Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S'applique à : Windows Server 2025
La fonction de sécurité de Protection de pile appliquée par le matériel a été introduite pour protéger les processus en mode utilisateur et empêcher le détournement sur la pile dans Windows 10. La protection de pile appliquée par le matériel s’étend désormais au mode noyau, qui protège les piles du noyau contre les attaques basées sur la programmation orientée retour (ROP). Le ROP est une technique couramment employée par les attaquants pour détourner le flux d’exécution d’un programme et poursuivre leur chaîne d’attaque pour exécuter le code souhaité par l’attaquant.
Maintenant que les piles en mode utilisateur sont protégées et empêchent la modification de l’adresse de retour à partir du code du mode noyau, les attaquants ne peuvent plus exploiter les failles de sécurité de la mémoire. Les clients constatent déjà que la protection de pile appliquée par le matériel en mode noyau empêche les pilotes associés aux virus et aux programmes malveillants d’exécuter leur charge utile malveillante.
La protection de la pile en mode noyau appliquée par le matériel est désactivée par défaut, mais les clients peuvent l’activer si les conditions préalables sont remplies. Cet article fournit de plus amples informations sur la protection de la pile en mode noyau appliquée par le matériel et montre comment activer la fonctionnalité dans l’application Sécurité Windows et via la stratégie de groupe.
Prerequisites
- Windows 11 avec mise à jour 2022 ou une version plus récente
- Application Sécurité Windows version 1000.25330.0.9000 ou ultérieure
- Matériel qui prend en charge la technologie Control-flow Enforcement Technology (CET) d'Intel ou AMD Shadow Stacks.
- Pour Intel, les processeurs Intel Core Mobile de 11e génération et AMD Zen 3 Core (et versions ultérieures).
- La sécurité basée sur la virtualisation (VBS) et l'intégrité du code appliquée par l'hyperviseur (HVCI) sont activées.
Utiliser des piles fantômes pour appliquer l’intégrité du flux de contrôle
Avec la protection de la pile en mode noyau appliquée par le matériel, toutes les piles de noyau ont une pile fantôme correspondante pour appliquer l’intégrité de son flux de contrôle. Si les attaquants exploitent une faille de sécurité de la mémoire, l’étape suivante consiste à rediriger le flux de contrôle d’un programme vers l’emplacement souhaité d’un attaquant.
Les piles fantômes empêchent le détournement du flux de contrôle. Windows utilise Control Flow Guard pour appliquer l’intégrité sur les appels indirects et la protection de pile appliquée par le matériel pour appliquer l’intégrité sur les retours afin d'assurer la protection contre les attaques qui visent à rediriger le flux d’exécution d’un programme. Control Flow Guard utilise un bitmap pour annoter les cibles de saut valides afin d’empêcher un appel indirect compromis de rediriger le flux de contrôle vers des emplacements arbitraires.
La pile fantôme conserve une pile secondaire (protégée par le matériel) pour toutes les piles d’appels et, chaque fois qu’une instruction CALL ou RET envoie ou affiche une valeur sur la pile, une entrée correspondante réside dans la pile fantôme. Lorsqu’une incompatibilité d’adresse de retour survient, le système déclenche un écran bleu pour empêcher un comportement inattendu du contrôle du programme.
Pour plus d’informations, consultez le billet de blog Understanding Hardware-enforced Stack Protection.
Activer la protection de la pile en mode noyau appliquée par le matériel dans Sécurité Windows
La sécurité basée sur la virtualisation (VBS) et l’intégrité du code appliquée par l’hyperviseur (HVCI) sont requises pour la protection de la pile en mode noyau appliquée par le matériel, et vous devez d’abord vous assurer que ces fonctionnalités sont activées avant de continuer. Elles sont automatiquement activées sur les systèmes Windows qui répondent à la configuration matérielle minimale requise.
Activez VBS et HVCI en procédant comme suit :
Ouvrez l’application Sécurité Windows .
Accédez à Sécurité de l'appareil > Détails de l’isolation du cœur > Intégrité de la mémoire.
Activez la fonctionnalité activé.
Après avoir effectué cette modification, vous devez redémarrer votre appareil.
Activer la protection de la pile en mode noyau appliquée par le matériel
Ouvrez l’application Sécurité Windows .
Accédez à Sécurité de l'appareil > Détails de l'isolation du cœur > Protection de la pile en mode noyau appliquée par le matériel.
Activez la fonctionnalité On.
Activer la protection de la pile en mode noyau appliquée par le matériel dans l’éditeur de stratégie de groupe local
Pour les clients d’entreprise, la protection de la pile en mode noyau appliquée par le matériel peut être activée à l’aide de la stratégie de groupe.
Ouvrez l'éditeur de stratégie de groupe local.
Accédez à Configuration de l'ordinateur > Modèles d'administration > Système > Device Guard > Activer la sécurité basée sur la virtualisation.
Vérifiez que la sécurité basée sur la virtualisation est activée.
Sous Options, recherchez la protection de pile appliquée par le matériel en mode noyau. Sélectionnez Activé en mode d’application.
Sélectionnez Appliquer. Puis OK.
Pilotes incompatibles
Quelques pilotes ne sont pas encore compatibles. Les pilotes qui présentent un comportement potentiellement malveillant ressemblant à un détournement d’adresses de retour pour contourner les stratégies de flux de contrôle ne sont pas compatibles et sont ajoutés à la liste de blocage des pilotes vulnérables pour la protection de la pile en mode noyau appliquée par le matériel. Après avoir travaillé avec les fournisseurs de pilotes pour réaliser l’obfuscation du code d’une manière conforme à la pile fantôme, ces pilotes sont autorisés.
Pour offrir une bonne expérience utilisateur et éviter les écrans bleus sur l’ordinateur, Windows gère une liste de blocage des pilotes incompatibles connus pour la protection de la pile en mode noyau appliquée par le matériel. Il s’agit de pilotes connus pour détourner les adresses de retour dans le noyau. Lorsque cette fonctionnalité est activée, le chargement du pilote n’est pas autorisé (par opposition à un écran bleu lors d'une tentative de détournement d’adresse de retour). En outre, si un pilote figurant sur la liste de blocage est déjà installé sur le système, cette fonctionnalité ne peut pas être activée. Vous pouvez activer cette fonctionnalité en désinstallant le pilote associé.
Passer en revue les pilotes incompatibles
La fonctionnalité ne peut pas être activée tant que les incompatibilités ne sont pas résolues, soit avec une version mise à jour du fournisseur de pilotes, soit en supprimant l’application qui a installé le pilote. Pour afficher la liste des pilotes incompatibles, sélectionnez « Vérifier les pilotes incompatibles ».
Certaines applications utilisent des pilotes incompatibles avec la protection de la pile en mode noyau appliquée par le matériel. Par exemple, les applications qui utilisent des moteurs d’obfuscation pour protéger et obfusquer le flux de contrôle IP, qui sont incompatibles avec les piles fantômes. Lorsque le pilote non sécurisé tente de se charger avec cette fonctionnalité de sécurité activée, une invite s'affiche, indiquant : « Un pilote ne peut pas se charger sur cet appareil ».
Vous pouvez éventuellement désactiver la fonctionnalité de sécurité, bien que cela réduise la sécurité de votre appareil. Vous pouvez toujours réactiver cette fonctionnalité dans l’application Sécurité Windows.