Sécurité du système d’exploitation Windows
La sécurité et la confidentialité dépendent d’un système d’exploitation qui protège votre système et vos informations dès son démarrage, offrant une protection de circuit à cloud fondamentale. Windows 11 est la version la plus sécurisée de Windows avec des mesures de sécurité étendues conçues pour vous protéger. Ces mesures incluent un chiffrement et une protection des données avancés intégrés, une sécurité réseau et système robuste, ainsi que des protections intelligentes contre les menaces en constante évolution.
Regardez la dernière vidéo Microsoft Mechanics sur la sécurité Windows 11 qui présente certaines des dernières technologies de sécurité Windows 11.
Utilisez les liens des sections suivantes pour en savoir plus sur les fonctionnalités et fonctionnalités de sécurité du système d’exploitation dans Windows.
Sécurité du système
| Nom de la fonctionnalité | Description |
|---|---|
| Démarrage sécurisé et démarrage approuvé | Démarrage sécurisé et démarrage approuvé permettent d’empêcher le chargement des programmes malveillants et des composants endommagés au démarrage d’un appareil. Le démarrage sécurisé commence par la protection initiale du démarrage, puis le démarrage approuvé récupère le processus. Ensemble, le démarrage sécurisé et le démarrage approuvé permettent de garantir le démarrage du système en toute sécurité. |
| Démarrage mesuré | Démarrage mesuré mesure tous les paramètres de code et de configuration importants pendant le démarrage de Windows. Cela inclut : le microprogramme, le gestionnaire de démarrage, l’hyperviseur, le noyau, le noyau sécurisé et le système d’exploitation. Démarrage mesuré stocke les mesures dans le module de plateforme sécurisée sur l’ordinateur et les rend disponibles dans un journal qui peut être testé à distance pour vérifier l’état de démarrage du client. La fonctionnalité Démarrage mesuré fournit aux logiciels anti-programme malveillant un journal fiable (résistant à l’usurpation et à la falsification) de tous les composants de démarrage qui ont démarré avant lui. Le logiciel anti-programme malveillant peut utiliser le journal pour déterminer si les composants qui s’exécutaient avant lui sont dignes de confiance, ou s’ils sont infectés par des programmes malveillants. Le logiciel anti-programme malveillant sur l’ordinateur local peut envoyer le journal à un serveur distant pour évaluation. Le serveur distant peut lancer des actions de correction, soit en interagissant avec les logiciels sur le client, soit par le biais de mécanismes hors bande, le cas échéant. |
| Attestation d’intégrité des appareils | Le processus d’attestation d’intégrité des appareils Windows prend en charge un paradigme de confiance zéro qui déplace le focus des périmètres statiques basés sur le réseau vers les utilisateurs, les ressources et les ressources. Le processus d’attestation confirme que l’appareil, le microprogramme et le processus de démarrage sont en bon état et n’ont pas été falsifiés avant qu’ils puissent accéder aux ressources de l’entreprise. Les déterminations sont effectuées avec les données stockées dans le module de plateforme sécurisée, qui fournit une racine d’approbation sécurisée. Les informations sont envoyées à un service d’attestation, tel que Azure Attestation, pour vérifier que l’appareil est dans un état approuvé. Ensuite, un outil GPM comme Microsoft Intune examine l’intégrité de l’appareil et connecte ces informations à Microsoft Entra ID pour l’accès conditionnel. |
| Paramètres de stratégie de sécurité Windows et audit | Microsoft fournit un ensemble robuste de stratégies de paramètres de sécurité que les administrateurs informatiques peuvent utiliser pour protéger les appareils Windows et d’autres ressources de leur organisation. |
| Accès attribué | Certains appareils de bureau d’une entreprise ont un objectif particulier. Par exemple, un PC dans la salle d’attente que les clients utilisent pour voir votre catalogue de produits. Ou un PC affichant le contenu visuel sous forme de signe numérique. Le client Windows offre deux expériences verrouillées différentes pour une utilisation publique ou spécialisée : une borne mono-application qui exécute une seule application plateforme Windows universelle (UWP) en plein écran au-dessus de l’écran de verrouillage, ou une borne multi-application qui exécute une ou plusieurs applications à partir du bureau. Les configurations kiosque sont basées sur l’accès affecté, une fonctionnalité de Windows qui permet à un administrateur de gérer l’expérience de l’utilisateur en limitant les points d’entrée d’application exposés à l’utilisateur. |
Protection contre les virus et menaces
| Nom de la fonctionnalité | Description |
|---|---|
| Microsoft Defender Antivirus | Microsoft Defender Antivirus est une solution de protection incluse dans toutes les versions de Windows. À partir du moment où vous démarrez Windows, Microsoft Defender Antivirus surveille en permanence les programmes malveillants, les virus et les menaces de sécurité. Les mises à jour sont téléchargées automatiquement pour protéger votre appareil et le protéger contre les menaces. Microsoft Defender Antivirus inclut une protection antivirus en temps réel, basée sur le comportement et heuristique. La combinaison de l’analyse continue du contenu, de la surveillance du comportement des fichiers et des processus et d’autres méthodes heuristiques empêche efficacement les menaces de sécurité. Microsoft Defender Antivirus recherche continuellement les programmes malveillants et les menaces, et détecte et bloque également les applications potentiellement indésirables (PUA) qui sont considérées comme ayant un impact négatif sur votre appareil, mais qui ne sont pas considérées comme des programmes malveillants. |
| Protection de l’autorité de sécurité locale (LSA) | Windows a plusieurs processus critiques pour vérifier l’identité d’un utilisateur. Les processus de vérification incluent l’autorité de sécurité locale (LSA), qui est chargée d’authentifier les utilisateurs et de vérifier les connexions Windows. LSA gère les jetons et les informations d’identification tels que les mots de passe utilisés pour l’authentification unique auprès d’un compte Microsoft et des services Azure. Pour protéger ces informations d’identification, une protection LSA supplémentaire permet uniquement le chargement de code signé approuvé et offre une protection significative contre le vol d’informations d’identification. La protection LSA est activée par défaut sur les nouveaux appareils Windows 11 joints à l’entreprise, avec une prise en charge supplémentaire des contrôles de verrouillage et de gestion des stratégies non UEFI via la gestion des appareils mobiles et la stratégie de groupe. |
| Réduction de la surface d'attaque (RSA) | Les règles de réduction de la surface d’attaque (RSA) permettent d’empêcher les comportements logiciels souvent malveillants pour compromettre votre appareil ou votre réseau. En réduisant le nombre de surfaces d’attaque, vous pouvez réduire la vulnérabilité globale de votre organisation. Les administrateurs peuvent configurer des règles RSA spécifiques pour bloquer certains comportements, tels que le lancement de fichiers exécutables et de scripts qui tentent de télécharger ou d’exécuter des fichiers, l’exécution de scripts obscurcis ou suspects, l’exécution de comportements que les applications ne lancent généralement pas pendant le travail quotidien normal. |
| Paramètres de protection contre les falsifications pour les MDE | La protection contre les falsifications est une fonctionnalité de Microsoft Defender pour point de terminaison qui permet de protéger certains paramètres de sécurité, tels que la protection contre les virus et les menaces, contre la désactivation ou la modification. Pendant certains types de cyberattaques, les acteurs malveillants essaient de désactiver les fonctionnalités de sécurité sur les appareils. La désactivation des fonctionnalités de sécurité permet aux acteurs malveillants d’accéder plus facilement à vos données, d’installer des programmes malveillants et d’exploiter vos données, votre identité et vos appareils. La protection contre les falsifications permet de se protéger contre ces types d’activités. |
| Accès contrôlé aux dossiers | Vous pouvez protéger vos informations précieuses dans des dossiers spécifiques en gérant l’accès des applications à des dossiers spécifiques. Seules les applications approuvées peuvent accéder aux dossiers protégés, qui sont spécifiés lorsque l’accès contrôlé aux dossiers est configuré. Les dossiers couramment utilisés, tels que ceux utilisés pour les documents, les images, les téléchargements, sont généralement inclus dans la liste des dossiers contrôlés. L’accès contrôlé aux dossiers fonctionne avec une liste d’applications approuvées. Les applications incluses dans la liste des logiciels approuvés fonctionnent comme prévu. Les applications qui ne sont pas incluses dans la liste approuvée ne peuvent pas apporter de modifications aux fichiers dans des dossiers protégés. L’accès contrôlé aux dossiers permet de protéger les données précieuses de l’utilisateur contre les applications malveillantes et les menaces, telles que les rançongiciels. |
| Exploit Protection | Exploit Protection applique automatiquement plusieurs techniques d’atténuation des attaques aux processus et applications du système d’exploitation. Exploit Protection fonctionne mieux avec Microsoft Defender pour point de terminaison, qui fournit aux organisations des rapports détaillés sur les événements et les blocs de protection contre l’exploitation dans le cadre de scénarios d’investigation d’alerte classiques. Vous pouvez activer la protection contre l’exploitation sur un appareil individuel, puis utiliser la gestion des appareils mobiles ou la stratégie de groupe pour distribuer le fichier de configuration à plusieurs appareils. Lorsqu’une atténuation est trouvée sur l’appareil, une notification s’affiche dans le centre de notifications. Vous pouvez personnaliser la notification avec les détails et les coordonnées de l’entreprise. Vous pouvez également activer les règles individuellement pour personnaliser les techniques surveillées par la fonctionnalité. |
| Microsoft Defender SmartScreen | Microsoft Defender SmartScreen protège contre le hameçonnage, les sites web et les applications malveillants, ainsi que le téléchargement de fichiers potentiellement malveillants. Pour améliorer la protection contre le hameçonnage, SmartScreen avertit également les utilisateurs lorsqu’ils entrent leurs informations d’identification dans un emplacement potentiellement risqué. Le service informatique peut personnaliser les notifications qui s’affichent via la gestion des appareils mobiles ou la stratégie de groupe. La protection s’exécute en mode audit par défaut, ce qui donne aux administrateurs informatiques un contrôle total pour prendre des décisions concernant la création et l’application des stratégies. |
| Microsoft Defender pour point de terminaison | Microsoft Defender pour point de terminaison est une solution de détection et de réponse de point de terminaison d’entreprise qui aide les équipes de sécurité à détecter, examiner et répondre aux menaces avancées. Les organisations peuvent utiliser les données d’événements enrichies et les insights d’attaque que Defender pour point de terminaison fournit pour examiner les incidents. Defender pour point de terminaison regroupe les éléments suivants pour fournir une image plus complète des incidents de sécurité : capteurs comportementaux de point de terminaison, analyse de la sécurité cloud, renseignement sur les menaces et fonctionnalités de réponse enrichies. |
Sécurité du réseau
| Nom de la fonctionnalité | Description |
|---|---|
| TLS (Transport Layer Security) | TLS (Transport Layer Security) est un protocole de chiffrement conçu pour assurer la sécurité des communications sur un réseau. TLS 1.3 est la dernière version du protocole et est activé par défaut dans Windows 11. Cette version élimine les algorithmes de chiffrement obsolètes, améliore la sécurité par rapport aux versions antérieures et vise à chiffrer autant de négociations TLS que possible. La négociation est plus performante avec un aller-retour en moins par connexion en moyenne, et ne prend en charge que cinq suites de chiffrement fortes qui offrent un secret de transfert parfait et moins de risques opérationnels. |
| Sécurité dns (Domain Name System) | À compter de Windows 11, le client DNS Windows prend en charge DNS sur HTTPS (DoH), un protocole DNS chiffré. Cela permet aux administrateurs de s’assurer que leurs appareils protègent les requêtes DNS contre les attaquants sur le chemin d’accès, qu’il s’agisse d’observateurs passifs journalisant le comportement de navigation ou d’attaquants actifs qui tentent de rediriger les clients vers des sites malveillants. Dans un modèle de confiance zéro où aucune approbation n’est placée dans une limite réseau, une connexion sécurisée à un programme de résolution de noms approuvé est requise. |
| Couplage Bluetooth et la protection de la connexion | Le nombre d’appareils Bluetooth connectés à Windows continue d’augmenter. Windows prend en charge tous les protocoles de couplage Bluetooth standard, y compris les connexions classiques et LE Secure, le couplage simple sécurisé et le jumelage hérité classique et LE. Windows implémente également la confidentialité LE basée sur l’hôte. Les mises à jour De Windows aident les utilisateurs à rester à jour avec les fonctionnalités de sécurité du système d’exploitation et des pilotes conformément au Bluetooth Special Interest Group (SIG), aux rapports de vulnérabilité standard et aux problèmes qui dépassent ceux requis par les normes principales du secteur Bluetooth. Microsoft recommande vivement aux utilisateurs de s’assurer que leur microprogramme et/ou logiciel de leurs accessoires Bluetooth sont à jour. |
| Sécurité Wi-Fi | Wi-Fi'accès protégé (WPA) est un programme de certification de sécurité conçu pour sécuriser les réseaux sans fil. WPA3 est la dernière version de la certification et fournit une méthode de connexion plus sécurisée et plus fiable par rapport à WPA2 et aux protocoles de sécurité plus anciens. Windows prend en charge trois modes WPA3 : WPA3 personnel avec le protocole Hash-to-Element (H2E), WPA3 Enterprise et WPA3 Enterprise 192 bits Suite B. Windows 11 prend également en charge WPA3 Enterprise défini par WFA qui inclut une validation améliorée du certificat de serveur et TLS 1.3 pour l’authentification à l’aide de l’authentification EAP-TLS. |
| Chiffrement sans fil opportuniste (OWE) | Le chiffrement sans fil opportuniste est une technologie qui permet aux appareils sans fil d’établir des connexions chiffrées aux points d’accès Wi-Fi publics. |
| Pare-feu Windows | Le Pare-feu Windows fournit un filtrage bidirectionnel du trafic réseau basé sur l’hôte, bloquant le trafic non autorisé entrant ou sortant de l’appareil local en fonction des types de réseaux auxquels l’appareil est connecté. Le Pare-feu Windows réduit la surface d’attaque d’un appareil avec des règles pour restreindre ou autoriser le trafic par de nombreuses propriétés telles que les adresses IP, les ports ou les chemins d’accès du programme. La réduction de la surface d’attaque d’un appareil augmente la facilité de gestion et réduit la probabilité d’une attaque réussie. Avec son intégration à Internet Protocol Security (IPsec), le Pare-feu Windows offre un moyen simple d’appliquer des communications réseau authentifiées de bout en bout. Il fournit un accès évolutif et étagé aux ressources réseau approuvées, ce qui permet d’appliquer l’intégrité des données et éventuellement de protéger la confidentialité des données. Le Pare-feu Windows est un pare-feu basé sur l’hôte inclus avec le système d’exploitation. Aucun matériel ou logiciel supplémentaire n’est requis. Le Pare-feu Windows est également conçu pour compléter les solutions de sécurité réseau non Microsoft existantes via une interface de programmation d’applications (API) documentée. |
| Réseau privé virtuel (VPN) | La plateforme cliente VPN Windows inclut des protocoles VPN intégrés, une prise en charge de la configuration, une interface utilisateur VPN commune et une prise en charge de la programmation pour les protocoles VPN personnalisés. Les applications VPN sont disponibles dans le Microsoft Store pour les VPN d’entreprise et de consommateur, y compris les applications pour les passerelles VPN d’entreprise les plus populaires. Dans Windows 11, les contrôles VPN les plus couramment utilisés sont intégrés directement dans le volet Actions rapides. Dans le volet Actions rapides, les utilisateurs peuvent voir l’état de leur VPN, démarrer et arrêter les tunnels VPN et accéder à l’application Paramètres pour plus de contrôles. |
| VPN Always On (tunnel d’appareil) | Avec Always On VPN, vous pouvez créer un profil VPN dédié pour l’appareil. Contrairement à User Tunnel, qui se connecte uniquement après qu’un utilisateur s’est connecté à l’appareil, Device Tunnel permet au VPN d’établir la connectivité avant la connexion d’un utilisateur. Device Tunnel et User Tunnel fonctionnent indépendamment avec leurs profils VPN, peuvent être connectés en même temps et peuvent utiliser différentes méthodes d’authentification et d’autres paramètres de configuration VPN, le cas échéant. |
| Direct Access | DirectAccess permet aux utilisateurs distants de se connecter aux ressources réseau de l’organisation sans avoir besoin de connexions VPN (Virtual Private Network) traditionnelles. Avec les connexions DirectAccess, les appareils distants sont toujours connectés à l’organisation et il n’est pas nécessaire que les utilisateurs distants démarrent et arrêtent les connexions. |
| Service de fichiers Server Message Block (SMB) | Le chiffrement SMB fournit un chiffrement de bout en bout des données SMB et protège les données contre les occurrences d’écoute sur les réseaux internes. Dans Windows 11, le protocole SMB comporte des mises à jour de sécurité importantes, notamment le chiffrement AES-256 bits, la signature SMB accélérée, le chiffrement réseau RDMA (Remote Directory Memory Access) et SMB sur QUIC pour les réseaux non approuvés. Windows 11 introduit les suites de chiffrement AES-256-GCM et AES-256-CCM pour le chiffrement SMB 3.1.1. Les administrateurs Windows peuvent imposer l’utilisation d’une sécurité plus avancée ou continuer à utiliser le chiffrement AES-128 plus compatible et toujours sécurisé. |
| Serveur Message Block Direct (SMB Direct) | SMB Direct (SMB sur accès direct à la mémoire à distance) est un protocole de stockage qui permet des transferts directs de données de mémoire à mémoire entre l’appareil et le stockage, avec une utilisation minimale du processeur, tout en utilisant des cartes réseau compatibles RDMA standard. SMB Direct prend en charge le chiffrement et vous pouvez désormais utiliser la même sécurité que le protocole TCP traditionnel et les performances de RDMA. Auparavant, l’activation du chiffrement SMB désactivait la sélection élective des données directes, ce qui rendait RDMA aussi lent que TCP. Les données sont désormais chiffrées avant la sélection élective, ce qui entraîne une dégradation relativement mineure des performances lors de l’ajout de la confidentialité des paquets protégés par AES-128 et AES-256. |
Chiffrement et protection des données
| Nom de la fonctionnalité | Description |
|---|---|
| Gestion de BitLocker | Le fournisseur de services de chiffrement BitLocker permet à une solution MDM, comme Microsoft Intune, de gérer les fonctionnalités de chiffrement BitLocker sur les appareils Windows. Cela inclut les volumes de système d’exploitation, les lecteurs fixes et le stockage pouvant être supprimé, ainsi que la gestion des clés de récupération dans Microsoft Entra ID. |
| Activation de BitLocker | Le chiffrement de lecteur BitLocker est une fonctionnalité de protection des données intégrée au système d’exploitation, qui s’attaque aux menaces que constituent le vol ou l’exposition de données provenant des ordinateurs perdus, volés ou mis hors service de façon inappropriée. BitLocker utilise l’algorithme AES en mode XTS ou CBC avec une longueur de clé de 128 bits ou 256 bits pour chiffrer les données sur le volume. Le stockage cloud sur Microsoft OneDrive ou Azure peut être utilisé pour enregistrer le contenu de la clé de récupération. BitLocker peut être géré par n’importe quelle solution GPM telle que Microsoft Intune, à l’aide d’un fournisseur de services de configuration (CSP). BitLocker fournit le chiffrement pour le système d’exploitation, les données fixes et les lecteurs de données amovibles, en tirant parti de technologies telles que l’interface de test de sécurité matériel (HSTI), la veille moderne, le démarrage sécurisé UEFI et le module de plateforme sécurisée (TPM). |
| Disques durs chiffrés | Les disques durs chiffrés sont une classe de disques durs qui sont auto-chiffrés au niveau matériel et autorisent le chiffrement complet du matériel de disque tout en étant transparents pour l’utilisateur de l’appareil. Ces lecteurs combinent les avantages de sécurité et de gestion fournis par Chiffrement de lecteur BitLocker avec la puissance des lecteurs de chiffrement automatique. En déchargeant les opérations de chiffrement sur le matériel, les disques durs chiffrés augmentent les performances de BitLocker et réduisent l’utilisation du processeur et la consommation d’énergie. Étant donné que les disques durs chiffrés chiffrent rapidement les données, le déploiement de BitLocker peut être étendu sur les appareils d’entreprise, avec peu ou pas d’impact sur la productivité. |
| Chiffrement de données personnelles (PDE) | Le chiffrement des données personnelles (PDE) fonctionne avec BitLocker et Windows Hello Entreprise pour protéger davantage les documents utilisateur et autres fichiers, notamment lorsque l’appareil est activé et verrouillé. Les fichiers sont chiffrés automatiquement et en toute transparence pour offrir aux utilisateurs une sécurité accrue sans interrompre leur flux de travail. Windows Hello Entreprise est utilisé pour protéger le conteneur, qui héberge les clés de chiffrement utilisées par PDE. Lorsque l’utilisateur se connecte, le conteneur est authentifié pour libérer les clés dans le conteneur afin de déchiffrer le contenu de l’utilisateur. |
| Chiffrement Email (S/MIME) | Le chiffrement des e-mails permet aux utilisateurs de chiffrer les courriers électroniques sortants et les pièces jointes, de sorte que seuls les destinataires ayant un ID numérique (certificat) peuvent les lire. Les utilisateurs peuvent signer numériquement un message, ce qui vérifie l’identité de l’expéditeur et confirme que le message n’a pas été falsifié. Les messages chiffrés peuvent être envoyés par un utilisateur à d’autres utilisateurs au sein de leur organisation ou à des contacts externes s’ils disposent de certificats de chiffrement appropriés. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour