Windows Defender Device Guard et Protection DMA de Windows 10

Dernière Mise à jour le

Windows 10 propose beaucoup de nouvelles protections basées sur la virtualisation.
Parmi elle, on trouve la protection de l’appareil Windows Defender Device Guard et la protection DMA.
Ces derniers ne sont proposées que dans les éditions professionnelles de Windows 10.
Enfin certains de ces composants s’intègrent dans des protections Microsoft pour les entreprises.

Cet article vous explique vous explique le fonctionnement de ces protections.
Comment les activer afin de sécuriser son PC contre les attaques et logiciels malveillants.

Windows Defender Device Guard et Protection DMA de Windows 10

Qu’est-ce que Windows Defender Device Guard

Device Guard est un groupe de fonctionnalités clés, conçu pour durcir un système informatique contre les logiciels malveillants. Son objectif est d’empêcher l’exécution de code malveillant en garantissant que seul un bon code connu peut s’exécuter.

Credential Guard est une fonctionnalité spécifique qui ne fait pas partie de Device Guard qui vise à isoler et à renforcer les secrets clés du système et de l’utilisateur contre les compromis.
Cela contribue à minimiser l’impact et l’ampleur d’une attaque de style Pass the Hash dans le cas où un code malveillant est déjà en cours d’exécution via un vecteur local ou réseau.

Ces systèmes de protection s’intègrent dans un plus large éventail mis en place par Microsoft afin de renforcer son système d’exploitation.
Plus d’informations : Windows 10 et la protection contre les virus et attaques informatiques.

Ces protections se basent sur Virtual Secure Mode qui s’appuie sur la virtualisation matérielle.
Ce dernier est une fonctionnalité qui exploite les extensions de virtualisation du CPU pour fournir une sécurité supplémentaire des données en mémoire.
Les éléments placés dans VSM sont distincts du système d’exploitation et ne peuvent être accessibles directement.
Cela permet donc de dissocier ces composants afin d’en protéger l’accès.

Virtual Secure Mode permet d'exécuter des composants de Windows 10 dans un environnement sécurisé

Pour bénéficier de ces protections, le PC doit :

  • Exécuter un environnement UEFI en mode natif (pas de compatibilité / CSM / mode hérité).
  • Utiliser un Windows 10 64-bit édition Pro ou serveur.
  • Proposer les extensions de virtualisation (par exemple, Intel VT ou AMD V).

Device Guard

Voici les composants de Device Guard afin d’assurer l’intégrité du code et éviter les falsifications.

  • Configurable Code Integrity (CCI) – Garantit que seul le code approuvé s’exécute à partir du chargeur de démarrage.
  • VSM Protected Code Integrity – Déplace les composants de l’intégrité du code en mode noyau (KMCI) et de l’intégrité du code de l’hyperviseur (HVCI) dans VSM, les protégeant ainsi des attaques.
  • Platform and UEFI Secure Boot – S’assurer que les binaires de démarrage et le firmware UEFI sont signés et n’ont pas été falsifiés.

Ainsi Device Guard s’inscrit dans des protections offerte par la nouvelle normes UEFI.
Cela comprend notamment

  • Secure boot : Valide le chargeur de l’OS par une signature numérique.
  • ELAM (Early Launch AM Software) : charge l’antivirus avant les pilotes tiers.
  • Measured Boot : enregistre l’état d’amorçage du système pour des vérifications externes (logs, etc).

J’en parle en détails dans la page : Le processus de démarrage UEFI sur Windows.

Windows Defender Credential Guard

Dans les versions précédentes de Windows 10, les identifiants sont stockés en mémoire.
Lorsque Windows Defender Credential Guard est activé, le processus LSA du système d’exploitation communique avec un nouveau composant appelé processus LSA isolé qui stocke et protège ces secrets.
Les données stockées par le processus LSA isolé sont protégées à l’aide de la sécurité basée sur la virtualisation et ne sont pas accessibles au reste du système d’exploitation.
LSA utilise des appels de procédure à distance pour communiquer avec le processus LSA isolé.
Ainsi cela protège de l’accès et compromissions de vos identifiants par un tiers.

Le schéma de Windows Defender Credential Guard

Avec Windows Defender Credential Guard actif, en plus du processus système lsass.exe, on trouve un processus Lsalso.exe (LSA Isolated) .

Le Lsalso.exe lié à Windows Defender Credential Guard

Windows Defender Exploit Guard

Windows Defender Exploit Guard est conçu pour protéger et verrouiller l’appareil contre une grande variété de vecteurs d’attaque et de comportements de blocage couramment utilisés dans les attaques de logiciels malveillants.

  • Attack Surface Reduction (ASR) : un ensemble de contrôles que les entreprises peuvent activer pour empêcher les logiciels malveillants de pénétrer sur la machine en bloquant les menaces basées sur Office, les scripts et les e-mails. Elle est accessible que depuis le System Center Configuration Manager (SCCM).
  • Protection réseau : protège le point de terminaison contre les menaces Web en bloquant tout processus sortant sur l’appareil vers des hôtes / IP non approuvés via Windows Defender SmartScreen.
  • Accès contrôlé aux dossiers : protège les données sensibles des ransomwares en empêchant les processus non approuvés d’accéder à vos dossiers protégés.
  • Protection contre les exploits : ensemble d’atténuation des exploits (remplaçant EMET) qui peut être facilement configuré pour protéger votre système et vos applications.

Ci-dessous l’Exploit Protection.
On trouve l’exploit protection depuis le centre de sécurité Windows Defender > Contrôle des applications et du navigateur > Exploit Protection.

La Protection DMA

La Protection DMA du noyau pour protéger les PC contre les attaques DMA (Direct Memory Access) en utilisant des périphériques PCI enfichables à chaud connectés aux ports Thunderbolt 3.
Les attaques DMA au volant peuvent conduire à la divulgation d’informations sensibles résidant sur un PC, voire à l’injection de logiciels malveillants qui permettent aux attaquants de contourner l’écran de verrouillage ou de contrôler les PC à distance.

La protection DMA du noyau nécessite une nouvelle prise en charge du micrologiciel UEFI avec des PC Intel.
La sécurité basée sur la virtualisation (VBS) n’est pas requise.

Cette fonction ne protège pas contre toutes les matériels.
Cette fonctionnalité ne protège pas contre les attaques DMA via 1394 / FireWire, PCMCIA, CardBus, ExpressCard, etc.

Pour en bénéficier, vous devez activer l’isolation du noyau : Activer/désactiver l’isolation du noyau de Windows 10.

Pour vérifier si la protection DMA est active :

  • Sur votre clavier, appuyez sur les touches Windows + R
  • puis saisissez msinfo32.exe et OK.
  • En bas vérifiez si la protection DMA du noyau est active.

Comment activer Device Guard et la protection DMA

Pour commencer, il faut activer la virtualisation Intel ou AMD dans le BIOS de votre PC.
Ensuite on active et installe le bac à sables Windows 10.

  • Accéder au BIOS de l’ordinateur
  • Ensuite cherchez et activez dans les options avancées de la partie processeur
    • Soit l’option Hyper-V
    • Soit une option de virtualisation Intel
  • Enfin quitter le bios et enregistrer les modifications.
Activer la virtualisation dans le BIOS
Activer la virtualisation dans le BIOS
  • Redémarrez votre PC sur Windows 10.
  • Ouvrez le Panneau de configuration de Windows 10.
  • Puis Programme et fonctionnalités
  • à gauche, allez dans activer ou désactiver des fonctionnalités Windows.
  • enfin cochez Guard Host.
  • L’installation s’effectue et un redémarre du PC n’est nécessaire.
Comment activer Device Guard et la protection DMA

Pour configurer ce dernier :

  • Sur votre clavier, appuyez sur les touches Windows + R
  • puis saisissez gpedit.msc et OK.
  • Déroulez Configuration de l’ordinateur > Modèles d’administration > Système > Device Guard.
  • A droite, double-cliquez sur Activer la sécurité basée sur la virtualisation.
  • Enfin à gauche, vous pouvez configurer les éléments de Device Guard.

Lisez bien la partie de droite.

Comment activer Device Guard et la protection DMA

Enfin avec les informations systèmes, on peut visualiser la configuration en bas à droite.

  • Sécurité basée sur la virtualisation indique si Device Guard est actif.
  • Protection DMA du noyau indique si la protection est active.
  • Services configurés pour la sécurité basée sur la virtualisation permet de vérifier si Crendial Guard est actif.
Comment activer Device Guard et la protection DMA

A titre de comparaison, voici les informations systèmes lorsque la virtualisation et Device Guard ne sont pas actifs.

Comment activer Device Guard et la protection DMA
Bravo ! Vous avez activé Device Guard et la protection DMA. Votre PC en Windows 10 est donc mieux protégé contre les malwares et attaques.

Liens

Sources externes :

(Visité 344 fois, 1 visites ce jour)
Une question informatique ?
Un virus à supprimer ? Votre PC est lent ?
Demander de l'aide sur le forum
54 Partages
Tweetez
Partagez54
Enregistrer
Partagez