Sécurité : à son tour, Microsoft joue la carte de la micro-virtualisation

Windows 10 embarque un dispositif sécurisant l’un de ses processus en l’isolant dans un conteneur Hyper-V. De quoi rappeler l’approche de la micro-virtualisation portée par Bromium.

Windows 10 Entreprise est doté d’un dispositif original, visant à protéger les identifiants d’utilisateurs du domaine. Baptisé Virtual Secure Mode (VSM), ce dispositif « est un conteneur Hyper-V qui isole le processus lsass.exe du reste de l’environnement Windows 10, réduisant le risque de vol d’identifiants sur l’ordinateur en utilisant des outils tels que mimikatz », explique Johan Arwidmark dans un billet de blog.

Comme il le relève, la documentation sur VSM est plus que limitée. Mais ce dispositif requiert l’activation, sur la machine, du Secure Boot et de TPM. Il nécessite également l’installation des composants Hyper-V dans Windows 10. L’activation de VSM passe ensuite par l’application de la stratégie « Credential Guard ».

Mi-avril, Microsoft avait présenté les conteneurs Hyper-V, ciblant la sécurité des applications en proposant des capacités d’isolement avancées inhérentes à l’hyperviseur. Le conteneur Hyper-V apparaît donc comme un moyen d’isoler le code qui s’exécute dans chaque conteneur pour éliminer les adhérences avec l’OS hôte, et ce grâce à l’hyperviseur.

Une approche qui renvoie à celle qui a guidé Simon Crosby, ancien CTO de XenServer, dans la création de Bromium en 2012. Interrogé à l’époque par la rédaction, il décrivait une démarche consistant à isoler chaque processus applicatif dans une machine virtuelle, de manière transparente pour l’utilisateur : « on fait cela avec un hyperviseur léger. Un simple fichier MSI qui installe des ‘outils magiques‘ qui retirent aux tâches toute capacité de sortir de la micro-machine virtuelle dont elles sont captives ».

Dès lors, l’hyperviseur de Bromium prend des allures de sandbox, cachant aux processus la réalité de l’environnement dans lequel ils s’exécutent - « une petite pilule bleue pour les gentils », commentait ironiquement Simon Crosby : ils n’ont aucun accès direct au système d’exploitation, ni à ses API, et ne voient que ce que l’on veut leur donner à voir ; ils sont isolés dans des « micro-machines virtuelles ». Y compris au niveau du système de fichiers.

Un an plus tard, Bromium présentait la version 2.0 de sa solution, vSentry. ADP et Box comptent parmi ses clients. Tout récemment, le jeune éditeur a lancé Bromium Enterprise Controller, une plateforme d’administration pour vSentry, visant à simplifier déploiement, orchestration des règles, supervision et gestion des menaces pour les postes clients de l’entreprise. Elle peut s’intégrer avec des systèmes de gestion des informations et des événements de sécurité (SIEM).

Pour approfondir sur Protection du terminal et EDR

Close