0024-MAG24 Dec - Flipbook - Page 53
plus de sécurité avec un impact limité sur les performances. Grâce aux outils d’intégrité de la mémoire de
Windows 11, une enclave VBS utilise l’hyperviseur intégral de Windows pour créer une nouvelle zone de mémoire système isolée et à privilèges élevés : Virtual Trust
Level 1 (niveau de confiance virtuel 1). La majeure partie
de votre code, et Windows lui-même, continue de fonctionner au niveau de confiance virtuel 0. VTL 1 est utilisé
par une version sécurisée du noyau Windows, avec son
La sécurité basée sur la virtualisation
propre mode utilisateur isolé. C’est là que s’exécute votre
dans Windows 11
enclave VBS, dans le cadre d’une appliSÉCURITÉ IT : PRINCIPES
cation qui semble franchir la frontière
Microsoft a combiné cette approche
ET MÉTHODES À L’USAGE DES DSI,
entre les deux zones. En réalité, vous
avec les capacités TPM pour ajouter
RSSI ET ADMINISTRATEURS
séparez l’enclave VTL 1 et utilisez des
une sécurité accrue à Windows au fil
Cahier des charges
canaux sécurisés pour communiquer
du temps, en l’appliquant à Windows
avec elle du reste de votre application
11. C’est pourquoi cet OS exige un madans la VTL 0.
tériel prenant en charge les TPM 2.0.
Ces derniers contiennent les clés et
les certificats pour gérer les signatures
Utilisation des enclaves VBS
numériques afin que des outils tels que
dans les applications
tinyurl.com/dsi-rssi-admi
le service d’intégrité de la mémoire de
Windows puissent fonctionner dans un environnement
Comment construire et utiliser des enclaves VBS ? Tout
virtualisé renforcé à l’aide de VM sécurisées par Hyper-V
d’abord, vous aurez besoin de Windows 11 ou de Windows
et tourner sur Krypton. Grâce à l’intégrité de la mémoire,
Server 2019 ou d’une version ultérieure, avec VBS activé.
les pilotes et les binaires en mode noyau sont contrôlés
Vous pouvez le faire à partir de l’outil de sécurité Windows,
pour vérifier la validité des signatures avant d’être exévia une stratégie de groupe, ou avec Intune pour le contrôcutés ; le code non signé est bloqué avant qu’il ne puisse
ler via MDM. Il fait partie du service d’intégrité de la mécompromettre votre PC. La firme de Redmond a récemmoire, donc vous devriez vraiment l’activer sur tous les
appareils pris en charge pour aider à réduire les risques
ment étendu son modèle de sécurité basé sur la virtualide sécurité, même si vous ne prévoyez pas d’utiliser les
sation à ce qu’elle appelle les enclaves VBS. Si vous avez
enclaves VBS dans votre code. La meilleure façon de l’enenvisagé de mettre en œuvre l’informatique confidentielle
sur Windows Server ou dans Azure, vous connaissez le
visager est d’utiliser le stockage crypté en toute sécurité.
concept des enclaves, qui utilise le jeu d’instructions SGX
[Lire l’intégralité de l’article sur lemondeinformatique.fr]
d’Intel pour verrouiller des zones de mémoire et les utiliser comme un environnement d’exécution de confiance.
Cette approche nécessite des processeurs spécifiques,
la dernière génération de SGX étant limitée au matériel
Xeon d’entreprise.
virtuelle plutôt que sur le système d’exploitation hôte.
Cela a ajouté les frais généraux liés à l’exécution d’un
système d’exploitation distinct pour vos conteneurs
d’application, mais des fonctionnalités telles que Nano
Server et Windows Server Core ont permis de les réduire
au minimum, les versions successives réduisant considérablement la taille des images de serveur.
APPROFONDIR
Les enclaves VBS offrent une approche similaire pour
sécuriser la mémoire, mais sans nécessiter de matériel
spécifique. Cela permet à Microsoft de fournir des enclaves sécurisées sur le matériel Intel, AMD et Arm. Ainsi,
Recall ne s’exécutera que dans une mémoire de confiance
sous le contrôle de l’hyperviseur Krypton, avec des clés
de chiffrement gérées par le TPM de votre PC et un accès
contrôlé par Windows Hello pour garantir la présence de
l’utilisateur. La mise en place d’un environnement d’exécution de confiance sur un PC n’est pas seulement utile
pour sécuriser l’IA. Il protège les données sensibles, ajoutant un nouveau niveau de protection au-delà de la protection au repos et en mouvement : en cours d’utilisation.
Bien que la définition et l’utilisation d’une Enclave VBS
requièrent davantage de travail, cela vaut la peine d’avoir
ÉCOUTER EN LIGNE
Podcast
tinyurl.com/podcast-VBS24
LIRE EN LIGNE
Article
tinyurl.com/article-VBS
53
