virtualisation (VBS) dans Windows 11, 10

Qu'est-ce que la sécurité basée sur la virtualisation (VBS)

La sécurité basée sur la virtualisation (VBS) utilise des fonctionnalités de virtualisation matérielle présentes sur les processeurs Intel et AMD pour créer un environnement sécurisé virtuel afin de stocker des fonctionnalités de sécurité de l'OS.
VBS utilise l’hyperviseur Windows pour créer ce mode sécurisé virtuel pour appliquer des restrictions qui protègent les ressources vitales du système d’exploitation, ou pour protéger les ressources de sécurité telles que les informations d’identification de l’utilisateur authentifié.

Virtual Secure Mode permet d'exécuter des composants de Windows 10 dans un environnement sécurisé

L’exécution de ces applications de sécurité dans VBS offre une protection accrue contre les vulnérabilités dans le système d’exploitation et empêche l’utilisation d’attaques de système d’exploitation malveillantes qui tentent d’éviter les protections.
Les protections offerts par VBS, même si le programme malveillant a accès au noyau du système d’exploitation, les attaques possibles peuvent être considérablement limitées et contenues, car l’hyperviseur peut empêcher le programme malveillant d’exécuter du code ou d’accéder aux secrets de la plateforme.

La sécurité basée sur la virtualisation (VBS) dans Windows 11, 10

Windows Defender Device Guard

Windows Defender Exploit Guard est conçu pour protéger et verrouiller l'appareil contre une grande variété de vecteurs d'attaque et de comportements de blocage couramment utilisés dans les attaques de logiciels malveillants.
Notamment en proposant les fonctionnalités de sécurité suivantes :

  • Attack Surface Reduction (ASR) : un ensemble de contrôles que les entreprises peuvent activer pour empêcher les logiciels malveillants de pénétrer sur la machine en bloquant les menaces basées sur Office, les scripts et les e-mails. Elle est accessible que depuis le System Center Configuration Manager (SCCM).
  • Protection réseau : protège le point de terminaison contre les menaces Web en bloquant tout processus sortant sur l'appareil vers des hôtes / IP non approuvés via Windows Defender SmartScreen.
  • Accès contrôlé aux dossiers : protège les données sensibles des ransomwares en empêchant les processus non approuvés d'accéder à vos dossiers protégés.
  • Protection contre les exploits : ensemble d'atténuation des exploits (remplaçant EMET) qui peut être facilement configuré pour protéger votre système et vos applications.
  • La protection SMM (Secure Launch and System Management Mode) : Microsoft Defender System Guard protège votre appareil contre les microprogrammes compromis.

Certaines d'entre-elles utilisent VBS pour fonctionner.

Protéger LSA (Local Security Authority) avec VBS

Pour protéger l'authentification de Windows 10 et Windows 11, LSA (Local Security Authority) est virtualisé en utilisant La sécurité basée sur la virtualisation (VBS).

En temps normal, LSASS s'exécute en mémoire.
Mais avec VBS, LSA dans l'hypervisor, cela grâce à LSAIso pour LSA isolé s'exécute dans Windows offrant un héritage et une compatibilité ascendante, même pour des services ou des capacités qui nécessitent une communication directe avec LSA.
De cette façon, l'instance de LSA est séparée des fonctions normales du système d'exploitation et est protégé par les tentatives de lecture d'informations dans ce mode. Les protections sont assistée par le matériel, car l'hyperviseur demande le traitement de matériel ces pages de mémoire différemment.
Ceci est la même manière à deux machines virtuelles sur le même hôte ne peut pas interagir les uns avec les autres; leur mémoire est indépendante et le matériel réglementé pour garantir que chaque machine virtuelle ne peut accéder à ses propres données.

Le schéma de Windows Defender Credential Guard

Hypervisor-protected Code Integrity (HVCI) dans Windows 11

Enfin dans Windows 11, VBS à travers Hypervisor-protected Code Integrity (HVCI) présents sur les processeurs récents améliore le modèle de menace de Windows et fournissent des protections plus strictes contre les logiciels malveillants essayant d'exploiter le noyau Windows.

Le pilotes compatibles avec l’intégrité du code hyperviseur (stratégie HVCI) permet notamment la mise en place d'une stratégie d’intégrité du code configurable en mode utilisateur qui vérifie les applications avant qu’elles ne soient chargées, et démarre uniquement les exécutables signés par des signataires connus et approuvés.
Mais aussi HVCI utilise VBS pour vérifier l'intégrité de la mémoire offrant ainsi une protection renforcée contre les virus et les logiciels malveillants du noyau. Les pages sont uniquement rendues exécutables après la réussite des contrôles d’intégrité du code dans la région sécurisée, et les pages exécutables ne sont pas accessibles en écriture.
De cette façon, même s’il existe des vulnérabilités telles qu’un dépassement de mémoire tampon qui permet à un programme malveillant d’essayer de modifier la mémoire, les pages de codes ne peuvent pas être modifiées et la mémoire modifiée ne peut pas être rendue exécutable.

VBS exploite l'hyperviseur Windows pour créer un environnement virtuel isolé qui devient la racine de la confiance du système d'exploitation qui suppose que le noyau peut être compromis. HVCI est un composant essentiel qui protège et durcit cet environnement virtuel en exécutant l'intégrité du code de mode de noyau en lui et en limitant les allocations de mémoire du noyau pouvant être utilisées pour compromettre le système.
Ainsi dans Windows 11 et Windows 10, HVCI permet les fonctionnalités de sécurité suivante : l'isolation du noyau, la vérification de l'intégrité de la mémoire et la protection du microgramme.

L'isolation du noyau, la vérification de l'intégrité de la mémoire et la protection du microgramme utilisant HVCI et VBS

La sécurité basée sur la virtualisation (VBS) dans les processeurs Intel et AMD

Virtualization-Based Security (VBS) requiert l’hyperviseur Windows, qui est uniquement pris en charge sur les processeurs IA 64 bits avec les extensions de virtualisation, y compris Intel VT-X et AMD-v.
Ainsi VBS n'est disponible que :

  • Pour les PC offrant un environnement UEFI en mode natif (pas de compatibilité / CSM / mode hérité)
  • Le processeur doit proposer une extension de virtualisation, par exemple, Intel VT ou AMD V

Dans Windows 10, VBS n'est pas activé par défaut, car les constructeurs OEM n'ont pas activés HVCI par défaut dans les processeurs.
On peut activer la sécurité basée sur la virtualisation (VBS) depuis l'éditeur de stratégie de groupe locale (gpedit.msc).

Comment activer Device Guard, VBS et la protection DMA sur Windows 10

Windows 11 va plus loin car VBS est activé par défaut.
Ainsi, Microsoft indique des OEM d'activer HVCI par défaut sur tous les PC Intel Core de la 11e génération, tout avec l'un des processeurs Zen 2 ou Zen 3 de l'AMD (qui couvre les puces RyZen 3000, 4000 et 5000 Series), et le skcomm Snapdragon 8180 SOC et plus récent.

De plus, il nécessite des spécifications processeur plus important.
En effet, il nécessite une fonction de sécurité MBEC présents uniquement les processeurs actuels du Kaby Lake ou AMD Zen 2 et plus.
En effet, les processeurs de la huitième génération incluent des fonctionnalités qui améliorent la performance de HVCI comme le mode Intel pour EPT et NPT (GMT) pour les processeurs AMD.
Les processeurs plus âgés doivent s'appuyer sur une émulation de mode utilisateur restreint moins efficace, c'est une des raisons des besoins spécifiques CPU dans Windows 11.