Windows 10 PC à cœur sécurisé
Microsoft travaille en étroite collaboration avec les partenaires OEM pour garantir que tous les systèmes Windows certifiés fournissent un environnement d’exploitation sécurisé. Windows s’intègre étroitement au matériel pour fournir des protections qui tirent parti des fonctionnalités matérielles disponibles :
- Sécurité Windows de base : base de référence recommandée pour tous les systèmes individuels qui fournissent des protections fondamentales de l’intégrité du système. Tire parti de TPM 2.0 pour une racine matérielle de confiance, de démarrage sécurisé et de chiffrement de lecteur BitLocker.
- Sécurité basée sur la virtualisation activée : tire parti des fonctionnalités de virtualisation du matériel et de l’hyperviseur pour fournir une protection supplémentaire pour les sous-systèmes et les données critiques.
- Cœur sécurisé : recommandé pour les systèmes et les secteurs les plus sensibles, tels que les services financiers, les soins de santé et les agences gouvernementales. S’appuie sur les couches précédentes et tire parti des fonctionnalités avancées du processeur pour fournir une protection contre les attaques de microprogrammes.
PC à cœur sécurisé
Microsoft travaille en étroite collaboration avec des partenaires OEM et des fournisseurs de silicium pour créer des PC à cœur sécurisé dotés d’un matériel, d’un microprogramme et de logiciels profondément intégrés afin de garantir une sécurité renforcée pour les appareils, les identités et les données.
Les PC de base sécurisés fournissent des protections utiles contre les attaques sophistiquées et peuvent fournir une assurance accrue lors de la gestion des données stratégiques dans certains des secteurs les plus sensibles aux données, tels que les professionnels de la santé qui gèrent les dossiers médicaux et d’autres informations d’identification personnelle (PII), les rôles commerciaux qui gèrent un impact élevé sur l’entreprise et les données hautement sensibles, comme un contrôleur financier avec des données de revenus.
Pour les ordinateurs portables, tablettes, 2-en-1, stations de travail mobiles et ordinateurs de bureau à usage général, Microsoft recommande d’utiliser les bases de référence de sécurité pour une configuration optimale. Pour plus d’informations, consultez Bases de référence de sécurité Windows.
La sécurité Windows de base est prise en charge par le démarrage sécurisé, le chiffrement d’appareil Bitlocker, Microsoft Defender, Windows Hello et une puce TPM 2.0 pour fournir une racine matérielle de confiance pour la plateforme du système d’exploitation. Ces fonctionnalités sont conçues pour sécuriser les appareils modernes à usage général. Si vous êtes un décideur qui achète de nouveaux appareils, vos appareils doivent répondre aux exigences de sécurité Windows de base.
En outre, Windows 10 en mode S offre une couche de sécurité supplémentaire avec flexibilité. Le mode S est une configuration disponible sur toutes les éditions de Windows. En veillant à ce que seules les applications approuvées soient exécutées sur le système, le mode S maintient l’expérience Windows rapide et sécurisée. Cela s’accompagne d’un certain coût en termes de compatibilité, mais Intune permet également aux clients d’installer des applications sur un système en mode S, tout en conservant les protections en mode S contre l’exécution d’applications non approuvées.
Qu’est-ce qui fait un PC à cœur sécurisé
Avantage | Fonctionnalité | Configuration matérielle/microprogramme requise | Sécurité Windows de base | PC à cœur sécurisé |
---|---|---|---|---|
Créer une racine de confiance basée sur le matériel | Module de plateforme approuvée 2.0 (TPM) | Répondre aux dernières exigences microsoft pour la spécification tcg (Trusted Computing Group) | V | V |
Racine dynamique de confiance pour la mesure (DRTM) | Activé sur l’appareil (via le lancement sécurisé) | V | ||
Mode de gestion du système (SMM) | Activé sur l’appareil (via System Guard) | V | ||
Démarrage sécurisé | Le démarrage sécurisé est activé dans le BIOS par défaut. | V | V | |
Protection de l’accès à la mémoire | L’appareil prend en charge la protection d’accès à la mémoire (protection DMA du noyau) | V | ||
Garantir une intégrité du code forte | Intégrité du code de l’hyperviseur (HVCI) | Activé sur l’appareil | V | |
Fournir une vérification et une protection d’identité avancées | Windows Hello | Si l’appareil prend en charge Windows Hello, ces implémentations doivent être capables d’une connexion améliorée. « Capable » signifie :
|
C* | V |
Protéger les données critiques si un appareil est perdu, volé ou confisqué | Chiffrement BitLocker | BitLocker peut tirer parti du module TPM2.0 pour chiffrer et protéger les données » | V | V |
*Possible sur certains appareils