Dans la prochaine version majeure de Windows Server, Microsoft va élever le standard de sécurité nécessaire pour qu’une configuration matérielle soit certifiée compatible.
La nouvelle certification nécessite :
– Que TPM 2.0 soit déployé et installé par défaut. Trusted Platform Module est un standard cryptographique pour cryptoprocesseurs sur laquelle s’appuie la mise en œuvre au niveau matériel d’un système NGSCB (ordinateur sécurisé de la prochaine génération de l’architecture de Microsoft pour une informatique de confiance) ;
– Que Secure Boot (lancement sécurisé) soit activé par défaut sur les systèmes où Windows Server sera pré-installé.
Ces exigences seront valables sur tous les types de serveurs sur lesquels Windows Server tournera : métal nu, machine virtuelle tournant sous Hyper-V, ou sur tout autre hyperviseur approuvé dans le cadre du programme Server Virtualization Program.
Secure Boot garantit que le système d’exploitation est démarré dans un environnement de confiance, de telle manière que les logiciels malveillants comme les rootkits ne puissent subvertir le processus de démarrage.
Ce qui est d’autant plus important que le code de démarrage bénéficie d’un accès privilégié aux ressources du système et est en charge de nombreuses étapes critiques d’initialisation de la sécurité.
TPM 2.0 fournit une compatibilité matérielle avec des puces effectuant des mesures pour une attestation de sécurité, et pour stocker les clés.
Chaque étape d’un lancement sécurisé peut ainsi être stockée par le TPM. On peut ensuite exiger un rapport infalsifiable attestant que le démarrage s’est effectué comme attendu.
Le service de chiffrage de disques durs BitLocker de Windows s’assure ainsi par TPM que les disques ne sont déchiffrés que si le démarrage s’est effectué comme attendu.
Toute plateforme commercialisée après le 1er janvier 2021 devra se conformer aux nouvelles exigences de la certification matérielle.
Les plateformes existantes pourront obtenir, le cas échéant, une certification additionnelle garantissant qu’elles sont conformes aux nouvelles exigences.