sécurité basée sur la virtualisation (VBS)
La sécurité basée sur la virtualisation, ou VBS, utilise la virtualisation matérielle et l’hyperviseur Windows pour créer un environnement virtuel isolé qui devient la racine de confiance du système d’exploitation qui suppose que le noyau peut être compromis. Windows utilise cet environnement isolé pour héberger un certain nombre de solutions de sécurité, leur offrant une protection considérablement accrue contre les vulnérabilités dans le système d’exploitation et empêchant l’utilisation d’attaques malveillantes qui tentent de vaincre les protections. VBS applique des restrictions pour protéger les ressources vitales du système et du système d’exploitation, ou pour protéger les ressources de sécurité telles que les informations d’identification d’utilisateur authentifiées.
L’intégrité de la mémoire est un exemple de solution de sécurité, qui protège et renforce Windows en exécutant l’intégrité du code en mode noyau dans l’environnement virtuel isolé de VBS. L’intégrité du code en mode noyau est le processus Windows qui vérifie tous les pilotes et fichiers binaires en mode noyau avant leur démarrage, et empêche le chargement de fichiers système ou de pilotes non signés ou non approuvés dans la mémoire système. L’intégrité de la mémoire limite également les allocations de mémoire du noyau qui peuvent être utilisées pour compromettre le système, en veillant à ce que les pages mémoire du noyau ne soient rendues exécutables qu’après avoir passé des vérifications d’intégrité du code dans l’environnement d’exécution sécurisé, et que les pages exécutables elles-mêmes ne sont jamais accessibles en écriture. De cette façon, même s’il existe des vulnérabilités telles qu’un dépassement de mémoire tampon qui permettent aux programmes malveillants de tenter de modifier la mémoire, les pages de codes exécutables ne peuvent pas être modifiées et la mémoire modifiée ne peut pas être rendue exécutable.
Notes
L’intégrité de la mémoire est parfois appelée intégrité du code protégée par l’hyperviseur (HVCI) ou intégrité du code appliquée à l’hyperviseur, et a été initialement publiée dans le cadre de Device Guard. Device Guard n’est plus utilisé, sauf pour localiser l’intégrité de la mémoire et les paramètres VBS dans stratégie de groupe ou le Registre Windows.
VBS nécessite que les composants suivants soient présents et correctement configurés.
Notez que le module de plateforme sécurisée n’est pas obligatoire, mais nous vous recommandons vivement d’implémenter le module de plateforme sécurisée.
Configuration matérielle | Détails |
---|---|
Processeur 64 bits | La sécurité basée sur la virtualisation (VBS) nécessite l’hyperviseur Windows, qui est uniquement pris en charge sur les processeurs IA 64 bits avec des extensions de virtualisation, notamment Intel VT-X et AMD-v. |
Traduction d’adresse de second niveau (SLAT, Second Level Address Translation) | VBS nécessite également que la prise en charge de la virtualisation du processeur inclue la traduction d’adresses de deuxième niveau (SLAT), Intel VT-X2 avec des tables de pages étendues (EPT) ou AMD-v avec l’indexation de virtualisation rapide (RVI). |
IOMWU ou SMMUs (Intel VT-D, AMD-Vi, Arm64 SMMUs) | Tous les appareils d’E/S compatibles avec DMA doivent se trouver derrière un IOMMU ou un SMMU. Un IOMMU peut être utilisé pour améliorer la résilience du système contre les attaques de mémoire. |
Trusted Platform Module (TPM) 2.0 | Les TPM, discrets ou microprogrammes, suffiront. Pour plus d’informations, consultez Module de plateforme sécurisée (TPM) 2.0. |
Prise en charge du microprogramme pour la protection SMM | Le microprogramme système doit respecter les recommandations de renforcement du code SMM décrites dans la spécification WMST (Security Mitigations Table) Windows SMM. La spécification WSMT contient les détails d’une table ACPI qui a été créée pour une utilisation avec les systèmes d’exploitation Windows qui prennent en charge les fonctionnalités VBS. Le microprogramme doit implémenter les protections décrites dans la spécification WSMT et définir les indicateurs de protection correspondants comme décrit dans la spécification pour signaler la conformité à ces exigences au système d’exploitation. |
Rapports de mémoire UEFI (Unified Extensible Firmware Interface) | Le microprogramme UEFI doit respecter le format de création de rapports de carte mémoire et les instructions d’allocation de mémoire suivants pour que le microprogramme garantisse la compatibilité avec VBS.
|
Demande de remplacement de mémoire sécurisée (MOR) révision 2 | Le mor sécurisé v2 est amélioré pour protéger le paramètre de verrouillage MOR à l’aide d’une variable sécurisée UEFI. Cela permet de vous protéger contre les attaques de mémoire avancées. Pour plus d’informations, consultez Implémentation de mor sécurisé. |
Pilotes compatibles avec l’intégrité de la mémoire | Vérifiez que tous les pilotes système ont été testés et vérifiés pour être compatibles avec l’intégrité de la mémoire. Le kit de pilotes Windows et le vérificateur de pilotes contiennent des tests de compatibilité des pilotes avec l’intégrité de la mémoire. Il existe trois étapes pour vérifier la compatibilité des pilotes :
|
VBS fonctionne sur les machines virtuelles qui prennent en charge la virtualisation imbriquée. Cela inclut toutes les machines virtuelles Gen2 et les machines virtuelles Gen1 qui prennent en charge la virtualisation imbriquée. La liste des séries de machines virtuelles prises en charge est détaillée dans le tableau ci-dessous.
Nom de la série de machines virtuelles | Virtualisation imbriquée | VM Gen |
---|---|---|
Av2 | Oui | 1 (certaines tailles internes prennent en charge la génération 2) |
B | Non | 1 et 2 |
Dsv2/Dv2/Dv3/Ev3 | Oui | 1 |
Dsv3/Ddsv3 | Oui | 1 et 2 |
Dsv4/Ddsv4 | Oui | 1 et 2 |
Esv3/Edsv3 | Oui | 1 et 2 |
Esv4/Edsv4 | Oui | 1 et 2 |
Ev4/Edv4 | Oui | Ev4 - 1 uniquement Edv4 -1&2 |
Dv4/Ddv4 | Oui | 1 et 2 |
Dv5/Ddv5/Dsv5/Ddsv5 | Oui | 1 et 2 |
Ev5/Edv5/Esv5/Edsv5 | Oui | 1 et 2 |
Dasv5/Dadsv5/Easv5/ Eadsv5 | Oui | 1 et 2 |
Ebsv5/Edbsv5 | Oui | 1 et 2 |
Fsv2 | Oui | 1 et 2 |
Fx | Oui | 2 |
Lsv2 | Oui | 1 et 2 |
Rubriques connexes
Pour plus d’informations sur Hyper-V, consultez Hyper-V sur Windows Server 2016 ou Présentation d’Hyper-V sur Windows 10. Pour plus d’informations sur l’hyperviseur, consultez Spécifications de l’hyperviseur.