Pages: 1 ... 9 10 11 12 13 [14] 15 16 17 18   En bas

Auteur Sujet: Annonce du nouveau Windows 11, le 24 Juin 2021  (Lu 30681 fois)

0 Membres et 1 Invité sur ce sujet

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 237
  • Chambly (60)
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #156 le: 30 juin 2021 à 01:50:28 »
Les builds insider 21xxx semblent abandonnées, avec "Windows 11" (toujours en version 10) en 22xxx.
La 21H2 sera probablement la build 19044, donc encore une mise à jour mineure sur la base de la 20H1.

Du coup, ce sera tout ou rien, avec un Windows 10 figé, sans les nouveautés qui étaient en développement (WSLg par exemple, le support du graphique pour les application Linux), et un Windows 11 qui change en même temps fonctionnalités et interface, et dont les exigences vont compliquer l'installation sur beaucoup de PC (notamment en entreprise).
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 323
    • Twitter LaFibre.info
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #157 le: 30 juin 2021 à 07:11:32 »
Les PC Pro ont généralement des puces TPM depuis plus de 10 ans.

La vrai limitation, c'est de restreindre Windows 11 à la 8ème génération de processeurs Intel Core.

Les gammes pro mettent du temps a intégrer les derniers processeurs, il n'y a pas longtemps, mon employeur achetait des PC HP EliteBook avec processeurs Intel Core de 7ème génération. Il a fallu mi-2020 pour passer à la 8ème génération sur les nouveaux PC (EliteBook 840 G6). L'appel d'offre datait de début 2020. Je ne comprend pas la réponse de HP en 2020 pour du EliteBook 840 G6, des gammes plus récentes étant sorties. Compatibilité avec les stationq d'accueil ? (on reste sur les mêmes station d'accueil, avec un connecteur propriétaire, ce n'est pas de l'USB type C)
IP archivée

xillibit

  • Abonné Bbox adsl
  • *
  • Messages: 612
  • Au fin fond de la Haute-Savoie (74)
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #158 le: 30 juin 2021 à 10:08:25 »
Au début c'était TPM 1.2 mais Microsoft demande du TPM 2.0 qui est plus récent

D’après theverge.com la liste de pré-requis des CPUs établit par Microsoft pour windows 11 correspond à la présence des failles meltdown et spectre, ça expliquerait l'hésitation de Microsoft à intégrer dans cette liste les Ryzen 1xxx à cause de la faille spectre
IP archivée

Harvester

  • Abonné Free fibre
  • *
  • Messages: 345
  • Freebox Révolution - Limours (91)
    • Site perso
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #159 le: 30 juin 2021 à 10:13:45 »
Il semble également que ça soit du au support du MBEC sur les processeurs de 8eme génération, pour limiter les impacts sur les performances du HVCI.

C'est un point qu'on avait étudié au boulot justement, pour les produits qu'on livre, mais comme on est sur du génération 9 et supérieur, on était assez vite passé à autre chose...

A noter que le problème est connu depuis très longtemps, on s'était notamment appuyé sur ce post de blog pour les détails : http://borec.ch/the-potential-performance-impact-of-device-guard-hvci/
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 323
    • Twitter LaFibre.info
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #160 le: 30 juin 2021 à 11:18:16 »
Oui, la liste communiqué par Microsoft semble lié à la présence du MBEC (Mode-Based Execution Control) dans Intel VT-x.

Si on active la protection basée sur la virtualisation de l’intégrité du code (c'est appelé "Intégrité de la mémoire"), les processeurs sans MBEC dans Intel VT-x dépendent d'une émulation de cette fonctionnalité, appelée mode utilisateur restreint, qui a un impact plus important sur les performances.

Maintenant cela ne concerne que ceux qui utilisent un hyperviseur, non ?

On parle de virtualisation systématique de l’environnement des applications Win32 dans Windows 11 pour améliorer la sécurité en les isolant, mais ce n'est pas en place aujourd'hui dans la version diffusée de Windows 11, non ?

Pour l'activer sous Windows 10 : C'est dans les Paramètres Windows, ouvrir Mise à jour et sécurité



Dans la colonne de gauche, cliquer sur Sécurité Windows puis dans la colonne de droite sur Sécurité de l'appareil



Étant donné qu'il utilise le contrôle d'exécution basé sur le mode, HVCI fonctionne mieux avec les processeurs Intel Classey Lake ou AMD Zen 2 et les plus nouvelles. Les processeurs sans MBEC dépendent d'une émulation de cette fonctionnalité, appelée modeutilisateur restreint, qui a un impact plus important sur les performances.
Source: Microsoft - Activer la protection basée sur la virtualisation de l’intégrité du code



Attention : Sous Windows 10 ce n'est pas anodin :
Citation de: renaud07 le 06 mai 2021 à 18:15:55
Pour l'isolation, il faut les prérequis matériels (virtualisation activée dans l'UEFI notamment) et si un pilote ou autre est incompatible (par ex sur des machines un peu anciennes) c'est désactivé automatiquement.

https://azurplus.fr/que-sont-isolation-du-noyau-et-integrite-de-la-memoire-dans-windows-10/

Et comme tu l'as suggéré, ça baisse les performances de la machine, malekal rapporte une utilisation de 30% du CPU (et des problèmes de drivers/services, encore eux) ce qui est loin d'être anecdotique : https://www.malekal.com/desactiver-isolation-noyau-windows-10/

Selon AzurePlus :
La fonctionnalité connue sous le nom «Intégrité de la mémoire» dans l’interface de Windows 10 est également appelée «Intégrité du code protégé par hyperviseur» (HVCI) dans la documentation de Microsoft.

L’intégrité de la mémoire est désactivée par défaut sur les PC mis à niveau vers la mise à jour d’avril 2018, mais vous pouvez l’activer. Il sera activé par défaut sur les nouvelles installations de Windows 10 à l’avenir.

Cette fonctionnalité est un sous-ensemble de Core Isolation. Windows nécessite normalement des signatures numériques pour les pilotes de périphériques et tout autre code qui s’exécute en mode noyau Windows de bas niveau. Cela garantit qu’ils n’ont pas été falsifiés par des logiciels malveillants. Lorsque «Intégrité de la mémoire» est activé, le «service d’intégrité du code» de Windows s’exécute à l’intérieur du conteneur protégé par l’hyperviseur créé par Core Isolation. Cela devrait rendre presque impossible pour les logiciels malveillants de falsifier les contrôles d’intégrité du code et d’accéder au noyau Windows.

Core Isolation demanderait pour s’exprimer pleinement une puce TPM 2.0, la prise en charge la technologie de virtualisation Intel VT-x ou AMD-V (activé dans les paramètres UEFI du PC), MBEC et des signatures numériques pour les pilotes de périphériques et tout autre code qui s’exécute en mode noyau Windows de bas niveau.

Donc on comprend mieux les pré-requis de Windows 11 en terme de pilote WDDM 2.0, TPM 2.0, un processeur Intel de 8e génération / un AMD Zen 2, et on se demande si il n'ont pas oublié l'activation de VT-x / AMD-V qui peut être désactivé dans l'UEFI. Mon entreprise désactive par exemple systématiquement la virtualisation dans l'UEFI.
IP archivée

willemijns

  • Abonné FreeMobile
  • *
  • Messages: 2 681
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #161 le: 30 juin 2021 à 11:21:15 »
Citation de: xillibit le 30 juin 2021 à 10:08:25
la liste de pré-requis des CPUs établit par Microsoft pour windows 11 correspond à la présence des failles meltdown et spectre

Ah oui bien vu ! voilà l'excuse de la sécurité... tous les OS ont été patchés avec 10/30% de pertes CPU...

IP archivée

Harvester

  • Abonné Free fibre
  • *
  • Messages: 345
  • Freebox Révolution - Limours (91)
    • Site perso
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #162 le: 30 juin 2021 à 11:55:31 »
Citation de: willemijns le 30 juin 2021 à 11:21:15
Ah oui bien vu ! voilà l'excuse de la sécurité... tous les OS ont été patchés avec 10/30% de pertes CPU...

Ce n'est pas une "excuse", Device Guard, et HVCI en particulier, sont des mécanismes de sécurité très efficaces pour segreguer l'espace mémoire du noyau, et le rendre non exécutable. Mais c'est sur que les prérequis ne sont pas anodins.

Citer
Mon entreprise désactive par exemple systématiquement la virtualisation dans l'UEFI.

Ce qui est contraire aux recommandations ANSSI pour la sécurité basée sur la virtualisation, ton employeur devrait être sensible à l'argument...  ;)
IP archivée

willemijns

  • Abonné FreeMobile
  • *
  • Messages: 2 681
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #163 le: 30 juin 2021 à 12:53:44 »
Quand on veut absolument changer un PC d'un utilisateur qui n'a jamais dépassé plus d'une heure les 45% CPU on appelle cela quoi ?
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 323
    • Twitter LaFibre.info
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #164 le: 30 juin 2021 à 13:31:56 »
Citation de: Harvester le 30 juin 2021 à 11:55:31
Ce qui est contraire aux recommandations ANSSI pour la sécurité basée sur la virtualisation, ton employeur devrait être sensible à l'argument...  ;)

Je confirme que mon employeur est sensible aux recommandations de l'ANSSI, c'est l'avis de l'ANSSI qui m'a été opposé quand j'ai demandé à avoir Firefox (et non Firefox ESR 78), afin d'avoir le support RTX for WebRTC, présent à partir de Firefox 80 et nécessaire pour ne pas avoir des problèmes avec plusieurs outils de visioconférence.

Je vois ce document, mais il date de 2017, si tu vois un autre document, je suis intéressé, je ferais un mail à mon SI pour demander d'activer la virtualisation sur les PC avec un processeur Intel de 8e génération avec et donc avec support du MBEC si la virtualisation est activée. (on a déjà le secure boot d'activé / pilote WDDM 2.x / TPM 2.0 / modification de l'UEFI bloqué par mot de passe et impossibilité de booter sur autre chose que le disque dur)
(cliquez sur la miniature ci-dessous - le document est au format PDF)
IP archivée

vivien

  • Administrateur
  • *
  • Messages: 47 323
    • Twitter LaFibre.info
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #165 le: 30 juin 2021 à 13:49:33 »
MBEC n'est pas présent sur Intel VT-x dés Kaby Lake (7e génération) et non Coffee Lake (8e génération) ?

=> https://petri.com/windows-10-virtualization-based-security-on-by-default-in-future-updates
IP archivée

Harvester

  • Abonné Free fibre
  • *
  • Messages: 345
  • Freebox Révolution - Limours (91)
    • Site perso
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #166 le: 30 juin 2021 à 14:35:46 »
Citation de: vivien le 30 juin 2021 à 13:49:33
MBEC n'est pas présent sur Intel VT-x dés Kaby Lake (7e génération) et non Coffee Lake (8e génération) ?

=> https://petri.com/windows-10-virtualization-based-security-on-by-default-in-future-updates

Si, c'est dans doute pour ça qu'ils testent également les buils Insider avec une télémétrie spécifique sur les 7eme gen : https://blogs.windows.com/windows-insider/2021/06/28/update-on-windows-11-minimum-system-requirements/

Citer
As we release to Windows Insiders and partner with our OEMs, we will test to identify devices running on Intel 7th generation and AMD Zen 1 that may meet our principles.

Ça polémique beaucoup en ce moment, c'est normal, l'annonce est fraîche, mais on est pas à l'abri d'un changement de leur côté pour supporter les 7eme gen et au dessus. Voire de permettre aux anciennes generations d'installer Windows 11 avec Device Guard, en étant conscient de la pénalité sur les performances
IP archivée

Invarion

  • Abonné MilkyWan
  • *
  • Messages: 131
  • Montpellier 34
Annonce du nouveau Windows 11, le 24 Juin 2021
« Réponse #167 le: 30 juin 2021 à 14:49:36 »
Citation de: vivien le 30 juin 2021 à 13:31:56
(on a déjà le secure boot d'activé / pilote WDDM 2.x / TPM 2.0 / modification de l'UEFI bloqué par mot de passe et impossibilité de booter sur autre chose que le disque dur)
De toute façon, ces mesures ne servent à rien en cas d'accès physique à la machine, il est très facile de les bypasser.
IP archivée
Pages: 1 ... 9 10 11 12 13 [14] 15 16 17 18   En haut