La Fibre
Télécom => Logiciels et systèmes d'exploitation => 
Microsoft Windows => Discussion démarrée par: vivien le 28 décembre 2019 à 16:08:20
-
Windows 10: Tutoriel pour activer la protection contre les ransomware
Windows 10 propose d'une protection, qui semble assez efficace, pour se protéger des ransomware (rançongiciel en Français), ces logiciels qui chiffrent les données du disque dur, tel que documents et photos, puis demandent à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.
(https://lafibre.info/images/logo/logo_ransomware.png)
Les trois principaux vecteur d'infections sont: (source Microsoft)
Vous pouvez être infecté par un ransomware de l'une des façons suivantes :
- En visitant des sites web dangereux, suspects ou frauduleux
- En ouvrant des e-mails et des pièces jointes que vous n'attendiez pas ou provenant de personnes que vous ne connaissez pas
- En ouvrant des liens malveillants ou corrompus dans les e-mails, Facebook, Twitter et d'autres publication de réseaux sociaux, ou dans des sessions de conversation instantanée, comme dans Skype
Il suffit d'activer une option pour être protégé de la majorité des ransomware ?
Oui, mais elle n'est pas activée par défaut.
Pourquoi la protection n'est pas activée par défaut ?
Tout simplement car il faut ensuite autoriser une à une les applications qui pourront modifier les données et ce n'est pas forcément une opération simple.
Voici pas à pas comment procéder :
-
Étape N°1 : Activer la protection contre les ransomware
Dans les Paramètres Windows, ouvrir Mise à jour et sécurité
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_01.png)
Dans la colonne de gauche, cliquer sur Sécurité Windows, puis dans la colonne de droite sur Protection contre les virus et menaces.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_02.png)
Une nouvelle fenêtre "Sécurité Windows" s'ouvre, cliquer sur Gérer la Protection contre les ransomware, situé tout en bas de la seconde colonne.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_03.png)
Enfin il faut activer la protection, c'est à dire le Dispositif d’accès contrôlé aux dossiers en langage Microsoft.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_04.png)
-
Étape N°2 : Sélectionner les dossiers que vous souhaitez protéger
Cliquer sur Dossiers protégés :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_05.png)
Une sélection de dossiers est proposé par défaut, vous pouvez en rajouter en cliquant sur Ajouter un dossier protégé.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_06.png)
La sélection de dossiers à rajouter se fait simplement via l'explorateur de fichiers :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_07.png)
Attention: Ne protégez que des dossiers avec des documents : ne protégez surtout pas le dossier Windows par exemple.
Si vous avez un dossier pour les sauvegardes de jeux et que ce n'est pas critique pour vous, ne les protégez pas: cela vous évitera d’autoriser un à un tous vos jeux.
-
Étape N°3 : Autoriser les applications pour qu'elles puissent écrire dans les dossiers protégés
C'est l'étape la plus difficile.
Cliquer sur Autoriser une app via un dispositif d'accès contrôlé aux dossiers :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_08.png)
La solution la plus simple est de lancer chacune de vos applications et de tenter d’écrire un fichier dans un dossier protégé. Vous aurez alors une erreur plus ou moins explicite ("impossible de trouver le fichier" alors que vous souhaitez créer le fichier par exemple).
Ensuite dans l'historique de protection, vous avez la liste des demandes qui ont été bloquées.
Il suffit alors de cliquer en bas à droite de chaque blocage sur Autoriser sur l'appareil.
Même les applications livrées avec Windows doivent être autorisées, ci-dessous une autorisation pour le célèbre Microsoft Paint, livré avec tous les Windows.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_09.png)
Ci-dessous, la demande concerne soffice.bin, pas facile de deviner que c'est ce fichier qu'il faut autoriser pour Libre Office :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_10.png)
-
Étape N°4 : Vous êtes protégés, mais de temps en temps, on vous demande une nouvelle autorisation !
J'ai un bon exemple ci-dessous :
Un fichier Update.exe souhaite accéder au bureau : Le nom n'inspire pas confiance et si vous ne savez pas ce que c'est il ne faut surtout pas l'autoriser sous peine de donner les droits à un ransomware.
Ici Update.exe n'est pas méchant, c'est le process de mise à jour de l'application Molotov TV, mais difficile de le deviner. Le besoin d'écriture n'est pas présent à chaque utilisation, mais à chaque mise à jour: On peut oublier de l’autoriser quand on met en place la protection.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_11.png)
Voici des exemples d'applications que j'ai autorisés. N'oubliez pas l'application de votre imprimante pour scanner et tous les petits logiciels qui ont besoin d’écrire un fichier temporaire dans vos documents. Les jeux, si le dossier de sauvegarde est protégé.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_12.png)
Vous comprenez maintenant pourquoi cette protection n'est pas activée par défaut, toutefois elle est intéressante pour tous ceux pour qui ont de précieux documents et qui ne font pas régulièrement de sauvegarde. Je ne vise personne, mais de nombreuses personnes sont dans ce cas.
-
Microsoft propose d'autres sécurités
- Isolation du noyau / Intégrité de la mémoire
- Processeur de sécurité / Trusted Platform Module
- Démarrage sécurisé / Secure boot
Dans les Paramètres Windows, ouvrir Mise à jour et sécurité
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_01.png)
Dans la colonne de gauche, cliquer sur Sécurité Windows puis dans la colonne de droite sur Sécurité de l'appareil
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_13.png)
Une nouvelle fenêtre "Sécurité Windows" s'ouvre, proposant plusieurs sécurités :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_14.png)
-
Isolation du noyau / Intégrité de la mémoire
La protection est par défaut désactivée sur mon PC.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_15.png)
Microsoft explique : L’intégrité de la mémoire est une fonctionnalité de Windows qui permet de garantir que le code qui s’exécute dans le noyau Windows est conçu et fiable de façon sécurisée. Il utilise la virtualisation matérielle et Hyper-V pour protéger les processus du mode noyau Windows de l’injection et de l’exécution du code malveillant ou non vérifié. L’intégrité du code exécuté sur Windows est validée par l’intégrité de la mémoire, ce qui rend Windows résistant aux attaques de logiciels malveillants. L’intégrité de la mémoire est une limite de sécurité puissante qui permet de bloquer l’exécution de nombreux types de logiciels malveillants dans les environnements Windows 10 et Windows Server 2016.
Toutefois, je n'arrive pas à l'activer sur un PC grand public récent (PC de bureau Dell Inspiron 3650 - génération Skylake - Core i3 6100 équipé d'un chipset Intel H110. La virtualisation est bien activée dans le BIOS)
Voici l'erreur rencontrée :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_16.png)
Avec un PC portable Dell Inspiron 5579 - génération Kaby Lake R - Core i5-8250U par contre cela fonctionne :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_18.png)
Après le redémarrage de Windows :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_17.png)
-
Processeur de sécurité / Trusted Platform Module
Cela permet d'avoir des informations sur le module TPM (Trusted Platform Module) ou "Security processor"
Si vous avez une fenêtre vide (exemple ci-dessous), la solution est simple : il faut élargir la fenêtre.
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_19.png)
Les puces TPM (ou puces Fritz) ont été commercialisées à partir de 2006 sur les gammes professionnelles, ont les retrouves aujourd'hui sur tous les PC.
Le TPM est un petite puce intégrée sur les cartes mères qui permet uniquement de stocker des secrets, comme des clés de chiffrement, de manière sécurisée.
Son utilisation la plus répandue est pour le chiffrement du disque dur proposé nativement dans Windows 10 par BitLocker. Malheureusement BitLocker n’est pas disponible sur l’édition Windows 10 Famille, il faut la version Pro.
Voici un schéma des fonction du TMP par Eusebius (Guillaume Piolle) :
(https://lafibre.info/testdebit/windows10/201507_windows10_bitlocker_tpm.png)
TPM d'un PC de conception 2017 : (portable Dell Inspiron 5579 - génération Kaby Lake R - Core i5-8250U)
(https://lafibre.info/testdebit/windows10/202001_tpm_pc_2017_core_i5-8250u.png)
TPM d'un PC de conception 2007 : (HP Compaq dc7800p Ultra-slim Desktop PC équipé d'un Core2 Duo E6550 avec technologie Intel® vPro™)
(https://lafibre.info/testdebit/windows10/202001_tpm_pc_2007_core2_duo_e6550.png)
En cas d'absence de Trusted Platform Module, voici le message d'erreur qui s'affiche :
(https://lafibre.info/testdebit/windows10/201507_windows10_bitlocker_03.png)
Pour chiffrer son disque dur, il suffit d'aller dans Mise à jour et sécurité > Chiffrement de l’appareil.
Si Chiffrement de l’appareil n'apparaît pas, cela signifie que cette option n'est pas disponible.
Si le chiffrement de l’appareil est désactivé, sélectionnez Activer.
(https://lafibre.info/testdebit/windows10/201507_windows10_bitlocker_04.png)
-
Démarrage sécurisé / Secure boot
Depuis la norme UEFI version 2.3.1, le BIOS / UEFI des PC intègre une fonctionnalité n'autorisant le démarrage qu'aux systèmes d'exploitation reconnus. Cette fonctionnalité vise à interdire le démarrage d'un système d'exploitation corrompu notamment par un virus ou un rootkit.
Il est obligatoirement activé pour les PC livrés avec Windows 8 ou Windows 10.
Il est par contre désactivé par défaut sur les serveurs ou les carte mères achetés au détail, pour ceux qui montent leur PC.
L'activation se fait en allant dans les paramètres du BIOS / UEFI en appuyant sur un touche "F2" ou "Suppr" au démarrage de l'ordinateur.
Les PC proposent un mode de boot UEFI et un mode "Legacy" ou "BIOS" : Le Secure boot n'est qu'une option du boot UEFI et ne peut en aucun cas être activé si votre système d’exploitation a été installé en mode "Legacy". Si il est installé en mode UEFI, vous pouvez par contre activer le Secure boot dans les paramètres.
Mode boot UEFI :
(https://lafibre.info/testdebit/ubuntu/201904_ubuntu_boot_uefi_0.png)
Mode boot Legacy ou BIOS :
(https://lafibre.info/testdebit/ubuntu/201904_ubuntu_boot_bios_legacy_0.png)
-
Toutefois, je n'arrive pas à l'activer sur un PC grand public récent (PC de bureau Dell Inspiron 3650 - génération Skylake - Core i3 6100 équipé d'un chipset Intel H110. La virtualisation est bien activée dans le BIOS)
Microsoft fournit un script permettant de vérifier la compatibilité matérielle pour pouvoir activer l'option "Intégrité de la mémoire" : https://www.microsoft.com/en-us/download/details.aspx?id=53337
-
Pourquoi n'est-elle pas activée par défaut ?
Tout simplement car il faut ensuite autoriser une à une les applications qui pourront modifier les données et ce n'est pas forcément une opération simple.
Ils auraient dû prévoir une liste d’applications de confiance au lieu de faire un truc aussi lourd.
À cause de ça 95% des gens ne l'activeront pas...
-
Ils auraient dû prévoir une liste d’applications de confiance au lieu de faire un truc aussi lourd.
À cause de ça 95% des gens ne l'activeront pas...
ou un OS moderne facon iOS, Android, ChromeOS ou l'utilisateur n'est pas et ne peut être root.
-
Ils auraient dû prévoir une liste d’applications de confiance au lieu de faire un truc aussi lourd.
La problématique avec une liste d'applications de confiance (ex:applications Microsoft), c'est que un ransomware pourrait utiliser le nom de cette application pour avoir accès aux documents et chiffrer les données.
Il faudrait tester si après avoir autoriser mspaint.exe un autre mspaint.exe peut avoir accès aux dossiers.
-
C'est pas pour rien qu'on signe les apps, tout de même....
-
C'est pas pour rien qu'on signe les apps, tout de même....
Tu as lu dans mes pensées.
Sinon, je viens d'installer un 10 1909 et bizarrement, je peux écrire dans les dossiers protégés sans que ça me dise quoi ce soit.
Testé avec paint et un téléchargement dans edge et firefox.
-
J'ai fais tous mes tests avec Windows 10 famille 1909 (nom de code : 19H2 puis November 2019 Update)
Oui j'ose espérer que la signature est vérifiée, mais dans ce cas là, la bonne solution serait d'afficher la signature qui va être autorisée en plus du nom de l'exécutable.
Or là ils ne proposent que le nom :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_10.png)
-
J'avais mal vu, j'ai bien eu un blocage dans les dossiers temporaires. un setup.exe, qui semble être la décompression de firefox mais il s'est installé quand même...
J'ai installé la pro, elle est peut-être moins restrictive que famille ?
-
Cela parait effectivement assez lourd. Que ce soit dans le milieu familial que professionnel, j'imagine déjà les questions "Pourquoi mon application ne marche pas ?". Mais cela a le mérite d'exister comme possibilité. Mais de là à ce que Microsoft mette en avant Windows S...
Pour les applications signées, il ne faut pas oublier qu'il peut y en avoir un paquet de versions, entre les versions mêmes, les mises à jours, les versions de l'OS. On peut penser à Firefox par exemple (ou Chrome)...
-
Bonjour et merci pour ce tuto,
J'ai lu que windows defender s'était classé récemment parmi les meilleurs antivirus. Du coup, je n'ai pas renouvelé mon abonnement chez Norton et je n'ai pas eu de soucis depuis plusieurs mois.
J'ai bien entendu activé la protection contre les ransomwares mais j'ai dû la désactiver peu de temps après. En effet, je ne comprenais pas pourquoi j'avais ces messages d'erreur quand je voulais juste sauvegarder un document libreoffice que j'avais modifié. J'ai ensuite compris qu'il fallait désactivé la protection ou autoriser l'appli. C'est là que je me suis dit que ça allait devenir lourd à gérer s'il fallait à chaque fois autoriser ou non.
Ensuite, je me dis que si j'autorise certaines applis, est-ce que ça ne laisse pas des portes ouvertes pour une éventuelle infection ? Je ne suis pas trop doué en informatique, enfin je connais l'essentiel pour une utilisation classique.
J'ai une version windows pro installée nativement lors de l'achat. Je n'ai pas tenté les autres protections proposées dans le tuto. Il faudra que je m'y penche. Mais comme je l'ai dit, là où je bloque, c'est la liste des autorisations à donner vu que même les noms ne sont pas toujours parlant.
-
bon tuto, je n'avais pas vu qu'ils avaient rajouté des truc non activés par defaut.
j'ai protégé contre les ransomware mon dossier le plus important, pas de pb ca fonctionne bien. J'ai beaucoup de fichiers dans ce dossier, mais tres peu de formats differents, donc je n'ai pas eu besoin d'autoriser beaucoup d'applis (3 au total), donc nickel.
J'ai activé l'isolation du noyau. Là par contre, probleme, mes VM virtualbox ne veulent plus se lancer. Du coup j'ai desactivé le truc, pas grave.
-
L'outil EMET existe toujours pour Windows 10 ?
-
L'outil EMET existe toujours pour Windows 10 ?
Non, il a été intégré nativement dans Windows 10 depuis la mouture 1709, sous le nom de Windows Defender Exploit Protection. Les réglages associés sont disponibles dans l'application 'Sécurité Windows' qui regroupe également les paramètres pour Windows Defender.
-
Je viens de regarder sur Windpws 10 pro 1903, et cet outil de protection contre les ransomwares ne semble pas présent. Je ne suis pas encore passé personnellement à 1909.
-
Je viens de regarder sur Windpws 10 pro 1903, et cet outil de protection contre les ransomwares ne semble pas présent. Je ne suis pas encore passé personnellement à 1909.
L'Accès Contrôlé aux Dossiers (l'ancien nom de la protection contre les ransomwares) est disponible également depuis la mouture 1709.
-
Exact, je viens de le vérifier.
-
Toutefois, je n'arrive pas à l'activer sur un PC grand public récent (PC de bureau Dell Inspiron 3650 - génération Skylake - Core i3 6100 équipé d'un chipset Intel H110. La virtualisation est bien activée dans le BIOS)
Microsoft fournit un script permettant de vérifier la compatibilité matérielle pour pouvoir activer l'option "Intégrité de la mémoire" : https://www.microsoft.com/en-us/download/details.aspx?id=53337
Sais-tu quel sont les pré-requis ?
Le TPM est les options ci-dessous sont activées :
(https://lafibre.info/images/materiel/201912_bios_dell_inspiron_3650_core-i3-6100.jpg)
-
Avec un PC portable Dell Inspiron 5579 - génération Kaby Lake R - Core i5-8250U par contre cela fonctionne :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_18.png)
Après le redémarrage de Windows :
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_17.png)
-
Sais-tu quel sont les pré-requis ?
Le TPM est les options ci-dessous sont activées :
Dans ton cas, c'est un driver en espace noyau qui n'est pas compatible avec la fonctionnalité. En général il te donne la liste des drivers concernés sur la page où tu peux activer le switch pour l'intégrité de la mémoire, sinon regarder dans le journal d'événements, il me semble qu'un événement associé décrit le/les drivers concernés.
Souvent, ce sont les drivers AHCI/RAID qui sont fautifs, quand la configuration hardware n'est pas trop exotique.
Tu démarre bien en UEFI et pas en mode hérité ?
-
J'ai regardé attentivement dans les logs, après avoir pris soins de ne rien faire la minute ou j'active la fonction intégrité de la mémoire.
Je n'ai que ça : (et pas de liste des drivers concernés sur la page où tu peux activer le switch pour l'intégrité de la mémoire)
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_20.png)
Pour le PC, c'est un PC bureau de basique (entrée de gamme), avec un seul disque 1To 7200tr/min et un lecteur DVD, sans aucune carte d'extension rajoutée.
Afin d'éviter les logiciels pré-installés par Dell, je l'ai formaté et installé un Windows 10 d'origine. Tous les pilotes sont ceux installés par Microsoft, je n'ai rien fait à la main.
Si cela peut aider : (les cartes réseaux WAN sont peut-être liées à l'installation de Wireshark 3.2.0)
(https://lafibre.info/testdebit/windows10/201912_protection_ransomware_21.png)
-
ou un OS moderne facon iOS, Android, ChromeOS ou l'utilisateur n'est pas et ne peut être root.
Je ne vois pas trop ce que ça changerait au problème. Les ransomware n'ont pas besoin d'être root pour faire des dégâts, ce qui intéresse l'utilisateur se sont ses propres données (données dont il est propriétaire au sens "Unix" du terme).
-
(données dont il est propriétaire au sens "Unix" du terme).
Au sens Posix ;)
-
Je suis trop jeune pour faire la différence. :P (en pratique oui mais non)
J'avais bien conscience que c'était probablement pas le bon terme, d'où les guillemets mais j'admets avoir eu la flemme de chercher d'où venait la gestion des droits d'accès telle que je la connais sur les Linux modernes. :-X
-
TPM : Sépare ces deux PC...
TPM d'un PC de conception 2017 : (portable Dell Inspiron 5579 - génération Kaby Lake R - Core i5-8250U)
(https://lafibre.info/testdebit/windows10/202001_tpm_pc_2017_core_i5-8250u.png)
TPM d'un PC de conception 2007 : (HP Compaq dc7800p Ultra-slim Desktop PC équipé d'un Core2 Duo E6550 avec technologie Intel® vPro™)
(https://lafibre.info/testdebit/windows10/202001_tpm_pc_2007_core2_duo_e6550.png)
-
ou un OS moderne facon iOS, Android, ChromeOS ou l'utilisateur n'est pas et ne peut être root.
L'utilisateur n'est pas root (ou équivalent) non plus sous Windows, même avec un compte "administrateur". Il a certains droits d'administration, ce qui est différent, et il doit valider chaque action d'administration par l'UAC. Là où ça craignait c'était avant Vista, quand il n'y avait pas l'UAC.
-
bonjour, je ne comprends pas cette phrase :
Les PC proposent un mode de boot UEFI et un mode "Legacy" ou "BIOS" : Le Secure boot n'est qu'une option du boot UEFI et ne peut en aucun cas être activé si votre système d’exploitation a été installé en mode "Legacy". Si il est installé en mode UEFI, vous pouvez par contre activer le Secure boot dans les paramètres.
ça faisait 10 ans que je n'avais pas monté de pc...
récemment, j'ai changé ma config, et j'ai donc du matos "neuf", j'ai refait une installation propre de mon windows famille.
Ma carte mère est une MSI et mon processeur un Intel.
Je suis perdu avec ces termes de boot UEFI, mode legacy etc... et du coup je ne sais pas vous dire exactement ce que j'ai fait lors de mon installation.
Du coup, est ce vraiment important d'activer le secure boot ? sachant que c'est une machine desktop ? (et donc qui ne bouge pas de la maison, sauf cambriolage :'( )
-
Le choix BIOS / UEFI se fait au moment de installation du système d'exploitation et change pas mal de choses.
Le sécure boot est juste une option possible quand on est en UEFI.
Cela devrait t'éclairer :
Je fais ce post afin d'expliquer les différences entre UEFI / GPT et BIOS / MBR
GUID Partition Table (GPT)
GPT est un standard pour décrire la table de partitionnement d'un disque dur. Il faut une carte mère d'ordinateur avec une mémoire flash UEFI pour pouvoir démarrer un ordinateur sur un disque dur avec une table de partition GPT. C'est le cas de tous les PC à partir de 2012.
GPT gère les disques durs jusqu'à 9,4 Zo, soit 9 400 000 000 To.
Avant GPT, la table des partition étaient enregistré sur un Master Boot Record (MBR)
Master Boot Record (MBR)
A l'époque de la création du MBR, la taille des disques dur était de 5 Mo et ils ne pensaient pas utile d'avoir plus de 4 partition et ce fut la limite, afin de ne pas perdre de place. La taille du MBR est donc petite : seulement 512 octets.
L'astuce, pour dépasser 4 partitions consiste a créer une partition étendue qui va renvoyer vers une seconde table plus grande. Problème : En supprimant une partition principale il est impossible de créer deux partitions plus petites. On note également que certains systèmes d'exploitation nécessitent d'être dans une partition principale pour démarrer.
Ce qui a provoqué son remplacement, ce n'est pas la limite de 4 partitions, mais le fait que la taille soit sur 41 octets. Il est donc impossible d'adresser au-delà de 2,2 To (241 octets).
Unified Extensible Firmware Interface (UEFI)
UEFI est le logiciel qui est stocké dans la mémoire flash des ordinateurs modernes qui permet de démarrer l'ordinateur. C'est lui qui initialise l'ordinateur, va vérifier que les composants fonctionnent correctement et va chercher le disque dur ou le CD-Rom pour démarrer un système d'exploitation.
UEFI 2.0 date de 2006 et on le trouve depuis cette date sur les serveurs. Pour les PC grand public, les grands constructeurs ont attendu à ce que Microsoft le rende obligatoire en 2012, pour le programme de certification de Windows 8. Pour ceux qui se montent eux même leur PC, la majorité des cartes mères proposaient l'UEFI en 2010 (mais par défaut, elles étaient configurées en mode BIOS)
GPT fait partie d'UEFI, donc tous les PC UEFI savent le gérer.
Basic Input Output System (BIOS)
Le BIOS est le logiciel qui est stocké dans la mémoire rom / flash des ordinateurs depuis les premiers PC de 1981 et qui permet de démarrer l'ordinateur. Aujourd'hui tous les PC ont un UEFI, mais il est courant de désigner UEFI comme étant un BIOS UEFI.
Le BIOS ne sait pas gérer GPT et il est donc impossible d'avoir un disque dur de démarrage du PC > 2,2 To.
Ce problème s'est posé en premier pour les servuer avec des disques RAID (composé de plusieurs de disques physiques) qui pouvait dépasser 2,2 To avec seulement 6 disques dur de 512Go, en mode RAID5. C'est pour cela que les serveurs ont été les premiers à proposer UEFI et GPT.
Je ne recommande pas d'installer en UEFI sur de veilles machines (cela peut poser des problèmes)
=> Tutoriel pour corriger le boot UEFI d'un vieux serveur Dell qui a oublié Ubuntu (https://lafibre.info/serveur-linux/dell-rajouter-entree-uefi/)
Pour une machine récente (achetée depuis 2015), il ne faut pas hésiter et partir en UEFI.
-
bonjour, merci pour le récap.
Par contre du coup, vu que je n'ai pas fait attention quand j'ai tout installé, comment savoir quelle "configuration" j'ai appliqué ?
-
En lançant l'utilitaire "msinfo" (ouvrir le menu Démarrer, taper msinfo, le résultat "Information système" devrait s'afficher, lancer l'utilitaire).
Dans la liste des informations affichées, la ligne "Mode BIOS" indiqué UEFI si installé en mode UEFI, sinon affichera "mode hérité" en mode BIOS.
L'UEFI permet effectivement de bénéficier du Secure Boot, qui en retour permet de bénéficier de toutes les protections modernes de Windows 10, notamment la sécurité basée sur la virtualisation.
-
Autre solution : aller voir tes partitions.
UEFI exige une partition EFI sur le disque de boot.
Si l'outil de gestion de partition de Microsoft ne te trouve pas de partition EFI, tu es en legacy.
La partition EFI est surlignée ici en rose : La partition EFI et les 5 autres sont celles crée quand tu achète un ordinateur Dell. J'ai rajouté celles en vert pour un dual boot Ubuntu.
(https://lafibre.info/testdebit/windows10/201508_windows10_uefi_gpt.png)
-
Et quelque chose d'intéressant à savoir, il est possible de convertir une installation Windows MBR en GPT sans tout réinstaller via l'environnement minimaliste en ligne de commande : https://www.windowscentral.com/how-convert-mbr-disk-gpt-move-bios-uefi-windows-10
Ça m'a notamment été utile pour le pc de la famille : Windows 7 sur une carte mère BIOS à la base, je l'avais migré sous Windows 10 un peu après la sortie. L'année dernière j'ai remplacé la carte mère par une plus récente (ainsi que le processeur et la ram), j'en ai donc profité pour passer l'installation de Windows en GPT afin de pouvoir activer le fast boot.
À noter que l'UEFI est également obligatoire pour démarrer sur un SSD en NVMe.
-
TPM d'un PC de conception 2007 : (HP Compaq dc7800p Ultra-slim Desktop PC équipé d'un Core2 Duo E6550 avec technologie Intel® vPro™)
(https://lafibre.info/testdebit/windows10/202001_tpm_pc_2007_core2_duo_e6550.png)
Comparaison avec le TPM d'un autre PC HP, a peine plus récent - 2008 (HP Compaq 6510b PC portable équipé d'un Core2 Duo T8100): On est sur le même chip TPM, mais il y a Attestation Prêt / Stockage Prêt et tandis que le précédent est Attestation Non pris en charge / Stockage Pas prêt
Comment faire pour changer cet état ?
Je n'ai pas tenté d'utiliser le TPM sur le PC où il est marqué Attestation Non pris en charge
Sur le Core2 Duo T8100, j'ai chiffré mon disque sous Windows 10 en utilisant le TPM avec sucés.
(https://lafibre.info/testdebit/windows10/202001_tpm_pc_2008_core2_duo_t8100.png)
-
Sur le PC "Pas prêt", quel est le status du TPM dans l'utilitaire "tpm.msc" ? Est il bien configuré dans le BIOS ?
-
Bien vu, il faut impérativement définir un mot de passe pour la configuration du BIOS sur ce PC pour activer le TPM.
Tout fonctionne bien maintenant.
Je comprends maintenant les erreurs TPM que j'avais sous Linux au boot.