Windows 11 PC à cœur sécurisé
Microsoft travaille en étroite collaboration avec les partenaires OEM pour garantir que tous les systèmes Windows certifiés fournissent un environnement d’exploitation sécurisé. Windows s’intègre étroitement au matériel pour fournir des protections qui tirent parti des fonctionnalités matérielles disponibles :
- Sécurité Windows de base – base de référence recommandée pour tous les systèmes individuels qui fournissent des protections fondamentales de l’intégrité du système. Tire parti de TPM 2.0 pour une racine matérielle de confiance, de démarrage sécurisé et de chiffrement de lecteur BitLocker.
- Sécurité basée sur la virtualisation activée – tire parti des fonctionnalités de virtualisation du matériel et de l’hyperviseur pour fournir une protection supplémentaire pour les sous-systèmes et les données critiques.
- Cœur sécurisé – recommandé pour les systèmes et les secteurs les plus sensibles, tels que les services financiers, les soins de santé et les agences gouvernementales. S’appuie sur les couches précédentes et exploite les capacités avancées du processeur pour fournir une protection contre les attaques du microprogramme.
PC à cœur sécurisé
Microsoft travaille en étroite collaboration avec des partenaires de fabricant d’ordinateurs OEM et des fournisseurs de silicium pour construire des PC à cœur sécurisé qui intègrent en profondeur le matériel, les microprogrammes et les logiciels afin de garantir une sécurité accrue des appareils, des identités et des données.
Les PC de base sécurisés fournissent des protections utiles contre les attaques sophistiquées et peuvent fournir une assurance accrue lors de la gestion des données stratégiques dans certains des secteurs les plus sensibles aux données, tels que les professionnels de la santé qui gèrent les dossiers médicaux et d’autres informations d’identification personnelle (PII), les rôles commerciaux qui gèrent un impact élevé sur l’entreprise et les données hautement sensibles, comme un contrôleur financier avec des données de revenus.
Pour les ordinateurs portables, tablettes, 2-en-1, stations de travail mobiles et ordinateurs de bureau à usage général, Microsoft recommande d’utiliser les bases de référence de sécurité pour une configuration optimale. Pour plus d’informations, consultez Bases de référence de sécurité Windows.
La sécurité Windows de base est prise en charge par le démarrage sécurisé, le chiffrement d’appareil Bitlocker, Microsoft Defender, Windows Hello et une puce TPM 2.0 pour fournir une racine matérielle de confiance pour la plateforme du système d’exploitation. Ces fonctionnalités sont conçues pour sécuriser les appareils modernes à usage général. Si vous êtes un décideur qui achète de nouveaux appareils, vos appareils doivent répondre aux exigences de sécurité Windows de base.
Comment reconnaître un PC à noyau sécurisé
| Avantage | Fonctionnalité | Configuration matérielle/microprogramme requise | Sécurité Windows de base | PC à cœur sécurisé |
|---|---|---|---|---|
| Créer une racine de confiance matérielle | ||||
| Démarrage sécurisé | Le démarrage sécurisé est activé dans le BIOS par défaut. | ✅ | ✅ | |
| Démarrage sécurisé | Approbation par défaut pour les chargeurs de démarrage Microsoft uniquement, avec option BIOS permettant d’activer l’approbation pour les chargeurs de démarrage non Microsoft | ✅ | ||
| Module de plateforme sécurisée 2.0 (TPM) | Répond aux dernières exigences de Microsoft pour la spécification TCG (Trusted Computing Group) | ✅ | ✅ | |
| Protection DMA (Direct Memory Access) | L’appareil prend en charge la protection d’accès à la mémoire (protection DMA du noyau) | ✅ | ✅ | |
| Se défendre contre les attaques au niveau du microprogramme (l’une des 2 approches spécifiées peut être utilisée) | System Guard lancement sécurisé (D-RTM) avec isolation en mode de gestion du système (SMM) | Activé sur l’appareil (via le lancement sécurisé) | ✅ | ✅ |
| S-RTM et MM autonome avec superviseur MM (l’approche implémentée sur les appareils FASR) | Pris en charge sur les appareils qui ont le microprogramme FASR | ✅ | ||
| Protéger le système d’exploitation contre l’exécution de code non vérifié | Intégrité du code de l’hyperviseur (HVCI) | Activé sur l’appareil | ✅ | ✅ |
| Fournir une vérification et une protection d’identité avancées | Windows Hello avec sécurité d’ouverture de session renforcée (ESS) | Un appareil avec Windows Hello avec ESS est activé s’il dispose des composants matériels ESS intégrés pour l’authentification par visage ou empreinte digitale, ainsi que la prise en charge nécessaire dans le BIOS | ✅* | ✅ |
| Protéger les données critiques si un appareil est perdu, volé ou confisqué | Chiffrement BitLocker | BitLocker peut tirer parti du module TPM 2.0 pour chiffrer et protéger les données | ✅ | ✅ |
*Uniquement possible sur les appareils qui ont des capteurs de connexion biométrique Windows Hello intégrés ou des capteurs d’empreinte digitale.