Windows 11 PC de cœur sécurisé
Microsoft travaille en étroite collaboration avec les partenaires OEM pour vous assurer que tous les systèmes Windows certifiés fournissent un environnement d’exploitation sécurisé. Windows s’intègre étroitement au matériel pour fournir des protections qui tirent parti des fonctionnalités matérielles disponibles :
- Sécurité Windows de référence : base de référence recommandée pour tous les systèmes individuels qui fournit des protections d’intégrité du système de base. Tire parti du module TPM 2.0 pour une racine matérielle de confiance, un démarrage sécurisé et un chiffrement de lecteur BitLocker.
- Sécurité basée sur la virtualisation activée : tire parti des fonctionnalités de virtualisation du matériel et de l’hyperviseur pour fournir une protection supplémentaire pour les sous-systèmes critiques et les données.
- Cœur sécurisé : recommandé pour les systèmes et les secteurs les plus sensibles comme les organismes financiers, médicaux et gouvernementaux. S’appuie sur les couches précédentes et tire parti des fonctionnalités avancées du processeur pour assurer la protection contre les attaques de microprogramme.
PC de cœur sécurisé
Microsoft travaille en étroite collaboration avec les partenaires OEM et les fournisseurs de silicon pour créer des PC de base sécurisés qui disposent d’un matériel, d’un microprogramme et d’un logiciel profondément intégrés pour garantir une sécurité renforcée pour les appareils, les identités et les données.
Les PC de base sécurisés offrent des protections utiles contre les attaques sophistiquées et peuvent fournir une assurance accrue lors de la gestion des données critiques dans certains des secteurs les plus sensibles aux données, tels que les travailleurs de la santé qui gèrent les dossiers médicaux et d’autres informations d’identification personnelle (PII), les rôles commerciaux qui gèrent des données commerciales à fort impact commercial et hautement sensibles, tels qu’un contrôleur financier avec des données de revenus.
Pour les ordinateurs portables à usage général, les tablettes, les stations de travail mobiles, les stations de travail mobiles et les postes de travail 2-in-1, Microsoft recommande d’utiliser des lignes de base de sécurité pour une configuration optimale. Pour plus d’informations, consultez les bases de référence de sécurité Windows.
La sécurité Windows de base est prise en charge par le démarrage sécurisé, le chiffrement d’appareil Bitlocker, Microsoft Defender, Windows Hello et une puce TPM 2.0 pour fournir une racine matérielle de confiance pour la plateforme du système d’exploitation. Ces fonctionnalités sont conçues pour sécuriser les appareils modernes à usage général. Si vous êtes un décideur qui achète de nouveaux appareils, vos appareils doivent répondre aux exigences de sécurité Windows de référence.
Ce qui rend un PC sécurisé
| Avantage | Fonctionnalité | Configuration matérielle/microprogramme requise | Sécurité Windows de référence | PC de cœur sécurisé |
|---|---|---|---|---|
| Créer une racine de confiance sauvegardée sur le matériel | ||||
| Démarrage sécurisé | Le démarrage sécurisé est activé dans le BIOS par défaut. | ✓ | ✓ | |
| Démarrage sécurisé | Approbation par défaut pour les chargeurs de démarrage Microsoft uniquement avec l’option BIOS permettant d’activer l’approbation pour les chargeurs de démarrage non-Microsoft | ✓ | ||
| Module de plateforme sécurisée 2.0 (TPM) | Répondre aux dernières exigences de Microsoft pour la spécification tcG (Trusted Computing Group) | ✓ | ✓ | |
| Protection DMA (Direct Memory Access) | L’appareil prend en charge la protection de l’accès à la mémoire (protection DMA du noyau) | ✓ | ✓ | |
| Se défendre contre les attaques au niveau du microprogramme (l’une des 2 approches spécifiées peut être utilisée) | Lancement sécurisé de System Guard (D-RTM) avec isolation SMM (System Management Mode) | Activé sur l’appareil (via le lancement sécurisé) | ✓ | ✓ |
| S-RTM et MM autonomes avec superviseur MM (l’approche implémentée sur les appareils FASR) | Pris en charge sur les appareils qui ont le microprogramme FASR | ✓ | ||
| Protéger le système d’exploitation contre l’exécution de code non vérifié | Intégrité du code hyperviseur (HVCI) | Activé sur l’appareil | ✓ | ✓ |
| Fournir une vérification et une protection avancées des identités | Windows Hello | Si l’appareil prend en charge Windows Hello, ces implémentations doivent être compatibles avec la connexion améliorée. « Capable » signifie :
|
✓* | ✓ |
| Protéger les données critiques si un appareil est perdu, volé ou confisqué | Chiffrement BitLocker | BitLocker peut tirer parti du module TPM 2.0 pour chiffrer et protéger les données | ✓ | ✓ |
*Possible sur certains appareils