Vue d’ensemble de la sécurité Surface
Les avancées récentes de la recherche sur la sécurité montrent qu’à mesure que de plus en plus de protections sont intégrées au système d’exploitation et aux services connectés, les attaquants recherchent d’autres voies d’exploitation avec des microprogrammes émergent comme cible principale.
Aujourd’hui, la gestion du microprogramme d’appareil est une expérience incohérente et implique souvent des fournisseurs tiers, ce qui rend le microprogramme difficile à surveiller et compliqué à gérer. En fin de compte, cela peut limiter la capacité des fabricants de matériel à détecter et à envoyer des mises à jour en temps opportun en réponse aux menaces.
Microsoft Surface utilise une approche unifiée de la protection des microprogrammes et de la sécurité des appareils depuis 2015, par le biais d’une propriété complète de bout en bout de la conception matérielle, du développement de microprogrammes en interne et d’une approche holistique des mises à jour et de la gestion des appareils.
Pour Surface, notre interface UEFI (Unified Extensible Firmware Interface) est gérée en interne, régulièrement mise à jour via Windows Update et déployée en toute transparence pour la gestion via Windows Autopilot, ce qui réduit les risques et optimise le contrôle au niveau du microprogramme avant le démarrage de l’appareil. Microsoft fournit une transparence totale du codebase dans notre UEFI via le Projet Open Source Mu sur GitHub, géré par Microsoft Intune centre d’administration.
Composants conçus et générés par Microsoft
Chaque couche de Surface, de la puce au cloud, est gérée par Microsoft, ce qui vous offre un contrôle ultime, une protection proactive et une tranquillité d’esprit où que vous soyez. Les appareils Surface sont fournis avec les protocoles de sécurité les plus puissants que Microsoft offre et permettent une gestion rationalisée qui réduit la complexité informatique et aide les utilisateurs à rester concentrés sur leur travail.
Surface favorise la sécurité par le biais d’une approche de défense en profondeur en utilisant une superposition de sous-composants défensifs indépendants. De la puce au cloud, ou un UEFI qui garantit une racine de confiance à l’Microsoft Defender pour point de terminaison alimenté par l’IA qui fonctionne pour prévenir, détecter, examiner et répondre aux menaces avancées, Surface applique la position selon laquelle l’intégré de Microsoft est mieux que le bolt-on.
| Fonctionnalité | Description | En savoir plus |
|---|---|---|
| Microsoft Built UEFI | Logiciel qui configure l’appareil et démarre Windows 10 Contrôle le démarrage initial de l’appareil et Windows 10, puis fournit des services d’exécution du microprogramme au système d’exploitation. Garantit un contrôle beaucoup plus important sur le matériel d’un appareil via la gestion locale de SEMM et la gestion cloud DFCI via Microsoft Intune centre d’administration |
Gérer les paramètres UEFI Surface |
| TPM physique 2.0 | Module de plateforme sécurisée : microcontrôleur dédié conçu pour sécuriser le matériel par le biais de clés de chiffrement intégrées. Chiffre et stocke les clés (BitLocker, Windows Hello, informations d’identification AD) PCR - Registres de configuration de la plateforme qui sécurisent les mesures et les métriques pertinentes pour détecter les modifications apportées à la configuration précédente |
Vue d’ensemble de la technologie de module de plateforme sécurisée |
| Windows Hello Entreprise | Remplace les mots de passe par une authentification à deux facteurs forte sur les PC et les appareils mobiles. Cette authentification biométrique se compose d’un nouveau type d’informations d’identification utilisateur liée à un appareil. | Fonctionnement Windows Hello Entreprise - Sécurité Microsoft 365 |
| Chiffrement intégré | Le chiffrement intégré est activé par BitLocker pour sécuriser et chiffrer vos données, et Windows Hello pour activer la connexion sans mot de passe, combinée avec le TPM physique et l’UEFI. | BitLocker (Windows 10) - Sécurité Microsoft 365 |
| Microsoft Defender pour point de terminaison | Fournit une plateforme de sécurité de point de terminaison d’entreprise conçue pour aider les réseaux à prévenir, détecter, examiner et répondre aux menaces avancées. | Microsoft Defender pour point de terminaison |
Protocoles de sécurité et inspection au niveau de l’usine
Du microprogramme au système d’exploitation et à chaque composant matériel avant l’assemblage final, les appareils Surface sont à l’abri des attaques de chaîne d’approvisionnement dans nos installations de développement et de fabrication physiquement sécurisées.
Par définition, une chaîne d’approvisionnement sécurisée fournit des produits finis qui répondent à des objectifs de qualité, de performances et d’exploitation. En termes simples, une chaîne d’approvisionnement sécurisée garantit que tous les composants sont authentiques et exempts de manipulation ou de sabotage non autorisés ou malveillants. Nous fabriquons des appareils dans des usines hautement sécurisées où tout, du microprogramme UEFI au système d’exploitation provient directement de Microsoft. Aucun fournisseur BIOS tiers n’est impliqué. Il s’agit d’une partie importante de notre protection contre les attaques de chaîne d’approvisionnement pour les produits Surface. Nous avons réduit la surface d’attaque dans notre UEFI en supprimant tout code inutilisé, y compris les fonctions SMM du mode de gestion système dont nos appareils n’ont pas besoin.
La protection des installations contre les attaques externes basées sur Internet, les intrusions et d’autres menaces nécessite un investissement continu dans des domaines critiques, notamment :
- Inspection et test rigoureux de tous les composants aux emplacements d’assemblage final.
- Maintien de niveaux élevés de sécurité physique à l’usine.
- Utilisation uniquement du microprogramme, des pilotes et du système d’exploitation gérés par Microsoft.
- Logistique sécurisée et livraison par opérateur fiable des appareils Surface directement aux revendeurs Microsoft.
À la sortie de l’usine, Surface pour l'entreprise appareils sont protégés via Windows Update tout au long du cycle de vie.
Fonctionnalités de sécurité Windows avancées
L’escalade des attaques de privilèges est le meilleur ami d’un acteur malveillant, et elles ciblent souvent des informations sensibles stockées en mémoire. Ces types d’attaques peuvent transformer une compromission mineure du mode utilisateur en une compromission totale de votre système d’exploitation et de votre appareil. Pour lutter contre ces types d’attaques, Microsoft a développé la sécurité basée sur la virtualisation (VBS) et l’intégrité du code protégée par l’hyperviseur (HVCI, communément appelée intégrité de la mémoire). VBS et HVCI utilisent la puissance des fonctionnalités matérielles telles que la virtualisation pour fournir une meilleure protection contre les programmes malveillants courants et sophistiqués en effectuant des opérations de sécurité sensibles dans un environnement isolé.
Surface est fourni avec ces fonctionnalités de sécurité matérielle renforcée windows activées prêtes à l’emploi pour offrir aux clients une sécurité encore plus robuste qui est intégrée et activée par défaut.
Sécurité basée sur la virtualisation
La sécurité basée sur la virtualisation, ou VBS, utilise des fonctionnalités de virtualisation matérielle pour créer et isoler une région sécurisée de mémoire du système d’exploitation standard. Windows peut utiliser ce « mode sécurisé virtuel » pour héberger un certain nombre de solutions de sécurité, ce qui leur offre une protection considérablement accrue contre les vulnérabilités dans le système d’exploitation et empêche l’utilisation d’attaques malveillantes qui tentent de vaincre les protections.
Intégrité du code Hypervisor-Enforced (HVCI)
HVCI utilise VBS pour renforcer considérablement l’application de la stratégie d’intégrité du code. L’intégrité du code en mode noyau vérifie tous les pilotes et fichiers binaires en mode noyau avant leur démarrage et empêche le chargement de pilotes ou de fichiers système non signés dans la mémoire système. Comme illustré dans le diagramme suivant, HVCI s’exécute dans un environnement d’exécution isolé et vérifie l’intégrité du code du noyau en fonction de la stratégie de signature du noyau.
VBS et HVCI sont tous les deux activés dans les appareils Surface suivants :
- Surface Pro 8
- Surface Pro 9
- Surface Pro 9 avec 5G
- Surface Pro 10
- Surface Laptop Studio
- Surface Laptop Studio 2
- Surface Go 3
- Surface Go 4
- Surface Laptop 4
- Surface Laptop 5
- Surface Laptop 6
- Surface Pro 7+
- Surface Book 3
- Surface Laptop Go
- Surface Laptop 2 Go
- Surface Pro X
- Surface Studio 2+
Sécuriser le démarrage et la protection de démarrage
La racine de confiance des appareils Surface vérifie les signatures et les mesures pour s’assurer que chaque étape est sécurisée et authentique avant d’autoriser la phase de démarrage suivante à se poursuivre. Activé par UEFI et TPM 2.0, le démarrage sécurisé garantit que seul le code signé, mesuré et correctement implémenté peut s’exécuter sur un appareil Surface.
Comme illustré dans la figure suivante, l’intégrité du microprogramme est vérifiée à chaque étape, de l’appui sur le bouton d’alimentation à l’exécution du système d’exploitation.
Figure 1. Démarrage sécurisé pour les appareils Surface
| Étape | Phase de démarrage sécurisé |
|---|---|
| 1 | La sécurité est instanciée chaque fois que le bouton d’alimentation est enfoncé à partir d’une racine de confiance fournie par le TPM. Lorsqu’un appareil est mis sous tension pour la première fois, le système exécute une série de vérifications de sécurité pour s’assurer que le microprogramme de l’appareil n’a pas été falsifié ou endommagé. |
| 2 | Lorsqu’il est sous tension, le SoC utilise une clé de fournisseur de puces pour valider et lancer le chargement du microcode à l’aide du module de code authentifié (ACM) (sur les appareils Intel). |
| 3 | L’ACM mesure le code UEFI avant le chargement et le compare à la mesure connue dans le registre de configuration de la plateforme du module de plateforme (PCR) du module de plateforme sécurisée pour s’assurer que le code UEFI n’a pas été modifié. |
| 4 | Avant d’autoriser l’exécution d’UEFI, Boot Guard vérifie que l’UEFI est signé avec une clé OEM Surface. Le module UEFI initialement vérifié est la sécurité SEC et les sections Pre-EFI de l’Île-du-Prince-Édouard indiquées dans le diagramme. |
| 5 | La section PEI recherche une signature Surface sur l’environnement d’exécution du pilote, le module DXE, au fur et à mesure qu’il est chargé. Le module DXE inclut la phase de sélection du périphérique de démarrage. |
| 6 | Une fois le périphérique de démarrage sélectionné, UEFI lit le périphérique de démarrage et vérifie la signature du chargeur de démarrage du système d’exploitation avant de l’autoriser à s’exécuter. |
| 7 | Le système d’exploitation vérifie ensuite ses signatures sur son composant main à mesure qu’il affiche le système d’exploitation. |
Protection contre les programmes malveillants
Pour protéger votre appareil contre les attaques de logiciels malveillants, Surface active le démarrage sécurisé pour s’assurer qu’une version authentique de Windows 10 est démarrée et que le microprogramme est aussi authentique que lorsqu’il a quitté l’usine.
Le SoC sur les appareils Surface dispose d’un processeur de sécurité distinct de tous les autres cœurs. Lorsque vous démarrez un appareil Surface pour la première fois, seul le processeur de sécurité démarre avant que quoi que ce soit d’autre puisse être chargé. Le démarrage sécurisé permet de vérifier que les composants du processus de démarrage, y compris les pilotes et le système d’exploitation, sont validés par rapport à une base de données de signatures valides et connues. Cela permet d’empêcher les attaques d’un système cloné ou modifié exécutant du code malveillant masqué dans ce qui semble être une expérience utilisateur par ailleurs quotidienne. Pour plus d'informations, consultez Vue d’ensemble du démarrage sécurisé.
Une fois que le système d’exploitation est vérifié comme provenant de Microsoft et que votre appareil Surface termine le processus de démarrage, l’appareil examine le code exécutable. En matière de sécurisation du système d’exploitation, notre approche consiste à identifier la signature du code de tous les fichiers exécutables et en autorisant uniquement ceux qui transmettent nos restrictions dans le runtime. Cette méthode de signature de code permet au système d’exploitation de vérifier l’auteur et de confirmer que le code n’a pas été modifié avant de l’exécuter sur l’appareil.
Protection DRTM dans les appareils AMD
Les appareils Surface contenant des processeurs AMD implémentent le démarrage sécurisé de manière équivalente. Surface Laptop 4 avec processeur AMD Ryzen Microsoft Surface Edition protège le microprogramme de la mise sous tension initiale à l’aide de la racine dynamique des mesures de confiance (DRTM). DRTM contrôle tous les processeurs, forçant l’exécution le long d’un chemin mesuré, et rétablit la confiance à différentes étapes pour vérifier l’intégrité du microprogramme/logiciel système. La transition précoce vers cet état approuvé offre une protection supplémentaire contre les attaques potentielles dans les phases de démarrage.
DRTM protège les mesures en les chiffrant à l’aide du chiffrement TSME (Total System Memory Encryption). Une fois le TSME défini, il ne peut pas être effacé, sauf par une réinitialisation du système. Une nouvelle clé de chiffrement pour chaque réinitialisation garantit un chiffrement à usage unique pour la sécurité.
Les appels d’exécution en mode de gestion du système (SMM) s’exécutent au niveau le plus élevé, ce qui peut être risqué si le code SMM rencontre des problèmes. Surface Laptop 4 avec AMD Ryzen protège le système en interceptant les interruptions de gestion du système (SMI) et distribue l’exécution du code SMM à un niveau inférieur (utilisateur) pour protéger le système contre l’accès non valide au code et aux données. La protection SMM utilise des protections matérielles pour restreindre le code, les données et les ressources système accessibles, ce qui renforce la protection contre les incidents par inadvertance ou malveillants.
Surface Laptop 4 avec AMD Ryzen prend en charge les instructions de résilience du microprogramme de la plateforme NIST 800-193, en plus de la prise en charge robuste de la mise à jour du microprogramme. Le mécanisme de mise à jour résilient pour le microprogramme de démarrage utilise un mécanisme de récupération A-B qui assure la récupération automatique d’une copie de sauvegarde du microprogramme si la séquence de démarrage détecte une copie endommagée du microprogramme pendant le démarrage.
Pour en savoir plus sur DRTM et SMM, consultez Comment un Windows Defender System Guard aide à protéger Windows 10.
Contrôle de gestion des appareils à distance
Les administrateurs informatiques peuvent gérer à distance les appareils Surface sans toucher physiquement chaque appareil. Microsoft Intune centre d’administration avec Intune et Windows Autopilot permet une gestion à distance complète des appareils Surface à partir du cloud Azure, en fournissant des appareils entièrement configurés aux utilisateurs au démarrage. Les fonctionnalités de réinitialisation et de mise hors service permettent au service informatique de réutiliser facilement un appareil pour un nouvel utilisateur distant et de réinitialiser un appareil qui a été volé. Cela permet des fonctionnalités de réponse rapides et sécurisées en cas de perte ou de vol d’un appareil Surface, ce qui vous permet de supprimer à distance toutes les données de l’entreprise et de reconfigurer Surface en tant qu’appareil entièrement nouveau.
| Fonctionnalité | Description | En savoir plus |
|---|---|---|
| DCFI (Device Firmware Configuration Interface) | Fournit une gestion à distance des microprogrammes à l’échelle du cloud avec l’approvisionnement d’appareils sans contact. L’UEFI de Microsoft permet une implémentation PLUS forte de DCFI, ce qui permet aux organisations de désactiver les éléments matériels et de verrouiller à distance UEFI à l’aide de Intune. ¹ | Gestion Intune des paramètres de surface UEFI Gérer les paramètres UEFI Surface |
| SEMM (Surface Enterprise Management Mode) | Active l’engagement d’entreprise centralisé des paramètres de microprogramme UEFI dans les environnements locaux, hybrides et cloud.¹ | Mode de gestion Surface Enterprise |
| Windows Update for Business | Permet aux administrateurs informatiques de conserver les appareils Windows 10 dans leur organization continuellement mis à jour avec les dernières défenses de sécurité, fonctionnalités Windows et microprogramme Surface en connectant directement ces systèmes au service Windows Update. Vous pouvez utiliser des solutions stratégie de groupe ou GPM telles que Microsoft Intune pour configurer les paramètres Windows Update entreprise qui contrôlent comment et quand les appareils Surface sont mis à jour. | Windows Update for Business Gérer et déployer les mises à jour du microprogramme et des pilotes Surface |
En savoir plus
- Les nouveaux PC Surface activent la sécurité basée sur la virtualisation (VBS) par défaut pour permettre aux clients d’en faire plus en toute sécurité
- L’étude met en évidence le rôle essentiel de la protection du microprogramme Surface
- Amélioration de la sécurité et de la conformité avec Microsoft Surface et Microsoft 365
- Gérer les paramètres UEFI Surface
- Gestion Intune des paramètres de surface UEFI
- Mu du projet
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour