Comment configurer la protection de la mémoire UEFI pour VBS dans Microsoft Intune

Avant de déployer les politiques de protection de la mémoire UEFI, vous devez confirmer que vos appareils répondent aux exigences matérielles strictes. HVCI nécessite des capacités de firmware spécifiques qui ne sont pas présentes sur les systèmes plus anciens.

Tout d'abord, vérifiez si votre appareil de test prend en charge les fonctionnalités requises. Ouvrez PowerShell en tant qu'administrateur et exécutez :

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

Recherchez ces valeurs critiques dans la sortie :

• VirtualizationBasedSecurityHardwareRequirementState : Devrait être "1" (Satisfait)
• HypervisorEnforcedCodeIntegrityHardwareRequirementState : Devrait être "1" (Satisfait)
• SecurityServicesConfigured : Devrait inclure "1" (Credential Guard) ou "2" (HVCI)

Ensuite, vérifiez la prise en charge de la Table des Attributs de Mémoire UEFI en vérifiant la version du firmware :

Get-ComputerInfo | Select-Object BiosFirmwareType, BiosVersion

Si BiosFirmwareType affiche "Uefi", consultez la documentation de votre fabricant pour confirmer la prise en charge de EFI_MEMORY_ATTRIBUTES_TABLE. La plupart des systèmes à partir de 2018+ prennent en charge cela, mais le firmware hérité peut causer des échecs de démarrage.

Vérification : Exécutez msinfo32 et recherchez "Virtualization-based security" - cela devrait indiquer que les exigences matérielles sont "Satisfaites".

Vous allez maintenant créer le profil de configuration Intune qui applique la protection de la mémoire UEFI. Cela utilise le catalogue de paramètres pour configurer les politiques de sécurité basées sur la virtualisation.

Connectez-vous au centre d'administration Microsoft Intune à l'adresse https://endpoint.microsoft.com et accédez à Appareils > Configuration > Créer > Nouvelle stratégie.

Configurez les paramètres de profil de base :

• Plateforme : Windows 10 et versions ultérieures
• Type de profil : Catalogue de paramètres
• Nom : "Protection de la mémoire UEFI - Application HVCI"
• Description : "Active l'intégrité du code appliquée par l'hyperviseur avec l'exigence de la table des attributs de mémoire UEFI"

Cliquez sur Suivant pour passer aux paramètres de configuration. Dans la section Paramètres de configuration, cliquez sur + Ajouter des paramètres et recherchez "Technologie basée sur la virtualisation".

Vous verrez apparaître plusieurs paramètres liés à VBS. Sélectionnez ces paramètres clés :

• Intégrité du code appliquée par l'hyperviseur
• Exiger la table des attributs de mémoire UEFI
• Activer la sécurité basée sur la virtualisation (si elle n'est pas déjà activée)

Vérification : Confirmez que vous voyez les trois paramètres ajoutés à votre profil de configuration avant de passer à l'étape suivante.

Cette étape configure les paramètres principaux de HVCI qui fournissent une protection de la mémoire au niveau du noyau. La configuration détermine la rigueur de l'application de la politique et si elle peut être désactivée à distance.

Pour le paramètre Intégrité du Code Renforcée par l'Hyperviseur, vous avez trois options :

Pour les environnements de production, sélectionnez "1 - Activé avec verrouillage UEFI". Cela offre une sécurité maximale en empêchant les attaquants de désactiver HVCI même avec des privilèges administratifs.

Configurez le paramètre Exiger la Table des Attributs de Mémoire UEFI sur "1 - Activé". Cela oblige le système à vérifier que le firmware prend correctement en charge les tables d'attributs de mémoire avant d'activer HVCI.

Pour le paramètre Activer la Sécurité Basée sur la Virtualisation, sélectionnez "1 - Activé" si VBS n'est pas déjà actif sur vos appareils.

Vérification : Vérifiez vos paramètres - HVCI devrait afficher "1", UEFI MAT devrait afficher "1", et VBS devrait afficher "1".

Avant de déployer en production, vous devez planifier soigneusement le ciblage de vos appareils pour éviter des problèmes de compatibilité généralisés. Commencez par un petit groupe pilote pour valider la configuration.

Cliquez sur Suivant pour atteindre la section Affectations. Créez d'abord un déploiement pilote :

Cliquez sur + Ajouter un groupe sous Groupes inclus et sélectionnez un petit groupe de test (5-10 appareils maximum). Pour le type d'affectation, choisissez :

• Disponible pour les appareils inscrits : Les utilisateurs peuvent installer manuellement depuis le portail d'entreprise
• Requis : Déploie automatiquement sur tous les appareils du groupe

Pour les tests pilotes, utilisez Requis mais limitez la portée. Ajoutez des exclusions si nécessaire en cliquant sur + Ajouter un groupe sous Groupes exclus.

Configurez le calendrier de déploiement :

{
  "deploymentType": "Requis",
  "makeAvailableTime": "Dès que possible",
  "installDeadline": "Dès que possible",
  "restartGracePeriod": "4 heures",
  "restartNotification": "Afficher toutes les notifications"
}

Cliquez sur Suivant pour revoir votre configuration. Vérifiez que tous les paramètres sont corrects :

• Nom et description du profil
• Paramètres VBS (HVCI=1, UEFI MAT=1, VBS=1)
• Groupes cibles (pilote uniquement)

Vérification : Confirmez que l'affectation montre votre groupe pilote avec le type de déploiement "Requis" avant de cliquer sur Créer.

Après avoir créé la stratégie, vous devez surveiller son statut de déploiement et vous assurer que les appareils appliquent correctement la configuration. Le déploiement de la stratégie peut nécessiter plusieurs cycles de synchronisation pour être complété.

Accédez à Appareils > Configuration et localisez votre profil "Protection de la mémoire UEFI - Application HVCI". Cliquez dessus pour afficher le tableau de bord de déploiement.

Surveillez ces indicateurs clés :

• Statut de l'appareil : Affiche Succès, Erreur, Conflit ou Non applicable
• Statut de l'utilisateur : Résultats du déploiement basé sur l'utilisateur
• Statut par paramètre : Résultats du déploiement de chaque paramètre individuel

Pour forcer une synchronisation immédiate de la stratégie sur les appareils de test, vous pouvez déclencher une synchronisation manuelle :

# Sur l'appareil cible, exécutez en tant qu'administrateur :
Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

# Ou utilisez l'action à distance Intune :
# Appareils > Tous les appareils > Sélectionner l'appareil > Synchroniser

Vérifiez les erreurs de déploiement courantes dans les détails de l'appareil :

• Erreur 0x80070032 : Conflit de stratégie avec la configuration existante
• Erreur 0x87D1FDE8 : Paramètre non pris en charge sur cet appareil
• Erreur 0x80070005 : Accès refusé (généralement compatibilité du pilote)

Vérification : Un déploiement réussi devrait afficher le statut "Succès" pour tous les appareils pilotes dans les 2 à 4 heures suivant la création de la stratégie.

Une fois que la politique est déployée avec succès, vous devez vérifier que HVCI fonctionne réellement et fournit une protection de la mémoire. Le succès du déploiement de la politique ne garantit pas que la fonctionnalité est active.

Sur un appareil de test, ouvrez Sécurité Windows depuis le menu Démarrer et accédez à Sécurité de l'appareil > Détails de l'isolation du noyau. Vous devriez voir :

• Intégrité de la mémoire : Activé
• Microsoft Defender Application Guard : Disponible (si pris en charge)

Pour la vérification en ligne de commande, exécutez ces commandes PowerShell en tant qu'administrateur :

# Vérifier le statut de VBS et HVCI
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | Select-Object *

# Vérifier le statut spécifique de HVCI
(Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning

# Vérifier la Table des Attributs de Mémoire UEFI
bcdedit /enum {current} | findstr hypervisorenforcedcodeintegrity

Le SecurityServicesRunning devrait retourner "2" si HVCI est actif. La commande bcdedit devrait montrer "hypervisorenforcedcodeintegrity Yes".

Vous pouvez également vérifier via les Informations Système :

msinfo32

Recherchez "Services de sécurité basés sur la virtualisation en cours d'exécution" - cela devrait afficher "Yes" avec HVCI listé.

Vérification : Exécutez Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | Select-Object SecurityServicesRunning - devrait retourner "2".

HVCI impose des exigences strictes de signature de pilote et de protection de la mémoire. Les pilotes incompatibles empêcheront le système de démarrer ou causeront des problèmes de stabilité. Vous devez identifier et résoudre ces problèmes avant le déploiement complet.

Vérifiez les pilotes incompatibles dans la sécurité Windows :

1. Ouvrez Sécurité Windows > Sécurité de l'appareil
2. Cliquez sur Détails de l'isolation du noyau
3. Si disponible, cliquez sur Examiner les pilotes incompatibles

Cela montre les pilotes qui ne répondent pas aux exigences de HVCI. Les pilotes problématiques courants incluent :

• Logiciels antivirus/sécurité plus anciens
• Pilotes matériels hérités (en particulier réseau/graphique)
• Logiciels de virtualisation (VMware, VirtualBox)
• Outils de débogage/développement

Pour identifier les pilotes problématiques via la ligne de commande :

# Vérifier les pilotes non signés
Get-WindowsDriver -Online | Where-Object {$_.DriverSignature -eq "Unsigned"}

# Vérifier les journaux d'événements système pour les violations HVCI
Get-WinEvent -FilterHashtable @{LogName='System'; ID=219} | Select-Object TimeCreated, Message

Pour les problèmes de pilotes, vous avez plusieurs options :

• Mettre à jour les pilotes : Téléchargez des versions compatibles HVCI auprès du fabricant
• Supprimer le logiciel : Désinstallez les applications incompatibles
• Exclure les appareils : Ajoutez les appareils problématiques aux groupes d'exclusion
• Utiliser le mode audit : Activez d'abord HVCI en mode audit pour identifier les problèmes sans bloquer le démarrage

Vérification : Après avoir résolu les problèmes de pilotes, redémarrez l'appareil et confirmez que HVCI reste actif sans événements d'erreur dans le journal Système.

Après des tests pilotes réussis et une validation de la compatibilité des pilotes, vous pouvez étendre en toute sécurité la politique de protection de la mémoire UEFI à des groupes d'appareils plus larges. Cela nécessite une planification minutieuse et un déploiement par phases.

Retournez à votre profil de configuration dans le centre d'administration Intune : Appareils > Configuration > Sélectionnez votre profil HVCI > Affectations.

Planifiez votre déploiement en production par phases :

Pour chaque phase, modifiez les affectations :

1. Cliquez sur Modifier sur l'affectation
2. Ajoutez de nouveaux groupes inclus pour la phase en cours
3. Maintenez les groupes d'exclusion pour les appareils incompatibles
4. Réglez le moment du déploiement sur "Dès que possible"

Surveillez de près les métriques de déploiement pendant chaque phase :

# Script PowerShell pour vérifier le statut HVCI sur les ordinateurs du domaine
$computers = Get-ADComputer -Filter * | Select-Object -ExpandProperty Name
foreach ($computer in $computers) {
    try {
        $hvci = Invoke-Command -ComputerName $computer -ScriptBlock {
            (Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard).SecurityServicesRunning
        }
        Write-Output "$computer : Statut HVCI = $hvci"
    }
    catch {
        Write-Output "$computer : Connexion échouée"
    }
}

Vérification : Après chaque phase, confirmez un taux de réussite de >95% dans le tableau de bord de déploiement Intune avant de passer à la phase suivante.

La surveillance continue garantit que HVCI reste actif et vous alerte de toute violation de politique de sécurité ou problème de compatibilité qui survient après le déploiement.

Configurez une surveillance automatisée à l'aide de Microsoft Defender pour Endpoint ou Azure Monitor. Créez une règle de détection personnalisée pour l'état HVCI :

// Requête KQL pour la surveillance HVCI dans Microsoft Defender
DeviceInfo
| where Timestamp > ago(1d)
| extend HVCIStatus = iff(isnotempty(OSArchitecture) and OSArchitecture contains "x64", 
    iff(DeviceGuardSecurityServicesRunning has "2", "Enabled", "Disabled"), "N/A")
| where HVCIStatus == "Disabled"
| project Timestamp, DeviceName, OSVersion, HVCIStatus
| summarize DisabledDevices = dcount(DeviceName) by bin(Timestamp, 1h)

Pour les environnements sans Defender pour Endpoint, créez un script de surveillance PowerShell :

# Script de surveillance HVCI pour exécution planifiée
$logPath = "C:\Logs\HVCI-Monitor.log"
$timestamp = Get-Date -Format "yyyy-MM-dd HH:mm:ss"

try {
    $deviceGuard = Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard
    $hvciStatus = $deviceGuard.SecurityServicesRunning
    
    if ($hvciStatus -contains 2) {
        $status = "ENABLED"
    } else {
        $status = "DISABLED"
        # Envoyer un email d'alerte ou écrire dans le journal des événements
        Write-EventLog -LogName Application -Source "HVCI Monitor" -EventId 1001 -EntryType Warning -Message "HVCI is disabled on $env:COMPUTERNAME"
    }
    
    "$timestamp - $env:COMPUTERNAME - HVCI Status: $status" | Out-File -FilePath $logPath -Append
}
catch {
    "$timestamp - $env:COMPUTERNAME - HVCI Check Failed: $($_.Exception.Message)" | Out-File -FilePath $logPath -Append
}

Déployez ce script via Intune en tant que script PowerShell ou tâche planifiée. Configurez-le pour s'exécuter quotidiennement et alerter sur les échecs HVCI.

Configurez des politiques de conformité pour appliquer l'état HVCI :

1. Accédez à Appareils > Politiques de conformité > Créer une politique
2. Sélectionnez la plateforme Windows 10 et versions ultérieures
3. Sous Sécurité du système, configurez des règles de conformité personnalisées

Vérification : Testez la surveillance en désactivant temporairement HVCI sur un appareil de test et confirmez que des alertes sont générées dans le délai prévu.