Considérations de sécurité pour les fabricants d’équipement d’origine

En tant que fabricant d’ordinateurs (OEM), vous disposez d’une occasion unique d’avoir un impact sur l’efficacité des mesures de sécurité disponibles pour vos clients. Les clients veulent et ont besoin de la possibilité de sécuriser leurs appareils. Les fonctionnalités de sécurité de Windows 10 s’appuient sur le matériel et le microprogramme compatibles avec la sécurité. C’est là que vous intervenez. Pour fournir un différentiateur pour vos appareils ou pour les vendre dans l’espace Entreprise, vous souhaitez fournir les dernières améliorations matérielles, avec lesquelles Windows 10 peut être configuré pour la sécurité.

Professionnels de l’informatique : pour en savoir plus sur ces fonctionnalités, notamment sur la façon de les déployer dans votre entreprise, consultez Sécurité des appareils et Contrôle de l’intégrité des appareils Windows 10.

Windows 10 S

Windows 10 S est une configuration spécifique de Windows 10 Professionnel qui offre une expérience Windows familière, rationalisée pour la sécurité et les performances. Windows 10 S offre le meilleur du cloud et des applications complètes, et est conçu pour les appareils modernes. Microsoft Defender est toujours activé et à jour.

Windows 10 S exécute uniquement les applications vérifiées à partir du Microsoft Store et les pilotes vérifiés à partir de Windows Update. Windows 10 S fournit prend en charge Azure Active Directory et, lorsqu’il est associé au compte Microsoft ou Intune pour l’Éducation, Windows 10 S stocke par défaut les fichiers dans OneDrive.

OEM : pour plus d’informations sur Windows 10 S, consultez Fonctionnalités et exigences de sécurité Windows 10 S pour les OEM.

Chiffrement de l’appareil BitLocker

Le chiffrement d’appareil BitLocker est un ensemble de fonctionnalités activées par un OEM en fournissant le bon ensemble de matériel dans les appareils que vous vendez. Sans la configuration matérielle appropriée, le chiffrement de l’appareil n’est pas activé. Avec les configurations matérielles appropriées, Windows 10 chiffre automatiquement un appareil.

OEM : pour en savoir plus sur BitLocker, consultez Chiffrement de lecteur BitLocker dans Windows 10 pour les OEM.

Démarrage sécurisé

Le démarrage sécurisé est une norme de sécurité développée par des membres du secteur de la fabrication de PC pour s’assurer que votre ordinateur démarre en utilisant uniquement des logiciels approuvés par le fabricant de l’ordinateur. Au démarrage du PC, le microprogramme vérifie la signature de chaque logiciel de démarrage, y compris les pilotes de microprogramme (options ROM), les applications EFI et le système d’exploitation. Si les signatures sont valides, le PC démarre et le microprogramme donne le contrôle au système d’exploitation.

OEM : pour en savoir plus sur les exigences de démarrage sécurisé pour les OEM, consultez Démarrage sécurisé.

Trusted Platform Module (TPM) 2.0

La technologie de module de plateforme sécurisée (TPM, Trusted Platform Module) est conçue dans le but d’assurer des fonctions matérielles de sécurité. Une puce TPM est un processeur de chiffrement sécurisé qui facilite des opérations telles que générer et stocker des clés de chiffrement, de même que limiter leur utilisation. La puce comprend plusieurs mécanismes de sécurité physique qui la protègent contre la falsification, et les logiciels malveillants ne peuvent pas falsifier les fonctions de sécurité du TPM.

Notes

Depuis le 28 juillet 2016, les nouveaux modèles, nouvelles gammes ou nouvelles séries d’appareils doivent implémenter et activer par défaut le TPM 2.0. Il en va de même pour les modèles, gammes ou séries existants si vous appliquez une mise à jour majeure à leur configuration matérielle, pour le processeur ou la carte graphique, par exemple. (Les détails sont fournis dans la section 3.7 de la page consacrée à la configuration matérielle requise.) L’exigence d’activer le TPM 2.0 s’applique uniquement à la fabrication de nouveaux appareils.

OEM : pour plus d’informations, consultez Configuration matérielle requise pour le module de plateforme sécurisée (TPM) 2.0.

Professionnels de l’informatique : pour comprendre le fonctionnement du TPM dans votre entreprise, consultez Module de plateforme sécurisée

Exigences de l’Unified Extensible Firmware Interface (UEFI)

L’UEFI remplace l’ancienne interface du microprogramme BIOS. Lorsque les appareils démarrent, l’interface du microprogramme contrôle le processus de démarrage du PC, puis passe le contrôle à Windows ou à un autre système d’exploitation. L’UEFI active des fonctionnalités de sécurité telles que le démarrage sécurisé et les lecteurs chiffrés d’usine qui empêchent l’exécution de code non approuvé avant le chargement du système d’exploitation. À partir de Windows 10, version 1703, Microsoft nécessite la spécification UEFI version 2.3.1c. Pour en savoir plus sur les exigences OEM pour UEFI, consultez Configuration requise pour le microprogramme UEFI.

OEM : pour en savoir plus sur ce que vous devez faire pour prendre en charge les pilotes UEFI, consultez UEFI dans Windows.

sécurité basée sur la virtualisation (VBS)

Les fonctionnalités de sécurité matérielles, également appelées sécurité basée sur la virtualisation ou VBS, permettent d’isoler le noyau sécurisé du système d’exploitation normal. Il est impossible d’exploiter les vulnérabilités et les failles de vulnérabilité 0-day dans le système d’exploitation en raison de cet isolement.

OEM: pour en savoir plus sur la configuration matérielle requise pour VBS, consultez Configuration matérielle requise pour la sécurité basée sur la virtualisation (VBS).

Microsoft Defender Application Guard

Application Guard permet d’isoler les sites non approuvés définis par l’entreprise, en protégeant une entreprise pendant que ses employés naviguent sur Internet.

Si vous vendez des appareils à des clients d’entreprise, vous souhaitez fournir du matériel qui prend en charge les fonctionnalités de sécurité dont les entreprises ont besoin.

OEM : pour en savoir plus sur la configuration matérielle requise pour Microsoft Defender Application Guard, consultez Configuration matérielle requise pour Microsoft Defender Application Guard.

Microsoft Defender Credential Guard

Credential Guard utilise la sécurité basée sur la virtualisation pour isoler et protéger les secrets (par exemple, les hachages de mot de passe NTLM et les tickets d’octroi de tickets Kerberos) afin de bloquer les attaques de type pass-the-hash ou pass-the-ticket.

OEM : pour en savoir plus sur la configuration matérielle requise pour Microsoft Defender Credential Guard, consultez Configuration matérielle requise pour Microsoft Defender Credential Guard.

Professionnels de l’informatique : pour savoir comment configurer et déployer Microsoft Defender Credential Guard dans votre entreprise, consultez Protéger les identifiants de domaine dérivés avec Microsoft Defender Credential Guard.

L’intégrité du code protégé par l’hyperviseur est une combinaison de matériel d’entreprise et de fonctionnalités de sécurité logicielles qui, configurés conjointement, verrouillent un appareil afin qu’il puisse uniquement exécuter des applications de confiance définies dans les stratégies d’intégrité de code.

À partir de Windows 10, version 1703, les fonctionnalités Microsoft Defender Device Guard ont été regroupées en deux nouvelles fonctionnalités : Microsoft Defender Exploit Guard et Contrôle d’application Microsoft Defender. Lorsque ces deux éléments sont activés, l’intégrité du code protégé par l’hyperviseur est activée.

OEM : pour en savoir plus sur la configuration matérielle requise de l’intégrité du code protégé par l’hyperviseur, consultez Sécurité basée sur la virtualisation (VBS).

Professionnels de l’informatique : pour savoir comment déployer l’intégrité du code protégé par l’hyperviseur dans votre entreprise, consultez Exigences et instructions de planification du déploiement pour l’intégrité du code protégé par l’hyperviseur.

Protection DMA du noyau

Les fonctionnalités de sécurité matérielles, également appelées protection de l’accès à la mémoire, offrent une isolation et une protection contre les attaques DMA malveillantes pendant le processus de démarrage et l’exécution du système d’exploitation.

OEM : pour en savoir plus sur les exigences de la plateforme de protection DMA du noyau, consultez Protection DMA du noyau pour les OEM.

Développeurs de pilotes : pour en savoir plus sur la protection DMA du noyau et les pilotes compatibles avec le remappage DMA, consultez Activation du remappage DMA pour les pilotes de périphérique.

Professionnels de l’informatique : pour en savoir plus sur les stratégies de protection DMA du noyau et l’expérience utilisateur, consultez Protection DMA du noyau.

Windows Hello

Microsoft Windows Hello offre aux utilisateurs une expérience personnelle et sécurisée où l’appareil est authentifié en fonction de leur présence. Les utilisateurs peuvent se connecter avec un regard ou une touche, sans avoir besoin d’un mot de passe. Conjointement avec Microsoft Passport, l’authentification biométrique utilise les empreintes digitales ou la reconnaissance faciale et est plus sécurisée, personnelle et pratique.

Pour en savoir plus sur le fonctionnement de Windows Hello avec Companion Device Framework, consultez Windows Hello et Companion Device Framework.

Pour en savoir plus sur les exigences biométriques pour la prise en charge des Windows Hello, consultez Exigences biométriques de Windows Hello.

Pour en savoir plus sur le fonctionnement de l’authentification faciale, consultez Authentification faciale de Windows Hello.