Microsoft a défini ses exigences de CPU minimum pour Windows 11 à la huitième génération d'Intel, car les puces permettent de activer plusieurs fonctionnalités de sécurité importantes par défaut dans le système d'exploitation, offrant une amélioration de la sécurité majeure sur Windows 10, a déclaré à CRN un dirigeant de Microsoft Security.
Avec le lancement de la disponibilité générale de Windows 11 mardi, David Weston, directeur du système d'exploitation et de la sécurité des entreprises de Microsoft, a expliqué comment les exigences du CPU visent à accroître la sécurité dans le nouveau système d'exploitation sans provoquer un compromis dans la réduction des performances.
Les puces de huitième génération d'Intel et la hausse prennent en charge l'utilisation de certaines caractéristiques de sécurité clés, comme la sécurité basée sur la virtualisation (VBS) - tout en offrant également des performances optimales lors de l'exécution automatique de ces fonctionnalités, a déclaré Weston dans une interview avec CRN.
Dans Windows 10, de puissantes fonctionnalités de sécurité telles que VBS sont facultatives et ne fonctionnent pas automatiquement - et sont rarement utilisées en conséquence, a-t-il dit.
«La stratégie pour la version initiale de Windows 11 est très simple: augmenter la ligne de base.Activez les choses qui étaient facultatives dans Windows 10 par défaut », a déclaré Weston.
Un exemple est une fonctionnalité appelée Contrôle d'exécution basé sur le mode, qui - en tandem avec les processeurs de huitième génération d'Intel et UP - aide à garantir des performances optimales tout en exécutant certaines protections de sécurité basées sur la virtualisation, a-t-il déclaré.
Certains processeurs antérieurs prennent en charge le contrôle d'exécution basé sur le mode, y compris les processeurs d'Intel en septième génération.Mais les puces de septième génération sont exclues car elles ne répondent pas à toutes les exigences de performances et de fiabilité que Microsoft a pour Windows 11, y compris pour exécuter les processus VBS par défaut, a déclaré Weston.
En plus du contrôle d'exécution basé sur le mode, les puces de huitième génération d'Intel garantissent également que le chiffrement de la plate-forme de confiance (TPM) et les capacités de démarrage sécurisées sont présentes, a déclaré Weston.
"Certaines générations inférieures [des processeurs] ont également ces fonctionnalités, mais elles manquent ensuite la fiabilité et l'optimisation des performances", a-t-il déclaré.
Les exigences plus strictes du processeur pour Windows 11 par rapport aux versions antérieures de Windows ont conduit à la confusion entre les utilisateurs et l'industrie informatique sur les raisons pour lesquelles Microsoft a tracé la ligne - à quelques exceptions près - à la huitième génération d'Intel et à Zen 2 d'AMD 2.Les exigences pour les CPU plus récents avec TPM 2.0 devraient exclure un nombre significatif de PC de l'installation de Windows 11.(Les utilisateurs peuvent toujours contourner les exigences à l'aide de l'outil de création Windows Media, qui est découragé mais pas interdit par Microsoft.)
[Connexes: Windows 11: Les partenaires disent que c'est un «jeu intelligent» de Microsoft pour mettre la sécurité en premier]
Weston a déclaré qu'une partie de la confusion est que les gens recherchaient une seule raison derrière le choix pour démarrer la compatibilité du processeur à Intel huitième génération et AMD Zen 2.Mais la situation est plus compliquée, car Microsoft a en fait examiné plusieurs considérations en combinaison pour arriver aux exigences minimales du CPU pour Windows 11, a-t-il dit.
"En fin de compte, nous aurions pu choisir de nombreuses lignes", a déclaré Weston.«Mais nous avons utilisé l'analyse des données autour de la fiabilité, des performances et de la sécurité pour y arriver, et c'est ainsi que nous avons atterri sur cette barre particulière."
Un problème supplémentaire a affecté la compréhension par les gens de la question: certaines des fonctionnalités de sécurité spécifiques que Microsoft considère comme cruciale pour permettre dans Windows 11 ne sont pas des fonctionnalités qui ont été largement discutées, même par Microsoft.Par exemple, le contrôle d'exécution basé sur le mode n'est pas mentionné dans les publications Microsoft précédentes sur les considérations de sécurité pour Windows 11.
Ce que Microsoft a mentionné dans les articles, c'est la sécurité basée sur la virtualisation, ainsi que l'intégrité du code protégé par l'hyperviseur, ou HVCI.La sécurité basée sur la virtualisation permet à HVCI, également connu sous le nom d'intégrité de la mémoire, qui désactive tout code dynamique qu'un pirate essaie d'injecter dans le noyau Windows.
Le contrôle d'exécution basé sur le mode est une sous-tension critique de l'utilisation optimale de HVCI.La fonctionnalité est ce qui garantit que l'exécution de HVCI ne fournit pas un coup majeur aux performances et à l'expérience utilisateur.
HVCI can still work with processors that don’t support mode-based execution control—but those processors depend on an emulation of the feature, “which has a bigger impact on performance," Microsoft said in July documentation about HVCI.
En bref, la prise en charge du contrôle d'exécution basé sur le mode est l'une des clés de la raison pour laquelle les processeurs réalisés au cours des quatre dernières années répondent aux exigences de Windows 11 - et pourquoi les processeurs plus anciens, qui ne prennent pas en charge la fonctionnalité ou ne fournissent pas de performances optimales pour HVCI, sontlargement exclu de la liste.
“Mode-based execution control is the target," Weston said.«La sécurité basée sur la virtualisation est ce dont nous avons besoin pour sécuriser les gens.Et [pour ce faire] nous avions besoin d'un ensemble de fonctionnalités performants."
Fonctionnalités de sécurité exécutées «par défaut»
VBS fonctionne en créant une machine virtuelle distincte qui stocke les références et politiques les plus sensibles, qui est isolée du système d'exploitation.
“Even if someone gets admin-level privileges—the highest level of privilege—they still can’t read what’s in this separate VM," Weston said.«C'est exactement la même prémisse que le fonctionnement du cloud aujourd'hui - vous pouvez être sur une machine matérielle avec votre rival le plus amer, et vous ne pouvez pas lire les données codées.Nous utilisons cette même technologie réduite [pour Windows 11]."
Because VBS has not been turned on by default in Windows 10, the feature has seen “very low usage," he said.
“What we learned from 10 is, if you make things optional, people don’t turn them on," Weston said.«Ils supposent que si c'était nécessaire, ce serait sur.Et donc je pense que c'est un grand apprentissage.Ce que nous mettons dans 11, c'est [que] nous allons vous sécuriser par défaut."
La mise en œuvre des fonctionnalités par défaut a cependant exigé Microsoft pour s'assurer que les fonctionnalités ne conduiront pas à une guette sur les performances, c'est pourquoi le contrôle d'exécution basé sur le mode est un élément crucial de l'équation. “If you turn something on by default, it better not be slow," Weston said.
Dans l'ensemble, «Je pense que les gens recherchent cette décision très binaire [concernant les exigences du CPU]. It’s actually a complicated engineering equation—where it’s like, ‘OK, so we turned on security, did performance tank?’" he said.«Donc, c'est l'objectif."
Alors que les exigences du processeur de Windows 11 garantissent également que la plupart des PC exécutant le système d'exploitation auront des protections matérielles contre les vulnérabilités du processeur Spectre et Meltdown, Weston a déclaré que cela ne faisait pas partie du calcul de Microsoft.
«Du point de vue de la fonctionnalité, il y a deux choses que la huitième génération et la hausse nous donnent vraiment - et c'est le contrôle d'exécution basé sur le mode, qui est sur la plate-forme Intel comme une optimisation pour la virtualisation. And then the assurance that TPM and secure boot are there," he said.«Donc Spectre et Meltdown ne sont pas un facteur important ici."
En utilisant les fonctionnalités de sécurité Windows 11 en combinaison sur les appareils de test - y compris la sécurité basée sur la virtualisation, le démarrage sécurisé, le chiffrement des périphériques et la reconnaissance faciale de Windows Hello - ont réduit les logiciels malveillants de 60% sur ces appareils, a déclaré Microsoft.
Stratégie de confiance zéro
Avec de nombreux travailleurs déplacés vers des travaux hybrides et éloignés, le travail de sécurisation d'une entreprise est devenu beaucoup plus difficile, a noté Weston.En réponse, l'un des objectifs avec Windows 11 a été de faciliter la vie des équipes de sécurité en activant automatiquement les fonctionnalités de sécurité, a déclaré Weston.
“That can actually become the basis for a zero trust strategy—especially for Microsoft shops," he said.«Donc [les professionnels de la sécurité] peuvent dire:« Parce que ces fonctionnalités sont activées, cela devrait limiter l'entonnoir des choses dont je dois me soucier.Il y a maintenant plus de choses empêchées, ce qui signifie que je devrais avoir à faire moins de chasse et de détecter.’"
A common scenario Microsoft has heard from customers is that “even if our detection is great, we don’t necessarily have enough human beings to go investigate everything and respond fast enough," Weston said.«Ainsi, Windows 11 aide à réduire cet entonnoir."
Additionally, since it’s possible to determine whether a PC has these features enabled, the security properties of a system can be measured “almost like a vaccination card," he said.
An enterprise can therefore say, “show me your device security ‘vaccination card’ before I let you have access to the data," Weston said.«Nous avons rendu cela très facile avec Windows 11.Et cela rend les choses comme la détection des points de terminaison mieux car il y a moins à regarder.Et la détection des points de terminaison est plus difficile à saper car elle commence à partir d'un état très propre et à haute intégrité."
"Ceci est l'acte un"
Selon Weston, une autre motivation pour les exigences matérielles avec Windows 11 est de permettre à Microsoft de renforcer la sécurité dans les futures versions du système d'exploitation, selon Weston.
"Une grande partie de cette version initiale de Windows 11 n'est pas l'objectif final - c'est le premier arrêt de clic sur notre voyage.Nous disons: «Nous pouvons maintenant garantir que vous avez un TPM. That means I can go and make sure every app developer is now storing credentials and keys in hardware,’" he said."Je ne peux pas faire ça sur Windows 10 alors qu'un pourcentage de gens a cela.Cela me permet donc de définir une base de référence que je peux maintenant déplacer l'écosystème pour profiter pleinement de.Et c'est une énorme et énorme victoire pour nous."
Cela signifie que «plus d'applications peuvent prendre en charge sans mot de passe par défaut.Plus d'applications peuvent faire du chiffrement des données. More applications can have zero trust protections, because we’ve got that virtualization-based capability to report on their integrity," Weston said."Ce que vous verrez dans les versions suivantes de Windows 11, c'est que nous exploitons cela dans une bien meilleure mesure pour augmenter la sécurité.Alors je pense que ce n'est que le décor de scène.C'est l'acte un.Les actes deux et trois, je pense, vont vraiment apporter des augmentations massives de la sécurité."
Même avec la première version de Windows 11, il existe un certain nombre d'avancées de sécurité qui permettra aux fournisseurs de solutions de mieux faire leur travail, a déclaré Marc Menzies, président et CTO de Solutions Technology Solutions, un Ronkonkoma, N.Y.-Préseur de solutions basé et Microsoft Partner.
And the CPU requirements are a central part of that, since the “newer CPU models allow you to take advantage of additional security features that are baked into the hardware," Menzies said in an interview with CRN on Monday.«Si vous avez un environnement avec certaines normes plus élevées pour le matériel, du point de vue de la sécurité, cela rend les choses plus clé en main."
Even with Windows 10, “I could do a good job [on security] right now with the tools I’m given in any environment," he said. What Windows 11 does is it enables solution providers and IT professionals “to do a good job consistently" because of the higher security baseline, he said.
Par exemple, lorsque chaque PC d'une flotte de clients a Windows 11, vous pouvez savoir qu'il aura tous TPM 2.0 and thus can be “brought up to some level of security standard easily," Menzies said.
“I’m able to know, walking into an environment with Windows 11, that the endpoints can be easily secured and I’m not going to run into any weird problems with that baseline," he said.«Cela rend tout un Heckuva beaucoup plus facile à savoir quelle est votre ligne de base et que vous pouvez mettre en œuvre certaines des fonctionnalités de sécurité qui sont vraiment, à ce stade, les fondamentaux."
Overall, “I think Microsoft’s posture on security is about a ‘rising tide raises all ships,’" Menzies said.
For solution providers and IT professionals, Windows 11 should offer the major benefit of having “less to configure," Weston said.
"Ils ont un travail très difficile.Beaucoup de nos gens informatiques ne sont pas seulement ça - ils sont la sécurité, ce sont des devops. They’ve got a whole bunch of different hats," he said."Ce que j'espère vraiment, c'est qu'ils me diront:" Mon travail est maintenant plus facile.Je dois faire moins de peaufinage et de configuration, et moins [de travail] faisant moi-même la compatibilité et les performances - parce que Microsoft en a fait plus à l'avant avec Windows 11.’"