Base de référence de sécurité Windows

Cet article décrit en détail les paramètres de configuration des invités Windows, le cas échéant, dans les implémentations suivantes :

  • [Préversion] : les machines Windows doivent répondre aux exigences de la base de référence de sécurité Azure Compute Définition de la configuration Invité d’Azure Policy
  • Les vulnérabilités dans la configuration de sécurité sur vos machines doivent être corrigées dans Azure Security Center

Pour plus d’informations, consultez Configuration de machine Azure Automanage.

Important

La configuration d’invité Azure Policy s’applique uniquement à la référence SKU Windows Server et à la référence SKU Azure Stack. Elle ne s’applique pas au calcul de l’utilisateur final comme les références SKU Windows 10 et Windows 11.

Stratégies de compte - Stratégie de mot de passe

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Durée de verrouillage de compte
(AZ-WIN-73312)
Description : ce paramètre de stratégie détermine la durée pendant laquelle un compte verrouillé est déverrouillé et un utilisateur peut essayer de se reconnecter. Le paramètre le fait en spécifiant le nombre de minutes pendant lesquelles un compte verrouillé reste indisponible. Si la valeur de ce paramètre de stratégie est configurée sur 0, les comptes verrouillés restent verrouillés jusqu’à ce qu’un administrateur les déverrouille manuellement. Bien qu’il semble judicieux de configurer la valeur de ce paramètre de stratégie sur une valeur élevée, une telle configuration augmente probablement le nombre d’appels reçus par le support technique pour déverrouiller les comptes verrouillés par erreur. Les utilisateurs doivent être conscients de la durée pendant laquelle un verrou reste en place, afin qu’ils se rendent compte qu’ils n’ont besoin d’appeler le support technique qu’en cas de besoin extrêmement urgent de récupérer l’accès à leur ordinateur. L’état recommandé pour ce paramètre est : 15 or more minute(s). Remarque : les paramètres de stratégie de mot de passe (section 1.1) et les paramètres de stratégie de verrouillage de compte (section 1.2) doivent être appliqués via l’objet de stratégie de groupe (GPO) de stratégie de domaine par défaut afin d’être globalement en vigueur sur les comptes d’utilisateurs de domaine comme comportement par défaut. Si ces paramètres sont configurés dans un autre GPO, ils affectent uniquement les comptes d’utilisateurs locaux sur les ordinateurs qui reçoivent le GPO. Toutefois, les exceptions personnalisées à la stratégie de mot de passe par défaut et aux règles de stratégie de verrouillage de compte pour des utilisateurs de domaine et/ou groupes spécifiques peuvent être définies à l’aide d’objets de paramètres de mot de passe (PSO), qui sont complètement distincts de la stratégie de groupe et plus facilement configurés à l’aide du Centre d’administration Active Directory.
Chemin de la clé : [System Access]LockoutDuration
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de verrouillage du compte\Durée de verrouillage des comptes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 1.2.1
        CIS WS2019 1.2.1
>= 15
(Stratégie)
Avertissement

Modèle d’administration - Window Defender

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Configurer la détection pour les applications potentiellement indésirables
(AZ-WIN-202219)
Description : Ce paramètre de stratégie contrôle la détection et l’action des applications potentiellement indésirables (PUA), qui sont des bundlers d’applications indésirables ou leurs applications groupées pouvant fournir des logiciels publicitaires ou des programmes malveillants. L’état recommandé pour ce paramètre est : Enabled: Block. Pour plus d’informations, consultez ce lien : Bloquer les applications potentiellement indésirables avec Microsoft Defender Antivirus | Microsoft Docs
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender\PUAProtection
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Configurer la détection pour les applications potentiellement indésirables
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.15
        CIS WS2019 18.9.47.15
= 1
(registre)
Critique
Analyser l’ensemble des fichiers et pièces jointes téléchargés
(AZ-WIN-202221)
Description : Ce paramètre de stratégie configure l’analyse de tous les fichiers et pièces jointes téléchargés. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableIOAVProtection
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Protection en temps réel\Analyser tous les fichiers et pièces jointes téléchargés
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.9.1
        CIS WS2019 18.9.47.9.1
= 0
(registre)
Avertissement
Désactiver l’antivirus Microsoft Defender
(AZ-WIN-202220)
Description : Ce paramètre de stratégie désactive Microsoft Defender Antivirus. Si le paramètre est configuré sur Désactivé, Microsoft Defender Antivirus s’exécute et les ordinateurs sont analysés pour rechercher des programmes malveillants et d’autres logiciels potentiellement indésirables. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : Software\Policies\Microsoft\Windows Defender\DisableAntiSpyware
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Désactiver l’antivirus Microsoft Defender
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.16
        CIS WS2019 18.9.47.16
= 0
(registre)
Critique
Désactiver la protection en temps réel
(AZ-WIN-202222)
Description : Ce paramètre de stratégie configure les invites de protection en temps réel pour la détection de programmes malveillants connus. Microsoft Defender Antivirus émet une alerte lorsque des programmes malveillants ou d'autres logiciels indésirables tentent de s’installer ou de s’exécuter sur votre ordinateur. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableRealtimeMonitoring
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Protection en temps réel\Désactiver la protection en temps réel
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.9.2
        CIS WS2019 18.9.47.9.2
= 0
(registre)
Avertissement
Activer l’analyse du courrier électronique
(AZ-WIN-202218)
Description : Ce paramètre de stratégie vous permet de configurer l’analyse des e-mails. Quand l’analyse des e-mails est activée, le moteur analyse la boîte aux lettres et les fichiers de courrier électronique, selon leur format spécifique, afin d’analyser les corps et pièces jointes des messages. Plusieurs formats d’e-mails sont actuellement pris en charge, par exemple : pst (Outlook), dbx, mbx, mime (Outlook Express), binhex (Mac). L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableEmailScanning
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Analyse\Activer l’analyse du courrier électronique
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.12.2
        CIS WS2019 18.9.47.12.2
= 0
(registre)
Avertissement
Activer l’analyse des scripts
(AZ-WIN-202223)
Description : Ce paramètre de stratégie permet à l’analyse de script d’être activée/désactivée. L’analyse des scripts intercepte les scripts, puis les analyse avant qu’ils ne soient exécutés sur le système. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : Software\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableScriptScanning
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Protection en temps réel\Activer l’analyse des scripts
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.9.4
        CIS WS2019 18.9.47.9.4
= 0
(registre)
Avertissement

Modèles d’administration - Panneau de configuration

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Autoriser la personnalisation de la saisie
(AZ-WIN-00168)
Description : cette stratégie active le composant d’apprentissage automatique de la personnalisation de la saisie qui comprend la reconnaissance vocale, l’entrée manuscrite et la saisie. L’apprentissage automatique active la collecte de modèles vocaux et d’écriture manuscrite, l’historique de frappe, les contacts et les informations de calendrier récentes. Stratégie obligatoire pour l’utilisation de Cortana. Certaines de ces informations collectées peuvent être stockées sur l’espace OneDrive de l’utilisateur, dans le cas d’une entrée manuscrite et d’une saisie. Certaines informations seront envoyées à Microsoft pour personnaliser la reconnaissance vocale. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\InputPersonalization\AllowInputPersonalization
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled : Configuration ordinateur\Stratégies\Modèles d’administration\Panneau de configuration\Options régionales et linguistiques\Permettre aux utilisateurs d’activer les services de reconnaissance vocale en ligne Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle stratégie de groupe Globalization.admx/adml, qui est inclus dans les modèles d’administration Microsoft Windows 10 RTM version 1507 (ou version ultérieure). Remarque n° 2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Autoriser la personnalisation des entrées, mais il a été renommé pour autoriser les utilisateurs à activer les services de reconnaissance vocale en ligne à partir des modèles d’administration Windows 10 R1809 &Server 2019.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.1.2.2
= 0
(registre)
Avertissement

Modèles d’administration - Guide de sécurité MS

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Désactiver le client SMB v1 (supprimer la dépendance sur LanmanWorkstation)
(AZ-WIN-00122)
Description : SMBv1 est un protocole hérité qui utilise l’algorithme MD5 dans le cadre de SMB. MD5 est connu pour être vulnérable à un certain nombre d’attaques telles que les attaques de collision et de préimage, ainsi que pour ne pas être conforme à la norme FIPS.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanmanWorkstation\DependOnService
Système d’exploitation : WS2008, WS2008R2, WS2012
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Modèles d’administration\Guide de sécurité MS\Configurer le pilote client SMBv1
Correspondance des standards de conformité :
N’existe pas ou = Bowser\0MRxSmb20\0NSI\0\0
(registre)
Critique
Authentification WDigest
(AZ-WIN-73497)
Description : Lorsque l’authentification WDigest est activée, Lsass.exe conserve une copie du mot de passe en texte en clair de l’utilisateur en mémoire, où elle peut être à risque de vol. Si ce paramètre n’est pas configuré, l’authentification WDigest est désactivée dans Windows 8.1 et dans Windows Server 2012 R2. Elle est activée par défaut dans les versions antérieures de Windows et Windows Server. Pour plus d’informations sur les comptes locaux et le vol d’informations d’identification, consultez les documents « Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques » (Atténuation des attaques Pass-the-hash (PtH) et autres techniques de vol d’informations d’identification). Pour plus d’informations sur UseLogonCredential, consultez l’article de la Base de connaissances Microsoft 2871997 : Mise à jour des conseils de sécurité Microsoft pour améliorer la protection et la gestion des informations d’identification le 13 mai 2014. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential
Système d’exploitation : WS2016, WS2019
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Guide de sécurité MS\Authentification WDigest (la désactivation peut nécessiter de consulter l’article de la Base de connaissances 2871997)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.3.7
        CIS WS2019 18.3.7
= 0
(registre)
Important

Modèles d’administration - MSS

Nom
(ID)
Détails Valeur attendue
(Type)
severity
MSS : (DisableIPSourceRouting IPv6) Niveau de protection du routage source IP (protège contre l’usurpation de paquets)
(AZ-WIN-202213)
Description : le routage source IP est un mécanisme qui permet à l’expéditeur de déterminer l’itinéraire IP qu’un datagramme doit suivre via le réseau. L’état recommandé pour ce paramètre est : Enabled: Highest protection, source routing is completely disabled.
Chemin de la clé : System\CurrentControlSet\Services\Tcpip6\Parameters\DisableIPSourceRouting
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\MSS (hérité)\MSS : (DisableIPSourceRouting IPv6) Niveau de protection du routage source IP (protège contre l’usurpation de paquets)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.4.2
        CIS WS2019 18.4.2
= 2
(registre)
Informationnel
MSS : (DisableIPSourceRouting) Niveau de protection du routage source IP (protège contre l’usurpation de paquets)
(AZ-WIN-202244)
Description : le routage source IP est un mécanisme qui permet à l’expéditeur de déterminer l’itinéraire IP qu’un datagramme doit suivre via le réseau. Il est recommandé de configurer ce paramètre sur Non défini pour les environnements d’entreprise et la protection la plus élevée pour les environnements haute sécurité afin de désactiver complètement le routage source. L’état recommandé pour ce paramètre est : Enabled: Highest protection, source routing is completely disabled.
Chemin de la clé : System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\MSS (hérité)\MSS : (DisableIPSourceRouting) Niveau de protection du routage source IP (protège contre l’usurpation de paquets)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.4.3
        CIS WS2019 18.4.3
= 2
(registre)
Informationnel
MSS : (NoNameReleaseOnDemand) Autoriser l’ordinateur à ignorer les demandes de publication de nom NetBIOS à l’exception des serveurs WINS
(AZ-WIN-202214)
Description : NetBIOS sur TCP/IP est un protocole réseau qui permet entre autres de résoudre facilement les noms NetBIOS inscrits sur les systèmes Windows sur les adresses IP configurées sur ces systèmes. Ce paramètre détermine si l’ordinateur libère son nom NetBIOS lorsqu’il reçoit une demande de mise en production de nom. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\MSS (hérité)\MSS : (NoNameReleaseOnDemand) Autoriser l’ordinateur à ignorer les demandes de publication de nom NetBIOS à l’exception des serveurs WINS
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.4.6
        CIS WS2019 18.4.6
= 1
(registre)
Informationnel
MSS : (SafeDllSearchMode) Activer le mode de recherche de DLL sans échec (recommandé)
(AZ-WIN-202215)
Description : l’ordre de recherche DLL peut être configuré pour rechercher des DLL demandées en exécutant des processus de l’une des deux manières suivantes : - Rechercher les dossiers spécifiés dans le chemin d’accès système en premier, puis rechercher le dossier de travail actif. - Recherchez d’abord le dossier de travail actif, puis recherchez les dossiers spécifiés dans le chemin d’accès système. Lorsqu’elle est activée, la valeur de registre est définie sur 1. Avec un paramètre de 1, le système recherche d’abord les dossiers spécifiés dans le chemin d’accès système, puis recherche le dossier de travail actif. Lorsqu'elle est désactivée, la valeur du registre est fixée à 0 et le système recherche d'abord le dossier de travail actuel, puis les dossiers spécifiés dans le chemin d'accès du système. Les applications sont forcées de rechercher d’abord des DLL dans le chemin d’accès système. Pour les applications qui nécessitent des versions uniques de ces DLL incluses dans l’application, cette entrée peut entraîner des problèmes de performances ou de stabilité. L’état recommandé pour ce paramètre est : Enabled. Remarque : Pour plus d’informations sur le fonctionnement du mode de recherche DLL sans échec, consultez ce lien : Ordre de recherche de bibliothèque de liens dynamiques - Applications Windows | Microsoft Docs
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Session Manager\SafeDllSearchMode
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\MSS (hérité)\MSS : (SafeDllSearchMode) Activer le mode de recherche de DLL sans échec (recommandé)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.4.8
        CIS WS2019 18.4.8
= 1
(registre)
Avertissement
MSS : (WarningLevel) Seuil de pourcentage pour le journal des événements de sécurité auquel le système va générer un avertissement
(AZ-WIN-202212)
Description : ce paramètre peut générer un audit de sécurité dans le journal des événements de sécurité lorsque le journal atteint un seuil défini par l’utilisateur. L’état recommandé pour ce paramètre est : Enabled: 90% or less. Remarque : si les paramètres du journal sont configurés pour remplacer les événements selon les besoins ou remplacer les événements antérieurs à x jours, cet événement n’est pas généré.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\MSS (hérité)\MSS : (WarningLevel) Seuil de pourcentage pour le journal des événements de sécurité auquel le système va générer un avertissement
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.4.12
        CIS WS2019 18.4.12
<= 90
(registre)
Informationnel
Windows Server doit être configuré pour empêcher les redirections ICMP (Internet Control Message Protocol) de remplacer les routes générées par OSPF (Open Shortest Path First).
(AZ-WIN-73503)
Description : les redirections ICMP (Internet Control Message Protocol) entraînent la pile IPv4 à analyser les itinéraires hôtes. Ces itinéraires remplacent les itinéraires générés par Open Shortest Path First (OSPF). L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\MSS (hérité)\MSS : (EnableICMPRedirect) Autoriser les redirections ICMP à remplacer les routes générées par OSPF
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.4.4
        CIS WS2019 18.4.4
= 0
(registre)
Informationnel

Modèles d’administration - Réseau

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Activer les ouvertures de session invité non sécurisées
(AZ-WIN-00171)
Description : ce paramètre de stratégie détermine si le client SMB autorise les connexions invitées non sécurisées à un serveur SMB. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\LanmanWorkstation\AllowInsecureGuestAuth
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration
Réseau\Station de travail Lanman\Activer les ouvertures de session invité non sécurisées
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle stratégie de groupe « LanmanWorkstation.admx/adml », qui est inclus dans les modèles d’administration Microsoft Windows 10 version 1511 (ou version ultérieure).
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93239
        STIG WS2016 V-73507
        CIS WS2019 18.5.8.1
        CIS WS2022 18.5.8.1
= 0
(registre)
Critique
Chemins UNC renforcés - NETLOGON
(AZ_WIN_202250)
Description : ce paramètre de stratégie configure un accès sécurisé aux chemins UNC
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\NETLOGON
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Modèles d’administration\Réseau\Fournisseur réseau\Chemins d’accès UNC renforcés
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(registre)
Avertissement
Chemins UNC renforcés - SYSVOL
(AZ_WIN_202251)
Description : ce paramètre de stratégie configure un accès sécurisé aux chemins UNC
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths?ValueName=\*\SYSVOL
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Modèles d’administration\Réseau\Fournisseur réseau\Chemins d’accès UNC renforcés
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.5.14.1
= RequireMutualAuthentication=1, RequireIntegrity=1
(registre)
Avertissement
Diminuer le nombre de connexions simultanées à Internet ou à un domaine Windows
(CCE-38338-0)
Description : ce paramètre de stratégie empêche les ordinateurs de se connecter en même temps à un réseau basé sur un domaine et à un réseau non basé sur un domaine. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy\fMinimizeConnections
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: 3 = Prevent Wi-Fi when on Ethernet :
Configuration ordinateur\Stratégies\Modèles d’administration
Réseau\Gestionnaire de connexions Windows\Minimiser le nombre de connexions simultanées à Internet ou à un domaine Windows
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « WCM.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2). Il a été mis à jour avec un nouveau sous-paramètre Options de stratégie de minimisation à partir des modèles d’administration Windows 10 version 1903.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.5.21.1
N’existe pas ou = 1
(registre)
Avertissement
Interdire l’installation et la configuration du pont réseau sur votre réseau de domaine DNS
(CCE-38002-2)
Description : vous pouvez utiliser cette procédure pour contrôler la capacité de l’utilisateur à installer et à configurer un pont réseau. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_AllowNetBridge_NLA
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Réseau\Connexions réseau\Interdire l’installation et la configuration d’un pont réseau sur votre réseau de domaine DNS
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe NetworkConnections.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.5.11.2
        CIS WS2022 18.5.11.2
= 0
(registre)
Avertissement
Interdire l’utilisation du partage de connexion Internet sur votre réseau de domaine DNS
(AZ-WIN-00172)
Description : bien que ce paramètre « hérité » traditionnellement appliqué à l’utilisation du partage de connexion Internet (ICS) dans Windows 2000, Windows XP ; Server 2003, ce paramètre s’applique désormais à la fonctionnalité de point d’accès sans fil dans Windows 10 ; Server 2016. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Network Connections\NC_ShowSharedAccessUI
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration
Réseau
Connexions réseau\Interdire l’utilisation du partage de connexions Internet sur votre réseau de domaine DNS
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « NetworkConnections.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.5.11.3
= 0
(registre)
Avertissement
Désactiver la résolution de noms multidiffusion
(AZ-WIN-00145)
Description : LLMNR est un protocole de résolution de noms secondaire. Avec LLMNR, les requêtes sont envoyées à l’aide de la multidiffusion via une liaison de réseau local sur un sous-réseau unique à partir d’un ordinateur client vers un autre ordinateur client sur le même sous-réseau sur lequel LLMNR est également activé. LLMNR ne nécessite pas de configuration de serveur DNS ou de client DNS, et fournit la résolution de noms dans les scénarios dans lesquels la résolution de noms DNS conventionnelle n’est pas possible. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\DNSClient\EnableMulticast
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration
Réseau\Client DNS\Désactiver la résolution de noms multidiffusion
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « DnsClient.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.5.4.2
= 0
(registre)
Avertissement

Modèles d’administration - Guide de sécurité

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Activer la protection contre le remplacement de la gestion des exceptions structurées (SEHOP)
(AZ-WIN-202210)
Description : Windows inclut la prise en charge de la protection de remplacement de gestion des exceptions structurées (SEHOP). Nous vous recommandons d’activer cette fonctionnalité pour améliorer le profil de sécurité de l’ordinateur. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Session Manager\kernel\DisableExceptionChainValidation
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Guide de sécurité MS\Activer la protection contre le remplacement de la gestion des exceptions structurées (SEHOP)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.3.4
        CIS WS2019 18.3.4
= 0
(registre)
Critique
Configuration de NodeType NetBT
(AZ-WIN-202211)
Description : ce paramètre détermine la méthode NetBIOS sur TCP/IP (NetBT) utilisée pour inscrire et résoudre les noms. Les méthodes disponibles sont les suivantes : - La méthode B-node (diffusion) utilise uniquement les diffusions. - La méthode P-node (point à point) utilise uniquement des requêtes de nom à un serveur de noms (WINS). - La méthode M-node (mixte) diffuse d’abord, puis interroge un serveur de noms (WINS) si la diffusion a échoué. - La méthode H-node (hybride) interroge d’abord un serveur de noms (WINS), puis diffuse si la requête a échoué. L’état recommandé pour ce paramètre consiste à inclure : Enabled: P-node (recommended) (point à point). Remarque : la résolution via LMHOSTS ou DNS suit ces méthodes. Si la valeur de registre NodeType est présente, elle remplace toute valeur de registre DhcpNodeType. Si ni NodeType ni DhcpNodeType n’est présent, l’ordinateur utilise le nœud B (diffusion) s’il n’existe aucun serveur WINS configuré pour le réseau, ou le nœud H (hybride) s’il existe au moins un serveur WINS configuré.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\NetBT\Parameters\NodeType
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Guide de sécurité MS\Configuration de NodeType NetBT
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.3.6
        CIS WS2019 18.3.6
= 2
(registre)
Avertissement

Modèles d’administration - Système

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Empêcher l’utilisateur d’afficher des détails du compte lors de la connexion
(AZ-WIN-00138)
Description : cette stratégie empêche l’utilisateur d’indiquer les détails du compte (adresse e-mail ou nom d’utilisateur) sur l’écran de connexion. Si vous activez ce paramètre de stratégie, l’utilisateur ne peut pas choisir d’afficher les détails du compte sur l’écran de connexion. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, l’utilisateur peut choisir d’afficher les détails du compte sur l’écran de connexion.
Chemin de la clé : Software\Policies\Microsoft\Windows\System\BlockUserFromShowingAccountDetailsOnSignin
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Ouverture de session\Empêcher l’utilisateur d’afficher des détails du compte à la connexion
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « Logon.admx/adml » inclus dans microsoft Windows 10 Version 1607 & Server 2016 Administrative Templates (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.28.1
= 1
(registre)
Avertissement
Stratégie d’initialisation du pilote de démarrage
(CCE-37912-3)
Description : ce paramètre de stratégie vous permet de spécifier quels pilotes de démarrage sont initialisés selon une classification déterminée par un pilote de démarrage du logiciel anti-programme malveillant à lancement anticipé. Le pilote de démarrage anti-programme malveillant à lancement anticipé peut retourner les classifications suivantes pour chaque pilote de démarrage : - Bon : le pilote a été signé et n’a pas été falsifié. - Mauvais : le pilote a été identifié comme étant un programme malveillant. Il est recommandé de ne pas autoriser l’initialisation des mauvais pilotes connus. - Mauvais, mais requis lors du démarrage : le pilote a été identifié comme étant un programme malveillant, mais l’ordinateur ne peut pas démarrer correctement sans charger ce pilote. - Inconnu : ce pilote n’a pas été confirmé par votre application de détection des programmes malveillants et n’a pas été classé par le pilote de démarrage du logiciel anti-programme malveillant à lancement anticipé. Si vous activez ce paramètre de stratégie, vous pouvez choisir les pilotes de démarrage à initialiser lors du démarrage suivant de l’ordinateur. Si vous désactivez ou que vous ne configurez pas ce paramètre de stratégie, les pilotes de démarrage déterminés comme étant « Bons », « Inconnus » ou « Mauvais, mais critique pour le démarrage » sont initialisés, et l’initialisation des pilotes déterminés comme étant « Mauvais » est ignorée. Si votre application de détection des programmes malveillants n’inclut pas un pilote de démarrage du logiciel anti-programme malveillant à lancement anticipé ou si votre pilote de démarrage du logiciel anti-programme malveillant à lancement anticipé a été désactivé, ce paramètre n’a aucun effet et tous les pilotes de démarrage sont initialisés.
Chemin de la clé : SYSTEM\CurrentControlSet\Policies\EarlyLaunch\DriverLoadPolicy
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin d’accès à la stratégie de groupe : pour établir la configuration recommandée via la stratégie de groupe, définissez le chemin Enabled: Good, unknown and bad but criticald’interface utilisateur suivant sur :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Logiciel anti-programme malveillant à lancement anticipé\Stratégie d’initialisation des pilotes de démarrage
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « EarlyLaunchAM.admx/adml » inclus dans les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.14.1
N’existe pas ou = 3
(registre)
Avertissement
Configurer Offrir l’assistance à distance
(CCE-36388-7)
Description : ce paramètre de stratégie vous permet d’activer ou de désactiver l’assistance à distance de l’offre (non sollicitée) sur cet ordinateur. Le personnel du support technique ne pourra pas proposer de manière proactive l’assistance, bien qu’ils puissent toujours répondre aux demandes d’assistance des utilisateurs. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowUnsolicited
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Assistance à distance\Configurer Proposer l’Assistance à distance
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle RemoteAssistance.admx/adml de stratégie de groupe inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.36.1
        CIS WS2022 18.8.36.1
N’existe pas ou = 0
(registre)
Avertissement
Configurer l'Assistance à distance sollicitée
(CCE-37281-3)
Description : ce paramètre de stratégie vous permet d’activer ou de désactiver l’assistance à distance sollicitée (demander) sur cet ordinateur. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fAllowToGetHelp
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Assistance à distance\Configurer l’assistance à distance sollicitée
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle RemoteAssistance.admx/adml de stratégie de groupe inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.36.2
        CIS WS2022 18.8.36.2
= 0
(registre)
Critique
Ne pas afficher l’interface utilisateur de sélection du réseau
(CCE-38353-9)
Description : ce paramètre de stratégie vous permet de contrôler si tout le monde peut interagir avec l’interface utilisateur des réseaux disponibles sur l’écran d’ouverture de session. Si vous activez ce paramètre de stratégie, l’état de la connectivité réseau du PC ne peut pas être modifié sans vous connecter à Windows. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, n’importe quel utilisateur peut déconnecter le PC du réseau ou peut connecter le PC à d’autres réseaux disponibles sans se connecter à Windows.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\System\DontDisplayNetworkSelectionUI
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Ouverture de session\Ne pas afficher l’interface utilisateur de sélection de réseau
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « Logon.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.1 & Server 2012 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.28.2
= 1
(registre)
Avertissement
Ne pas énumérer les utilisateurs connectés sur les ordinateurs membres d’un domaine
(AZ-WIN-202216)
Description : ce paramètre de stratégie empêche les utilisateurs connectés d’être énumérés sur des ordinateurs joints à un domaine. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : Software\Policies\Microsoft\Windows\System\DontEnumerateConnectedUsers
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Système\Ouverture de session\Ne pas énumérer les utilisateurs connectés sur les ordinateurs membres d’un domaine
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.8.28.3
        CIS WS2019 18.8.28.3
= 1
(registre)
Avertissement
Activer l’authentification du client du mappeur de point de terminaison RPC
(CCE-37346-4)
Description : ce paramètre de stratégie détermine si les clients RPC s’authentifient auprès du service mappeur de point de terminaison lorsque l’appel qu’ils effectuent contient des informations d’authentification. Le service mappeur de point de terminaison sur les ordinateurs exécutant Windows NT4 (tous les service packs) ne peut pas traiter les informations d’authentification fournies de cette manière. Si vous désactivez ce paramètre de stratégie, les clients RPC ne s’authentifient pas auprès du service mappeur de point de terminaison, mais ils sont en mesure de communiquer avec le service mappeur de point de terminaison sur un serveur Windows NT4. Si vous activez ce paramètre de stratégie, les clients RPC s’authentifieront auprès du service mappeur de point de terminaison pour les appels qui contiennent des informations d’authentification. Les clients effectuant ces appels ne pourront pas communiquer avec le service mappeur de point de terminaison de serveur Windows NT4. Si vous ne configurez pas ce paramètre de stratégie, il reste désactivé. Les clients RPC ne s’authentifient pas auprès du service mappeur de point de terminaison, mais ils sont en mesure de communiquer avec le service mappeur de point de terminaison sur un serveur Windows NT4. Remarque : cette stratégie n’est pas appliquée tant que le système n’est pas redémarré.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Rpc\EnableAuthEpResolution
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Appel de procédure distante\Activer l’authentification du client Mappeur de point de terminaison RPC
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « RPC.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.37.1
= 1
(registre)
Critique
Activer le client NTP Windows
(CCE-37843-0)
Description: ce paramètre de stratégie spécifie si le client NTP Windows est activé. L’activation du client NTP Windows permet à votre ordinateur de synchroniser son horloge d’ordinateur avec d’autres serveurs NTP. Vous souhaiterez peut-être désactiver ce service si vous décidez d’utiliser un fournisseur de temps tiers. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient\Enabled
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre du groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Service de temps Windows\Fournisseurs de temps\Activer le client NTP Windows
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « W32Time.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.53.1.1
= 1
(registre)
Critique
Correction du chiffrement Oracle pour le protocole CredSSP
(AZ-WIN-201910)
Description : certaines versions du protocole CredSSP qui sont utilisées par certaines applications (telles que la connexion Bureau à distance) sont vulnérables à une attaque oracle de chiffrement contre le client. Cette stratégie contrôle la compatibilité avec les clients et serveurs vulnérables et vous permet de définir le niveau de protection souhaité pour la vulnérabilité oracle de chiffrement. L’état recommandé pour ce paramètre est : Enabled: Force Updated Clients.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\CredSSP\Parameters\AllowEncryptionOracle
Système d’exploitation : WS2016, WS2019
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Système\Délégation d’informations d’identification\Correction d’oracle de chiffrement
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.8.4.1
        CIS WS2019 18.8.4.1
= 0
(registre)
Critique
Vérifiez que « Configurer le traitement de la stratégie de Registre : Ne pas appliquer pendant le traitement en arrière-plan périodique » est défini sur « Activé : FALSE »
(CCE-36169-1)
Description : L’option « Ne pas appliquer pendant le traitement en arrière-plan périodique » empêche le système de mettre à jour les stratégies affectées en arrière-plan pendant l’utilisation de l’ordinateur. Quand les mises à jour en arrière-plan sont désactivées, les modifications de stratégie ne prendront effet qu’à l’ouverture de session utilisateur suivante ou au redémarrage suivant du système. L’état recommandé pour ce paramètre est : Enabled: FALSE (non coché).
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\stratégie de groupe{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoBackgroundPolicy
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled, puis définissez l’option Process even if the Group Policy objects have not changed sur TRUE (activée) :
Configuration ordinateur\Stratégies\Modèles d’administration\System\Stratégie de groupe\Configurer le traitement de la stratégie de Registre
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle GroupPolicy.admx/adml de stratégie de groupe inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.21.2
        CIS WS2022 18.8.21.2
= 0
(registre)
Critique
Vérifiez que « Configurer le traitement des stratégies de Registre : Traiter même si les objets de stratégie de groupe n’ont pas changé » est défini sur « Activé : TRUE »
(CCE-36169-1a)
Description : l’option « Traiter même si les objets de stratégie de groupe n’ont pas changé » met à jour et réapplique les stratégies même si les stratégies n’ont pas changé. L’état recommandé pour ce paramètre est : Enabled: TRUE (coché).
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Group Policy{35378EAC-683F-11D2-A89A-00C04FBBCFA2}\NoGPOListChanges
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’interface utilisateur suivant sur Enabled, puis définissez l’option « Traiter même si les objets de stratégie de groupe n’ont pas changé » sur « TRUE » (activée) :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe\Configurer le traitement de la stratégie du Registre
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « GroupPolicy.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.21.3
= 0
(registre)
Critique
Vérifiez que « Continuer les expériences sur cet appareil » est défini sur « désactivé »
(AZ-WIN-00170)
Description : ce paramètre de stratégie détermine si l’appareil Windows est autorisé à participer à des expériences interappareils (expériences continues). L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\System\EnableCdp
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe\Poursuivre les expériences sur cet appareil
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « GroupPolicy.admx/adml » inclus dans les modèles d’administration Microsoft Windows 10 Version 1607 et Server 2016 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.21.4
N’existe pas ou = 0
(registre)
Avertissement
Énumérer les utilisateurs locaux sur les ordinateurs membres d’un domaine
(AZ_WIN_202204)
Description : ce paramètre de stratégie permet aux utilisateurs locaux d’être énumérés sur des ordinateurs joints à un domaine. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\System\EnumerateLocalUsers
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Système\Ouverture de session\Énumérer les utilisateurs locaux sur les ordinateurs membres d’un domaine
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.8.28.4
        CIS WS2019 18.8.28.4
N’existe pas ou = 0
(registre)
Avertissement
Inclure la ligne de commande dans les événements de création de processus
(CCE-36925-6)
Description : ce paramètre de stratégie détermine les informations qui sont consignées dans les événements d’audit de sécurité lors de la création d’un nouveau processus. Ce paramètre s’applique uniquement lorsque la stratégie d’audit de la création de processus est activée. Si vous activez cette stratégie, les informations de ligne de commande pour chaque processus seront journalisées en texte brut dans le journal des événements de sécurité dans le cadre de l’événement d’audit de la création de processus 4688, « Un nouveau processus a été créé » sur les stations de travail et les serveurs sur lesquels ce paramètre de stratégie est appliqué. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les informations de ligne de commande du processus ne seront pas incluses dans les événements d’audit de la création de processus. Valeur par défaut : non configuré Remarque : lorsque ce paramètre de stratégie est activé, tout utilisateur disposant d’un accès pour lire les événements de sécurité peut lire les arguments de ligne de commande pour tout processus créé avec succès. Les arguments de ligne de commande peuvent contenir des informations sensibles ou privées, telles que des mots de passe ou des données utilisateur.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit\ProcessCreationIncludeCmdLine_Enabled
Système d’exploitation : WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Audit de création de processus\Inclure une ligne de commande dans les événements de création de processus
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « AuditSettings.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.1 & Server 2012 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.3.1
= 1
(registre)
Critique
Empêcher la récupération des métadonnées de périphérique depuis Internet
(AZ-WIN-202251)
Description : ce paramètre de stratégie vous permet d’empêcher Windows de récupérer les métadonnées de périphériques à partir d’Internet. L’état recommandé pour ce paramètre est : Enabled. Remarque : cela n’empêche pas l’installation des pilotes matériels de base, mais empêche l’installation automatique du logiciel utilitaire tiers associé dans le contexte du compte SYSTEM.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Device Metadata\PreventDeviceMetadataFromNetwork
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Système\Installation de périphériques\Empêcher la récupération des métadonnées de périphérique depuis Internet
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.8.7.2
        CIS WS2019 18.8.7.2
= 1
(registre)
Informationnel
L’hôte distant autorise la délégation d’informations d’identification non exportables
(AZ-WIN-20199)
Description : l’hôte distant autorise la délégation d’informations d’identification non exportables. Quand la délégation d’informations d’identification est utilisée, les appareils fournissent une version exportable des informations d’identification à l’hôte distant. Les utilisateurs courent alors le risque de voir leurs informations d’identification volées par des attaquants sur l’hôte distant. Le mode Administrateur restreint et les fonctionnalités Windows Defender Remote Credential Guard sont deux options pour vous protéger contre ce risque. L’état recommandé pour ce paramètre est : Enabled. Remarque : vous trouverez des informations plus détaillées sur Windows Defender Remote Credential Guard et la façon dont il se compare au mode Administration restreint à ce lien : Protéger les informations d’identification Bureau à distance avec Windows Defender Remote Credential Guard (Windows 10) | Microsoft Docs
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowProtectedCreds
Système d’exploitation : WS2016, WS2019
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Système\Délégation d’informations d’identification\L’hôte distant autorise la délégation d’informations d’identification non exportables
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.8.4.2
        CIS WS2019 18.8.4.2
= 1
(registre)
Critique
Désactiver les notifications d’application sur l’écran de verrouillage
(CCE-35893-7)
Description : ce paramètre de stratégie vous permet d’empêcher les notifications d’application d’apparaître sur l’écran de verrouillage. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\System\DisableLockScreenAppNotifications
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Ouverture de session\Désactiver les notifications des applications sur l’écran de verrouillage
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « Logon.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou ultérieur).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.28.5
= 1
(registre)
Avertissement
Désactiver l’actualisation en arrière-plan de la stratégie de groupe
(CCE-14437-8)
Description : ce paramètre de stratégie empêche la mise à jour de la stratégie de groupe pendant l’utilisation de l’ordinateur. Ce paramètre de stratégie s’applique à la stratégie de groupe pour les ordinateurs, les utilisateurs et les contrôleurs de domaine. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableBkGndGroupPolicy
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Système\Stratégie de groupe\Désactiver l’actualisation en tâche de fond des stratégies de groupe
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.8.21.5
        CIS WS2019 18.8.21.5
= 0
(registre)
Avertissement
Désactiver le téléchargement des pilotes d’imprimantes via HTTP
(CCE-36625-2)
Description: ce paramètre de stratégie détermine si l’ordinateur peut télécharger des packages de pilotes d’impression par HTTP. Pour configurer l’impression HTTP, vous devrez peut-être télécharger les pilotes d’imprimante qui ne sont pas disponibles dans l’installation du système d’exploitation standard via HTTP. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Printers\DisableWebPnPDownload
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Gestion de la communication Internet\Paramètres de communication Internet\Désactiver le téléchargement des pilotes d’imprimantes via HTTP
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « ICM.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.22.1.1
= 1
(registre)
Avertissement
Désactiver l’Assistant Connexion Internet si l’adresse URL de connexion fait référence à Microsoft.com
(CCE-37163-3)
Description : Ce paramètre de stratégie spécifie si l’Assistant Connexion Internet peut se connecter à Microsoft pour télécharger une liste de fournisseurs de services Internet. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Internet Connection Wizard\ExitOnMSICW
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Gestion de la communication Internet\Paramètres de communication Internet\Désactiver l’Assistant Connexion Internet si l’adresse URL de connexion fait référence à Microsoft.com
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « ICM.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.22.1.4
= 1
(registre)
Avertissement
Activez la connexion par le code PIN d’usage
(CCE-37528-7)
Description : ce paramètre de stratégie vous permet de contrôler si un utilisateur de domaine peut se connecter à l’aide d’un code PIN de commodité. Dans Windows 10, le code PIN de commodité a été remplacé par Passport, qui a des propriétés de sécurité plus fortes. Pour configurer Passport pour les utilisateurs du domaine, utilisez les stratégies sous Configuration ordinateur\Modèles d’administration\Composants Windows\Microsoft Passport for Work. Remarque : le mot de passe de domaine de l’utilisateur sera mis en cache dans le coffre système lors de l’utilisation de cette fonctionnalité. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\System\AllowDomainPINLogon
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Système\Ouverture de session\Activer la connexion par le code PIN d’usage
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle CredentialProviders.admx/adml de stratégie de groupe inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).Remarque 2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Activer la connexion au code confidentiel, mais il a été renommé à partir des modèles d’administration Windows 10 Version 1511.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.8.28.7
        CIS WS2022 18.8.28.7
N’existe pas ou = 0
(registre)
Avertissement

Modèles d’administration - Composant Windows

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Désactiver le contenu d’état du compte de consommateur cloud
(AZ-WIN-202217)
Description : ce paramètre de stratégie détermine si le contenu de l’état du compte de consommateur cloud est autorisé dans toutes les expériences Windows. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableConsumerAccountStateContent
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Contenu cloud\Désactiver le contenu de l’état du compte d’utilisateur Cloud
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.14.1
        CIS WS2019 18.9.14.1
= 1
(registre)
Avertissement

Modèles d’administration - Composants Windows

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Ne pas autoriser la redirection des lecteurs
(AZ-WIN-73569)
Description : ce paramètre de stratégie empêche les utilisateurs de partager les lecteurs locaux de leurs ordinateurs clients avec les serveurs Bureau à distance auxquels ils accèdent. Les lecteurs mappés apparaissent dans l’arborescence des dossiers de session dans l’Explorateur Windows au format suivant : \\TSClient\<driveletter>$ si les lecteurs locaux sont partagés, ils sont vulnérables aux intrus qui souhaitent exploiter les données qui y sont stockées. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fDisableCdm
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Redirection de périphérique et de ressource\Ne pas autoriser la redirection de lecteur
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.65.3.3.3
        CIS WS2019 18.9.65.3.3.2
= 1
(registre)
Avertissement
Activer la transcription PowerShell
(AZ-WIN-202208)
Description : ce paramètre de stratégie vous permet de capturer l’entrée et la sortie des commandes Windows PowerShell dans des transcriptions textuelles. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Windows PowerShell\Activer la transcription PowerShell
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.100.2
        CIS WS2019 18.9.100.2
= 0
(registre)
Avertissement

Modèles d’administration - Sécurité Windows

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Empêcher les utilisateurs de modifier les paramètres
(AZ-WIN-202209)
Description : ce paramètre de stratégie empêche les utilisateurs d’apporter des modifications à la zone des paramètres Exploit Protection dans les paramètres Sécurité Windows. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender Security Center\App and Browser protection\DisallowExploitProtectionOverride
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Sécurité Windows\Protection de l’application et du navigateur\Empêcher les utilisateurs de modifier les paramètres
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.105.2.1
        CIS WS2019 18.9.105.2.1
= 1
(registre)
Avertissement

Modèle d’administration - Windows Defender

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Configurer les règles de réduction de la surface d’attaque
(AZ_WIN_202205)
Description : ce paramètre de stratégie contrôle l’état des règles ASR (Attack Surface Reduction). L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ExploitGuard_ASR_Rules
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Réduction de la surface d’attaque\Configurer les règles de réduction de la surface d’attaque
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.5.1.1
        CIS WS2019 18.9.47.5.1.1
= 1
(registre)
Avertissement
Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux
(AZ_WIN_202207)
Description : ce paramètre de stratégie contrôle la protection réseau Microsoft Defender Exploit Guard. L’état recommandé pour ce paramètre est : Enabled: Block.
Chemin d’accès clé : SOFTWARE\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\Network Protection\EnableNetworkProtection
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Microsoft Defender Exploit Guard\Protection du réseau\Empêcher les utilisateurs et les applications d’accéder à des sites web dangereux
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.47.5.3.1
        CIS WS2019 18.9.47.5.3.1
= 1
(registre)
Avertissement

Auditer la gestion des comptes d’ordinateur

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer la gestion des comptes d’ordinateur
(CCE-38004-8)
Description : cette sous-catégorie rapporte chaque événement de la gestion des comptes informatiques, comme lorsqu'un compte informatique est créé, modifié, supprimé, renommé, désactivé ou activé. Les événements de cette sous-catégorie sont notamment : -4741 : un compte d’utilisateur a été créé. - 4742 : un compte d'utilisateur a été modifié. - 4743 : un compte d'utilisateur a été supprimé. L’état recommandé pour ce paramètre consiste à inclure : Success.
Chemin de la clé : {0CCE9236-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Contrôleur de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Gestion du compte\Auditer la gestion des comptes d’ordinateur
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.2.2
        CIS WS2019 17.2.2
= Réussite
(Audit)
Critique

Noyau sécurisé

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Activer la protection DMA du démarrage
(AZ-WIN-202250)
Description : les serveurs compatibles avec le cœur sécurisé prennent en charge le microprogramme système qui offre une protection contre les attaques d’accès direct à la mémoire (DMA) malveillantes et inattendues pour tous les appareils compatibles DMA pendant le processus de démarrage.
Chemin de la clé : BootDMAProtection
OSEx : WSASHCI22H2
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : N/A
Correspondance des standards de conformité :
= 1
(OsConfig)
Critique
Activer l’intégrité du code appliquée par l’hyperviseur
(AZ-WIN-202246)
Description : HVCI et VBS améliorent le modèle de menace de Windows et fournissent des protections plus fortes contre les programmes malveillants qui tentent d’exploiter le noyau Windows. HVCI est un composant essentiel qui protège et renforce l’environnement virtuel isolé créé par VBS en exécutant l’intégrité du code en mode noyau dans celui-ci, et en limitant les allocations de mémoire du noyau qui pourraient être utilisées pour compromettre le système.
Chemin de la clé : HypervisorEnforcedCodeIntegrityStatus
OSEx : WSASHCI22H2
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : N/A
Correspondance des standards de conformité :
= 0
(OsConfig)
Critique
Activer le démarrage sécurisé
(AZ-WIN-202248)
Description : le démarrage sécurisé est une norme de sécurité développée par des membres du secteur de fabrication de PC pour s’assurer qu’un appareil démarre en utilisant uniquement des logiciels approuvés par le fabricant d’ordinateurs OEM (Original Equipment Manufacturer).
Chemin de la clé : SecureBootState
OSEx : WSASHCI22H2
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : N/A
Correspondance des standards de conformité :
= 1
(OsConfig)
Critique
Activer la protection du système
(AZ-WIN-202247)
Description : en utilisant la prise en charge du processeur pour la racine dynamique de confiance de mesure (DRTM), System Guard place le microprogramme dans un bac à sable basé sur le matériel afin de limiter l’impact des vulnérabilités dans des millions de lignes de code de microprogramme hautement privilégié.
Chemin de la clé : SystemGuardStatus
OSEx : WSASHCI22H2
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : N/A
Correspondance des standards de conformité :
= 0
(OsConfig)
Critique
Activer la sécurité basée sur la virtualisation
(AZ-WIN-202245)
Description : la sécurité basée sur la virtualisation, ou VBS, utilise des fonctionnalités de virtualisation matérielle pour créer et isoler une région sécurisée de mémoire du système d’exploitation. Cela permet de s’assurer que les serveurs restent dédiés à l’exécution de charges de travail critiques et aident à protéger les applications et les données associées contre les attaques et l’exfiltration. VBS est activé et verrouillé par défaut sur Azure Stack HCI.
Chemin de la clé : VirtualizationBasedSecurityStatus
OSEx : WSASHCI22H2
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : N/A
Correspondance des standards de conformité :
= 0
(OsConfig)
Critique
Définir la version du module de plateforme sécurisée
(AZ-WIN-202249)
Description : la technologie de module de plateforme sécurisée (TPM, Trusted Platform Module) est conçue dans le but d’assurer des fonctions matérielles de sécurité. TPM2.0 est requis pour les fonctionnalités sécurisées.
Chemin de la clé : TPMVersion
OSEx : WSASHCI22H2
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : N/A
Correspondance des standards de conformité :
Inclut 2.0
(OsConfig)
Critique

Options de sécurité - Comptes

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Comptes : bloquer les comptes Microsoft
(AZ-WIN-202201)
Description : ce paramètre de stratégie empêche les utilisateurs d'ajouter de nouveaux comptes Microsoft sur cet ordinateur. L’état recommandé pour ce paramètre est : Users can't add or log on with Microsoft accounts.
Chemin de la clé : Software\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Comptes : bloquer les comptes Microsoft
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.1.2
        CIS WS2019 2.3.1.2
= 3
(registre)
Avertissement
Comptes : état de compte d’invité
(CCE-37432-2)
Description : ce paramètre de stratégie détermine si le compte invité est activé ou désactivé. Le compte invité permet aux utilisateurs réseau non authentifiés d’accéder au système. L’état recommandé pour ce paramètre est : Disabled. Remarque : Ce paramètre n’a aucun impact lorsqu’il est appliqué à l’unité d’organisation du contrôleur de domaine via une stratégie de groupe, car les contrôleurs de domaine ne disposent pas d’une base de données de comptes locale. Il peut être configuré au niveau du domaine via la stratégie de groupe, de la même façon que les paramètres de verrouillage de compte et de stratégie de mot de passe.
Chemin de la clé : [System Access]EnableGuestAccount
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Comptes : statut du compte Invité
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93497
        STIG WS2016 V-73809
        CIS WS2019 2.3.1.3
        CIS WS2022 2.3.1.3
= 0
(Stratégie)
Critique
Comptes : restreindre l’utilisation de mots de passe vides par le compte local à l’ouverture de session console
(CCE-37615-2)
Description : ce paramètre de sécurité détermine si les comptes locaux qui ne sont pas protégés par mot de passe peuvent être utilisés pour une ouverture de session à partir d'emplacements autres que la console de l'ordinateur physique. Si vous activez ce paramètre de stratégie, les comptes locaux qui ont des mots de passe vides ne seront pas en mesure d’ouvrir une session sur le réseau à partir d’ordinateurs clients distants. Ces comptes ne peuvent se connecter qu’au clavier de l’ordinateur. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Comptes : restreindre l’utilisation de mots de passe vides par le compte local à l’ouverture de session console

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93279
        STIG WS2016 V-73621
        CIS WS2019 2.3.1.4
        CIS WS2022 2.3.1.4
N’existe pas ou = 1
(registre)
Critique
Comptes : renommer le compte Invité
(AZ-WIN-202255)
Description : le compte invité local intégré est un autre nom connu des attaquants. Il est recommandé de renommer ce compte en quelque chose qui n’indique pas son objectif. Même si vous désactivez ce compte, ce qui est recommandé, veillez à le renommer pour plus de sécurité. Sur les contrôleurs de domaine, puisqu’ils n’ont pas leurs propres comptes locaux, cette règle fait référence au compte invité intégré qui a été établi lors de la première création du domaine.
Chemin de la clé : [System Access]NewGuestName
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Comptes : renommer le compte Invité
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.1.6
        CIS WS2019 2.3.1.6
!= Invité
(Stratégie)
Avertissement
Accès réseau : permet la traduction de noms/SID anonymes
(CCE-10024-8)
Description : ce paramètre de stratégie détermine si un utilisateur anonyme peut demander des attributs d'identificateur de sécurité (SID) pour un autre utilisateur, ou utiliser un SID pour obtenir le nom d'utilisateur correspondant. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : [System Access]LSAAnonymousNameLookup
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Accès réseau : permet la traduction de noms/SID anonymes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.10.1
        CIS WS2019 2.3.10.1
= 0
(Stratégie)
Avertissement

Options de sécurité - Audit

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit
(CCE-37850-5)
Description : ce paramètre de stratégie permet aux administrateurs d’activer les fonctionnalités d’audit plus précises présentes dans Windows Vista. Les paramètres de stratégie d’audit disponibles dans Windows Server 2003 Active Directory ne contiennent pas encore de paramètres pour la gestion des sous-catégories d’audit. Pour appliquer correctement les stratégies d’audit prescrites dans cette ligne de base, les paramètres de la sous-catégorie audit : Forcer l’audit de la stratégie (Windows Vista ou version ultérieure) pour remplacer les paramètres de catégorie de stratégie d’audit doivent être configurés sur Activé.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\SCENoApplyLegacyAuditPolicy
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.2.1
N’existe pas ou = 1
(registre)
Critique
Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité
(CCE-35907-5)
Description : ce paramètre de stratégie détermine si le système s’arrête s’il ne parvient pas à consigner les événements de sécurité. C’est une exigence pour les critères d’évaluation de système d’ordinateur approuvé (TCSEC)-C2 et la certification des critères communs pour empêcher les événements auditables de se produire si le système d’audit ne parvient pas à les enregistrer. Microsoft a choisi de répondre à cette exigence en arrêtant le système et en affichant un message d’arrêt si le système d’audit rencontre une défaillance. Lorsque ce paramètre de stratégie est activé, le système est arrêté si un audit de sécurité ne peut pas être enregistré pour une raison quelconque. Si le paramètre audit : Arrêter immédiatement le système s’il n’est pas possible d’enregistrer les audits de sécurité est activé, des défaillances du système non planifiées peuvent se produire. La charge administrative peut être importante, en particulier si vous configurez également la méthode de rétention du journal de sécurité pour ne pas remplacer les événements (nettoyage manuel du journal). Cette configuration entraîne une menace de répudiation (un opérateur de sauvegarde peut refuser la sauvegarde ou la restauration des données) en tant que vulnérabilité de déni de service (DoS), car un serveur peut être forcé à s’arrêter s’il est submergé d’événements de connexion et d’autres événements de sécurité écrits dans le journal de sécurité. En outre, étant donné que l’arrêt n’est pas normal, il est possible qu’il y ait des dommages irréparables au système d’exploitation, aux applications ou aux données. Bien que le système de fichiers NTFS garantisse son intégrité lorsqu’un arrêt anormal de l’ordinateur se produit, il ne peut pas garantir que chaque fichier de données pour chaque application sera toujours sous une forme utilisable au redémarrage de l’ordinateur. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\CrashOnAuditFail
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Audit : arrêter immédiatement le système s’il n’est pas possible de se connecter aux audits de sécurité

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.2.2
        CIS WS2022 2.3.2.2
N’existe pas ou = 0
(registre)
Critique

Options de sécurité - Appareils

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Périphériques : permettre le formatage et l’éjection des médias amovibles
(CCE-37701-0)
Description : ce paramètre de stratégie détermine qui est autorisé à formater et éjecter les supports amovibles. Vous pouvez utiliser ce paramètre de stratégie pour empêcher les utilisateurs non autorisés de supprimer des données sur un ordinateur pour y accéder sur un autre ordinateur sur lequel ils disposent de privilèges d'administrateur local.
Chemin de la clé : SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Périphériques : permettre le formatage et l’éjection des médias amovibles
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.4.1
N’existe pas ou = 0
(registre)
Avertissement
Périphériques : empêcher les utilisateurs d’installer des pilotes d’imprimante
(CCE-37942-0)
Description : pour qu’un ordinateur s’imprime sur une imprimante partagée, le pilote de cette imprimante partagée doit être installé sur l’ordinateur local. Ce paramètre de sécurité détermine qui est autorisé à installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée. L’état recommandé pour ce paramètre est : Enabled. Remarque : ce paramètre n’affecte pas la possibilité d’ajouter une imprimante locale. Ce paramètre n’affecte pas les administrateurs.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Périphériques : empêcher les utilisateurs d’installer des pilotes d’imprimante

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.4.2
        CIS WS2022 2.3.4.2
N’existe pas ou = 1
(registre)
Avertissement
Limite l’installation du pilote d’impression aux administrateurs
(AZ_WIN_202202)
Description : ce paramètre de stratégie contrôle si les utilisateurs qui ne sont pas administrateurs peuvent installer des pilotes d’impression sur le système. L’état recommandé pour ce paramètre est : Enabled. Remarque : le 10 août 2021, Microsoft a annoncé un changement de comportement Pointer et imprimer par défaut qui modifie l’installation du pilote Pointer et imprimer par défaut et le comportement de mise à jour pour exiger des privilèges d’administrateur. Ceci est documenté dans KB5005652-Gestion du nouveau comportement d'installation du pilote par défaut Pointer et imprimer (CVE-2021-34481).
Chemin de la clé : Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint\RestrictDriverInstallationToAdministrators
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Guide de sécurité MS\Limite l’installation du pilote d’impression aux administrateurs
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.3.5
        CIS WS2019 18.3.5
= 1
(registre)
Avertissement

Options de sécurité - Membre de domaine

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Vérifier que « Membre du domaine : Chiffrer numériquement ou signer les données de canal sécurisé (toujours) » est toujours défini sur « Activé »
(CCE-36142-8)
Description : ce paramètre de stratégie détermine si tout le trafic du canal sécurisé initialisé par le membre du domaine doit être signé ou chiffré. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.6.1
        CIS WS2019 2.3.6.1
N’existe pas ou = 1
(registre)
Critique
Vérifier que « Membre du domaine : Chiffrer numériquement les données de canal sécurisé (quand c’est possible) » est défini sur « Activé »
(CCE-37130-2)
Description : ce paramètre de stratégie détermine si un membre du domaine doit tenter de négocier le chiffrement de tout le trafic du canal sécurisé qu’il lance. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Membre de domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.6.2
        CIS WS2019 2.3.6.2
N’existe pas ou = 1
(registre)
Critique
Vérifier que « Membre du domaine : Signer numériquement les données de canal sécurisé (quand c’est possible) » est défini sur « Activé »
(CCE-37222-7)
Description :

Ce paramètre de stratégie détermine si un membre du domaine doit tenter de négocier si tout le trafic du canal sécurisé qu’il lance doit être signé numériquement. Les signatures numériques protègent le trafic contre la modification par une personne qui capture les données au fur et à mesure qu’elles traversent le réseau. L’état recommandé pour ce paramètre est : « Activé ».


Chemin de la clé : SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible)

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93551
        STIG WS2016 V-73637
        CIS WS2019 2.3.6.3
        CIS WS2022 2.3.6.3
N’existe pas ou = 1
(registre)
Critique
Vérifier que « Membre de domaine : Désactiver les modifications du mot de passe du compte d’ordinateur » est défini sur « Désactivé »
(CCE-37508-9)
Description :

Ce paramètre de stratégie détermine si un membre de domaine peut changer périodiquement son mot de passe de compte d’ordinateur. Les ordinateurs qui ne peuvent pas changer automatiquement leur mot de passe de compte sont potentiellement vulnérables, car un attaquant peut être en mesure de déterminer le mot de passe du compte de domaine du système. L’état recommandé pour ce paramètre est : « Désactivé ».


Chemin de la clé : SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93273
        STIG WS2016 V-73631
        CIS WS2019 2.3.6.4
        CIS WS2022 2.3.6.4
N’existe pas ou = 0
(registre)
Critique
Vérifier que « Membre de domaine : Ancienneté maximale du mot de passe du compte d’ordinateur » est défini sur « 30 jours ou moins, mais pas sur 0 »
(CCE-37431-4)
Description : ce paramètre de stratégie détermine l’ancienneté maximale autorisée pour un mot de passe de compte d’ordinateur. Par défaut, les membres du domaine changent automatiquement leurs mots de passe du domaine tous les 30 jours. Si vous augmentez considérablement cet intervalle afin que les ordinateurs ne changent plus leur mot de passe, un attaquant aura plus de temps pour entreprendre une attaque par force brute contre un des comptes d’ordinateur. L’état recommandé pour ce paramètre est : 30 or fewer days, but not 0. Remarque : Une valeur de 0 n’est pas conforme au benchmark, car elle désactive l’ancienneté maximale du mot de passe.
Chemin de la clé : System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur 30 or fewer days, but not 0 :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Membre de domaine : Ancienneté maximale du mot de passe du compte ordinateur

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93285
        STIG WS2016 V-73641
        CIS WS2019 2.3.6.5
        CIS WS2022 2.3.6.5
Dans 1-30
(registre)
Critique
Vérifier que « Membre de domaine : Exiger une clé de session forte (Windows 2000 ou ultérieur) » est défini sur « Activé »
(CCE-37614-5)
Description : lorsque ce paramètre de stratégie est activé, un canal sécurisé peut uniquement être établi avec des contrôleurs de domaine capables de chiffrer des données de canal sécurisé avec une clé de session forte (128 bits). Pour activer ce paramètre de stratégie, tous les contrôleurs de domaine dans le domaine doivent être en mesure de chiffrer les données de canal sécurisé avec une clé forte, ce qui signifie que tous les contrôleurs de domaine doivent exécuter Microsoft Windows 2000 ou une version ultérieure. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.6.6
        CIS WS2019 2.3.6.6
N’existe pas ou = 1
(registre)
Critique

Options de sécurité - Connexion interactive

Nom
(ID)
Détails Valeur attendue
(Type)
severity
La mise en cache des informations d’identification d’ouverture de session doit être limitée
(AZ-WIN-73651)
Description : ce paramètre de stratégie détermine si un utilisateur peut se connecter à un domaine Windows à l’aide d’informations de compte mises en cache. Les informations d’ouverture de session pour les comptes de domaine peuvent être mises en cache localement pour permettre aux utilisateurs de se connecter même si un contrôleur de domaine ne peut pas être contacté. Ce paramètre de stratégie détermine le nombre d’utilisateurs uniques pour lesquels les informations d’ouverture de session sont mises en cache localement. Si cette valeur est définie sur 0, la fonctionnalité de cache d’ouverture de session est désactivée. Un attaquant qui est en mesure d’accéder au système de fichiers du serveur peut localiser ces informations mises en cache et utiliser une attaque par force brute pour déterminer les mots de passe utilisateur. L’état recommandé pour ce paramètre est : 4 or fewer logon(s).
Chemin de la clé : SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Ouverture de session interactive : nombre d’ouvertures de session précédentes dans le cache (au cas où le contrôleur de domaine n’est pas disponible)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.7.6
        CIS WS2019 2.3.7.6
Dans 1-4
(registre)
Informationnel
Ouverture de session interactive : ne pas afficher le dernier nom d’utilisateur
(CCE-36056-0)
Description : ce paramètre de stratégie détermine si le nom de compte du dernier utilisateur qui se connecte aux ordinateurs clients de votre organisation s’affiche dans l’écran d’ouverture de session Windows respectif de chaque ordinateur. Activez ce paramètre de stratégie pour empêcher les intrus de collecter les noms de comptes visuellement à partir des écrans des ordinateurs de bureau ou des ordinateurs portables de votre organisation. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Ouverture de session interactive : ne pas afficher le nom du dernier utilisateur connecté
Remarque : Dans les précédentes versions de Microsoft Windows, ce paramètre était nommé Ouverture de session interactive : ne pas afficher le nom du dernier utilisateur, mais il a été renommé à partir de Windows Server 2019.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.7.2
        CIS WS2022 2.3.7.2
= 1
(registre)
Critique
Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr.
(CCE-37637-6)
Description : ce paramètre de stratégie détermine si les utilisateurs doivent appuyer sur Ctrl + Alt + Suppr avant de se connecter. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr.

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.7.1
        CIS WS2022 2.3.7.1
N’existe pas ou = 0
(registre)
Critique
Ouverture de session interactive : limite d’inactivité de l’ordinateur
(AZ-WIN-73645)
Description : Windows détecte l’inactivité d’une session ouverte et, si la durée d’inactivité dépasse la limite d’inactivité, l’économiseur d’écran s’exécute et verrouille la session. L’état recommandé pour ce paramètre est : 900 or fewer second(s), but not 0. Remarque : Une valeur de 0 n’est pas conforme au benchmark, car elle désactive la limite d’inactivité de l’ordinateur.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\InactivityTimeoutSecs
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Ouverture de session interactive : limite d’inactivité de l’ordinateur
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.7.3
        CIS WS2019 2.3.7.3
Dans 1-900
(registre)
Important
Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
(AZ-WIN-202253)
Description : ce paramètre de stratégie spécifie un message texte qui s’affiche aux utilisateurs lorsqu’ils se connectent. Configurez ce paramètre de manière cohérente avec les exigences opérationnelles et de sécurité de votre organisation.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.7.4
        CIS WS2019 2.3.7.4
!=
(registre)
Avertissement
Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
(AZ-WIN-202254)
Description : ce paramètre de stratégie spécifie le texte affiché dans la barre de titre de la fenêtre que les utilisateurs voient lorsqu’ils se connectent au système. Configurez ce paramètre de manière cohérente avec les exigences opérationnelles et de sécurité de votre organisation.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.7.5
        CIS WS2019 2.3.7.5
!=
(registre)
Avertissement
Ouverture de session interactive : prévenir l’utilisateur qu’il doit changer son mot de passe avant qu’il n’expire
(CCE-10930-6)
Description : ce paramètre de stratégie détermine combien de temps à l'avance les utilisateurs sont avertis de l’expiration de leur mot de passe. Il est recommandé de configurer ce paramètre de stratégie sur au moins 5 jours, mais pas plus de 14 jours pour avertir suffisamment les utilisateurs de l’expiration de leur mot de passe. L’état recommandé pour ce paramètre est : between 5 and 14 days.
Chemin de la clé : Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Ouverture de session interactive : prévenir l’utilisateur qu’il doit changer son mot de passe avant qu’il n’expire
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.7.7
        CIS WS2019 2.3.7.7
Dans 5-14
(registre)
Informationnel

Options de sécurité - Client réseau Microsoft

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Client réseau Microsoft : communications signées numériquement (toujours)
(CCE-36325-9)
Description :

Ce paramètre de stratégie détermine si la signature de paquets est requise par le composant client SMB. Remarque : Lorsque ce paramètre de stratégie est activé sur des ordinateurs sous Windows Vista et qu’ils se connectent à des partages de fichiers ou d’imprimantes sur des serveurs à distance, il est important que le paramètre soit synchronisé avec le paramètre compagnon, serveur de réseau Microsoft: communications signées numériquement (toujours), sur ces serveurs. Pour plus d’informations sur ces paramètres, consultez la section « Serveur et client réseau Microsoft: communications signées numériquement (quatre paramètres liés) » dans le chapitre 5 du guide des menaces et des contre-mesures. L’état recommandé pour ce paramètre est : « Activé ».


Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Client réseau Microsoft : communications signées numériquement (toujours)

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93555
        STIG WS2016 V-73653
        CIS WS2019 2.3.8.1
        CIS WS2022 2.3.8.1
= 1
(registre)
Critique
Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
(CCE-36269-9)
Description : ce paramètre de sécurité détermine si le client SMB tente de négocier la signature des paquets SMB. Remarque  : l’activation de ce paramètre de stratégie sur les clients SMB sur votre réseau les rend pleinement efficaces pour la signature des paquets avec tous les clients et serveurs de votre environnement. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93557
        STIG WS2016 V-73655
        CIS WS2019 2.3.8.2
        CIS WS2022 2.3.8.2
N’existe pas ou = 1
(registre)
Critique
Client réseau Microsoft : envoyer un mot de passe non chiffré aux serveurs SMB tierce partie
(CCE-37863-8)
Description :

Ce paramètre de stratégie détermine si le redirecteur SMB envoie les mots de passe en texte en clair au cours de l’authentification vers des serveurs SMB tiers ne prenant pas en charge le chiffrement du mot de passe. Il est recommandé de désactiver ce paramètre de stratégie à moins d’avoir une raison professionnelle de l’activer. Si ce paramètre de stratégie est activé, les mots de passe non chiffrés seront autorisés sur le réseau. L’état recommandé pour ce paramètre est : « Désactivé ».


Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Client réseau Microsoft : envoyer un mot de passe non chiffré aux serveurs SMB tierce partie

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93469
        STIG WS2016 V-73657
        CIS WS2019 2.3.8.3
        CIS WS2022 2.3.8.3
N’existe pas ou = 0
(registre)
Critique
Serveur réseau Microsoft : durée d’inactivité avant la suspension d’une session
(CCE-38046-9)
Description : ce paramètre de stratégie vous permet de spécifier la durée d’inactivité continue qui doit s’écouler dans une session SMB avant que la session soit suspendue en raison d’une inactivité. Les administrateurs peuvent utiliser ce paramètre de stratégie pour contrôler le moment où un ordinateur interrompt une session SMB inactive. Si l’activité du client reprend, la session est automatiquement rétablie. La valeur 0 semble autoriser les sessions à rester indéfiniment. La valeur maximale est 99999, soit plus de 69 jours ; en effet, cette valeur désactive le paramètre. L’état recommandé pour ce paramètre est : 15 or fewer minute(s), but not 0.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur 15 or fewer minute(s) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Serveur réseau Microsoft : durée d’inactivité avant la suspension d’une session
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.9.1
Dans 1-15
(registre)
Critique
Serveur réseau Microsoft : communications signées numériquement (toujours)
(CCE-37864-6)
Description : ce paramètre de stratégie détermine si la signature de paquets est requise par le composant serveur SMB. Activez ce paramètre de stratégie dans un environnement mixte pour empêcher les clients en aval d’utiliser la station de travail en tant que serveur réseau. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Serveur réseau Microsoft : communications signées numériquement (toujours)

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93559
        STIG WS2016 V-73661
        CIS WS2019 2.3.9.2
        CIS WS2022 2.3.9.2
= 1
(registre)
Critique
Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
(CCE-35988-5)
Description : ce paramètre de stratégie détermine si le serveur SMB doit négocier la signature des paquets SMB avec les clients qui le demandent. Si aucune demande de signature n’est envoyée par le client, une connexion est autorisée sans signature si le paramètre Serveur réseau Microsoft : communications signées numériquement (toujours) n’est pas activé. Remarque  : l’activation de ce paramètre de stratégie sur les clients SMB sur votre réseau les rend pleinement efficaces pour la signature des paquets avec tous les clients et serveurs de votre environnement. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Serveur réseau Microsoft : communications signées numériquement (lorsque le client l’accepte)

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93561
        STIG WS2016 V-73663
        CIS WS2019 2.3.9.3
        CIS WS2022 2.3.9.3
= 1
(registre)
Critique
Serveur réseau Microsoft : déconnecter les clients à l’expiration du délai de la durée de session
(CCE-37972-7)
Description : ce paramètre de sécurité détermine s’il faut déconnecter les utilisateurs connectés à l’ordinateur local en dehors des heures d’ouverture de session valides de leur compte d’utilisateur. Ce paramètre affecte le composant SMB (Server Message Block). Si vous activez ce paramètre de stratégie, vous devez également activer la sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent (règle 2.3.11.6). Si votre organisation configure les heures d’ouverture de session pour les utilisateurs, ce paramètre de stratégie est nécessaire pour garantir leur efficacité. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogoff
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Serveur réseau Microsoft : déconnecter les clients à l’expiration du délai de la durée de session

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.9.4
        CIS WS2022 2.3.9.4
N’existe pas ou = 1
(registre)
Critique
Serveur réseau Microsoft : niveau de validation du nom de la cible de serveur SPN
(CCE-10617-9)
Description : ce paramètre de stratégie contrôle le niveau de validation qu'un ordinateur doté de dossiers ou d'imprimantes partagés (le serveur) effectue sur le nom de principal du service (SPN) fourni par l'ordinateur client lorsqu'il établit une session à l'aide du protocole SMB (Server Message Block). Le protocole SMB (Server Message Block) représente la base sur laquelle s'appuient le partage des fichiers et des imprimantes ainsi que d'autres opérations de gestion de réseau, telles que l'administration à distance de Windows. Le protocole SMB prend en charge la validation du nom de principal du service (SPN) de serveur SMB dans l’objet blob d’authentification fourni par un client SMB ; pour empêcher une classe d’attaques contre les serveurs SMB, les attaques de relais SMB. Ce paramètre affecte SMB1 et SMB2. L’état recommandé pour ce paramètre est : Accept if provided by client. La configuration de ce paramètre sur Required from client est également conforme à la référence. Remarque : depuis la version du correctif de sécurité KB3161561 MS, ce paramètre peut entraîner des problèmes importants (tels que des problèmes de réplication, des problèmes de modification de stratégie de groupe et des incidents liés à un écran bleu) sur les contrôleurs de domaine lorsqu’ils sont utilisés simultanément avec le renforcement du chemin d'accès UNC (c’est-à-dire la règle 18.5.14.1). CIS recommande donc de déployer ce paramètre sur les contrôleurs de domaine.
Chemin de la clé : System\CurrentControlSet\Services\LanManServer\Parameters\SMBServerNameHardeningLevel
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Serveur réseau Microsoft : niveau de validation du nom de la cible de serveur SPN
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.9.5
        CIS WS2019 2.3.9.5
= 1
(registre)
Avertissement

Options de sécurité - Serveur réseau Microsoft

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Désactiver le serveur SMB v1
(AZ-WIN-00175)
Description : la désactivation de ce paramètre désactive le traitement côté serveur du protocole SMBv1. (Recommandé.) L’activation de ce paramètre active le traitement côté serveur du protocole SMBv1. (Par défaut.) Les changements de ce paramètre nécessitent un redémarrage pour prendre effet. Pour plus d'informations, consultez https://support.microsoft.com/kb/2696547
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : non applicable
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.3.3
N’existe pas ou = 0
(registre)
Critique

Options de sécurité - Accès réseau

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Comptes : renommer le compte Administrateur
(CCE-10976-9)
Description : le compte administrateur local intégré est un nom de compte connu que les attaquants cibleront. Il est recommandé de choisir un autre nom pour ce compte et d’éviter les noms qui indiquent les comptes d’accès administratifs ou élevés. Veillez également à modifier la description par défaut de l’administrateur local (via la console de gestion de l’ordinateur). Sur les contrôleurs de domaine, puisqu’ils n’ont pas leurs propres comptes locaux, cette règle fait référence au compte administrateur intégré qui a été établi lors de la première création du domaine.
Chemin de la clé : [System Access]NewAdministratorName
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Comptes : renommer le compte administrateur
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.3.1.5
        CIS WS2019 2.3.1.5
!= Administrateur
(Stratégie)
Avertissement
Accès réseau : ne pas autoriser l’énumération anonyme des comptes SAM
(CCE-36316-8)
Description : ce paramètre de stratégie contrôle la capacité des utilisateurs anonymes à énumérer les comptes dans le gestionnaire de comptes de sécurité (SAM). Si vous activez ce paramètre de stratégie, les utilisateurs disposant de connexions anonymes ne pourront pas énumérer les noms d’utilisateur de compte de domaine sur les systèmes de votre environnement. Ce paramètre de stratégie autorise également des restrictions supplémentaires sur les connexions anonymes. L’état recommandé pour ce paramètre est : Enabled. Remarque : cette stratégie n’a aucun effet sur les contrôleurs de domaine.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration de l’ordinateur\Stratégies\ Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Accès réseau : ne pas autoriser l’énumération anonyme des comptes SAM
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.10.2
N’existe pas ou = 1
(registre)
Critique
Accès réseau : ne pas autoriser l’énumération anonyme des comptes et partages SAM
(CCE-36077-6)
Description: ce paramètre de stratégie contrôle la capacité des utilisateurs anonymes à énumérer les comptes SAM ainsi que les partages. Si vous activez ce paramètre de stratégie, les utilisateurs anonymes ne pourront pas énumérer les noms d’utilisateur de compte de domaine et les noms de partage réseau sur les systèmes de votre environnement. L’état recommandé pour ce paramètre est : Enabled. Remarque : cette stratégie n’a aucun effet sur les contrôleurs de domaine.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\RestrictAnonymous
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration de l’ordinateur\Stratégies\ Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Accès réseau : ne pas autoriser l’énumération anonyme des comptes et partages SAM
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.10.3
= 1
(registre)
Critique
Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s’appliquent aux utilisateurs anonymes
(CCE-36148-5)
Description: ce paramètre de stratégie détermine les autorisations supplémentaires qui sont affectées aux connexions anonymes à l’ordinateur. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s’appliquent aux utilisateurs anonymes

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93293
        STIG WS2016 V-73673
        CIS WS2019 2.3.10.5
        CIS WS2022 2.3.10.5
N’existe pas ou = 0
(registre)
Critique
Accès réseau : les chemins de Registre accessibles à distance
(CCE-37194-8)
Description: ce paramètre de stratégie détermine les chemins d’accès au registre qui seront accessibles après avoir fait référence à la clé Winreg pour déterminer les autorisations d’accès aux chemins d’accès. Remarque : ce paramètre n’existe pas dans Windows XP. Un paramètre portant ce nom existe dans Windows XP, mais il est appelé « accès réseau : chemins et sous-chemins de registre accessibles à distance » dans Windows Server 2003, Windows Vista et Windows Server 2008. Remarque : quand vous configurez ce paramètre, vous spécifiez une liste d’un ou de plusieurs objets. Le délimiteur utilisé lors de la saisie de la liste est un saut de ligne ou un retour chariot, c’est-à-dire, saisissez le premier objet sur la liste, appuyez sur le bouton Entrée, saisissez l’objet suivant, appuyez de nouveau sur Entrée, etc. La valeur de paramètre est stockée sous la forme d’une liste de valeurs séparées par des virgules au sein de modèles de sécurité de stratégie de groupe. Elle est également affichée sous la forme d’une liste délimitée par des virgules dans la stratégie de groupe volet d’affichage de l’éditeur et du jeu résultant de la console de stratégie. Elle est enregistrée dans le Registre sous la forme d’une liste délimitée par un saut de ligne dans une valeur REG_MULTI_SZ.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin d’accès à la stratégie de groupe : pour établir la configuration recommandée via la stratégie de groupe, définissez le chemin d’interface utilisateur suivant sur :
System\CurrentControlSet\Control\ProductOptions
System\CurrentControlSet\Control\Server Applications
Software\Microsoft\Windows NT\CurrentVersion

Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Accès réseau : les chemins de Registre accessibles à distance
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.10.8
N’existe pas ou = System\CurrentControlSet\Control\ProductOptions\0System\CurrentControlSet\Control\Server Applications\0Software\Microsoft\Windows NT\CurrentVersion\0\0
(registre)
Critique
Accès réseau : chemins et sous-chemins de Registre accessibles à distance
(CCE-36347-3)
Description : ce paramètre de stratégie détermine les chemins et sous-chemins de registre qui seront accessibles lorsqu’une application ou un processus fait référence à la clé WinReg pour déterminer les autorisations d’accès. Remarque : dans Windows XP, ce paramètre est appelé « accès réseau : chemins de Registre accessibles à distance ». le paramètre portant ce même nom dans Windows Vista, Windows Server 2008 et Windows Server 2003 n’existe pas dans Windows XP. Remarque : quand vous configurez ce paramètre, vous spécifiez une liste d’un ou de plusieurs objets. Le délimiteur utilisé lors de la saisie de la liste est un saut de ligne ou un retour chariot, c’est-à-dire, saisissez le premier objet sur la liste, appuyez sur le bouton Entrée, saisissez l’objet suivant, appuyez de nouveau sur Entrée, etc. La valeur de paramètre est stockée sous la forme d’une liste de valeurs séparées par des virgules au sein de modèles de sécurité de stratégie de groupe. Elle est également affichée sous la forme d’une liste délimitée par des virgules dans la stratégie de groupe volet d’affichage de l’éditeur et du jeu résultant de la console de stratégie. Elle est enregistrée dans le Registre sous la forme d’une liste délimitée par un saut de ligne dans une valeur REG_MULTI_SZ.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin d’accès à la stratégie de groupe : pour établir la configuration recommandée via la stratégie de groupe, définissez le chemin d’interface utilisateur suivant sur :
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

Configuration de l’ordinateur\Stratégies\ Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Accès réseau : chemins et sous-chemins de Registre accessibles à distance

Quand un serveur a le rôle Services de certificats Active Directory avec le service de rôle Autorité de certification, la liste ci-dessus doit également inclure : « System\CurrentControlSet\Services\CertSvc ».

Quand la fonctionnalité Serveur WINS est installée sur un serveur, la liste ci-dessus doit également inclure :
« System\CurrentControlSet\Services\WINS »
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.10.9
N’existe pas ou = System\CurrentControlSet\Control\Print\Printers\0System\CurrentControlSet\Services\Eventlog\0Software\Microsoft\OLAP Server\0Software\Microsoft\Windows NT\CurrentVersion\Print\0Software\Microsoft\Windows NT\CurrentVersion\Windows\0System\CurrentControlSet\Control\ContentIndex\0System\CurrentControlSet\Control\Terminal Server\0System\CurrentControlSet\Control\Terminal Server\UserConfig\0System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration\0Software\Microsoft\Windows NT\CurrentVersion\Perflib\0System\CurrentControlSet\Services\SysmonLog\0\0
(registre)
Critique
Accès réseau : restreindre l’accès anonyme aux canaux nommés et aux partages
(CCE-36021-4)
Description : lorsqu’il est activé, ce paramètre de stratégie restreint l’accès anonyme uniquement aux partages et aux canaux nommés dans les paramètresNetwork access: Named pipes that can be accessed anonymously et Network access: Shares that can be accessed anonymously. Ce paramètre de stratégie contrôle l’accès de session NULL aux partages sur vos ordinateurs en ajoutant RestrictNullSessAccess à la valeur 1 dans la clé de registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters. Cette valeur de Registre active ou désactive les partages de session NULL pour contrôler si le service serveur restreint l’accès des clients non authentifiés aux ressources nommées. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Accès réseau : restreindre l’accès anonyme aux canaux nommés et aux partages

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93539
        STIG WS2016 V-73675
        CIS WS2019 2.3.10.10
        CIS WS2022 2.3.10.10
N’existe pas ou = 1
(registre)
Critique
Accès réseau : Restreindre les clients autorisés à effectuer des appels distants à SAM
(AZ-WIN-00142)
Description : ce paramètre de stratégie vous permet de restreindre les connexions RPC à distance à SAM. S’il n’est pas sélectionné, le descripteur de sécurité par défaut sera utilisé. Cette stratégie est prise en charge sur au moins Windows Server 2016.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\RestrictRemoteSAM
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators: Remote Access: Allow :
Configuration de l’ordinateur\Stratégies\ Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Accès réseau : restreindre les clients autorisés à effectuer des appels distants à SAM
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.10.11
N’existe pas ou = O:BAG:BAD:(A;;RC;;;BA)
(registre)
Critique
Accès réseau : les partages qui sont accessibles de manière anonyme
(CCE-38095-6)
Description: ce paramètre de stratégie détermine les partages réseau auxquels les utilisateurs anonymes peuvent accéder. La configuration par défaut de ce paramètre de stratégie a peu d’effet, car tous les utilisateurs doivent être authentifiés avant de pouvoir accéder aux ressources partagées sur le serveur. Remarque : il peut être très dangereux d’ajouter d’autres partages à ce paramètre de stratégie de groupe. Tout utilisateur réseau peut accéder à tous les partages répertoriés, ce qui peut exposer ou endommager des données sensibles. Remarque : quand vous configurez ce paramètre, vous spécifiez une liste d’un ou de plusieurs objets. Le délimiteur utilisé lors de la saisie de la liste est un saut de ligne ou un retour chariot, c’est-à-dire, saisissez le premier objet sur la liste, appuyez sur le bouton Entrée, saisissez l’objet suivant, appuyez de nouveau sur Entrée, etc. La valeur de paramètre est stockée sous la forme d’une liste de valeurs séparées par des virgules au sein de modèles de sécurité de stratégie de groupe. Elle est également affichée sous la forme d’une liste délimitée par des virgules dans la stratégie de groupe volet d’affichage de l’éditeur et du jeu résultant de la console de stratégie. Elle est enregistrée dans le Registre sous la forme d’une liste délimitée par un saut de ligne dans une valeur REG_MULTI_SZ.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur <blank> (c’est-à-dire aucun) :
Configuration de l’ordinateur\Stratégies\ Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Accès réseau : partages accessibles de manière anonyme
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.10.12
N’existe pas ou =
(registre)
Critique
Accès réseau : modèle de partage et de sécurité pour les comptes locaux
(CCE-37623-6)
Description: ce paramètre de stratégie détermine la façon dont les ouvertures de session réseau qui utilisent des comptes locaux sont authentifiées. L’option classique permet un contrôle précis de l’accès aux ressources, notamment la possibilité d’attribuer différents types d’accès à différents utilisateurs pour la même ressource. L’option invité uniquement vous permet de traiter tous les utilisateurs de manière égale. Dans ce contexte, tous les utilisateurs s’authentifient en tant qu’invités uniquement pour recevoir le même niveau d’accès à une ressource donnée. L’état recommandé pour ce paramètre est : Classic - local users authenticate as themselves. Remarque : Ce paramètre n’affecte pas les ouvertures de session interactives qui sont effectuées à distance à l’aide de services tels que Telnet ou les services Bureau à distance (anciennement appelés services Terminal).
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\ForceGuest
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Classic - local users authenticate as themselves :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Accès réseau : modèle de partage et de sécurité pour les comptes locaux

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.10.13
        CIS WS2022 2.3.10.13
N’existe pas ou = 0
(registre)
Critique

Options de sécurité - Sécurité réseau

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Sécurité réseau : Autoriser Système local à utiliser l’identité de l’ordinateur pour NTLM
(CCE-38341-4)
Description: lorsqu’il est activé, ce paramètre de stratégie entraîne l’utilisation de Negotiate par les services système locaux lorsque l’authentification NTLM est sélectionnée par la négociation. Cette stratégie est prise en charge au moins sous Windows 7 ou Windows Server 2008 R2.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\UseMachineId
Système d’exploitation : WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration de l’ordinateur\Stratégies\ Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Sécurité réseau : autoriser Système local à utiliser l’identité de l’ordinateur pour NTLM
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.11.1
= 1
(registre)
Critique
Sécurité réseau : Autoriser le retour à des sessions NULL avec SystèmeLocal
(CCE-37035-3)
Description : ce paramètre de stratégie détermine si NTLM est autorisé à revenir à une session NULL en cas d’utilisation avec LocalSystem. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\AllowNullSessionFallback
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : Autoriser le retour à des sessions NULL avec SystèmeLocal

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93297
        STIG WS2016 V-73681
        CIS WS2019 2.3.11.2
        CIS WS2022 2.3.11.2
N’existe pas ou = 0
(registre)
Critique
Sécurité réseau : autoriser les demandes d’authentification PKU2U auprès de cet ordinateur pour utiliser les identités en ligne
(CCE-38047-7)
Description : ce paramètre détermine si les identités en ligne sont en mesure de s’authentifier sur cet ordinateur. Le protocole d’utilisateur à utilisateur (PKU2U) basé sur un chiffrement à clé publique introduit dans Windows 7 et Windows Server 2008 R2 est implémenté en tant que fournisseur SSP (Security Support Provider). Le SSP active l’authentification d’égal à égal, notamment par le biais de la fonctionnalité de partage de fichiers et de médias Windows 7 appelée Groupement résidentiel, qui permet le partage entre les ordinateurs qui ne sont pas membres d’un domaine. Avec PKU2U, une nouvelle extension a été introduite dans le package d’authentification Negotiate, Spnego.dll . Dans les versions précédentes de Windows, Negotiate décidait d’utiliser Kerberos ou NTLM pour l’authentification. Le SSP d’extension pour Negotiate, Negoexts.dll , qui est traité comme un protocole d’authentification par Windows, prend en charge les SSP Microsoft, y compris PKU2U. Lorsque les ordinateurs sont configurés pour accepter les demandes d’authentification à l’aide d’ID en ligne, Negoexts.dll appelle le SSP PKU2U sur l’ordinateur utilisé pour ouvrir une session. Le SSP PKU2U obtient un certificat local et échange la stratégie entre les ordinateurs homologues. Une fois validé sur l’ordinateur homologue, le certificat dans les métadonnées est envoyé à l’homologue d’ouverture de session pour validation et associe le certificat de l’utilisateur à un jeton de sécurité et le processus d’ouverture de session se termine. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\pku2u\AllowOnlineID
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : Autoriser les demandes d’authentification PKU2U auprès de cet ordinateur pour utiliser les identités en ligne

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93299
        STIG WS2016 V-73683
        CIS WS2019 2.3.11.3
        CIS WS2022 2.3.11.3
N’existe pas ou = 0
(registre)
Avertissement
Sécurité réseau : Configurer les types de chiffrement autorisés pour Kerberos
(CCE-37755-6)
Description : ce paramètre de stratégie vous permet de définir les types de chiffrement que Kerberos est autorisé à utiliser. Cette stratégie est prise en charge au moins sous Windows 7 ou Windows Server 2008 R2.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\SupportedEncryptionTypes
Système d’exploitation : WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : configurer les types de chiffrement autorisés pour Kerberos
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.11.4
N’existe pas ou = 2147483640
(registre)
Critique
Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe
(CCE-36326-7)
Description: ce paramètre de stratégie détermine si la valeur de hachage de LAN Manager (LM) pour le nouveau mot de passe est stockée lorsque le mot de passe est modifié. Le hachage LM est relativement faible et sujet aux attaques par rapport au hachage Microsoft Windows NT avec un chiffrement plus fort. Étant donné que les hachages LM sont stockés sur l’ordinateur local dans la base de données de sécurité, les mots de passe peuvent être facilement compromis si la base de données est attaquée. Remarque : Les systèmes d’exploitation plus anciens et certaines applications tierces peuvent échouer lorsque ce paramètre de stratégie est activé. Notez également que le mot de passe doit être modifié sur tous les comptes une fois que vous avez activé ce paramètre pour bénéficier de l’avantage approprié. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93467
        STIG WS2016 V-73687
        CIS WS2019 2.3.11.5
        CIS WS2022 2.3.11.5
N’existe pas ou = 1
(registre)
Critique
Sécurité réseau : niveau d’authentification LAN Manager
(CCE-36173-3)
Description : LAN Manager (LM) est une famille de logiciels client/serveur Microsoft qui permet aux utilisateurs de lier des ordinateurs personnels sur un seul réseau. Les fonctionnalités réseau incluent le partage de fichiers et d’imprimantes transparent, les fonctionnalités de sécurité utilisateur et les outils d’administration réseau. Dans les domaines Active Directory, le protocole Kerberos est le protocole d’authentification par défaut. Toutefois, si le protocole Kerberos n’est pas négocié pour une raison quelconque, Active Directory utilise LM, NTLM ou NTLMv2. L’authentification du gestionnaire de réseau local inclut le LM, Variantes NTLM et NTLM version 2 (NTLMv2) et est le protocole utilisé pour authentifier tous les clients Windows lorsqu’ils effectuent les opérations suivantes : - Joindre un domaine - S’authentifier entre les forêts Active Directory - S’authentifier auprès de domaines de bas niveau - S’authentifier auprès des ordinateurs qui n’exécutent pas Windows 2000, Windows Server 2003 ou Windows XP) - S’authentifier auprès des ordinateurs qui ne se trouvent pas dans le domaine Les valeurs possibles pour la sécurité réseau : Les paramètres de niveau d’authentification DU GESTIONNAIRE LAN sont les suivants : - Envoyer des réponses LM &NTLM - Envoyer LM &NTLM - Utiliser la sécurité de session NTLMv2 si négocié - Envoyer des réponses NTLM uniquement - Envoyer uniquement des réponses NTLMv2 - Envoyer uniquement des réponses NTLMv2 - Envoyer des réponses NTLMv2 uniquement\refuser LM &NTLM - Non défini la sécurité réseau : le paramètre de niveau d’authentification LAN Manager détermine quel protocole d’authentification de défi/réponse est utilisé pour les connexions réseau. Ce choix affecte le niveau de protocole d’authentification que les clients utilisent, le niveau de sécurité de session que les ordinateurs négocient et le niveau d’authentification que les serveurs acceptent comme suit :-Envoyer des réponses LM & NTLM. Les clients utilisent une authentification LM et NTLM et n’utilisent jamais une sécurité de session NTLMv2. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. - Envoyer LM &NTLM : utilisez la sécurité de session NTLMv2 en cas de négociation. Les clients utilisent une authentification LM et NTLM et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. -Envoyer la réponse NTLM uniquement. Les clients utilisent une authentification NTLM et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. - Envoyer uniquement les réponses NTLMv2. Les clients utilisent une authentification NTLMv2 et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. - Envoyer uniquement les réponses NTLMv2 et refuser LM. Les clients utilisent une authentification NTLMv2 et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine refusent LM (ils acceptent uniquement l’authentification NTLM et NTLMv2). - Envoyer uniquement les réponses NTLMv2 et refuser LM & NTLM. Les clients utilisent une authentification NTLMv2 et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine refusent LM et NTLM (ils n’acceptent que l’authentification NTLMv2). Ces paramètres correspondent aux niveaux décrits dans d’autres documents Microsoft comme suit : -niveau 0 - Envoyer une réponse LM et NTLM ; n’utilisez jamais la sécurité de session NTLMv2. Les clients utilisent une authentification LM et NTLM et n’utilisent jamais une sécurité de session NTLMv2. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. - Niveau 1 : Utiliser la sécurité de session NTLMv2 si négociée. Les clients utilisent une authentification LM et NTLM et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. - Niveau 2 : Envoyer la réponse NTLM uniquement. Les clients utilisent une authentification NTLM uniquement et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. - Niveau 3 : Envoyer uniquement les réponses NTLMv2. Les clients utilisent une authentification NTLMv2 et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine acceptent les authentifications LM, NTLM et NTLMv2. - Niveau 4 : Les contrôleurs de domaine refusent les réponses LM. Les clients utilisent une authentification NTLM et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine refusent l’authentification LM, c’est-à-dire qu’ils acceptent NTLM et NTLMv2. - Niveau 5 : Les contrôleurs de domaine refusent les réponses LM et NTLM (acceptent uniquement le NTLMv2). Les clients utilisent une authentification NTLMv2 et utilisent la sécurité de la session NTLMv2 si le serveur la prend en charge. Les contrôleurs de domaine refusent l’authentification NTLM et LM (ils acceptent uniquement NTLMv2).
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur : « Envoyer des réponses NTLMv2 uniquement. Refuser LM &NTLM' :
Configuration de l’ordinateur\Stratégies\ Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Sécurité réseau : niveau d’authentification LAN Manager
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.11.7
= 5
(registre)
Critique
Sécurité réseau : conditions requises pour la signature de client LDAP
(CCE-36858-9)
Description: ce paramètre de stratégie détermine le niveau de signature des données demandé pour le compte des clients qui émettent des demandes de liaison LDAP. Remarque : Ce paramètre de stratégie n’a aucun impact sur la liaison simple LDAP (ldap_simple_bind) ou la liaison simple LDAP via SSL (ldap_simple_bind_s). Aucun client LDAP Microsoft inclus avec Windows XP professionnel n’utilise ldap_simple_bind ou ldap_simple_bind_s pour communiquer avec un contrôleur de domaine. L’état recommandé pour ce paramètre est : Negotiate signing. La configuration de ce paramètre sur Require signing est également conforme à la référence.
Chemin de la clé : SYSTEM\CurrentControlSet\Services\LDAP\LDAPClientIntegrity
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Negotiate signing (une configuration sur Require signing est également conforme à la référence) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : conditions requises pour la signature de client LDAP

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93303
        STIG WS2016 V-73693
        CIS WS2019 2.3.11.8
        CIS WS2022 2.3.11.8
N’existe pas ou = 1
(registre)
Critique
Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
(CCE-37553-5)
Description : ce paramètre de stratégie détermine les comportements qui sont autorisés par les clients pour les applications utilisant le fournisseur SSP (Security Support Provider) NTLM. L’interface SSPI (SSP) est utilisée par les applications qui ont besoin de services d’authentification. Le paramètre ne modifie pas le fonctionnement de la séquence d’authentification, mais exige à la place certains comportements dans les applications qui utilisent l’interface SSPI. L’état recommandé pour ce paramètre est : Require NTLMv2 session security, Require 128-bit encryption. Remarque : Ces valeurs dépendent de la valeur du paramètre de sécurité Niveau d’authentification LAN Manager.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Require NTLMv2 session security, Require 128-bit encryption : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.11.9
= 537395200
(registre)
Critique
Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)
(CCE-37835-6)
Description : ce paramètre de stratégie détermine les comportements qui sont autorisés par les clients pour les applications utilisant le fournisseur SSP (Security Support Provider) NTLM. L’interface SSPI (SSP) est utilisée par les applications qui ont besoin de services d’authentification. Le paramètre ne modifie pas le fonctionnement de la séquence d’authentification, mais exige à la place certains comportements dans les applications qui utilisent l’interface SSPI. L’état recommandé pour ce paramètre est : Require NTLMv2 session security, Require 128-bit encryption. Remarque : Ces valeurs dépendent de la valeur du paramètre de sécurité Niveau d’authentification LAN Manager.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé) sur Exiger la sécurité de session NTLMv2 et Exiger un niveau de chiffrement à 128 bits (toutes les options sélectionnées).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.11.10
= 537395200
(registre)
Critique

Options de sécurité - Arrêt

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Arrêt : permet au système d’être arrêté sans avoir à se connecter
(CCE-36788-8)
Description : ce paramètre de stratégie détermine si un ordinateur peut être arrêté lorsqu’un utilisateur n’est pas connecté. Si ce paramètre de stratégie est activé, la commande arrêter est disponible dans l’écran d’ouverture de session Windows. Il est recommandé de désactiver ce paramètre de stratégie pour limiter la possibilité d’arrêter l’ordinateur pour les utilisateurs disposant d’informations d’identification sur le système. L’état recommandé pour ce paramètre est : Disabled. Remarque : dans Windows Server 2008 R2 et les versions antérieures, ce paramètre n’a eu aucun impact sur les sessions de Bureau à distance (RDP)/Terminal Services : il n’a affecté que la console locale. Toutefois, Microsoft a modifié le comportement dans Windows Server 2012 (non-R2) et les versions ultérieures. Si la valeur est activée, les sessions RDP sont également autorisées à arrêter ou redémarrer le serveur.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Arrêt : permet au système d’être arrêté sans avoir à se connecter

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.13.1
        CIS WS2022 2.3.13.1
N’existe pas ou = 0
(registre)
Avertissement
Arrêt : effacer le fichier d’échange de mémoire virtuelle
(AZ-WIN-00181)
Description : ce paramètre de stratégie détermine si le fichier d’échange de mémoire virtuelle est effacé lorsque le système est arrêté. Lorsque ce paramètre de stratégie est activé, le fichier d’échange système est effacé chaque fois que le système s’arrête correctement. Si vous activez ce paramètre de sécurité, le fichier de mise en veille prolongée (Hiberfil.sys) est mis à zéro lorsque la mise en veille prolongée est désactivée sur un système informatique portable. L’arrêt et le redémarrage de l’ordinateur prennent plus de temps, et sont particulièrement perceptibles sur les ordinateurs dotés de fichiers de pagination volumineux.
Chemin de la clé : System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Arrêt : effacer le fichier d’échange de mémoire virtuelle sur Disabled.
Correspondance des standards de conformité :
N’existe pas ou = 0
(registre)
Critique

Options de sécurité - Chiffrement du système

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Les utilisateurs doivent être obligés d’entrer un mot de passe pour accéder aux clés privées stockées sur l’ordinateur.
(AZ-WIN-73699)
Description : si la clé privée est découverte, un attaquant peut utiliser la clé pour s’authentifier en tant qu’utilisateur autorisé et accéder à l’infrastructure réseau. La pierre angulaire de l’infrastructure à clé publique est la clé privée utilisée pour chiffrer ou signer numériquement des informations. Si la clé privée est volée, cela entraîne la compromission de l’authentification et de la non-répudiation obtenue par le biais de l’infrastructure à clé publique, car l’attaquant peut utiliser la clé privée pour signer numériquement des documents et prétendre être l’utilisateur autorisé. Les titulaires d’un certificat numérique et l’autorité émettrice doivent protéger les ordinateurs, les appareils de stockage ou tout ce qu’ils utilisent pour conserver les clés privées.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Cryptography\ForceKeyProtection
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Cryptographie système : force une protection forte des clés utilisateur enregistrées sur l’ordinateur
Correspondance des standards de conformité :
= 2
(registre)
Important
Windows Server doit être configuré pour utiliser des algorithmes conformes à FIPS pour le chiffrement, le hachage et la signature.
(AZ-WIN-73701)
Description : ce paramètre garantit que le système utilise des algorithmes conformes à la norme FIPS pour le cryptage, le hachage et la signature. Les algorithmes conformes à FIPS répondent à des normes spécifiques établies par le gouvernement américain et doivent être les algorithmes utilisés pour toutes les fonctions de chiffrement du système d’exploitation.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : Membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature
Correspondance des standards de conformité :
= 1
(registre)
Important

Options de sécurité - Objets système

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
(CCE-37885-1)
Description : ce paramètre de stratégie détermine si le non-respect de la casse est appliqué pour tous les sous-systèmes. Le sous-système Microsoft Win32 ne respecte pas la casse. Toutefois, le noyau prend en charge le respect de la casse pour les autres sous-systèmes, tels que le système d’exploitation portable pour UNIX (POSIX). Étant donné que Windows ne respecte pas la casse (mais que le sous-système POSIX prend en charge le respect de la casse), le fait de ne pas appliquer ce paramètre de stratégie permet à un utilisateur du sous-système POSIX de créer un fichier portant le même nom qu’un autre fichier en utilisant la casse mixte pour l’étiqueter. Une telle situation peut bloquer l’accès à ces fichiers par un autre utilisateur qui utilise des outils Win32 classiques, car un seul des fichiers est disponible. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.15.1
        CIS WS2022 2.3.15.1
N’existe pas ou = 1
(registre)
Avertissement
Objets système : renforcer les autorisations par défaut des objets système internes (comme les liens de symboles)
(CCE-37644-2)
Description : ce paramètre de stratégie détermine la force de la liste de contrôle d’accès discrétionnaire (DACL) par défaut pour les objets. Active Directory gère une liste globale des ressources système partagées, telles que les noms des appareils DOS, les mutex et les sémaphores. De cette façon, les objets peuvent être localisés et partagés entre les processus. Chaque type d’objet est créé avec une liste DACL par défaut qui spécifie qui peut accéder aux objets et quelles autorisations sont accordées. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SYSTEM\CurrentControlSet\Control\Session Manager\ProtectionMode
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Objets système : renforcer les autorisations par défaut des objets système internes (comme les liens de symboles) sur Enabled
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.3.15.2
= 1
(registre)
Critique

Options de sécurité - Paramètres système

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle
(AZ-WIN-00155)
Description : ce paramètre de stratégie détermine si les certificats numériques sont traités lorsque les stratégies de restriction logicielle sont activées et qu’un utilisateur ou un processus tente d’exécuter des logiciels avec une extension .exe. Il active ou désactive les règles de certificat (type de règle de stratégie de restriction logicielle). Avec les stratégies de restriction logicielle, vous pouvez créer une règle de certificat qui autorise ou interdit l’exécution de logiciels signés par Authenticode®, en fonction du certificat numérique associé au logiciel. Pour que les règles de certificat prennent effet dans les stratégies de restriction logicielle, vous devez activer ce paramètre de stratégie.
Chemin de la clé : Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de restriction logicielle
Correspondance des standards de conformité :
= 1
(registre)
Avertissement

Options de sécurité - Contrôle de compte utilisateur

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Contrôle de compte d’utilisateur : mode Approbation administrateur pour le compte Administrateur intégré
(CCE-36494-3)
Description: ce paramètre de stratégie contrôle le comportement du mode d’approbation administrateur pour le compte administrateur intégré. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\FilterAdministratorToken
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : mode Approbation administrateur pour le compte Administrateur intégré

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93431
        STIG WS2016 V-73707
        CIS WS2019 2.3.17.1
        CIS WS2022 2.3.17.1
= 1
(registre)
Critique
Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé
(CCE-36863-9)
Description : ce paramètre de sécurité indique si les programmes d’accessibilité de l’interface utilisateur (UIAccess ou UIA) peuvent désactiver automatiquement le bureau sécurisé pour les invites d’élévation utilisées par un utilisateur standard. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUIADesktopToggle
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé
Correspondance des standards de conformité :
= 0
(registre)
Critique
Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur
(CCE-37029-6)
Description : ce paramètre contrôle le comportement de la demande d’élévation de contrôle de compte d’utilisateur pour les administrateurs. L’état recommandé pour ce paramètre est : Prompt for consent on the secure desktop.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Prompt for consent on the secure desktop :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93523
        STIG WS2016 V-73711
        CIS WS2019 2.3.17.2
        CIS WS2022 2.3.17.2
= 2
(registre)
Critique
Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard
(CCE-36864-7)
Description : ce paramètre contrôle le comportement de la demande d’élévation de contrôle de compte d’utilisateur pour les utilisateurs standards. L’état recommandé pour ce paramètre est : Automatically deny elevation requests.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorUser
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Automatically deny elevation requests:
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93433
        STIG WS2016 V-73713
        CIS WS2019 2.3.17.3
        CIS WS2022 2.3.17.3
= 0
(registre)
Critique
Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation
(CCE-36533-8)
Description : ce paramètre de stratégie contrôle le comportement de la détection de l’installation d’applications pour l’ordinateur. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableInstallerDetection
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93525
        STIG WS2016 V-73715
        CIS WS2019 2.3.17.4
        CIS WS2022 2.3.17.4
= 1
(registre)
Critique
Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés
(CCE-37057-7)
Description : ce paramètre de stratégie détermine si les applications qui demandent à s’exécuter avec un niveau d’intégrité UIAccess (User Interface Accessibility) doivent se trouver dans un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux éléments suivants :- …\Program Files\, y compris les sous-dossiers …\Windows\system32\ - …\Program Files (x86)\ , y compris les sous-dossiers pour les versions 64 bits de Windows Remarque : Windows applique une vérification de signature d’infrastructure à clé publique (PKI) sur toute application interactive qui demande à s’exécuter avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre de sécurité. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableSecureUIAPaths
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93527
        STIG WS2016 V-73717
        CIS WS2019 2.3.17.5
        CIS WS2022 2.3.17.5
= 1
(registre)
Critique
Contrôle de compte d’utilisateur : exécuter les comptes d’administrateurs en mode d’approbation d’administrateur
(CCE-36869-6)
Description : ce paramètre de stratégie contrôle le comportement de tous les paramètres de stratégie de contrôle de compte d’utilisateur (UAC) de l’ordinateur. Si vous modifiez ce paramètre de stratégie, vous devez redémarrer votre ordinateur. L’état recommandé pour ce paramètre est : Enabled. Remarque : Si ce paramètre de stratégie est désactivé, le Centre de sécurité vous avertit que la sécurité globale du système d’exploitation a été réduite.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : exécuter les comptes d’administrateurs en mode d’approbation d’administrateur

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93435
        STIG WS2016 V-73719
        CIS WS2019 2.3.17.6
        CIS WS2022 2.3.17.6
= 1
(registre)
Critique
Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation
(CCE-36866-2)
Description : ce paramètre de stratégie détermine si l’invite de demande d’élévation s’affiche sur le bureau de l’utilisateur interactif ou sur le bureau sécurisé. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\PromptOnSecureDesktop
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93521
        STIG WS2016 V-73709
        CIS WS2019 2.3.17.7
        CIS WS2022 2.3.17.7
= 1
(registre)
Critique
Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de Registre dans des emplacements définis par utilisateur
(CCE-37064-3)
Description : ce paramètre de stratégie détermine si les échecs d’écriture d’application sont redirigés vers des emplacements définis du système de fichiers et du registre. Ce paramètre de stratégie atténue les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application au moment de l’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32, ou HKEY_LOCAL_MACHINE\Software. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableVirtualization
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de Registre dans des emplacements définis par utilisateur

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93529
        STIG WS2016 V-73721
        CIS WS2019 2.3.17.8
        CIS WS2022 2.3.17.8
= 1
(registre)
Critique

Paramètres de sécurité - Stratégies de compte

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Seuil de verrouillage du compte
(AZ-WIN-73311)
Description : ce paramètre de stratégie détermine le nombre de tentatives de connexion échouées avant que le verrouillage du compte. Le fait de définir cette politique sur 0 n'est pas conforme au point de référence car cela désactive le seuil de verrouillage du compte. L’état recommandé pour ce paramètre est : 5 or fewer invalid logon attempt(s), but not 0. Remarque : les paramètres de stratégie de mot de passe (section 1.1) et les paramètres de stratégie de verrouillage de compte (section 1.2) doivent être appliqués via l’objet de stratégie de groupe (GPO) de stratégie de domaine par défaut afin d’être globalement en vigueur sur les comptes d’utilisateurs de domaine comme comportement par défaut. Si ces paramètres sont configurés dans un autre GPO, ils affectent uniquement les comptes d’utilisateurs locaux sur les ordinateurs qui reçoivent le GPO. Toutefois, les exceptions personnalisées à la stratégie de mot de passe par défaut et aux règles de stratégie de verrouillage de compte pour des utilisateurs de domaine et/ou groupes spécifiques peuvent être définies à l’aide d’objets de paramètres de mot de passe (PSO), qui sont complètement distincts de la stratégie de groupe et plus facilement configurés à l’aide du Centre d’administration Active Directory.
Chemin de la clé : [System Access]LockoutBadCount
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de verrouillage du compte\Seuil de verrouillage du compte
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 1.2.2
        CIS WS2019 1.2.2
Dans 1-3
(Stratégie)
Important
Conserver l'historique du mot de passe
(CCE-37166-6)
Description :

Ce paramètre de stratégie détermine le nombre de mots de passe uniques renouvelés qui doivent être associés avec un compte d'utilisateur avant de pouvoir réutiliser un ancien mot de passe. La valeur de ce paramètre de stratégie doit être comprise entre 0 et 24 mots de passe. La valeur par défaut pour Windows Vista est 0 mot de passe, mais le paramètre par défaut dans un domaine est 24 mots de passe. Pour conserver l’efficacité de ce paramètre de stratégie, utilisez le paramètre d’âge du mot de passe minimal pour empêcher les utilisateurs de modifier leur mot de passe de façon répétitive. L’état recommandé pour ce paramètre est : « 24 mots de passe ou plus ».


Chemin de la clé : [System Access]PasswordHistorySize
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur 24 or more password(s) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\Conserver l’historique des mots de passe
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 1.1.1
> = 24
(Stratégie)
Critique
Âge maximum du mot de passe
(CCE-37167-4)
Description: ce paramètre de stratégie définit la durée pendant laquelle un utilisateur peut utiliser son mot de passe avant son expiration. Les valeurs de ce paramètre de stratégie sont comprises entre 0 et 999 jours. Si vous définissez la valeur sur 0, le mot de passe n’expire jamais. Étant donné que les attaquants peuvent craquer des mots de passe, plus vous modifiez le mot de passe plus fréquemment, moins l’opportunité d’un pirate doit utiliser un mot de passe fissuré. Toutefois, plus cette valeur est faible, plus le risque d’augmentation des appels au support technique est élevé, car les utilisateurs doivent modifier leur mot de passe ou oublier le mot de passe à jour. L’état recommandé pour ce paramètre est : 60 or fewer days, but not 0.
Chemin de la clé : [System Access]MaximumPasswordAge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur 365 or fewer days, but not 0 :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\Durée de vie maximale du mot de passe
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 1.1.2
Dans 1-70
(Stratégie)
Critique
Âge minimum du mot de passe
(CCE-37073-4)
Description : ce paramètre de stratégie détermine le nombre de jours pendant lesquels vous devez utiliser un mot de passe pour pouvoir le modifier. La plage de valeurs de ce paramètre de stratégie est comprise entre 1 et 999 jours. (Vous pouvez également régler la valeur sur 0 pour permettre des modifications immédiates du mot de passe.) La valeur par défaut de ce paramètre est 0 jour. L’état recommandé pour ce paramètre est : 1 or more day(s).
Chemin de la clé : [System Access]MinimumPasswordAge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur 1 or more day(s) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\Durée de vie minimale du mot de passe
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 1.1.3
> = 1
(Stratégie)
Critique
Longueur minimale du mot de passe
(CCE-36534-6)
Description : ce paramètre de stratégie détermine le plus petit nombre de caractères qui peuvent constituer un mot de passe pour un compte d’utilisateur. Il existe de nombreuses théories différentes quant à la façon de déterminer la longueur de mot de passe optimale pour une organisation, mais peut-être que « phrase secrète » est un meilleur terme que « mot de passe ». Dans Microsoft Windows 2000 ou les versions ultérieures, les expressions de passe peuvent être assez longues et peuvent inclure des espaces. Par conséquent, une expression telle que « je souhaite boire un milkshake à 5$ » est une phrase secrète valide. Il s’agit d’un mot de passe beaucoup plus fort qu’une chaîne de 8 ou 10 caractères de nombres aléatoires et de lettres, et est encore plus facile à mémoriser. Les utilisateurs doivent être informés de la sélection et de la maintenance appropriées des mots de passe, en particulier en ce qui concerne la longueur du mot de passe. Dans les environnements d’entreprise, la valeur idéale pour le paramètre de longueur minimale du mot de passe est de 14 caractères, mais vous devez ajuster cette valeur pour répondre aux besoins de votre entreprise. L’état recommandé pour ce paramètre est : 14 or more character(s).
Chemin de la clé : [System Access]MinimumPasswordLength
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur 14 or more character(s) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\Longueur minimale du mot de passe
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 1.1.4
> = 14
(Stratégie)
Critique
Le mot de passe doit respecter des exigences de complexité
(CCE-37063-5)
Description : ce paramètre de stratégie vérifie tous les nouveaux mots de passe pour s’assurer qu’ils répondent aux exigences de base pour les mots de passe forts. Quand cette stratégie est activée, les mots de passe doivent répondre aux exigences minimales suivantes : ne contient pas le nom de compte de l’utilisateur ou des parties du nom complet de l’utilisateur de plus de deux caractères consécutifs ; doit comporter au moins six caractères ; doit contenir des caractères appartenant à trois des quatre catégories suivantes : - caractères majuscules anglais (A à Z) - caractères minuscules anglais (a à z) - chiffres de base 10 (0 à 9) - caractères non alphabétiques (par exemple, !, $, #, %) - une catégorie fourre-tout de caractères Unicode qui ne relèvent pas des quatre catégories précédentes. Cette cinquième catégorie peut être spécifique à une région. Chaque caractère supplémentaire dans un mot de passe augmente sa complexité de façon exponentielle. Par exemple, un mot de passe alphabétique de sept caractères, tout en minuscules, aurait 267 (environ 8 x 109 ou 8 milliards) combinaisons possibles. Avec 1 million de tentatives par seconde (fonctionnalité de nombreux utilitaires de craquage de mot de passe), il suffit de 133 minutes pour le déchiffrer. Un mot de passe alphabétique à sept caractères avec un respect de la casse a 527 combinaisons. Un mot de passe alphanumérique de sept caractères respectant la casse sans ponctuation a 627 combinaisons. Un mot de passe à huit caractères a 268 (ou 2 x 1011) combinaisons possibles. Bien que cela puisse paraître un grand nombre, à 1 million tentatives par seconde, il suffit de 59 heures pour essayer tous les mots de passe possibles. N’oubliez pas que ces fois augmenteront considérablement les mots de passe qui utilisent des caractères ALT et d’autres caractères spéciaux, tels que « ! » ou « @ ». L’utilisation correcte des paramètres de mot de passe peut contribuer à compliquer le montage d’une attaque par force brute. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : [System Access]PasswordComplexity
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\Le mot de passe doit respecter des exigences de complexité

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93459
        STIG WS2016 V-73323
        CIS WS2019 1.1.5
        CIS WS2022 1.1.5
= 1
(Stratégie)
Critique
Réinitialiser le compteur de verrouillage du compte après
(AZ-WIN-73309)
Description : ce paramètre de stratégie détermine la durée avant que le seuil de verrouillage du compte ne soit réinitialisé à zéro. La valeur par défaut de ce paramètre de stratégie est Non définie. Si le seuil de verrouillage du compte est défini, cette durée de réinitialisation doit être inférieure ou égale à la valeur du paramètre de durée de verrouillage du compte. Si vous laissez ce paramètre de stratégie sur sa valeur par défaut ou configurez la valeur sur un intervalle trop long, votre environnement peut être vulnérable à une attaque DoS. Un attaquant peut effectuer un certain nombre de tentatives d’ouverture de session ayant échoué sur tous les utilisateurs de l’organisation, ce qui verrouillera leurs comptes. Si aucune stratégie n’a été déterminée pour réinitialiser le verrouillage du compte, il s’agirait d’une tâche manuelle pour les administrateurs. À l’inverse, si une valeur de temps raisonnable est configurée pour ce paramètre de stratégie, les utilisateurs sont verrouillés pendant une période définie jusqu’à ce que tous les comptes soient déverrouillés automatiquement. L’état recommandé pour ce paramètre est : 15 or more minute(s). Remarque : les paramètres de stratégie de mot de passe (section 1.1) et les paramètres de stratégie de verrouillage de compte (section 1.2) doivent être appliqués via l’objet de stratégie de groupe (GPO) de stratégie de domaine par défaut afin d’être globalement en vigueur sur les comptes d’utilisateurs de domaine comme comportement par défaut. Si ces paramètres sont configurés dans un autre GPO, ils affectent uniquement les comptes d’utilisateurs locaux sur les ordinateurs qui reçoivent le GPO. Toutefois, les exceptions personnalisées à la stratégie de mot de passe par défaut et aux règles de stratégie de verrouillage de compte pour des utilisateurs de domaine et/ou groupes spécifiques peuvent être définies à l’aide d’objets de paramètres de mot de passe (PSO), qui sont complètement distincts de la stratégie de groupe et plus facilement configurés à l’aide du Centre d’administration Active Directory.
Chemin de la clé : [System Access]ResetLockoutCount
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de verrouillage du compte\Réinitialiser le compteur de verrouillages du compte après
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 1.2.3
        CIS WS2019 1.2.3
>= 15
(Stratégie)
Important
Enregistrer les mots de passe en utilisant un chiffrement réversible
(CCE-36286-3)
Description : ce paramètre de stratégie détermine si le système d’exploitation stocke les mots de passe d’une manière qui utilise le chiffrement réversible, qui prend en charge les protocoles d’application qui requièrent la connaissance du mot de passe de l’utilisateur à des fins d’authentification. Les mots de passe stockés avec un chiffrement réversible sont essentiellement les mêmes que les versions en texte clair des mots de passe. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : [System Access]ClearTextPassword
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe\Enregistrer les mots de passe en utilisant un chiffrement réversible

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93465
        STIG WS2016 V-73325
        CIS WS2019 1.1.7
        CIS WS2022 1.1.7
= 0
(Stratégie)
Critique

Paramètres de sécurité - Pare-feu Windows

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Pare-feu Windows : Domaine : autoriser la réponse monodiffusion
(AZ-WIN-00088)
Description :

Cette option est utile si vous devez contrôler si cet ordinateur reçoit des réponses de monodiffusion à ses messages de multidiffusion ou de diffusion sortants.  

Nous vous recommandons de définir ce paramètre sur « Oui » pour les profils privés et de domaine. Cela définit la valeur de registre sur 0.


Chemin de la clé : Software\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableUnicastResponsesToMulticastBroadcast
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows (ce lien se trouve dans le volet de droite)\Onglet Profil de domaine\Paramètres (sélectionnez Personnaliser)\Réponse monodiffusion, Autoriser la réponse monodiffusion
Correspondance des standards de conformité :
= 0
(registre)
Avertissement
Pare-feu Windows : domaine : état du pare-feu
(CCE-36062-8)
Description : sélectionnez Activé (recommandé) pour que le pare-feu Windows avec des fonctions avancées de sécurité utilise les paramètres de ce profil pour filtrer le trafic réseau. Si vous sélectionnez Désactivé, le Pare-feu Windows avec fonctions avancées de sécurité n’utilise aucune des règles de pare-feu ou de sécurité de connexion pour ce profil.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\EnableFirewall
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur On (recommended) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\État du pare-feu
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.1.1
= 1
(registre)
Critique
Pare-feu Windows : Domaine : Connexions sortantes
(AZ-WIN-202252)
Description : ce paramètre détermine le comportement des connexions entrantes qui ne correspondent pas à une règle de pare-feu de trafic entrant. L’état recommandé pour ce paramètre est : Block (default).
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultInboundAction
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\Connexions entrantes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.1.2
        CIS WS2019 9.1.2
= 1
(registre)
Critique
Pare-feu Windows : Domaine : Journalisation : Journaliser les paquets supprimés
(AZ-WIN-202226)
Description : utilisez cette option pour enregistrer lorsque le pare-feu Windows avec Advanced Security ignore un paquet entrant pour une raison quelconque. Le journal enregistre pourquoi et quand le paquet a été supprimé. Recherchez les entrées avec le mot DROP dans la colonne d’action du journal. L’état recommandé pour ce paramètre est : Yes.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogDroppedPackets
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\Personnalisation de la journalisation\Journaliser les paquets supprimés
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.1.7
        CIS WS2019 9.1.7
= 1
(registre)
Informationnel
Pare-feu Windows : Domaine : Journalisation : Journaliser les connexions réussies
(AZ-WIN-202227)
Description : utilisez cette option pour enregistrer lorsque le pare-feu Windows avec Advanced Security autorise une connexion entrante. Le journal enregistre pourquoi et quand la connexion a été formée. Recherchez les entrées avec le mot ALLOW dans la colonne d’action du journal. L’état recommandé pour ce paramètre est : Yes.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogSuccessfulConnections
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\Personnalisation de la journalisation\Journaliser les connexions réussies
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.1.8
        CIS WS2019 9.1.8
= 1
(registre)
Avertissement
Pare-feu Windows : Domaine : Journalisation : Nom
(AZ-WIN-202224)
Description : utilisez cette option pour spécifier le chemin d’accès et le nom du fichier dans lequel le pare-feu Windows écrit ses informations de journal. L’état recommandé pour ce paramètre est : %SystemRoot%\System32\logfiles\firewall\domainfw.log.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFilePath
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\Personnalisation de la journalisation\Nom
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.1.5
        CIS WS2019 9.1.5
= %SystemRoot%\System32\logfiles\firewall\domainfw.log
(registre)
Informationnel
Pare-feu Windows : Domaine : Journalisation : Limite de taille (Ko)
(AZ-WIN-202225)
Description : utilisez cette option pour spécifier la limite de taille du fichier dans lequel le pare-feu Windows écrit ses informations de journal. L’état recommandé pour ce paramètre est : 16,384 KB or greater.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\Logging\LogFileSize
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\Personnalisation de la journalisation\Limite de taille (Ko)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.1.6
        CIS WS2019 9.1.6
>= 16384
(registre)
Avertissement
Pare-feu Windows : domaine : connexions sortantes
(CCE-36146-9)
Description : ce paramètre détermine le comportement des connexions sortantes qui ne correspondent pas à une règle de pare-feu de trafic sortant. Dans Windows Vista, le comportement par défaut consiste à autoriser les connexions, sauf si des règles de pare-feu bloquent la connexion.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DefaultOutboundAction
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Allow (default) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\Connexions sortantes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.1.3
= 0
(registre)
Critique
Pare-feu Windows : domaine : paramètres : appliquer les règles de sécurité de connexion locale
(CCE-38040-2)
Description :

Ce paramètre contrôle si les administrateurs locaux sont autorisés à créer des règles de connexion locales qui s’appliquent avec les règles de pare-feu configurées par la stratégie de groupe. L’état recommandé pour ce paramètre est « Oui ». Cela définit la valeur de registre sur 1.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalIPsecPolicyMerge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows (ce lien se trouve dans le volet de droite)\Onglet Profil de domaine\Paramètres (sélectionnez Personnaliser)\Fusion de règles, Appliquer les règles de sécurité de connexion locales
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.3.6
= 1
(registre)
Critique
Pare-feu Windows : domaine : paramètres : appliquer les règles de pare-feu locales
(CCE-37860-4)
Description :

Ce paramètre contrôle si les administrateurs locaux sont autorisés à créer des règles de pare-feu locales qui s’appliquent avec les règles de pare-feu configurées par la stratégie de groupe.

L’état recommandé pour ce paramètre est oui, alors la valeur de Registre est définie sur 1.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\AllowLocalPolicyMerge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows (ce lien se trouve dans le volet de droite)\Onglet Profil de domaine\Paramètres (sélectionnez Personnaliser)\Fusion de règles, Appliquer les règles de pare-feu locales
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.3.5
N’existe pas ou = 1
(registre)
Critique
Pare-feu Windows : domaine : paramètres : afficher une notification
(CCE-38041-0)
Description :

En sélectionnant cette option, aucune notification n'est affichée à l'utilisateur lorsqu'un programme est bloqué de recevoir des connexions entrantes. Dans un environnement serveur, les popups ne sont pas utiles car les utilisateurs ne sont pas connectés, les popups ne sont pas nécessaires et peuvent ajouter de la confusion pour l'administrateur.  

Configurez ce paramètre de stratégie sur « Non ». Cela définit la valeur de registre sur 1.  Le pare-feu Windows n'affichera pas de notification lorsqu'un programme est bloqué pour recevoir des connexions entrantes.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\DisableNotifications
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil de domaine\Personnalisation des paramètres\Afficher une notification
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.1.4
= 1
(registre)
Avertissement
Pare-feu Windows : privé : autoriser la réponse monodiffusion
(AZ-WIN-00089)
Description :

Cette option est utile si vous devez contrôler si cet ordinateur reçoit des réponses de monodiffusion à ses messages de multidiffusion ou de diffusion sortants.  

Nous vous recommandons de définir ce paramètre sur « Oui » pour les profils privés et de domaine. Cela définit la valeur de registre sur 0.


Chemin de la clé : Software\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableUnicastResponsesToMulticastBroadcast
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows (ce lien se trouve dans le volet de droite)\Onglet Profil privé\Paramètres (sélectionnez Personnaliser)\Réponse monodiffusion, Autoriser la réponse monodiffusion
Correspondance des standards de conformité :
= 0
(registre)
Avertissement
Pare-feu Windows : privé : état du pare-feu
(CCE-38239-0)
Description : sélectionnez Activé (recommandé) pour que le pare-feu Windows avec des fonctions avancées de sécurité utilise les paramètres de ce profil pour filtrer le trafic réseau. Si vous sélectionnez Désactivé, le Pare-feu Windows avec fonctions avancées de sécurité n’utilise aucune des règles de pare-feu ou de sécurité de connexion pour ce profil.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\EnableFirewall
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur On (recommended) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\État du pare-feu
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.2.1
= 1
(registre)
Critique
Pare-feu Windows : Privé : Connexions sortantes
(AZ-WIN-202228)
Description : ce paramètre détermine le comportement des connexions entrantes qui ne correspondent pas à une règle de pare-feu de trafic entrant. L’état recommandé pour ce paramètre est : Block (default).
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultInboundAction
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\Connexions entrantes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.2.2
        CIS WS2019 9.2.2
= 1
(registre)
Critique
Pare-feu Windows : Privé : Journalisation : Journaliser les paquets supprimés
(AZ-WIN-202231)
Description : utilisez cette option pour enregistrer lorsque le pare-feu Windows avec Advanced Security ignore un paquet entrant pour une raison quelconque. Le journal enregistre pourquoi et quand le paquet a été supprimé. Recherchez les entrées avec le mot DROP dans la colonne d’action du journal. L’état recommandé pour ce paramètre est : Yes.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogDroppedPackets
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\Personnalisation de la journalisation\Journaliser les paquets supprimés
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.2.7
        CIS WS2019 9.2.7
= 1
(registre)
Informationnel
Pare-feu Windows : Privé : Journalisation : Journaliser les connexions réussies
(AZ-WIN-202232)
Description : utilisez cette option pour enregistrer lorsque le pare-feu Windows avec Advanced Security autorise une connexion entrante. Le journal enregistre pourquoi et quand la connexion a été formée. Recherchez les entrées avec le mot ALLOW dans la colonne d’action du journal. L’état recommandé pour ce paramètre est : Yes.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogSuccessfulConnections
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\Personnalisation de la journalisation\Journaliser les connexions réussies
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.2.8
        CIS WS2019 9.2.8
= 1
(registre)
Avertissement
Pare-feu Windows : Privé : Journalisation : Nom
(AZ-WIN-202229)
Description : utilisez cette option pour spécifier le chemin d’accès et le nom du fichier dans lequel le pare-feu Windows écrit ses informations de journal. L’état recommandé pour ce paramètre est : %SystemRoot%\System32\logfiles\firewall\privatefw.log.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFilePath
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\Personnalisation de la journalisation\Nom
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.2.5
        CIS WS2019 9.2.5
= %SystemRoot%\System32\logfiles\firewall\privatefw.log
(registre)
Informationnel
Pare-feu Windows : Privé : Journalisation : Limite de taille (Ko)
(AZ-WIN-202230)
Description : utilisez cette option pour spécifier la limite de taille du fichier dans lequel le pare-feu Windows écrit ses informations de journal. L’état recommandé pour ce paramètre est : 16,384 KB or greater.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\Logging\LogFileSize
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\Personnalisation de la journalisation\Limite de taille (Ko)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.2.6
        CIS WS2019 9.2.6
>= 16384
(registre)
Avertissement
Pare-feu Windows : privé : connexions sortantes
(CCE-38332-3)
Description : ce paramètre détermine le comportement des connexions sortantes qui ne correspondent pas à une règle de pare-feu de trafic sortant. Le comportement par défaut consiste à autoriser les connexions, sauf si des règles de pare-feu bloquent la connexion. Important si vous définissez des connexions sortantes pour bloquer puis déployer la stratégie de pare-feu à l’aide d’un objet de stratégie de groupe, les ordinateurs qui reçoivent les paramètres d’objet de stratégie de groupe ne peuvent pas recevoir les mises à jour de stratégie de groupe suivantes, sauf si vous créez et déployez une règle de trafic sortant qui permet à stratégie de groupe de fonctionner. Les règles prédéfinies pour la mise en réseau de base incluent des règles de trafic sortant qui permettent à stratégie de groupe de fonctionner. Assurez-vous que ces règles de trafic sortant sont actives et testez minutieusement les profils de pare-feu avant de procéder au déploiement.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DefaultOutboundAction
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Allow (default) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\Connexions sortantes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.2.3
= 0
(registre)
Critique
Pare-feu Windows : privé : paramètres : appliquer les règles de sécurité de connexion locale
(CCE-36063-6)
Description :

Ce paramètre contrôle si les administrateurs locaux sont autorisés à créer des règles de connexion locales qui s’appliquent avec les règles de pare-feu configurées par la stratégie de groupe. L’état recommandé pour ce paramètre est « Oui ». Cela définit la valeur de registre sur 1.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalIPsecPolicyMerge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows (ce lien se trouve dans le volet de droite)\Onglet Profil privé\Paramètres (sélectionnez Personnaliser)\Fusion de règles, Appliquer les règles de sécurité de connexion locales
Correspondance des standards de conformité :
= 1
(registre)
Critique
Pare-feu Windows : privé : paramètres : appliquer les règles de pare-feu locales
(CCE-37438-9)
Description :

Ce paramètre contrôle si les administrateurs locaux sont autorisés à créer des règles de pare-feu locales qui s’appliquent avec les règles de pare-feu configurées par la stratégie de groupe.

L’état recommandé pour ce paramètre est oui, alors la valeur de Registre est définie sur 1.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\AllowLocalPolicyMerge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows (ce lien se trouve dans le volet de droite)\Onglet Profil privé\Paramètres (sélectionnez Personnaliser)\Fusion de règles, Appliquer les règles de pare-feu locales
Correspondance des standards de conformité :
N’existe pas ou = 1
(registre)
Critique
Pare-feu Windows : privé : paramètres : afficher une notification
(CCE-37621-0)
Description :

En sélectionnant cette option, aucune notification n'est affichée à l'utilisateur lorsqu'un programme est bloqué de recevoir des connexions entrantes. Dans un environnement serveur, les popups ne sont pas utiles car les utilisateurs ne sont pas connectés, les popups ne sont pas nécessaires et peuvent ajouter de la confusion pour l'administrateur.  

 Configurez ce paramètre de stratégie sur « Non ». Cela définit la valeur de registre sur 1.  Le pare-feu Windows n'affichera pas de notification lorsqu'un programme est bloqué pour recevoir des connexions entrantes.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PrivateProfile\DisableNotifications
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil privé\Personnalisation des paramètres\Afficher une notification
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.2.4
= 1
(registre)
Avertissement
Pare-feu Windows : public : autoriser la réponse monodiffusion
(AZ-WIN-00090)
Description :

Cette option est utile si vous devez contrôler si cet ordinateur reçoit des réponses de monodiffusion à ses messages de multidiffusion ou de diffusion sortants. Cela peut se faire en modifiant l’état de ce paramètre sur « Non ». Cela définit la valeur de registre sur 1.


Chemin de la clé : Software\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableUnicastResponsesToMulticastBroadcast
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows (ce lien se trouve dans le volet de droite)\Onglet Profil public\Paramètres (sélectionnez Personnaliser)\Réponse monodiffusion, Autoriser la réponse monodiffusion
Correspondance des standards de conformité :
= 1
(registre)
Avertissement
Pare-feu Windows : public : état du pare-feu
(CCE-37862-0)
Description : sélectionnez Activé (recommandé) pour que le pare-feu Windows avec des fonctions avancées de sécurité utilise les paramètres de ce profil pour filtrer le trafic réseau. Si vous sélectionnez Désactivé, le Pare-feu Windows avec fonctions avancées de sécurité n’utilise aucune des règles de pare-feu ou de sécurité de connexion pour ce profil.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\EnableFirewall
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur On (recommended) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\État du pare-feu
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.3.1
= 1
(registre)
Critique
Pare-feu Windows : Public : Connexions sortantes
(AZ-WIN-202234)
Description : ce paramètre détermine le comportement des connexions entrantes qui ne correspondent pas à une règle de pare-feu de trafic entrant. L’état recommandé pour ce paramètre est : Block (default).
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultInboundAction
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Connexions entrantes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.3.2
        CIS WS2019 9.3.2
= 1
(registre)
Critique
Pare-feu Windows : Public : Journalisation : Journaliser les paquets supprimés
(AZ-WIN-202237)
Description : utilisez cette option pour enregistrer lorsque le pare-feu Windows avec Advanced Security ignore un paquet entrant pour une raison quelconque. Le journal enregistre pourquoi et quand le paquet a été supprimé. Recherchez les entrées avec le mot DROP dans la colonne d’action du journal. L’état recommandé pour ce paramètre est : Yes.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogDroppedPackets
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Personnalisation de la journalisation\Journaliser les paquets supprimés
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.3.9
        CIS WS2019 9.3.9
= 1
(registre)
Informationnel
Pare-feu Windows : Public : Journalisation : Journaliser les connexions réussies
(AZ-WIN-202233)
Description : utilisez cette option pour enregistrer lorsque le pare-feu Windows avec Advanced Security autorise une connexion entrante. Le journal enregistre pourquoi et quand la connexion a été formée. Recherchez les entrées avec le mot ALLOW dans la colonne d’action du journal. L’état recommandé pour ce paramètre est : Yes.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogSuccessfulConnections
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Personnalisation de la journalisation\Journaliser les connexions réussies
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.3.10
        CIS WS2019 9.3.10
= 1
(registre)
Avertissement
Pare-feu Windows : Public : Journalisation : Nom
(AZ-WIN-202235)
Description : utilisez cette option pour spécifier le chemin d’accès et le nom du fichier dans lequel le pare-feu Windows écrit ses informations de journal. L’état recommandé pour ce paramètre est : %SystemRoot%\System32\logfiles\firewall\publicfw.log.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFilePath
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Personnalisation de la journalisation\Nom
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.3.7
        CIS WS2019 9.3.7
= %SystemRoot%\System32\logfiles\firewall\publicfw.log
(registre)
Informationnel
Pare-feu Windows : Public : Journalisation : Limite de taille (Ko)
(AZ-WIN-202236)
Description : utilisez cette option pour spécifier la limite de taille du fichier dans lequel le pare-feu Windows écrit ses informations de journal. L’état recommandé pour ce paramètre est : 16,384 KB or greater.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\Logging\LogFileSize
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Personnalisation de la journalisation\Limite de taille (Ko)
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 9.3.8
        CIS WS2019 9.3.8
>= 16384
(registre)
Informationnel
Pare-feu Windows : public : connexions sortantes
(CCE-37434-8)
Description : ce paramètre détermine le comportement des connexions sortantes qui ne correspondent pas à une règle de pare-feu de trafic sortant. Le comportement par défaut consiste à autoriser les connexions, sauf si des règles de pare-feu bloquent la connexion. Important si vous définissez des connexions sortantes pour bloquer puis déployer la stratégie de pare-feu à l’aide d’un objet de stratégie de groupe, les ordinateurs qui reçoivent les paramètres d’objet de stratégie de groupe ne peuvent pas recevoir les mises à jour de stratégie de groupe suivantes, sauf si vous créez et déployez une règle de trafic sortant qui permet à stratégie de groupe de fonctionner. Les règles prédéfinies pour la mise en réseau de base incluent des règles de trafic sortant qui permettent à stratégie de groupe de fonctionner. Assurez-vous que ces règles de trafic sortant sont actives et testez minutieusement les profils de pare-feu avant de procéder au déploiement.
Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DefaultOutboundAction
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Allow (default) :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Connexions sortantes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.3.3
= 0
(registre)
Critique
Pare-feu Windows : public : paramètres : appliquer les règles de sécurité de connexion locale
(CCE-36268-1)
Description :

Ce paramètre contrôle si les administrateurs locaux sont autorisés à créer des règles de connexion locales qui s’appliquent avec les règles de pare-feu configurées par la stratégie de groupe. L’état recommandé pour ce paramètre est « Oui ». Cela définit la valeur de registre sur 1.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalIPsecPolicyMerge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Personnalisation des paramètres\Appliquer les règles de sécurité de connexion locales
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.3.6
= 1
(registre)
Critique
Pare-feu Windows : public : paramètres : appliquer les règles de pare-feu locales
(CCE-37861-2)
Description :

Ce paramètre contrôle si les administrateurs locaux sont autorisés à créer des règles de pare-feu locales qui s’appliquent avec les règles de pare-feu configurées par la stratégie de groupe.

L’état recommandé pour ce paramètre est oui, alors la valeur de Registre est définie sur 1.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\AllowLocalPolicyMerge
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Personnalisation des paramètres\Appliquer les règles de pare-feu locales
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.3.5
N’existe pas ou = 1
(registre)
Critique
Pare-feu Windows : public : paramètres : afficher une notification
(CCE-38043-6)
Description :

En sélectionnant cette option, aucune notification n'est affichée à l'utilisateur lorsqu'un programme est bloqué de recevoir des connexions entrantes. Dans un environnement serveur, les popups ne sont pas utiles car les utilisateurs ne sont pas connectés, les popups ne sont pas nécessaires et peuvent ajouter de la confusion pour l'administrateur.  

Configurez ce paramètre de stratégie sur « Non ». Cela définit la valeur de registre sur 1.  Le pare-feu Windows n'affichera pas de notification lorsqu'un programme est bloqué pour recevoir des connexions entrantes.


Chemin de la clé : SOFTWARE\Policies\Microsoft\WindowsFirewall\PublicProfile\DisableNotifications
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Pare-feu Windows avec fonctions avancées de sécurité\Propriétés du Pare-feu Windows\Profil public\Personnalisation des paramètres\Afficher une notification
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 9.3.4
= 1
(registre)
Avertissement

Stratégies d’audit système - Connexion au compte

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer la validation des informations d’identification
(CCE-37741-6)
Description :

Cette sous-catégorie rapporte les résultats des tests de validation sur les informations de connexion soumises pour une demande de connexion d’un compte d'utilisateur. Ces évènements se produisent sur un ordinateur faisant autorité pour les informations de connexion. Pour les comptes de domaine, le contrôleur de domaine fait autorité, alors que pour les comptes locaux, l’ordinateur local fait autorité. Dans les environnements de domaine, la plupart des événements d’ouverture de session surviennent dans le journal de sécurité des contrôleurs de domaine faisant autorité pour les comptes de domaine. Cependant, ces événements peuvent se produire sur plusieurs ordinateurs de l’entreprise lorsque des comptes locaux sont utilisés. Les événements de cette sous-catégorie sont notamment : — 4774 : un compte a été mappé pour l’ouverture de session. - 4775 : impossible de mapper un compte pour l’ouverture de session. - 4776 : le contrôleur de domaine a tenté de valider les informations d’identification d’un compte. - 4777 : le contrôleur de domaine n’a pas pu valider les informations d’identification d’un compte. L’état recommandé pour ce paramètre est : « Réussite et échec ».


Chemin de la clé: {0CCE923F-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Connexion de compte\Auditer la validation des informations d’identification

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93153
        STIG WS2016 V-73413
        CIS WS2019 17.1.1
        CIS WS2022 17.1.1
= Réussite et Échec
(Audit)
Critique
Auditer le service d’authentification Kerberos
(AZ-WIN-00004)
Description : cette sous-catégorie signale les résultats des événements générés après une requête TGT d’authentification Kerberos. Kerberos est un service d’authentification distribuée qui permet à un client s’exécutant pour le compte d’un utilisateur de prouver son identité à un serveur sans envoyer de données sur le réseau. Cela permet d’atténuer l’emprunt d’identité d’un utilisateur ou d’un serveur. - 4768 : un ticket d’authentification Kerberos (TGT) a été demandé. - 4771 : échec de la pré-authentification Kerberos. - 4772 : échec d’une demande de ticket d’authentification Kerberos. L’état recommandé pour ce paramètre est : Success and Failure.
Chemin de la clé : {0CCE9242-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Contrôleur de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Connexion de compte\Auditer le service d’authentification Kerberos
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.1.2
        CIS WS2019 17.1.2
>= Réussite et Échec
(Audit)
Critique

Stratégies d’audit système - Gestion des comptes

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer la gestion des groupes de distribution
(CCE-36265-7)
Description : cette sous-catégorie signale chaque événement de la gestion des groupes de distribution, par exemple lorsqu'un groupe de distribution est créé, modifié ou supprimé ou lorsqu'un membre est ajouté ou retiré d'un groupe de distribution. Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des événements pour détecter les créations de comptes de groupe malveillantes, accidentelles et autorisées. Les événements de cette sous-catégorie sont notamment : - 4744 : un groupe local non sécurisé a été créé. - 4745 : un groupe local non sécurisé a été modifié. - 4746 : un membre a été ajouté à un groupe local non sécurisé. - 4747 : un membre a été supprimé d’un groupe local non sécurisé. - 4748 : un groupe local non sécurisé a été modifié. - 4749 : un groupe global non sécurisé a été créé. - 4750 : un groupe global non sécurisé a été modifié. -4751 : un membre a été ajouté à un groupe global non sécurisé. - 4752 : un membre a été supprimé d’un groupe global non sécurisé. - 4753 : un groupe global non sécurisé a été supprimé. - 4759 : un groupe universel non sécurisé a été créé. - 4760 : un groupe universel non sécurisé a été modifié. - 4761 : un membre a été ajouté à un groupe universel non sécurisé. - 4762 : un membre a été supprimé d’un groupe universel non sécurisé. - 4763 : un groupe universel non sécurisé a été supprimé. L’état recommandé pour ce paramètre consiste à inclure : Success.
Chemin de la clé : {0CCE9238-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Contrôleur de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Gestion du compte\Auditer la gestion des groupes de distribution
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.2.3
        CIS WS2019 17.2.3
> = Réussite
(Audit)
Critique
Auditer d’autres événements de gestion des comptes
(CCE-37855-4)
Description : cette sous-catégorie signale d’autres événements de gestion des comptes. Les événements de cette sous-catégorie sont notamment : - 4782 : hachage du mot de passe d’un compte a été accédé. — 4793 : l’API de vérification de la stratégie de mot de passe a été appelée. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE923A-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Contrôleur de domaine
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Gestion du compte\Auditer d’autres événements de gestion des comptes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.2.4
> = Réussite
(Audit)
Critique
Auditer la gestion des groupes de sécurité
(CCE-38034-5)
Description : cette sous-catégorie signale chaque événement de la gestion des groupes de sécurité, par exemple lorsqu’un groupe de sécurité est créé, modifié ou supprimé ou lorsqu’un membre est ajouté ou supprimé dans un groupe de sécurité. Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des événements pour détecter les comptes de groupe de sécurité malveillants, accidentels et autorisés. Les événements de cette sous-catégorie sont notamment :-4727 : un groupe global sécurisé a été créé. -4728 : un membre a été ajouté à un groupe global sécurisé. -4729 : un membre a été supprimé d’un groupe global sécurisé. -4730 : un groupe global sécurisé a été supprimé. -4731 : un groupe local sécurisé a été créé. -4732 : un membre a été ajouté à un groupe local sécurisé. -4733 : un membre a été supprimé d’un groupe local sécurisé. -4734 : un groupe local sécurisé a été supprimé. -4735 : un groupe local sécurisé a été modifié. -4737 : un groupe global sécurisé a été modifié. -4754 : un groupe universel sécurisé a été créé. -4755 : un groupe universel sécurisé a été modifié. -4756 : un membre a été ajouté à un groupe universel sécurisé. -4757 : un membre a été supprimé d’un groupe universel sécurisé. -4758 : un groupe universel sécurisé a été supprimé. -4764 : le type d’un groupe a été modifié. L’état recommandé pour ce paramètre est : Success and Failure.
Chemin de la clé : {0CCE9237-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Gestion du compte\Auditer la gestion des groupes de sécurité
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.2.5
> = Réussite
(Audit)
Critique
Auditer la gestion des comptes d’utilisateurs
(CCE-37856-2)
Description : cette sous-catégorie signale chaque événement de la gestion des comptes d’utilisateur, par exemple lorsqu’un compte d’utilisateur est créé, modifié ou supprimé ; un compte d’utilisateur est renommé, désactivé ou activé ; ou un mot de passe est défini ou modifié. Si vous activez ce paramètre de stratégie d’audit, les administrateurs peuvent effectuer le suivi des événements pour détecter les créations de comptes d’utilisateur malveillantes, accidentelles et autorisées. Les événements de cette sous-catégorie sont notamment :-4720 : un compte d’utilisateur a été créé. - 4722 : un compte d'utilisateur a été activé. -4723 : une tentative de modification du mot de passe d’un compte a été effectuée. -4724 : une tentative de réinitialisation du mot de passe d’un compte a été effectuée. - 4725 : un compte utilisateur a été désactivé. - 4726 : un compte d'utilisateur a été supprimé. - 4738 : un compte d'utilisateur a été modifié. -4740 : un compte d’utilisateur a été verrouillé. -4765 : l’historique des SID a été ajouté à un compte. -4766 : échec d’une tentative d’ajout de l’historique SID à un compte. - 4767 : un compte d'utilisateur a été déverrouillé. -4780 : la liste de contrôle d’accès a été définie sur les comptes qui sont membres de groupes Administrateurs. -4781 : le nom d’un compte a été modifié :-4794 : une tentative de définition du mode de restauration des services d’annuaire a été effectuée. -5376 : les informations d’identification du gestionnaire d’informations d’identification ont été sauvegardées. -5377 : les informations d’identification du gestionnaire d’informations d’identification ont été restaurées à partir d’une sauvegarde. L’état recommandé pour ce paramètre est : Success and Failure.
Chemin de la clé : {0CCE9235-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Gestion du compte\Auditer la gestion des comptes d’utilisateurs

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-92981
        STIG WS2016 V-73427
        CIS WS2019 17.2.6
        CIS WS2022 17.2.6
= Réussite et Échec
(Audit)
Critique

Stratégies d’audit système - Suivi détaillé

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer l’activité Plug-and-Play
(AZ-WIN-00182)
Description : ce paramètre de stratégie vous permet d’auditer quand la fonctionnalité Plug-and-Play détecte un périphérique externe. L’état recommandé pour ce paramètre est : Success. Remarque : Un système d’exploitation Windows 10, Server 2016 ou version ultérieure est requis pour accéder à cette valeur et la définir dans une stratégie de groupe.
Chemin de la clé : {0CCE9248-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité\Audit : force les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à se substituer aux paramètres de catégorie de stratégie d’audit

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.3.1
        CIS WS2022 17.3.1
> = Réussite
(Audit)
Critique
Auditer la création du processus
(CCE-36059-4)
Description : cette sous-catégorie signale la création d’un processus et le nom du programme ou de l’utilisateur qui l’a créé. Les événements de cette sous-catégorie sont notamment :-4688 : un nouveau processus a été créé. -4696 : un jeton principal a été assigné au processus. Veuillez vous reporter à l’article 947226 de la base de connaissances Microsoft pour découvrir les dernières informations à propos de ce paramètre. L’état recommandé pour ce paramètre est : Success.
Chemin de la clé : {0CCE922B-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Suivi détaillé\Auditer la création du processus

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93173
        STIG WS2016 V-73433
        CIS WS2019 17.3.2
        CIS WS2022 17.3.2
> = Réussite
(Audit)
Critique

Stratégies d’audit système - Accès DS

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer l’accès au service d’annuaire
(CCE-37433-0)
Description : cette sous-catégorie signale lorsqu’un objet AD DS est accessible. Seuls les objets avec SACL provoquent la génération d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui correspond à leur SACL. Ces événements sont similaires aux événements d’accès au service d’annuaire dans les versions précédentes de Windows Server. Cette sous-catégorie s’applique uniquement aux contrôleurs de domaine. Les événements de cette sous-catégorie incluent : - 4662 : une opération a été effectuée sur un objet. L’état recommandé pour ce paramètre consiste à inclure : Failure.
Chemin de la clé : {0CCE923B-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Contrôleur de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès DS\Auditer l’accès au service d’annuaire
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.4.1
        CIS WS2019 17.4.1
>= Échec
(Audit)
Critique
Auditer les modifications du service d’annuaire
(CCE-37616-0)
Description : cette sous-catégorie signale les modifications apportées aux objets dans Active Directory Domain Services (AD DS). Les types de modifications signalés sont des opérations de création, de modification, de déplacement et d’annulation de suppression effectuées sur un objet. L’audit des modifications DS indique, le cas échéant, les anciennes et nouvelles valeurs des propriétés modifiées des objets qui ont été modifiés. Seuls les objets avec SACL provoquent la génération d’événements d’audit et uniquement lorsqu’ils sont accessibles d’une manière qui correspond à leur SACL. Certains objets et propriétés ne provoquent pas la génération d’événements d’audit en raison des paramètres de la classe d’objet dans le schéma. Cette sous-catégorie s’applique uniquement aux contrôleurs de domaine. Les événements de cette sous-catégorie incluent : - 5136 : un objet de service d’annuaire a été modifié. - 5137 : un objet du service d’annuaire a été créé. - 5138 : la suppression d’un objet du service d’annuaire a été annulée. - 5139 : un objet du service d’annuaire a été déplacé. L’état recommandé pour ce paramètre consiste à inclure : Success.
Chemin de la clé: {0CCE923C-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Contrôleur de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès DS\Auditer les modifications du service d’annuaire
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.4.2
        CIS WS2019 17.4.2
> = Réussite
(Audit)
Critique
Auditer la réplication du service d’annuaire
(AZ-WIN-00093)
Description : cette sous-catégorie signale quand la réplication entre deux contrôleurs de domaine commence et se termine. Les événements de cette sous-catégorie incluent : - 4932 : la synchronisation d’un réplica d’un contexte de nommage Active Directory a commencé. - 4933 : la synchronisation d’un réplica d’un contexte de nommage Active Directory s’est terminée. Pour obtenir les dernières informations sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : http:--support.microsoft.com-default.aspx-kb-947226
Chemin de la clé : {0CCE923D-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : Contrôleur de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès DS\Auditer la réplication du service d’annuaire
Correspondance des standards de conformité :
>= Pas d’audit
(Audit)
Critique

Stratégies d’audit système - Connexion-Déconnexion

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer le verrouillage du compte
(CCE-37133-6)
Description : cette sous-catégorie signale quand un compte d’utilisateur est verrouillé suite à un trop grand nombre de tentatives de connexion ayant échoué. Les événements de cette sous-catégorie sont notamment : - 4625 : un compte n’a pas pu se connecter. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9217-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Ouvrir/fermer la session\Auditer le verrouillage du compte
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.5.1
>= Échec
(Audit)
Critique
Auditer l’appartenance à un groupe
(AZ-WIN-00026)
Description : Auditer l’appartenance à un groupe vous permet d’auditer les appartenances aux groupes lorsqu’elles sont énumérées sur l’ordinateur client. Cette stratégie vous permet d’auditer les informations d’appartenance au groupe dans le jeton d’ouverture de session de l’utilisateur. Les événements de cette sous-catégorie sont générés sur l’ordinateur sur lequel une session de connexion est créée. Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur l’ordinateur sur lequel l’utilisateur s’est connecté. Pour une ouverture de session réseau, comme l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur l’ordinateur qui héberge la ressource. Vous devez également activer la sous-catégorie Auditer l’ouverture de session. Si les informations d’appartenance à un groupe ne tiennent pas dans un seul événement d’audit de sécurité, plusieurs événements sont générés. Les événements audités sont les suivants :- 4627 (S) : informations d’appartenance au groupe.
Chemin de la clé : {0CCE9249-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Ouvrir/fermer la session\Auditer l’appartenance à un groupe
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.5.2
> = Réussite
(Audit)
Critique
Auditer la fermeture de session
(CCE-38237-4)
Description :

Cette sous-catégorie rapporte lorsqu’un utilisateur se déconnecte du système. Ces événements se produisent sur l’ordinateur utilisé. Pour les ouvertures de session interactives, la génération de ces événements se produit sur l’ordinateur à partir duquel la session est ouverte. Si une session réseau se produit pour accéder à un partage, ces événements sont générés sur l’ordinateur hébergeant la ressource accédée. Si vous configurez ce paramètre sur Pas d’audit, il est difficile voire impossible de déterminer l’utilisateur ayant accédé ou tenté d’accéder aux ordinateurs de l’entreprise. Les événements de cette sous-catégorie sont : - 4634 : un compte a été déconnecté. - 4647 : déconnexion initiée par l’utilisateur. L’état recommandé pour ce paramètre est : « Réussite ».


Chemin de la clé : {0CCE9216-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Ouvrir/fermer la session\Auditer la fermeture de session

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93171
        STIG WS2016 V-73449
        CIS WS2019 17.5.3
        CIS WS2022 17.5.3
> = Réussite
(Audit)
Critique
Auditer l’ouverture de session
(CCE-38036-0)
Description :

Cette sous-catégorie rapporte lorsqu’un utilisateur a tenté de se connecter au système. Ces événements se produisent sur l’ordinateur utilisé. Pour les ouvertures de session interactives, la génération de ces événements se produit sur l’ordinateur à partir duquel la session est ouverte. Si une session réseau se produit pour accéder à un partage, ces événements sont générés sur l’ordinateur hébergeant la ressource accédée. Si vous configurez ce paramètre sur Pas d’audit, il est difficile voire impossible de déterminer l’utilisateur ayant accédé ou tenté d’accéder aux ordinateurs de l’entreprise. Les événements de cette sous-catégorie sont : - 4624 : un compte a été déconnecté avec succès. - 4625 : échec de connexion d’un compte. - 4648 : une connexion a été tentée à l’aide d’informations d’identification explicites. - 4675 : les SID ont été filtrés. L’état recommandé pour ce paramètre est : « Réussite et échec ».


Chemin de la clé : {0CCE9215-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Ouvrir/fermer la session\Auditer l’ouverture de session

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-92967
        STIG WS2016 V-73451
        CIS WS2019 17.5.4
        CIS WS2022 17.5.4
= Réussite et Échec
(Audit)
Critique
Auditer d’autres événements d’ouverture/fermeture de session
(CCE-36322-6)
Description : cette sous-catégorie signale d’autres événements liés à l’ouverture/fermeture de session, tels que la déconnexion et la reconnexion des services Terminal Server, l’utilisation de la fonction RunAs pour exécuter des processus sous un compte différent et le verrouillage et le déverrouillage d’une station de travail. Les événements de cette sous-catégorie sont notamment : - 4649 : une attaque par relecture a été détectée. — 4778 : une session a été reconnectée à une station Windows. — 4779 : une session a été déconnectée d’une station Windows. — 4800 : la station de travail a été verrouillée. — 4801 : la station de travail a été déverrouillée. — 4802 : l’économiseur d’écran a été appelé. — 4803 : l’économiseur d’écran a été masqué. — 5378 : la délégation des informations d’identification demandée n’a pas été autorisée par la stratégie. — 5632 : une requête a été effectuée pour s’authentifier auprès d’un réseau sans fil. — 5633 : une requête a été effectuée pour s’authentifier auprès d’un réseau filaire. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE921C-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Ouvrir/fermer la session\Auditer d’autres événements d’ouverture/fermeture de session
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.5.5
= Réussite et Échec
(Audit)
Critique
Auditer l’ouverture de session spéciale
(CCE-36266-5)
Description : cette sous-catégorie signale qu’une ouverture de session spéciale est utilisée. Une ouverture de session spéciale est une ouverture de session dotée de privilèges équivalents à un administrateur et pouvant être utilisée pour élever un processus à un niveau supérieur. Les événements de cette sous-catégorie sont les suivants :-4964 : des groupes spéciaux ont été attribués à une nouvelle ouverture de session. L’état recommandé pour ce paramètre est : Success.
Chemin de la clé : {0CCE921B-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Ouvrir/fermer la session\Auditer l’ouverture de session spéciale

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93161
        STIG WS2016 V-73455
        CIS WS2019 17.5.6
        CIS WS2022 17.5.6
> = Réussite
(Audit)
Critique

Stratégies d’audit système - Accès objet

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer le partage de fichiers détaillé
(AZ-WIN-00100)
Description : cette sous-catégorie vous permet d’auditer les tentatives d’accès aux fichiers et aux dossiers d’un dossier partagé. Les événements de cette sous-catégorie incluent : - 5145 : l’objet de partage réseau a été vérifié pour voir si le client peut obtenir l'accès souhaité. L’état recommandé pour ce paramètre consiste à inclure : Failure
Chemin de la clé : {0CCE9244-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès à l’objet\Auditer le partage de fichiers détaillé
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.6.1
        CIS WS2019 17.6.1
>= Échec
(Audit)
Critique
Auditer le partage de fichiers
(AZ-WIN-00102)
Description : ce paramètre de stratégie vous permet d’auditer les tentatives d’accès à un dossier partagé. L’état recommandé pour ce paramètre est : Success and Failure. Remarque : il n’existe pas de listes de contrôle d’accès système (SACL) pour les dossiers partagés. Si ce paramètre de stratégie est activé, l’accès à tous les dossiers partagés sur le système est audité.
Chemin de la clé : {0CCE9224-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès à l’objet\Auditer le partage de fichiers
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.6.2
        CIS WS2019 17.6.2
= Réussite et Échec
(Audit)
Critique
Auditer d’autres événements d’accès à l’objet
(AZ-WIN-00113)
Description : cette sous-catégorie signale d’autres événements liés à l’accès aux objets tels que les travaux de planificateur de tâches et les objets COM+. Les événements de cette sous-catégorie sont notamment : - 4671 : une application a tenté d’accéder à un ordinal bloqué via le TBS. — 4691 : l’accès indirect à un objet a été demandé. — 4698 : une tâche planifiée a été créée. — 4699 : une tâche planifiée a été supprimée. — 4700 : une tâche planifiée a été activée. — 4701 : une tâche planifiée a été désactivée. — 4702 : une tâche planifiée a été mise à jour. — 5888 : un objet dans le catalogue COM+ a été modifié. — 5889 : un objet a été supprimé du catalogue COM+. — 5890 : un objet a été ajouté au catalogue COM+. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9227-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès à l’objet\Auditer d’autres événements d’accès à l’objet
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.6.3
= Réussite et Échec
(Audit)
Critique
Auditer le stockage amovible
(CCE-37617-8)
Description : ce paramètre de stratégie vous permet d’auditer les tentatives des utilisateurs d’accéder aux objets du système de fichiers sur un périphérique de stockage amovible. Un événement d’audit de sécurité est généré seulement pour tous les objets de tous les types d’accès demandés. Si vous configurez ce paramètre de stratégie, un événement d’audit est généré chaque fois qu’un compte accède à un objet du système de fichiers sur un stockage amovible. Les audits de réussite enregistrent les tentatives réussies et les audits d’échec enregistrent les tentatives ayant échoué. Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré quand un compte accède à un objet du système de fichiers sur un stockage amovible. L’état recommandé pour ce paramètre est : Success and Failure. Remarque : Un système d’exploitation Windows 8, Server 2012 (non R2) ou version ultérieure est requis pour accéder à cette valeur et la définir dans une stratégie de groupe.
Chemin de la clé : {0CCE9245-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Accès à l’objet\Auditer le stockage amovible

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93167
        STIG WS2016 V-73457
        CIS WS2019 17.6.4
        CIS WS2022 17.6.4
= Réussite et Échec
(Audit)
Critique

Stratégies d’audit système - Modification de la stratégie

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer la modification de la stratégie d’authentification
(CCE-38327-3)
Description : cette sous-catégorie signale les modifications apportées à la stratégie d’authentification. Les événements de cette sous-catégorie sont notamment : - 4706 : une nouvelle approbation a été créée sur un domaine. — 4707 : une approbation sur un domaine a été supprimée. — 4713 : la stratégie Kerberos a été modifiée. — 4716 : les informations de domaine approuvé ont été modifiées. — 4717 : l’accès à la sécurité du système a été accordé à un compte. — 4718 : l’accès à la sécurité système a été supprimé d’un compte. — 4739 : la stratégie de domaine a été modifiée. — 4864 : une collision d’espace de noms a été détectée. — 4865 : une entrée d’informations de forêt approuvée a été ajoutée. — 4866 : une entrée d’informations de forêt approuvée a été supprimée. — 4867 : une entrée d’informations de forêt approuvée a été modifiée. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9230-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Changement de stratégie\Auditer la modification de la stratégie d’authentification
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.7.2
> = Réussite
(Audit)
Critique
Auditer la modification de la stratégie d’autorisation
(CCE-36320-0)
Description : cette sous-catégorie signale les modifications apportées à la stratégie d’autorisation. Les événements de cette sous-catégorie sont notamment : - 4704 : un droit d'utilisateur a été attribué. - 4705 : un droit d’utilisateur a été supprimé. - 4706 : une nouvelle approbation a été créée sur un domaine. - 4707 : une approbation sur un domaine a été supprimée. - 4714 : la stratégie de récupération de données chiffrée a été modifiée. L’état recommandé pour ce paramètre consiste à inclure : Success.
Chemin de la clé : {0CCE9231-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Changement de stratégie\Auditer la modification de la stratégie d’autorisation
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.7.3
        CIS WS2019 17.7.3
> = Réussite
(Audit)
Critique
Auditer la modification de la stratégie de niveau règle MPSSVC
(AZ-WIN-00111)
Description: cette sous-catégorie signale les modifications apportées aux règles de stratégie utilisées par le service de protection Microsoft (MPSSVC.exe). Ce service est utilisé par le pare-feu Windows et par Microsoft OneCare. Les événements de cette sous-catégorie sont les suivants : - 4944 : la stratégie suivante était active au démarrage du pare-feu Windows. — 4945 : une règle a été listée au démarrage du pare-feu Windows. — 4946 : une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été ajoutée. — 4947 : une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été modifiée. — 4948 : une modification a été apportée à la liste des exceptions du pare-feu Windows. Une règle a été supprimée. — 4949 : les paramètres du pare-feu Windows ont été rétablis aux valeurs par défaut. — 4950 : un paramètre de pare-feu Windows a changé. — 4951 : une règle a été ignorée, car son numéro de version principale n’a pas été reconnu par le pare-feu Windows. — 4952 : des parties d’une règle ont été ignorées, car son numéro de version mineure n’a pas été reconnu par le Pare-feu Windows. Les autres parties de la règle seront appliquées. — 4953 : une règle a été ignorée par le pare-feu Windows, car elle n’a pas pu analyser la règle. — 4954 : les paramètres de stratégie de groupe du Pare-feu Windows ont été modifiés. Les nouveaux paramètres ont été appliqués. — 4956 : le pare-feu Windows a modifié le profil actif. - 4957 : le pare-feu Windows n’a pas appliqué la règle suivante : - 4958 : le pare-feu Windows n’a pas appliqué la règle suivante, car la règle faisait référence à des éléments non configurés sur cet ordinateur : reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et 2008 Windows » pour connaître les informations les plus récentes sur ce paramètre : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9232-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Changement de stratégie\Auditer la modification de la stratégie de niveau règle MPSSVC
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.7.4
= Réussite et Échec
(Audit)
Critique
Auditer d’autres événements de modification de stratégie
(AZ-WIN-00114)
Description : cette sous-catégorie contient des événements sur les modifications de stratégie de l’Agent de récupération de données EFS, les modifications apportées au filtre de plateforme de filtrage Windows, l’état des mises à jour des paramètres de stratégie de sécurité pour les paramètres de stratégie de groupe locaux, les modifications de stratégie d’accès central et les événements de résolution des problèmes détaillés pour les opérations CNG (Chiffrement nouvelle génération). - 5063 : une opération de fournisseur de chiffrement a été tentée. - 5064 : une opération de contexte de chiffrement a été tentée. - 5065 : une modification de contexte de chiffrement a été tentée. - 5066 : une opération de fonction de chiffrement a été tentée. - 5067 : une modification d’opération de fonction de chiffrement a été tentée. - 5068 : une opération de fournisseur de fonction de chiffrement a été tentée. - 5069 : une opération de propriété de fonction de chiffrement a été tentée. - 5070 : une modification de propriété de fonction de chiffrement a été tentée. - 6145 : une ou plusieurs erreurs se sont produites lors du traitement de la stratégie de sécurité dans les objets de stratégie de groupe. L’état recommandé pour ce paramètre consiste à inclure : Failure.
Chemin de la clé : {0CCE9234-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Changement de stratégie\Auditer d’autres événements de modification de stratégie
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.7.5
        CIS WS2019 17.7.5
>= Échec
(Audit)
Critique
Auditer les modifications de stratégie
(CCE-38028-7)
Description : cette sous-catégorie signale les modifications apportées à la stratégie d’audit, y compris les modifications SACL. Les événements de cette sous-catégorie sont notamment : - 4715 : la stratégie d’audit (SACL) sur un objet a été modifiée. — 4719 : la stratégie d’audit du système a été modifiée. — 4902 : la table de stratégie d’audit par utilisateur a été créée. — 4904 : tentative d’inscription d’une source d’événement de sécurité. — 4905 : tentative de désinscription d’une source d’événement de sécurité. — 4906 : la valeur de CrashOnAuditFail a été modifiée. — 4907 : les paramètres d’audit sur l’objet ont été modifiés. — 4908 : la table de connexion des groupes spéciaux a été modifiée. — 4912 : la stratégie d’audit par utilisateur a été modifiée. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE922F-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Changement de stratégie\Auditer la modification de stratégie d’audit
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.7.1
> = Réussite
(Audit)
Critique

Stratégies d’audit système - Utilisation privilégiée

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer l’utilisation de privilèges sensibles
(CCE-36267-3)
Description : cette sous-catégorie signale qu’un compte d’utilisateur ou un service utilise un privilège sensible. Un privilège sensible comprend les droits d’utilisateur suivants : Agir en tant que partie du système d’exploitation, Sauvegarder les fichiers et les répertoires, Créer un objet-jeton, Déboguer des programmes, Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation, Générer des audits de sécurité, Emprunter l’identité d’un client après l’authentification, Charger et décharger des pilotes de périphériques, Gérer le journal d’audit et de sécurité, Modifier les valeurs de l’environnement du microprogramme, Remplacer un jeton de niveau processus, Restaurer les fichiers et répertoires et Prendre possession de fichiers ou d’autres objets. L’audit de cette sous-catégorie crée un volume élevé d’événements. Les événements de cette sous-catégorie sont notamment : - 4672 : privilèges spéciaux attribués à une nouvelle ouverture de session. — 4673 : un service privilégié a été appelé. — 4674 : une opération a été tentée sur un objet privilégié. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9228-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Success and Failure :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Utilisation des privilèges\Auditer l’utilisation de privilèges sensibles
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.8.1
= Réussite et Échec
(Audit)
Critique

Stratégies d’audit système - Système

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Auditer le pilote IPSEC
(CCE-37853-9)
Description : cette sous-catégorie signale les activités du pilote IPsec (sécurité du protocole Internet). Les événements de cette sous-catégorie incluent : - 4960 : IPsec a abandonné un paquet entrant qui a échoué à une vérification d'intégrité. Si ce problème persiste, il peut indiquer un problème réseau ou que les paquets sont modifiés en transit vers cet ordinateur. Vérifiez que les paquets envoyés à partir de l’ordinateur distant sont identiques à ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d’interopérabilité avec d’autres implémentations IPsec. - 4961 : IPsec a annulé un paquet entrant ayant échoué une vérification de relecture. Si ce problème persiste, il peut indiquer une attaque de relecture contre cet ordinateur. - 4962 : IPsec a annulé un paquet entrant ayant échoué une vérification de relecture. Le paquet entrant avait un nombre de séquences trop faible pour s’assurer qu’il n’était pas une relecture. - 4963 : IPsec a annulé un paquet de texte clair entrant qui aurait dû être sécurisé. Cela est généralement dû au changement de stratégie IPsec de l’ordinateur distant sans informer cet ordinateur. Cela peut également être une tentative d’attaque d’usurpation. - 4965 : IPsec a reçu un paquet d’un ordinateur distant avec un index de paramètre de sécurité (SPI) incorrect. Cela est généralement dû à un mauvais fonctionnement du matériel qui endommage les paquets. Si ces erreurs persistent, vérifiez que les paquets envoyés à partir de l’ordinateur distant sont identiques à ceux reçus par cet ordinateur. Cette erreur peut également indiquer des problèmes d’interopérabilité avec d’autres implémentations IPsec. Dans ce cas, si la connectivité n’est pas empêchée, ces événements peuvent être ignorés. - 5478 : IPsec Services a démarré avec succès. - 5479 : IPsec Services a été arrêté avec succès. L’arrêt d’IPsec Services peut mettre l’ordinateur à un risque plus élevé d’attaque réseau ou exposer l’ordinateur à des risques de sécurité potentiels. - 5480 : IPsec Services n’a pas pu obtenir la liste complète des interfaces réseau sur l’ordinateur. Cela pose un risque de sécurité potentiel, car certaines des interfaces réseau peuvent ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème. - 5483 : IPsec Services n’a pas pu initialiser le serveur RPC. IPsec Services n’a pas pu être démarré. - 5484 : IPsec Services a rencontré une défaillance critique et a été arrêté. L’arrêt d’IPsec Services peut mettre l’ordinateur à un risque plus élevé d’attaque réseau ou exposer l’ordinateur à des risques de sécurité potentiels. - 5485 : IPsec Services n’a pas pu traiter certains filtres IPsec sur un événement plug-and-play pour les interfaces réseau. Cela pose un risque de sécurité potentiel, car certaines des interfaces réseau peuvent ne pas obtenir la protection fournie par les filtres IPsec appliqués. Utilisez le composant logiciel enfichable Moniteur de sécurité IP pour diagnostiquer le problème. L’état recommandé pour ce paramètre est : Success and Failure.
Chemin de la clé : {0CCE9213-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Système\Auditer le pilote IPSEC
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.9.1
        CIS WS2019 17.9.1
>= Réussite et Échec
(Audit)
Critique
Auditer d’autres événements système
(CCE-38030-3)
Description : cette sous-catégorie signale d’autres événements système. Les événements de cette sous-catégorie incluent : - 5024 : le service Pare-feu Windows a démarré avec succès. - 5025 : le service Pare-feu Windows a été arrêté. - 5027 : le service Pare-feu Windows n’a pas réussi à récupérer la stratégie de sécurité du stockage local. Il va continuer à appliquer la stratégie active. - 5028 : le service Pare-feu Windows n’a pas réussi à analyser la nouvelle stratégie de sécurité. Il va continuer à appliquer la stratégie active. - 5029 : le service Pare-feu Windows n’a pas pu initialiser le lecteur. Il va continuer à appliquer la stratégie active. - 5030 : le démarrage du service Pare-feu Windows a échoué. - 5032 : le Pare-feu Windows n’a pas pu signaler à l’utilisateur qu’il a empêché une application d’accepter les connexions entrantes sur le réseau. - 5033 : le pilote du Pare-feu Windows est correctement démarré. - 5034 : le pilote du Pare-feu Windows a été arrêté. - 5035 F : le démarrage du pilote du Pare-feu Windows a échoué. - 5037 F : le pilote du Pare-feu Windows a détecté une erreur d’exécution critique. Arrêt en cours. - 5058 : opération de fichier de clé. - 5059 : opération de migration de clé. L’état recommandé pour ce paramètre est : Success and Failure.
Chemin de la clé : {0CCE9214-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Système\Auditer d’autres événements système
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 17.9.2
        CIS WS2019 17.9.2
= Réussite et Échec
(Audit)
Critique
Auditer la modification de l’état de la sécurité
(CCE-38114-5)
Description: cette sous-catégorie signale les modifications de l’état de sécurité du système, par exemple lorsque le sous-système de sécurité démarre et s’arrête. Les événements de cette sous-catégorie sont notamment : - 4608 : Windows démarre. — 4609 : arrêt de Windows. — 4616 : l’heure système a été modifiée. — 4621 : l’administrateur a récupéré le système à partir de CrashOnAuditFail. Les utilisateurs qui ne sont pas administrateurs sont désormais autorisés à se connecter. Certaines activités pouvant être auditées n’ont peut-être pas été enregistrées. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9210-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Système\Auditer la modification de l’état de la sécurité
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.9.3
> = Réussite
(Audit)
Critique
Auditer l’extension du système de sécurité
(CCE-36144-4)
Description : cette sous-catégorie signale le chargement du code d’extension, par exemple les packages d’authentification, par le sous-système de sécurité. Les événements de cette sous-catégorie sont notamment : - 4610 : un package d’authentification a été chargé par l’autorité de sécurité locale. — 4611 : un processus d’ouverture de session approuvé a été inscrit auprès de l’autorité de sécurité locale. — 4614 : un package de notification a été chargé par le gestionnaire de compte de sécurité. — 4622 : un package de sécurité a été chargé par l’autorité de sécurité locale. — 4697 : un service a été installé dans le système. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9211-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Success :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Système\Auditer l’extension du système de sécurité
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.9.4
> = Réussite
(Audit)
Critique
Auditer l’intégrité du système
(CCE-37132-8)
Description : cette sous-catégorie signale des violations de l’intégrité du sous-système de sécurité. Les événements de cette sous-catégorie sont les suivants : - 4612 : les ressources internes allouées à la mise en file d’attente des messages d’audit ont été épuisées, ce qui entraîne la perte de certains audits. — 4615 : utilisation non valide du port LPC. — 4618 : un modèle d’événement de sécurité supervisé s’est produit. — 4816 : RPC a détecté une violation d’intégrité lors du déchiffrement d’un message entrant. — 5038 : l’intégrité du code a déterminé que le hachage d’image d’un fichier n’est pas valide. Le fichier peut être endommagé en raison d’une modification non autorisée, ou le hachage non valide peut indiquer une erreur de périphérique de disque potentielle. — 5056 : un autotest de chiffrement a été effectué. — 5057 : une opération de primitive de chiffrement a échoué. — 5060 : échec de l’opération de vérification. — 5061 : opération de chiffrement. — 5062 : un autotest de chiffrement en mode noyau a été effectué. Pour obtenir les informations les plus récentes sur ce paramètre, reportez-vous à l’article de la base de connaissances Microsoft « Description des événements de sécurité dans Windows Vista et dans Windows Server 2008 » : https://support.microsoft.com/topic/ms16-014-description-of-the-security-update-for-windows-vista-windows-server-2008-windows-7-windows-server-2008-r2-windows-server-2012-windows-8-1-and-windows-server-2012-r2-february-9-2016-1ff344d3-cd1c-cdbd-15b4-9344c7a7e6bd.
Chemin de la clé : {0CCE9212-69AE-11D9-BED3-505054503030}
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur « Succès et échec : »
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Configuration avancée de la stratégie d’audit\Stratégies d’audit\Système\Auditer l’intégrité du système
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 17.9.5
= Réussite et Échec
(Audit)
Critique

Attribution des droits utilisateur

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Accéder au gestionnaire d’informations d’identification en tant qu’appelant approuvé
(CCE-37056-9)
Description : ce paramètre de sécurité est utilisé par le gestionnaire d’informations d’identification lors de la sauvegarde et de la restauration. Aucun compte ne doit avoir ce droit d’utilisateur, car il est uniquement affecté à Winlogon. Les informations d’identification enregistrées des utilisateurs peuvent être compromises si ce droit d’utilisateur est attribué à d’autres entités. L’état recommandé pour ce paramètre est : No One.
Chemin de la clé : [Privilege Rights]SeTrustedCredManAccessPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No One :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Accéder au gestionnaire d’informations d’identification en tant qu’appelant approuvé

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93049
        STIG WS2016 V-73729
        CIS WS2019 2.2.1
        CIS WS2022 2.2.1
= No one (« Aucune »)
(Stratégie)
Avertissement
Accéder à cet ordinateur à partir du réseau
(CCE-35818-4)
Description :

Ce paramètre de stratégie permet à d'autres utilisateurs du réseau de se connecter à l'ordinateur et est requis par divers protocoles réseau qui incluent les protocoles SMB (Server Message Block), NetBIOS, Common Internet File System (CIFS) et Component Object Model Plus (COM +). - Niveau 1 - Contrôleur de domaine. L'état recommandé pour ce paramètre est: « Administrateurs, Utilisateurs authentifiés, CONTRÔLEURS DE DOMAINE D'ENTREPRISE ». - Niveau 1 - Serveur membre. L'état recommandé pour ce paramètre est: « Administrateurs, utilisateurs authentifiés ».


Chemin de la clé : [Privilege Rights]SeNetworkLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, configurez le chemin d’IU suivant :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Accéder à cet ordinateur à partir du réseau

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-92995
        STIG WS2016 V-73731
        CIS WS2019 2.2.3
        CIS WS2022 2.2.3
<= Administrateurs, Utilisateurs authentifiés
(Stratégie)
Critique
Agir en tant que partie du système d'exploitation
(CCE-36876-1)
Description : ce paramètre de stratégie permet à un processus d’assumer l’identité d’un utilisateur et d’accéder ainsi aux ressources auxquelles l’utilisateur est autorisé à accéder. L’état recommandé pour ce paramètre est : No One.
Chemin de la clé : [Privilege Rights]SeTcbPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No One :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Agir en tant que partie du système d’exploitation

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93051
        STIG WS2016 V-73735
        CIS WS2019 2.2.4
        CIS WS2022 2.2.4
= No one (« Aucune »)
(Stratégie)
Critique
Permettre l’ouverture d’une session locale
(CCE-37659-0)
Description : ce paramètre de stratégie détermine les utilisateurs qui peuvent se connecter de manière interactive aux ordinateurs de votre environnement. Les ouvertures de session qui sont lancées en appuyant sur la combinaison de touches CTRL + ALT + SUPPR sur le clavier de l’ordinateur client nécessitent ce droit d’utilisateur. Les utilisateurs qui essaient de se connecter via les services Terminal Server ou IIS ont également besoin de ce droit d’utilisateur. Le compte invité reçoit ce droit d’utilisateur par défaut. Bien que ce compte soit désactivé par défaut, Microsoft vous recommande d’activer ce paramètre par le biais de stratégie de groupe. Toutefois, ce droit d’utilisateur doit généralement être limité aux groupes administrateurs et utilisateurs. Affectez ce droit d’utilisateur au groupe opérateurs de sauvegarde si votre organisation a besoin de cette fonctionnalité. Lors de la configuration d’un droit d’utilisateur dans SCM, entrez une liste de comptes séparés par des virgules. Les comptes peuvent être locaux ou situés dans Active Directory, cela peut être des groupes, des utilisateurs ou des ordinateurs.
Chemin de la clé : [Privilege Rights]SeInteractiveLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, configurez le chemin d’IU suivant :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Permettre l’ouverture d’une session locale
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.7
= Administrateurs
(Stratégie)
Critique
Autoriser l’ouverture de session par les services Bureau à distance
(CCE-37072-6)
Description :

Ce paramètre de stratégie détermine quels utilisateurs ou groupes ont le droit d'ouvrir une session en tant que client des services Terminal Server. Les utilisateurs de bureau à distance ont besoin de ce droit d'utilisateur. Si votre organisation utilise l'assistance à distance dans le cadre de sa stratégie de support technique, créez un groupe et attribuez-lui cet utilisateur directement via la stratégie de groupe. Si le service d'assistance de votre organisation n'utilise pas l'assistance à distance, attribuez ce droit d'utilisateur uniquement au groupe Administrateurs ou utilisez la fonctionnalité de groupes restreints pour vous assurer qu'aucun compte d'utilisateur ne fait partie du groupe Utilisateurs du Bureau à distance. Limitez ce droit d'utilisateur au groupe Administrateurs, et éventuellement au groupe Utilisateurs du Bureau à distance, pour empêcher les utilisateurs indésirables d'accéder aux ordinateurs de votre réseau au moyen de la fonction d'assistance à distance. - Niveau 1 - Contrôleur de domaine. L'état recommandé pour ce paramètre est: « Administrateurs ». - Niveau 1 - Serveur membre. L'état recommandé pour ce paramètre est: « Administrateurs, utilisateurs du Bureau à distance ». Remarque: Un serveur membre qui détient le rôle Services Bureau à distance avec le service de rôle Broker pour les connexions Bureau à distance nécessitera une exception spéciale à cette recommandation, pour permettre au groupe « Utilisateurs authentifiés » de se voir accorder ce droit d'utilisateur. Remarque 2 : Les listes ci-dessus doivent être traitées comme des listes d'autorisation, ce qui implique que les principaux ci-dessus n'ont pas besoin d'être présents pour que l'évaluation de cette recommandation soit acceptée.


Chemin de la clé : [Privilege Rights]SeRemoteInteractiveLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, configurez le chemin d’IU suivant :
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Autoriser l’ouverture de session par les services Bureau à distance

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-92997
        STIG WS2016 V-73741
        CIS WS2019 2.2.8
        CIS WS2022 2.2.8
        CIS WS2019 2.2.9
        CIS WS2022 2.2.9
<= Administrateurs, Utilisateurs Bureau à distance
(Stratégie)
Critique
Sauvegarder des fichiers et des répertoires
(CCE-35912-5)
Description : ce paramètre de stratégie permet aux utilisateurs de contourner les autorisations de fichiers et de répertoires pour sauvegarder le système. Ce droit d’utilisateur est activé uniquement quand une application (telle que NTBACKUP) tente d’accéder à un fichier ou à un répertoire par le biais de l’interface de programmation d’applications (API) de sauvegarde du système de fichiers NTFS. Dans le cas contraire, les autorisations de fichier et de répertoire affectées s’appliquent. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeBackupPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators.
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Sauvegarder des fichiers et des répertoires

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93053
        STIG WS2016 V-73743
        CIS WS2019 2.2.10
        CIS WS2022 2.2.10
<= Administrateurs, Opérateurs de sauvegarde, Opérateurs de serveur
(Stratégie)
Critique
Contourner la vérification de parcours
(AZ-WIN-00184)
Description : ce paramètre de stratégie permet aux utilisateurs qui ne disposent pas de l’autorisation d’accès Parcourir le dossier d’accéder aux dossiers lorsqu’ils parcourent un chemin d’accès d’objet dans le système de fichiers NTFS ou dans le registre. Ce droit d’utilisateur ne permet pas aux utilisateurs de répertorier le contenu d’un dossier. Lors de la configuration d’un droit d’utilisateur dans SCM, entrez une liste de comptes séparés par des virgules. Les comptes peuvent être locaux ou situés dans Active Directory, cela peut être des groupes, des utilisateurs ou des ordinateurs.
Chemin de la clé : [Privilege Rights]SeChangeNotifyPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : configurez la valeur de stratégie Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Contourner la vérification de parcours pour inclure uniquement les comptes ou groupes suivants : Administrators, Authenticated Users, Backup Operators, Local Service, Network Service
Correspondance des standards de conformité :
<= Administrateurs, Utilisateurs authentifiés, Opérateurs de sauvegarde, Service local, Service réseau
(Stratégie)
Critique
Modifier l’heure système
(CCE-37452-0)
Description : ce paramètre de stratégie détermine les utilisateurs et les groupes qui peuvent modifier la date et l’heure de l’horloge interne des ordinateurs de votre environnement. Les utilisateurs qui sont affectés à ce droit d’utilisateur peuvent affecter l’apparence des journaux des événements. Lorsque le paramètre d’heure d’un ordinateur est modifié, les événements journalisés reflètent la nouvelle heure, et non l’heure réelle à laquelle les événements se sont produits. Lors de la configuration d’un droit d’utilisateur dans SCM, entrez une liste de comptes séparés par des virgules. Les comptes peuvent être locaux ou situés dans Active Directory, cela peut être des groupes, des utilisateurs ou des ordinateurs. Remarque : Les différences entre l’heure sur l’ordinateur local et sur les contrôleurs de domaine dans votre environnement peuvent entraîner des problèmes pour le protocole d’authentification Kerberos, ce qui peut empêcher les utilisateurs de se connecter au domaine ou d’obtenir l’autorisation d’accéder aux ressources de domaine une fois qu’ils ont ouvert une session. En outre, des problèmes se produisent lorsque stratégie de groupe est appliqué aux ordinateurs clients si l’heure système n’est pas synchronisée avec les contrôleurs de domaine. L’état recommandé pour ce paramètre est : Administrators, LOCAL SERVICE.
Chemin de la clé : [Privilege Rights]SeSystemtimePrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators, LOCAL SERVICE :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Modifier l’heure système

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.11
        CIS WS2022 2.2.11
<= Administrateurs, Opérateurs de serveur, SERVICE LOCAL
(Stratégie)
Critique
Changer le fuseau horaire
(CCE-37700-2)
Description : ce paramètre détermine les utilisateurs qui peuvent modifier le fuseau horaire de l’ordinateur. Cette capacité ne présente aucun risque pour l’ordinateur et peut être utile pour les travailleurs mobiles. L’état recommandé pour ce paramètre est : Administrators, LOCAL SERVICE.
Chemin de la clé : [Privilege Rights]SeTimeZonePrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators, LOCAL SERVICE :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Changer le fuseau horaire

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.12
        CIS WS2022 2.2.12
<= Administrateurs, SERVICE LOCAL
(Stratégie)
Critique
Créer un fichier d’échange
(CCE-35821-8)
Description : ce paramètre de stratégie permet aux utilisateurs de modifier la taille du fichier d’échange. En rendant le fichier d’échange extrêmement volumineux ou très petit, un attaquant pourrait facilement affecter les performances d’un ordinateur compromis. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeCreatePagefilePrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Créer un fichier d’échange

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93055
        STIG WS2016 V-73745
        CIS WS2019 2.2.13
        CIS WS2022 2.2.13
= Administrateurs
(Stratégie)
Critique
Créer un objet-jeton
(CCE-36861-3)
Description : ce paramètre de stratégie permet à un processus de créer un jeton d’accès, qui peut fournir des droits élevés pour accéder à des données sensibles. L’état recommandé pour ce paramètre est : No One.
Chemin de la clé : [Privilege Rights]SeCreateTokenPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No One :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Créer un objet-jeton

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93057
        STIG WS2016 V-73747
        CIS WS2019 2.2.14
        CIS WS2022 2.2.14
= No one (« Aucune »)
(Stratégie)
Avertissement
Créer des objets globaux
(CCE-37453-8)
Description : ce paramètre de stratégie détermine si les utilisateurs peuvent créer des objets globaux qui sont disponibles pour toutes les sessions. Les utilisateurs peuvent toujours créer des objets spécifiques à leur propre session s’ils ne disposent pas de ce droit d’utilisateur. Les utilisateurs qui peuvent créer des objets globaux peuvent affecter les processus qui s’exécutent dans les sessions d’autres utilisateurs. Cette fonctionnalité peut entraîner de nombreux problèmes, tels que l’échec de l’application ou l’altération des données. L’état recommandé pour ce paramètre est : Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Remarque : Un serveur membre avec Microsoft SQL Server et son composant facultatif « Integration Services » requièrent une exception spéciale à cette recommandation pour que d’autres entrées générées par SQL reçoivent ce droit d’utilisateur.
Chemin de la clé : [Privilege Rights]SeCreateGlobalPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Créer des objets globaux

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93059
        STIG WS2016 V-73749
        CIS WS2019 2.2.15
        CIS WS2022 2.2.15
<= Administrateurs, SERVICE, SERVICE LOCAL, SERVICE RÉSEAU
(Stratégie)
Avertissement
Créer des objets partagés permanents
(CCE-36532-0)
Description: ce droit d’utilisateur est utile pour les composants en mode noyau qui étendent l’espace de noms d’objet. Toutefois, les composants qui s’exécutent en mode noyau disposent de ce droit d’utilisateur par nature. Par conséquent, il n’est généralement pas nécessaire d’attribuer spécifiquement ce droit d’utilisateur. L’état recommandé pour ce paramètre est : No One.
Chemin de la clé : [Privilege Rights]SeCreatePermanentPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No One :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Créer des objets partagés permanents

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93061
        STIG WS2016 V-73751
        CIS WS2019 2.2.16
        CIS WS2022 2.2.16
= No one (« Aucune »)
(Stratégie)
Avertissement
Créer des liens symboliques
(CCE-35823-4)
Description :

Ce paramètre de stratégie détermine quels utilisateurs peuvent créer des liens symboliques. Dans Windows Vista, les objets du système de fichiers NTFS existants, tels que les fichiers et les dossiers, sont accessibles en faisant référence à un nouveau type d'objet de système de fichiers appelé lien symbolique. Un lien symbolique est un pointeur (un peu comme un raccourci ou un fichier .lnk) vers un autre objet du système de fichiers, qui peut être un fichier, un dossier, un raccourci ou un autre lien symbolique. La différence entre un raccourci et un lien symbolique est qu'un raccourci ne fonctionne qu'à partir du shell Windows. Pour d'autres programmes et applications, les raccourcis ne sont qu'un autre fichier, alors qu'avec les liens symboliques, le concept de raccourci est implémenté en tant que fonctionnalité du système de fichiers NTFS. Les liens symboliques peuvent potentiellement exposer des vulnérabilités de sécurité dans les applications qui ne sont pas conçues pour les utiliser. Pour cette raison, le privilège de création de liens symboliques ne doit être attribué qu'aux utilisateurs de confiance. Par défaut, seuls des administrateurs peuvent créer des liens symboliques. - Niveau 1 - Contrôleur de domaine. L'état recommandé pour ce paramètre est: « Administrateurs ». - Niveau 1 - Serveur membre. L'état recommandé pour ce paramètre est: « Administrateurs » et (lorsque le rôle Hyper-V est installé) « NT VIRTUAL MACHINE\Virtual Machines ».


Chemin de la clé : [Privilege Rights]SeCreateSymbolicLinkPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour implémenter l’état de configuration recommandé, configurez le chemin d’IU suivant :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Créer des liens symboliques

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93063
        STIG WS2016 V-73753
        CIS WS2019 2.2.17
        CIS WS2022 2.2.17
        CIS WS2019 2.2.18
        CIS WS2022 2.2.18
<= Administrateurs, NT VIRTUAL MACHINE\Virtual Machines
(Stratégie)
Critique
Déboguer les programmes
(AZ-WIN-73755)
Description : ce paramètre de stratégie détermine les comptes d’utilisateur qui auront le droit d’attacher un débogueur à n’importe quel processus ou au noyau, qui fournit un accès complet aux composants sensibles et critiques du système d’exploitation. Les développeurs qui déboguent leurs propres applications n’ont pas besoin d’être affectés à ce droit utilisateur. Toutefois, les développeurs qui déboguent de nouveaux composants système en ont besoin. L’état recommandé pour ce paramètre est : Administrators. Remarque : ce droit d’utilisateur est considéré comme un « privilège sensible » à des fins d’audit.
Chemin de la clé : [Privilege Rights]SeDebugPrivilege
Système d’exploitation : WS2016, WS2019
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Déboguer les programmes
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.2.19
        CIS WS2019 2.2.19
= Administrateurs
(Stratégie)
Critique
Refuser l'accès à cet ordinateur à partir du réseau
(CCE-37954-5)
Description :

Ce paramètre de stratégie interdit aux utilisateurs de se connecter à un ordinateur à partir du réseau, ce qui permettrait aux utilisateurs d'accéder et éventuellement de modifier les données à distance. Dans les environnements à haute sécurité, les utilisateurs distants ne devraient pas avoir besoin d'accéder aux données sur un ordinateur. Au lieu de cela, le partage de fichiers doit être réalisé via l'utilisation de serveurs réseau. - Niveau 1 - Contrôleur de domaine. L'état recommandé pour ce paramètre est d'inclure: « Invités, compte local ». - Niveau 1 - Serveur membre. L'état recommandé pour ce paramètre est d'inclure: « Invités, compte local et membre du groupe Administrateurs ». Attention : La configuration d’un serveur autonome (non joint à un domaine) comme décrit ci-dessus peut entraîner l’impossibilité d’administrer le serveur à distance. Remarque : la configuration d'un serveur membre ou d'un serveur autonome comme décrit ci-dessus peut avoir un impact négatif sur les applications qui créent un compte de service local et le placent dans le groupe Administrateurs - auquel cas vous devez soit convertir l'application pour utiliser un compte de service hébergé dans le domaine, soit supprimer le compte local et membre du groupe Administrateurs de cette attribution de droits d'utilisateur. Il est fortement préférable d'utiliser un compte de service hébergé sur un domaine plutôt que de faire une exception à cette règle, lorsque cela est possible.


Chemin de la clé : [Privilege Rights]SeDenyNetworkLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, configurez le chemin d’IU suivant :
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Interdire l’accès à cet ordinateur à partir du réseau

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-92999
        STIG WS2016 V-73757
        CIS WS2019 2.2.20
        CIS WS2022 2.2.20
        CIS WS2019 2.2.21
        CIS WS2022 2.2.21
> = Invités
(Stratégie)
Critique
Interdire l’ouverture de session en tant que tâche
(CCE-36923-1)
Description : ce paramètre de stratégie détermine les comptes qui ne seront pas en mesure de se connecter à l’ordinateur en tant que traitement par lots. Un traitement par lots n’est pas un fichier de commandes (. bat), mais plutôt une fonction de file d’attente de traitement par lots. Les comptes qui utilisent le Planificateur de tâches pour planifier des travaux ont besoin de ce droit d’utilisateur. Le droit d’utilisateur Interdire l’ouverture de session en tant que traitement par lots remplace le droit d’utilisateur Ouvrir une session en tant que tâche, qui peut être utilisé pour permettre aux comptes de planifier des tâches qui consomment des ressources système excessives. Une telle occurrence peut entraîner une condition DoS. Si vous n’affectez pas ce droit d’utilisateur aux comptes recommandés, il peut s’agir d’un risque pour la sécurité. L’état recommandé pour ce paramètre consiste à inclure : Guests.
Chemin de la clé : [Privilege Rights]SeDenyBatchLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Guests :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Interdire l’ouverture de session en tant que tâche

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93001
        STIG WS2016 V-73761
        CIS WS2019 2.2.22
        CIS WS2022 2.2.22
> = Invités
(Stratégie)
Critique
Interdire l’ouverture de session en tant que service
(CCE-36877-9)
Description : ce paramètre de sécurité détermine les comptes de service qui ne peuvent pas inscrire un processus en tant que service. Ce paramètre de stratégie remplace le paramètre de stratégie Ouvrir une session en tant que service si un compte est soumis aux deux stratégies. L’état recommandé pour ce paramètre consiste à inclure : Guests. Remarque : ce paramètre de sécurité ne s’applique pas aux comptes système, service local ou service réseau.
Chemin de la clé : [Privilege Rights]SeDenyServiceLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Guests :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Interdire l’ouverture de session en tant que service

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93003
        STIG WS2016 V-73765
        CIS WS2019 2.2.23
        CIS WS2022 2.2.23
> = Invités
(Stratégie)
Critique
Interdire l’ouverture d’une session locale
(CCE-37146-8)
Description : ce paramètre de sécurité détermine les utilisateurs qui ne peuvent pas ouvrir de session sur l’ordinateur. Ce paramètre de stratégie remplace le paramètre de stratégie Permettre l’ouverture d’une session locale si un compte est soumis aux deux stratégies. Important : si vous appliquez cette stratégie de sécurité au groupe tout le monde, personne n’est en mesure d’ouvrir une session locale. L’état recommandé pour ce paramètre consiste à inclure : Guests.
Chemin de la clé : [Privilege Rights]SeDenyInteractiveLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant pour qu’il inclue Guests :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Interdire l’ouverture d’une session locale

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93017
        STIG WS2016 V-73739
        CIS WS2019 2.2.24
        CIS WS2022 2.2.24
> = Invités
(Stratégie)
Critique
Interdire l’ouverture de session par les services Bureau à distance
(CCE-36867-0)
Description : ce paramètre de stratégie détermine si les utilisateurs peuvent se connecter en tant que clients des services Terminal. Une fois que le serveur membre de base de référence est joint à un environnement de domaine, il n’est pas nécessaire d’utiliser des comptes locaux pour accéder au serveur à partir du réseau. Les comptes de domaine peuvent accéder au serveur pour l’administration et le traitement de l’utilisateur final. L’état recommandé pour ce paramètre consiste à inclure : Guests, Local account. Attention : La configuration d’un serveur autonome (non joint à un domaine) comme décrit ci-dessus peut entraîner l’impossibilité d’administrer le serveur à distance.
Chemin de la clé : [Privilege Rights]SeDenyRemoteInteractiveLogonRight
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre du groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, configurez le chemin d’IU suivant :
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Interdire l’ouverture de session par les services Bureau à distance
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.26
> = Invités
(Stratégie)
Critique
Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation
(CCE-36860-5)
Description :

Ce paramètre de stratégie permet aux utilisateurs de modifier le paramètre Approuvé pour la délégation sur un objet ordinateur dans Active Directory. L'abus de ce privilège pourrait permettre à des utilisateurs non autorisés de se faire passer pour d'autres utilisateurs sur le réseau. - Niveau 1 - Contrôleur de domaine. L'état recommandé pour ce paramètre est : « Administrateurs » - Niveau 1 - Serveur membre. L’état recommandé pour ce paramètre est : « Aucun ».


Chemin de la clé : [Privilege Rights]SeEnableDelegationPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, configurez le chemin d’IU suivant :
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Permettre à l’ordinateur et aux comptes d’utilisateurs d’être approuvés pour la délégation

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93041
        STIG WS2016 V-73777
        CIS WS2019 2.2.28
        CIS WS2022 2.2.28
= No one (« Aucune »)
(Stratégie)
Critique
Forcer l’arrêt à partir d’un système distant
(CCE-37877-8)
Description : ce paramètre de stratégie permet aux utilisateurs d’arrêter des ordinateurs Windows Vista à partir d’emplacements distants sur le réseau. Toute personne disposant de ce droit d’utilisateur peut provoquer une condition de déni de service (DoS) qui rendrait l’ordinateur indisponible pour traiter les demandes des utilisateurs. Par conséquent, il est recommandé d’attribuer ce droit d’utilisateur aux administrateurs ayant un niveau de confiance élevé. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeRemoteShutdownPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Forcer l’arrêt à partir d’un système distant

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93067
        STIG WS2016 V-73781
        CIS WS2019 2.2.29
        CIS WS2022 2.2.29
= Administrateurs
(Stratégie)
Critique
Générer des audits de sécurité
(CCE-37639-2)
Description : ce paramètre de stratégie détermine les utilisateurs ou les processus qui peuvent générer des enregistrements d’audit dans le journal de sécurité. L’état recommandé pour ce paramètre est : LOCAL SERVICE, NETWORK SERVICE. Remarque : un serveur membre qui détient le rôle de serveur Web (IIS) avec le service de rôle serveur Web requiert une exception spéciale à cette recommandation, afin d’autoriser le ou les pools d’applications IIS à obtenir ce droit d’utilisateur. Remarque 2 : un serveur membre qui détient le rôle de services de fédération Active Directory (AD FS) nécessitera une exception spéciale à cette recommandation, pour autoriser les services NT SERVICE\ADFSSrv et NT SERVICE\DRS, ainsi que le compte de service de services de fédération Active Directory (AD FS) associé, à bénéficier de ce droit d’utilisateur.
Chemin de la clé : [Privilege Rights]SeAuditPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur LOCAL SERVICE, NETWORK SERVICE :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Générer des audits de sécurité

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93069
        STIG WS2016 V-73783
        CIS WS2019 2.2.30
        CIS WS2022 2.2.30
<= Service local, Service réseau, APPPOOL\DefaultAppPool IIS
(Stratégie)
Critique
Augmenter une plage de travail de processus
(AZ-WIN-00185)
Description : ce privilège détermine les comptes d’utilisateur qui peuvent augmenter ou diminuer la taille de la plage de travail d’un processus. La plage de travail d’un processus correspond à l’ensemble de pages mémoire actuellement visible pour le processus dans la mémoire RAM physique. Ces pages résident et peuvent être utilisées par une application sans déclencher de défaillance de page. Les tailles de plage de travail minimale et maximale affectent le comportement de pagination de la mémoire virtuelle d’un processus. Lors de la configuration d’un droit d’utilisateur dans SCM, entrez une liste de comptes séparés par des virgules. Les comptes peuvent être locaux ou situés dans Active Directory, cela peut être des groupes, des utilisateurs ou des ordinateurs.
Chemin de la clé : [Privilege Rights]SeIncreaseWorkingSetPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Augmenter une plage de travail de processus
Correspondance des standards de conformité :
<= Administrateurs, Service local
(Stratégie)
Avertissement
Augmenter la priorité de planification
(CCE-38326-5)
Description : ce paramètre de stratégie détermine si les utilisateurs peuvent augmenter la classe de priorité de base d’un processus. (Il ne s’agit pas d’une opération privilégiée pour augmenter la priorité relative dans une classe de priorité.) Ce droit d’utilisateur n’est pas requis par les outils d’administration fournis avec le système d’exploitation, mais peut être requis par les outils de développement logiciel. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeIncreaseBasePriorityPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators, Window Manager\Window Manager Group :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Augmenter la priorité de planification

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93073
        STIG WS2016 V-73787
        CIS WS2019 2.2.33
        CIS WS2022 2.2.33
= Administrateurs
(Stratégie)
Avertissement
Charger et décharger les pilotes de périphériques
(CCE-36318-4)
Description : ce paramètre de stratégie permet aux utilisateurs de charger dynamiquement un nouveau pilote de périphérique sur un système. Une personne malveillante peut potentiellement utiliser cette fonction pour installer du code malveillant qui semble être un pilote de périphérique. Ce droit d’utilisateur est requis pour que les utilisateurs puissent ajouter des imprimantes locales ou des pilotes d’imprimantes dans Windows Vista. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeLoadDriverPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Charger et décharger les pilotes de périphériques

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93075
        STIG WS2016 V-73789
        CIS WS2019 2.2.34
        CIS WS2022 2.2.34
<= Administrateurs, Opérateurs d’impression
(Stratégie)
Avertissement
Verrouillage des pages en mémoire
(CCE-36495-0)
Description : ce paramètre de stratégie autorise un processus à conserver les données en mémoire physique pour éviter leur pagination en mémoire virtuelle sur le disque. Si ce droit d’utilisateur est affecté, une dégradation significative des performances du système peut se produire. L’état recommandé pour ce paramètre est : No One.
Chemin de la clé : [Privilege Rights]SeLockMemoryPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No One :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Verrouillage des pages en mémoire

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93077
        STIG WS2016 V-73791
        CIS WS2019 2.2.35
        CIS WS2022 2.2.35
= No one (« Aucune »)
(Stratégie)
Avertissement
Gérer le journal d'audit et de sécurité
(CCE-35906-7)
Description :

Ce paramètre de stratégie détermine quels utilisateurs peuvent modifier les options d'audit des fichiers et des répertoires et effacer le journal de sécurité. Pour les environnements exécutant Microsoft Exchange Server, le groupe « Serveurs Exchange » doit posséder ce privilège sur les contrôleurs de domaine pour fonctionner correctement. Compte tenu de cela, les contrôleurs de domaine accordant au groupe « Serveurs Exchange » ce privilège sont conformes à cette référence. Si l'environnement n'utilise pas Microsoft Exchange Server, ce privilège doit être limité aux seuls « administrateurs » sur les contrôleurs de domaine. - Niveau 1 - Contrôleur de domaine. L'état recommandé pour ce paramètre est: «Administrateurs et (lorsque Exchange est en cours d'exécution dans l'environnement) « Serveurs Exchange ». - Niveau 1 - Serveur membre. L'état recommandé pour ce paramètre est : «Administrateurs».


Chemin de la clé : [Privilege Rights]SeSecurityPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, configurez le chemin d’IU suivant :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Gérer le journal d’audit et de sécurité

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93197
        STIG WS2016 V-73793
        CIS WS2019 2.2.37
        CIS WS2022 2.2.37
        CIS WS2019 2.2.38
        CIS WS2022 2.2.38
= Administrateurs
(Stratégie)
Critique
Modifier un nom d’objet
(CCE-36054-5)
Description : ce privilège détermine les comptes d’utilisateur qui peuvent modifier l’étiquette d’intégrité des objets, tels que les fichiers, les clés de registre ou les processus appartenant à d’autres utilisateurs. Les processus qui s’exécutent sous un compte d’utilisateur peuvent modifier l’étiquette d’un objet détenu par cet utilisateur à un niveau inférieur sans ce privilège. L’état recommandé pour ce paramètre est : No One.
Chemin de la clé : [Privilege Rights]SeRelabelPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur No One :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Modifier un nom d’objet

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.39
        CIS WS2022 2.2.39
= No one (« Aucune »)
(Stratégie)
Avertissement
Modifier les valeurs de l’environnement du microprogramme
(CCE-38113-7)
Description : ce paramètre de stratégie permet aux utilisateurs de configurer les variables d’environnement à l’ensemble du système qui affectent la configuration matérielle. Ces informations sont généralement stockées dans la dernière bonne configuration connue. La modification de ces valeurs et peut entraîner une défaillance matérielle qui entraînerait une condition de déni de service. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeSystemEnvironmentPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Modifier les valeurs de l’environnement du microprogramme

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93079
        STIG WS2016 V-73795
        CIS WS2019 2.2.40
        CIS WS2022 2.2.40
= Administrateurs
(Stratégie)
Avertissement
Effectuer les tâches de maintenance de volume
(CCE-36143-6)
Description : ce paramètre de stratégie permet aux utilisateurs de gérer la configuration du volume ou du disque du système, ce qui peut permettre à un utilisateur de supprimer un volume et de provoquer une perte de données, ainsi qu’une condition de déni de service. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeManageVolumePrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Effectuer les tâches de maintenance de volume

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93081
        STIG WS2016 V-73797
        CIS WS2019 2.2.41
        CIS WS2022 2.2.41
= Administrateurs
(Stratégie)
Avertissement
Processus unique du profil
(CCE-37131-0)
Description : ce paramètre de stratégie détermine les utilisateurs qui peuvent utiliser des outils pour surveiller les performances des processus non-système. En règle générale, vous n’avez pas besoin de configurer ce droit d’utilisateur pour utiliser le composant logiciel enfichable performances de la console MMC (Microsoft Management Console). Toutefois, vous avez besoin de ce droit d’utilisateur si le moniteur système est configuré pour collecter des données à l’aide de Windows Management Instrumentation (WMI). Le fait de restreindre le profil du droit d’utilisateur de processus unique empêche les attaquants d’obtenir des informations supplémentaires qui pourraient être utilisées pour monter une attaque sur le système. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeProfileSingleProcessPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Processus unique du profil

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93083
        STIG WS2016 V-73799
        CIS WS2019 2.2.42
        CIS WS2022 2.2.42
= Administrateurs
(Stratégie)
Avertissement
Performance système du profil
(CCE-36052-9)
Description : ce paramètre de stratégie permet aux utilisateurs d’utiliser des outils pour afficher les performances de différents processus système, ce qui peut être utilisé de façon abusive pour permettre aux attaquants de déterminer les processus actifs d’un système et d’obtenir des informations sur la surface d’attaque potentielle de l’ordinateur. L’état recommandé pour ce paramètre est : Administrators, NT SERVICE\WdiServiceHost.
Chemin de la clé : [Privilege Rights]SeSystemProfilePrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators, NT SERVICE\WdiServiceHost :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Performance système du profil

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.43
        CIS WS2022 2.2.43
<= Administrateurs, NT SERVICE\WdiServiceHost
(Stratégie)
Avertissement
Remplacer un jeton de niveau processus
(CCE-37430-6)
Description : ce paramètre de stratégie permet à un processus ou à un service de démarrer un autre service ou processus avec un jeton d’accès de sécurité différent, qui peut être utilisé pour modifier le jeton d’accès de sécurité de ce sous-processus et aboutir à la remontée des privilèges. L’état recommandé pour ce paramètre est : LOCAL SERVICE, NETWORK SERVICE. Remarque : un serveur membre qui détient le rôle de serveur Web (IIS) avec le service de rôle serveur Web requiert une exception spéciale à cette recommandation, afin d’autoriser le ou les pools d’applications IIS à obtenir ce droit d’utilisateur. Remarque 2 : Un serveur membre avec Microsoft SQL Server requièrent une exception spéciale à cette recommandation pour que d’autres entrées générées par SQL reçoivent ce droit d’utilisateur.
Chemin de la clé : [Privilege Rights]SeAssignPrimaryTokenPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur LOCAL SERVICE, NETWORK SERVICE :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Remplacer un jeton de niveau processus

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.44
        CIS WS2022 2.2.44
<= SERVICE LOCAL, SERVICE RÉSEAU
(Stratégie)
Avertissement
Restaurer des fichiers et des répertoires
(CCE-37613-7)
Description: ce paramètre de stratégie détermine quels utilisateurs peuvent contourner les autorisations de fichier, de répertoire, de registre et d’autres objets persistants lors de la restauration de fichiers et de répertoires sauvegardés sur des ordinateurs qui exécutent Windows Vista dans votre environnement. Ce droit d’utilisateur détermine également quels utilisateurs peuvent définir des principaux de sécurité valides en tant que propriétaires d’objets. Il est similaire au droit d’utilisateur Sauvegarder les fichiers et répertoires. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeRestorePrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Restaurer des fichiers et des répertoires
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.45
<= Administrateurs, Opérateurs de sauvegarde
(Stratégie)
Avertissement
Arrêter le système
(CCE-38328-1)
Description : ce paramètre de stratégie détermine les utilisateurs qui se connectent localement aux ordinateurs de votre environnement peuvent arrêter le système d’exploitation à l’aide de la commande Arrêter. Une utilisation incorrecte de ce droit d’utilisateur peut entraîner une situation de déni de service. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeShutdownPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Arrêter le système

Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 2.2.46
        CIS WS2022 2.2.46
<= Administrateurs, Opérateurs de sauvegarde
(Stratégie)
Avertissement
Prendre possession de fichiers ou d’autres objets
(CCE-38325-7)
Description : ce paramètre de stratégie permet aux utilisateurs de prendre possession de fichiers, dossiers, clés de registre, processus ou threads. Ce droit d’utilisateur contourne les autorisations en place pour protéger les objets afin d’accorder la propriété à l’utilisateur spécifié. L’état recommandé pour ce paramètre est : Administrators.
Chemin de la clé : [Privilege Rights]SeTakeOwnershipPrivilege
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Administrators :
Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Prendre possession de fichiers ou d’autres objets

Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93087
        STIG WS2016 V-73803
        CIS WS2019 2.2.48
        CIS WS2022 2.2.48
= Administrateurs
(Stratégie)
Critique
Le droit utilisateur Emprunt l’identité d’un client après l’authentification doit être attribué seulement à Administrateurs, Service, Service local et Service réseau.
(AZ-WIN-73785)
Description : le paramètre de stratégie permet aux programmes s’exécutant pour le compte d’un utilisateur d’emprunter l’identité de cet utilisateur (ou d’un autre compte spécifié) afin qu’ils puissent agir au nom de l’utilisateur. Si ce droit d’utilisateur est requis pour ce type d’emprunt d’identité, un utilisateur non autorisé ne pourra pas convaincre un client de se connecter, par exemple, par appel de procédure distante (RPC) ou canaux nommés à un service qu’il a créé pour emprunter l’identité de ce client, ce qui peut élever les autorisations de l’utilisateur non autorisé à des niveaux administratifs ou système. Les services démarrés par le Gestionnaire de contrôle des services ont le groupe de services intégré ajouté par défaut à leurs jetons d’accès. Les serveurs COM démarrés par l’infrastructure COM et configurés pour s’exécuter sous un compte spécifique ont également ajouté le groupe de services à leurs jetons d’accès. Par conséquent, ces processus se voient attribuer ce droit d’utilisateur lorsqu’ils sont démarrés. En outre, un utilisateur peut emprunter l’identité d’un jeton d’accès si l’une des conditions suivantes existe : - Le jeton d’accès en cours d’emprunt d’identité est pour cet utilisateur. - L’utilisateur, dans cette session d’ouverture de session, s’est connecté au réseau avec des informations d’identification explicites pour créer le jeton d’accès. - Le niveau demandé est inférieur à l’emprunt d’identité, tel que Anonyme ou Identification. Un attaquant disposant du droit d'utilisateur Emprunter l’identité d'un client après authentification peut créer un service, tromper un client pour qu'il se connecte au service, puis emprunter l'identité de ce client pour élever le niveau d'accès de l'attaquant à celui du client. L’état recommandé pour ce paramètre est : Administrators, LOCAL SERVICE, NETWORK SERVICE, SERVICE. Remarque : ce droit d’utilisateur est considéré comme un « privilège sensible » à des fins d’audit. Remarque 2 : Un serveur membre avec Microsoft SQL Server et son composant facultatif « Integration Services » requiert une exception spéciale à cette recommandation pour que d’autres entrées générées par SQL reçoivent ce droit d’utilisateur.
Chemin de la clé : [Privilege Rights]SeImpersonatePrivilege
Système d’exploitation : WS2016, WS2019
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Emprunter l’identité d’un client après l’authentification
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.2.31
        CIS WS2019 2.2.31
<= Administrateurs, Service, Service local, Service réseau
(Stratégie)
Important

Composants Windows

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Autoriser l’authentification de base
(CCE-36254-1)
Description : ce paramètre de stratégie vous permet de spécifier si le service Windows Remote Management (WinRM) accepte l’authentification de base à partir d’un client distant. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowBasic
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Gestion à distance de Windows (WinRM)\Service WinRM\Autoriser l’authentification de base
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe WindowsRemoteManagement.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93507
        STIG WS2016 V-73599
        CIS WS2019 18.9.102.1.1
        CIS WS2022 18.9.102.2.1
N’existe pas ou = 0
(registre)
Critique
Autoriser les données de diagnostic
(AZ-WIN-00169)
Description: ce paramètre de stratégie détermine la quantité de données de diagnostic et d’utilisation signalées à Microsoft. La valeur 0 envoie des données minimales à Microsoft. Ces données incluent l’outil de suppression des logiciels malveillants (MSRT) et les données Windows Defender, si elles sont activées, ainsi que les paramètres du client de télémétrie. La définition de la valeur 0 s’applique uniquement aux appareils Enterprise, EDU, IoT et Server. L’affectation de la valeur 0 à d’autres appareils équivaut à choisir la valeur 1. La valeur 1 envoie uniquement une quantité de données de diagnostic et d’utilisation de base. Notez que la définition des valeurs de 0 ou 1 dégradera certaines expériences sur l’appareil. La valeur 2 envoie des données d’utilisation et de diagnostic améliorées. La valeur 3 envoie les mêmes données que la valeur 2, ainsi que des données de diagnostic supplémentaires, y compris les fichiers et le contenu susceptibles d’avoir provoqué le problème. Les paramètres de télémétrie Windows 10 s’appliquent au système d’exploitation Windows et à certaines applications de la première partie. Ce paramètre ne s’applique pas aux applications tierces qui s’exécutent sur Windows 10. L’état recommandé pour ce paramètre est : Enabled: 0 - Security [Enterprise Only]. Remarque : Si le paramètre « autoriser la télémétrie » est configuré sur « 0-sécurité [entreprise uniquement] », les options de Windows Update pour différer les mises à niveau et les mises à jour n’ont aucun effet.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\DataCollection\AllowTelemetry
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: Diagnostic data off (not recommended) ou Enabled: Send required diagnostic data :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Collecte des données et versions d’évaluation Preview\Autoriser les données de diagnostic
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle stratégie de groupe « DataCollection.admx/adml », qui est inclus dans les modèles d’administration Microsoft Windows 11 version 21H2 (ou version ultérieure).
Remarque n° 2 : Dans les anciens modèles d’administration Microsoft  Windows, ce paramètre était initialement nommé Autoriser la télémétrie, mais il a été renommé Autoriser les données de diagnostic à partir des modèles d’administration Windows 11 version 21H2.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93257
        STIG WS2016 V-73551
        CIS WS2019 18.9.17.1
        CIS WS2022 18.9.17.1
> = 1
(registre)
Avertissement
Autoriser l'indexation des fichiers chiffrés
(CCE-38277-0)
Description : ce paramètre de stratégie détermine si les éléments chiffrés sont autorisés à être indexés. Lorsque ce paramètre est modifié, l’index est entièrement reconstruit. Le chiffrement de volume complet (par exemple, chiffrement de lecteur BitLocker ou une solution non-Microsoft) doit être utilisé pour l’emplacement de l’index afin de maintenir la sécurité des fichiers chiffrés. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Windows Search\AllowIndexingEncryptedStoresOrItems
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Recherche\Autoriser l’indexation des fichiers chiffrés
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe Search.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93415
        STIG WS2016 V-73581
        CIS WS2019 18.9.67.3
        CIS WS2022 18.9.67.3
N’existe pas ou = 0
(registre)
Avertissement
Autoriser les comptes Microsoft à être facultatifs
(CCE-38354-7)
Description : ce paramètre de stratégie vous permet de déterminer si les comptes Microsoft sont facultatifs pour les applications du Windows Store qui nécessitent un compte pour la connexion. Cette stratégie affecte uniquement les applications du Windows Store qui le prennent en charge. Si vous activez ce paramètre de stratégie, les applications du Windows Store qui nécessitent normalement un compte Microsoft pour la connexion autorisent les utilisateurs à se connecter avec un compte d’entreprise. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs doivent se connecter avec un compte Microsoft.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\MSAOptional
Système d’exploitation : WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Exécution de l’application\Autoriser les comptes Microsoft à être facultatifs
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « AppXRuntime.admx/adml » inclus dans les modèles d’administration Microsoft Windows 8.1 & Server 2012 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.6.1
= 1
(registre)
Avertissement
Autoriser le trafic non chiffré
(CCE-38223-4)
Description : ce paramètre de stratégie vous permet de gérer si le service Windows Remote Management (WinRM) envoie et reçoit des messages non chiffrés sur le réseau. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowUnencryptedTraffic
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Gestion à distance de Windows (WinRM)\Service WinRM\Autoriser le trafic non chiffré
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe WindowsRemoteManagement.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93499
        STIG WS2016 V-73601
        CIS WS2019 18.9.102.1.2
        CIS WS2022 18.9.102.1.2
        CIS WS2019 18.9.102.2.3
        CIS WS2022 18.9.102.2.3
N’existe pas ou = 0
(registre)
Critique
Autoriser le contrôle utilisateur sur les installations
(CCE-36400-0)
Description : permet aux utilisateurs de changer les options d’installation qui ne sont généralement disponibles que pour les administrateurs système. Les fonctionnalités de sécurité de Windows Installer empêchent les utilisateurs de changer les options d’installation généralement réservées aux administrateurs système, comme la spécification du répertoire où les fichiers sont installés. Si Windows Installer détecte qu’un package d’installation a autorisé l’utilisateur à modifier une option protégée, il arrête l’installation et affiche un message. Ces fonctionnalités de sécurité fonctionnent seulement quand le programme d’installation s’exécute dans un contexte de sécurité privilégié où il a accès aux répertoires refusés à l’utilisateur. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Installer\EnableUserControl
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Windows Installer\Autoriser le contrôle utilisateur sur les installations
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe MSI.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows. Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été nommé Activer le contrôle utilisateur sur les installations, mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93199
        STIG WS2016 V-73583
        CIS WS2019 18.9.90.1
        CIS WS2022 18.9.90.1
N’existe pas ou = 0
(registre)
Critique
Toujours installer avec des droits élevés
(CCE-37490-0)
Description : ce paramètre détermine si Windows Installer doit utiliser les autorisations système lorsqu’il installe un programme sur le système. Remarque : ce paramètre apparaît à la fois dans les dossiers Configuration ordinateur et Configuration utilisateur. Pour que ce paramètre soit effectif, vous devez l’activer dans les deux dossiers. Attention : en l’activant, les utilisateurs expérimentés peuvent tirer parti des autorisations accordées par ce paramètre pour changer leurs privilèges et obtenir un accès permanent à des fichiers et des dossiers restreints. Notez que la sécurité de la version de Configuration utilisateur de ce paramètre n’est pas garantie. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Installer\AlwaysInstallElevated
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration utilisateur\Stratégies\Modèles d’administration\Composants Windows\Windows Installer\Toujours installer avec des droits élevés
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe MSI.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93201
        STIG WS2016 V-73585
        CIS WS2019 18.9.90.2
        CIS WS2022 18.9.90.2
N’existe pas ou = 0
(registre)
Avertissement
Toujours demander le mot de passe lors de la connexion
(CCE-37929-7)
Description : ce paramètre de stratégie spécifie si les services Terminal demandent toujours à l’ordinateur client de fournir un mot de passe lors de la connexion. Vous pouvez utiliser ce paramètre de stratégie pour appliquer une invite de mot de passe aux utilisateurs qui se connectent aux services Terminal Server, même s’ils ont déjà fourni le mot de passe dans le client Connexion Bureau à distance. Par défaut, les services Terminal autorisent les utilisateurs à se connecter automatiquement en entrant un mot de passe dans le client de connexion au Bureau à distance. Remarque Si vous ne configurez pas ce paramètre de stratégie, l’administrateur de l’ordinateur local peut utiliser l’outil Configuration des services Terminal Server pour autoriser ou empêcher l’envoi automatique des mots de passe.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fPromptForPassword
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Sécurité\Toujours demander le mot de passe à la connexion
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « TerminalServer.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n° 2 : Dans les modèles d’administration Microsoft Windows Vista, ce paramètre était nommé Toujours demander le mot de passe au client à la connexion, mais il a été renommé à partir des modèles d’administration Windows Server 2008 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.65.3.9.1
= 1
(registre)
Critique
Application : contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
(CCE-37775-4)
Description : ce paramètre de stratégie contrôle le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale. Si vous activez ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements ne sont pas écrits dans le journal et sont perdus. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements remplacent les anciens événements. Remarque : les anciens événements peuvent ou ne peuvent pas être conservés en fonction du paramètre de stratégie « sauvegarder automatiquement le journal en cas de saturation ».
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\Retention
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Application\Contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Conserver les anciens événements, mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.1.1
N’existe pas ou = 0
(registre)
Critique
Application : spécifiez la taille maximale du fichier journal (Ko)
(CCE-37948-7)
Description : ce paramètre de stratégie spécifie la taille maximale du fichier journal en Ko. Si vous activez ce paramètre de stratégie, vous pouvez configurer la taille maximale du fichier journal à une valeur comprise entre 1 Mo (1 024 Ko) et 2 To (2 147 483 647 Ko), par incréments d’un Ko. Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, la taille maximale du fichier journal est définie sur la valeur configurée localement. L’administrateur local peut changer cette valeur via la boîte de dialogue Propriétés du journal ; sa valeur par défaut est de 20 Mo.
Cheminde la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\Application\MaxSize
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: 32,768 or greater :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Application\Spécifier la taille de fichier journal maximale (Ko)
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Taille maximale du journal (Ko), mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.1.2
> = 32768
(registre)
Critique
Bloquer l’authentification utilisateur de tous les comptes Microsoft consommateurs
(AZ-WIN-20198)
Description : ce paramètre détermine si les applications et services sur l’appareil peuvent utiliser l’authentification de compte Microsoft consommateur via Windows OnlineID et les API WebAccountManager. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\MicrosoftAccount\DisableUserAuth
Système d’exploitation : WS2016, WS2019
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Comptes Microsoft\Bloquer l’authentification utilisateur de tous les comptes Microsoft consommateurs
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.46.1
        CIS WS2019 18.9.46.1
= 1
(registre)
Critique
Configurer un remplacement de paramètre local pour la création de rapports sur Microsoft MAPS
(AZ-WIN-00173)
Description : ce paramètre de stratégie configure une valeur de remplacement locale pour la configuration permettant de rejoindre Microsoft MAPS. Ce paramètre peut uniquement être défini par une stratégie de groupe. Si vous activez ce paramètre, le paramètre de préférence locale est prioritaire sur la stratégie de groupe. Si vous désactivez ou ne configurez pas ce paramètre, la stratégie de groupe est prioritaire sur le paramètre de préférence locale.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\LocalSettingOverrideSpynetReporting
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Windows Defender\MAPS\Configurer une valeur de remplacement de paramètre locale pour l’envoi de rapports à Microsoft MAPS
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle WindowsDefender.admx/adml de stratégie de groupe inclus dans les modèles d’administration Microsoft Windows 8.1 &Server 2012 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.47.4.1
        CIS WS2022 18.9.47.4.1
N’existe pas ou = 0
(registre)
Avertissement
Configurer Windows SmartScreen
(CCE-35859-8)
Description : ce paramètre de stratégie vous permet de gérer le comportement de Windows SmartScreen. Windows SmartScreen contribue à sécuriser les PC en avertissant les utilisateurs avant l’exécution de programmes non reconnus téléchargés à partir d’Internet. Certaines informations sont envoyées à Microsoft à propos des fichiers et des programmes exécutés sur les PC avec cette fonctionnalité activée. Si vous activez ce paramètre de stratégie, le comportement de Windows SmartScreen peut être contrôlé en définissant l’une des options suivantes : * Envoyer un avertissement à l’utilisateur avant d’exécuter un logiciel inconnu téléchargé * Désactiver SmartScreen Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le comportement de Windows SmartScreen est géré par les administrateurs sur le PC en utilisant les paramètres Windows SmartScreen dans Sécurité et maintenance. Options : * Envoyer un avertissement à l’utilisateur avant d’exécuter le logiciel inconnu téléchargé * Désactiver SmartScreen
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\System\EnableSmartScreen
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled : Avertir et empêcher tout contournement : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Windows Defender SmartScreen\Explorateur\Configurer Windows Defender SmartScreen Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe WindowsExplorer.admx/adml inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures). Remarque n° 2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre était nommé Configurer Windows SmartScreen, mais il a été renommé à partir des modèles d’administration Windows 10 version 1703.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.85.1.1
= 1
(registre)
Avertissement
Détecter les modifications du port RDP par défaut
(AZ-WIN-00156)
Description : ce paramètre détermine si le port réseau qui écoute les connexions Bureau à distance a été modifié par rapport à la valeur par défaut 3389
Chemin de la clé : System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : non applicable
Correspondance des standards de conformité :
= 3389
(registre)
Critique
Désactiver le service Windows Search
(AZ-WIN-00176)
Description : ce paramètre de registre désactive le Search Windows Search
Chemin de la clé : System\CurrentControlSet\Services\Wsearch\Start
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : non applicable
Correspondance des standards de conformité :
N’existe pas ou = 4
(registre)
Critique
Interdire l’exécution automatique pour les appareils qui ne sont pas des volumes
(CCE-37636-8)
Description : ce paramètre de stratégie interdit la lecture automatique pour les périphériques MTP, tels que les appareils photo ou les téléphones. Si vous activez ce paramètre de stratégie, la lecture automatique est interdite pour les périphériques MTP, tels que les appareils photo ou les téléphones. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, la lecture automatique est activée pour les périphériques autres que ceux du volume.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Explorer\NoAutoplayfornonVolume
Système d’exploitation : WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Stratégies d’exécution automatique\Interdire l’exécution automatique pour les périphériques autres que ceux du volume
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « AutoPlay.admx/adml » inclus dans les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.8.1
= 1
(registre)
Critique
Interdire l'authentification Digest
(CCE-38318-2)
Description : ce paramètre de stratégie vous permet de spécifier si le client Windows Remote Management (WinRM) utilise l’authentification Digest. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\WinRM\Client\AllowDigest
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Gestion à distance de Windows (WinRM)\Client WinRM\Ne pas autoriser l’authentification Digest
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe WindowsRemoteManagement.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93505
        STIG WS2016 V-73597
        CIS WS2019 18.9.102.1.3
        CIS WS2022 18.9.102.1.3
= 0
(registre)
Critique
Ne pas autoriser WinRM à stocker des informations d'identification RunAs
(CCE-36000-8)
Description : ce paramètre de stratégie vous permet de spécifier si le service Windows Remote Management (WinRM) ne permet pas de stocker les informations d’identification RunAs pour tous les plug-ins. Si vous activez ce paramètre de stratégie, le service WinRM n’autorisera pas la définition des valeurs de configuration RunAsUser ou RunAsPassword pour les plug-ins. Si un plug-in a déjà défini les valeurs de configuration RunAsUser et RunAsPassword, la valeur de configuration RunAsPassword sera effacée du magasin d’informations d’identification sur cet ordinateur. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le service WinRM autorisera la définition des valeurs de configuration RunAsUser et RunAsPassword pour les plug-ins et la valeur de RunAsPassword sera stockée en toute sécurité. Si vous activez puis désactivez ce paramètre de stratégie, toutes les valeurs qui ont été précédemment configurées pour RunAsPassword devront être réinitialisées.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\WinRM\Service\DisableRunAs
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Gestion à distance de Windows (WinRM)\Service WinRM\Ne pas autoriser WinRM à stocker des informations d’identification RunAs
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « WindowsRemoteManagement.admx/adml » inclus dans les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.102.2.4
= 1
(registre)
Critique
Ne pas autoriser l’enregistrement des mots de passe
(CCE-36223-6)
Description : ce paramètre de stratégie permet d’empêcher les clients des services Terminal d’enregistrer des mots de passe sur un ordinateur. Remarque Si ce paramètre de stratégie a été précédemment configuré comme étant désactivé ou non configuré, tous les mots de passe précédemment enregistrés seront supprimés la première fois qu’un client Terminal Services se déconnecte de n’importe quel serveur.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DisablePasswordSaving
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Client Connexion Bureau à distance\Ne pas autoriser l’enregistrement des mots de passe
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « TerminalServer.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.65.2.2
= 1
(registre)
Critique
Ne pas supprimer les dossiers temporaires en quittant
(CCE-37946-1)
Description : ce paramètre de stratégie spécifie si le service Bureau à distance conserve les dossiers temporaires par session d’un utilisateur à la fermeture de session. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\DeleteTempDirsOnExit
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Dossiers temporaires\Ne pas supprimer les dossiers temporaires en quittant
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « TerminalServer.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été nommé Ne pas supprimer le dossier temporaire à la sortie, mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.65.3.11.1
N’existe pas ou = 1
(registre)
Avertissement
Ne pas afficher le bouton révéler le mot de passe
(CCE-37534-5)
Description : ce paramètre de stratégie vous permet de configurer l’affichage du bouton afficher le mot de passe dans les expériences utilisateur de saisie de mot de passe. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\CredUI\DisablePasswordReveal
Système d’exploitation : WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Interface utilisateur d’informations d’identification\Ne pas afficher le bouton Affichage du mot de passe
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « CredUI.admx/adml » inclus avec les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.16.1
= 1
(registre)
Avertissement
Ne pas afficher les notifications de commentaires
(AZ-WIN-00140)
Description : ce paramètre de stratégie permet à une organisation de bloquer sur ses appareils l’affichage des questions de Microsoft. Si vous activez ce paramètre de stratégie, les utilisateurs ne verront plus les notifications de commentaires via l’application de commentaires Windows. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent voir des notifications via l’application de commentaires Windows demandant aux utilisateurs d’envoyer des commentaires. Remarque : Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent contrôler la fréquence à laquelle ils reçoivent des questions sur les commentaires.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\DataCollection\DoNotShowFeedbackNotifications
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Collecte des données et versions d’évaluation Preview\Ne pas afficher les notifications de commentaire
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle stratégie de groupe « FeedbackNotifications.admx/adml », qui est inclus dans les modèles d’administration Microsoft Windows 10 version 1511 (ou version ultérieure).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.17.4
= 1
(registre)
Critique
Ne pas utiliser de dossiers temporaires par session
(CCE-38180-6)
Description : par défaut, le service Bureau à distance crée un dossier temporaire distinct sur le serveur hôte de session RD pour chaque session active qu’un utilisateur gère sur le serveur hôte de session RD. Le dossier temporaire est créé sur le serveur hôte de session Bureau à distance dans un dossier temporaire sous le dossier de profil de l’utilisateur et est nommé avec « SessionID ». Ce dossier temporaire est utilisé pour stocker des fichiers temporaires individuels. Pour récupérer de l’espace disque, le dossier temporaire est supprimé lorsque l’utilisateur se déconnecte d’une session. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\PerSessionTempDir
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Dossiers temporaires\Ne pas utiliser les dossiers temporaires par session
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « TerminalServer.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.65.3.11.2
N’existe pas ou = 1
(registre)
Critique
Énumérer les comptes d’administrateur à l’élévation
(CCE-36512-2)
Description : ce paramètre de stratégie détermine si les comptes Administrateur s’affichent quand un utilisateur tente d’élever une application en cours d’exécution. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI\EnumerateAdministrators
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Interface utilisateur d’informations d’identification\Énumérer les comptes d’administrateur aux privilèges élevés
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe CredUI.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93517
        STIG WS2016 V-73487
        CIS WS2019 18.9.16.2
        CIS WS2022 18.9.16.2
N’existe pas ou = 0
(registre)
Avertissement
Empêcher le téléchargement des fichiers joints
(CCE-37126-0)
Description : ce paramètre de stratégie empêche l’utilisateur de télécharger des fichiers joints (pièces jointes) à partir d’un flux sur l’ordinateur de l’utilisateur. L’état recommandé pour ce paramètre est : Enabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds\DisableEnclosureDownload
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Flux RSS\Empêcher le téléchargement des fichiers joints
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « InetRes.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été nommé Désactiver le téléchargement des boîtiers, mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.66.1
= 1
(registre)
Avertissement
Exiger une communication RPC sécurisée
(CCE-37567-5)
Description : spécifie si un serveur hôte de session RD nécessite des communications RPC sécurisées avec tous les clients ou autorise les communications non sécurisées. Vous pouvez utiliser ce paramètre pour renforcer la sécurité des communications RPC avec les clients en n'autorisant que les demandes chiffrées et authentifiées. Si vous activez ce paramètre, les services Bureau à distance acceptent les demandes des clients RPC qui prennent en charge les demandes sécurisées et n'autorisent pas les communications non sécurisées avec des clients non approuvés. Si vous désactivez ce paramètre, les services Bureau à distance demandent toujours des mesures de sécurité pour tout le trafic RPC. Toutefois, les communications non sécurisées sont autorisées pour les clients RPC qui ne répondent pas à la demande. Si vous ne configurez pas ce paramètre, les communications non sécurisées sont autorisées. Remarque : l'interface RPC sert à administrer et configurer les services Bureau à distance.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\fEncryptRPCTraffic
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Sécurité\Requérir des communications RPC sécurisées
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « TerminalServer.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.65.3.9.2
= 1
(registre)
Critique
Nécessite l'authentification utilisateur pour les connexions à distance à l'aide de l'authentification au niveau du réseau
(AZ-WIN-00149)
Description : demande l’authentification utilisateur au niveau du réseau pour les connexions à distance
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\UserAuthentication
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Sécurité\Requérir l’authentification utilisateur pour les connexions à distance à l’aide de l’authentification au niveau du réseau
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « TerminalServer.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n° 2 : Dans les modèles d’administration Microsoft Windows Vista, ce paramètre était initialement nommé Exiger l’authentification utilisateur avec RDP 6.0 pour les connexions à distance, mais il a été renommé à partir des modèles d’administration Windows Server 2008 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.65.3.9.4
N’existe pas ou = 1
(registre)
Critique
Analyser les lecteurs amovibles
(AZ-WIN-00177)
Description : ce paramètre de stratégie vous permet de déterminer s’il faut rechercher les logiciels malveillants et les logiciels indésirables dans le contenu des lecteurs amovibles tels que les clés USB lors de l’exécution d’une analyse complète. Si vous activez ce paramètre, les lecteurs amovibles sont analysés au cours de tout type d’analyse. Si vous désactivez ou ne configurez pas ce paramètre, les lecteurs amovibles ne seront pas analysés au cours d’une analyse complète. Les lecteurs amovibles peuvent toujours être analysés au cours de l’analyse rapide et de l’analyse personnalisée.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender\Scan\DisableRemovableDriveScanning
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Windows Defender\Analyse\Analyser les lecteurs amovibles
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle WindowsDefender.admx/adml de stratégie de groupe inclus dans les modèles d’administration Microsoft Windows 8.1 &Server 2012 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.47.12.1
        CIS WS2022 18.9.47.12.1
= 0
(registre)
Critique
Sécurité  : contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
(CCE-37145-0)
Description : ce paramètre de stratégie contrôle le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale. Si vous activez ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements ne sont pas écrits dans le journal et sont perdus. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements remplacent les anciens événements. Remarque : les anciens événements peuvent ou ne peuvent pas être conservés en fonction du paramètre de stratégie « sauvegarder automatiquement le journal en cas de saturation ».
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\Retention
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Sécurité\Contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Conserver les anciens événements, mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.2.1
N’existe pas ou = 0
(registre)
Critique
Sécurité : spécifiez la taille maximale du fichier journal (Ko)
(CCE-37695-4)
Description : ce paramètre de stratégie spécifie la taille maximale du fichier journal en Ko. Si vous activez ce paramètre de stratégie, vous pouvez configurer la taille maximale du fichier journal sur une valeur comprise entre 1 Mo (1 024 Ko) et 2 To (2 147 483 647 Ko), par incréments d’1 Ko. Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, la taille maximale du fichier journal est définie sur la valeur configurée localement. L’administrateur local peut changer cette valeur via la boîte de dialogue Propriétés du journal ; sa valeur par défaut est de 20 Mo.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\Security\MaxSize
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: 196,608 or greater :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Sécurité\Spécifier la taille de fichier journal maximale (Ko)
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Taille maximale du journal (Ko), mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.2.2
>= 196608
(registre)
Critique
Envoyer des exemples de fichiers pour lesquels une analyse supplémentaire est nécessaire
(AZ-WIN-00126)
Description : ce paramètre de stratégie configure le comportement de l’envoi d’exemples lorsque la télémétrie des mappages est activée. Les options possibles sont : (0x0) toujours demander (0x1) envoyer automatiquement des échantillons sécurisés (0X2) ne jamais envoyer (0x3) envoyer automatiquement tous les exemples
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender\SpyNet\SubmitSamplesConsent
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\MAPS\Envoyer des exemples de fichier lorsqu’une analyse supplémentaire est nécessaire
Correspondance des standards de conformité :
= 1
(registre)
Avertissement
Définir le niveau de chiffrement de la connexion client
(CCE-36627-8)
Description : ce paramètre de stratégie spécifie si l’ordinateur qui va héberger la connexion à distance applique un niveau de chiffrement pour toutes les données envoyées entre celui-ci et l’ordinateur client pour la session à distance.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MinEncryptionLevel
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: High Level :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Services Bureau à distance\Hôte de la session Bureau à distance\Sécurité\Définir le niveau de chiffrement de la connexion client
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « TerminalServer.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.65.3.9.5
N’existe pas ou = 3
(registre)
Critique
Définir le comportement par défaut du programme Autorun
(CCE-38217-6)
Description : ce paramètre de stratégie définit le comportement par défaut des commandes Autorun. Les commandes d'exécution automatique sont généralement stockées dans des fichiers autorun.inf. Elles lancent souvent le programme d’installation ou d’autres routines. Avant Windows Vista, lorsque le support contenant une commande autorun était inséré, le système exécutera automatiquement le programme sans intervention de l’utilisateur. Cela crée un problème de sécurité majeur dans la mesure où le code peut être exécuté sans la connaissance de l’utilisateur. Le comportement par défaut à partir de Windows Vista est de demander à l’utilisateur si la commande autorun doit être exécutée. La commande autorun est représentée sous la forme d’un gestionnaire dans la boîte de dialogue d’exécution automatique. Si vous activez ce paramètre de stratégie, un administrateur peut modifier le comportement par défaut de Windows Vista ou version ultérieure pour que l’exécution automatique afin de : a) désactiver complètement les commandes d’exécution automatique, ou b) revenir au comportement antérieur à Windows Vista qui consiste à exécuter automatiquement la commande autorun. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, Windows Vista ou version ultérieure demande à l’utilisateur si la commande autorun doit être exécutée.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoAutorun
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: Do not execute any autorun commands :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Stratégies d’exécution automatique\Définir le comportement par défaut du programme AutoRun
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle de stratégie de groupe « AutoPlay.admx/adml » inclus dans les modèles d’administration Microsoft Windows 8.0 &Server 2012 (non-R2) (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.8.2
= 1
(registre)
Critique
Configuration : contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
(CCE-38276-2)
Description : ce paramètre de stratégie contrôle le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale. Si vous activez ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements ne sont pas écrits dans le journal et sont perdus. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements remplacent les anciens événements. Remarque : les anciens événements peuvent ou ne peuvent pas être conservés en fonction du paramètre de stratégie « sauvegarder automatiquement le journal en cas de saturation ».
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\Retention
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Installation\Contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Conserver les anciens événements, mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.3.1
N’existe pas ou = 0
(registre)
Critique
Configuration : spécifier la taille maximale du fichier journal (Ko)
(CCE-37526-1)
Description : ce paramètre de stratégie spécifie la taille maximale du fichier journal en Ko. Si vous activez ce paramètre de stratégie, vous pouvez configurer la taille maximale du fichier journal sur une valeur comprise entre 1 Mo (1 024 Ko) et 2 To (2 147 483 647 Ko), par incréments d’1 Ko. Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, la taille maximale du fichier journal est définie sur la valeur configurée localement. L’administrateur local peut changer cette valeur via la boîte de dialogue Propriétés du journal ; sa valeur par défaut est de 20 Mo.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\Setup\MaxSize
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: 32,768 or greater :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Installation\Spécifier la taille de fichier journal maximale (Ko)
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Taille maximale du journal (Ko), mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.3.2
> = 32768
(registre)
Critique
Connecter le dernier utilisateur interactif automatiquement après un redémarrage initié par le système
(CCE-36977-7)
Description: ce paramètre de stratégie détermine si un appareil se connecte automatiquement au dernier utilisateur interactif après un redémarrage du système par Windows Update. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableAutomaticRestartSignOn
Système d’exploitation : WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled:
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Options d’ouverture de session Windows\Connecter le dernier utilisateur interactif automatiquement après un redémarrage initié par le système
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle WinLogon.admx/adml de stratégie de groupe inclus dans les modèles d’administration Microsoft Windows 8.1 &Server 2012 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93269
        STIG WS2016 V-73589
        CIS WS2019 18.9.86.1
        CIS WS2022 18.9.86.1
= 1
(registre)
Critique
Spécifier l’intervalle de vérification des mises à jour de définition
(AZ-WIN-00152)
Description : ce paramètre de stratégie vous permet de spécifier un intervalle en fonction duquel rechercher des mises à jour des définitions. La valeur de l’heure est représentée sous la forme du nombre d’heures entre les recherches de mises à jour. Les valeurs valides sont comprises entre 1 (toutes les heures) et 24 (une fois par jour). Si vous activez ce paramètre, les recherches des mises à jour des définitions ont lieu selon l’intervalle spécifié. Si vous désactivez ou ne configurez pas ce paramètre, les recherches des mises à jour des définitions ont lieu selon l’intervalle par défaut.
Chemin de la clé : SOFTWARE\Microsoft\Microsoft Antimalware\Signature Updates\SignatureUpdateInterval
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Modèles d’administration\Composants Windows\Antivirus Microsoft Defender\Mises à jour de la veille de sécurité\Spécifier l’intervalle auquel rechercher des mises à jour de la veille de sécurité
Correspondance des standards de conformité :
= 8
(registre)
Critique
Système : contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
(CCE-36160-0)
Description : ce paramètre de stratégie contrôle le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale. Si vous activez ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements ne sont pas écrits dans le journal et sont perdus. Si vous désactivez ou ne configurez pas ce paramètre de stratégie et qu’un fichier journal atteint sa taille maximale, les nouveaux événements remplacent les anciens événements. Remarque : les anciens événements peuvent ou ne peuvent pas être conservés en fonction du paramètre de stratégie « sauvegarder automatiquement le journal en cas de saturation ».
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\System\Retention
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Système\Contrôler le comportement du journal des événements lorsque le fichier journal atteint sa taille maximale
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Conserver les anciens événements, mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.4.1
N’existe pas ou = 0
(registre)
Critique
Système : spécifier la taille maximale du fichier journal (Ko)
(CCE-36092-5)
Description : ce paramètre de stratégie spécifie la taille maximale du fichier journal en Ko. Si vous activez ce paramètre de stratégie, vous pouvez configurer la taille maximale du fichier journal sur une valeur comprise entre 1 Mo (1 024 Ko) et 2 To (2 147 483 647 Ko), par incréments d’1 Ko. Si vous désactivez ou si vous ne configurez pas ce paramètre de stratégie, la taille maximale du fichier journal est définie sur la valeur configurée localement. L’administrateur local peut changer cette valeur via la boîte de dialogue Propriétés du journal ; sa valeur par défaut est de 20 Mo.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\EventLog\System\MaxSize
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: 32,768 or greater :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Service Journal des événements\Système\Spécifier la taille de fichier journal maximale (Ko)
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « EventLog.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Remarque n°2 : Dans les anciens modèles d’administration Microsoft Windows, ce paramètre a été initialement nommé Taille maximale du journal (Ko), mais il a été renommé à partir des modèles d’administration Windows 8.0 &Server 2012 (non-R2).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.27.4.2
> = 32768
(registre)
Critique
L’inventaire du programme de compatibilité des applications doit être empêché de collecter des données et d’envoyer les informations à Microsoft.
(AZ-WIN-73543)
Description : certaines fonctionnalités peuvent communiquer avec le fournisseur, envoyer des informations système ou télécharger des données ou des composants pour la fonctionnalité. La désactivation de cette fonctionnalité empêche l’envoi d’informations potentiellement sensibles en dehors de l’entreprise et empêche les mises à jour non contrôlées du système. Ce paramètre empêche l’inventaire du programme de collecter des données sur un système et d’envoyer les informations à Microsoft.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\AppCompat\DisableInventory
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : Membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Modèles d’administration\Composants Windows\Compatibilité des applications\Désactiver l’Inventory Collector
Correspondance des standards de conformité :
= 1
(registre)
Informationnel
Désactiver l’exécution automatique
(CCE-36875-3)
Description : la lecture automatique commence à lire à partir d’un lecteur dès que vous insérez le média dans le lecteur, ce qui entraîne le démarrage immédiat du fichier d’installation des programmes ou des médias audio. Une personne malveillante peut utiliser cette fonctionnalité pour lancer un programme afin d’endommager l’ordinateur ou les données sur l’ordinateur. Vous pouvez activer le paramètre Désactiver l’exécution automatique pour désactiver la fonctionnalité d’exécution automatique. La lecture automatique est désactivée par défaut sur certains lecteurs amovibles, tels que les lecteurs de disquettes et les lecteurs réseau, mais pas sur les lecteurs de CD-ROM. Remarque : vous ne pouvez pas utiliser ce paramètre de stratégie pour activer l’exécution automatique sur des lecteurs d’ordinateur dans lesquels elle est désactivée par défaut, telle qu’une disquette et des lecteurs réseau.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled: All drives :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Stratégies d’exécution automatique\Désactiver l’exécution automatique
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe « AutoPlay.admx/adml », qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.8.3
= 255
(registre)
Critique
Désactiver la prévention d’exécution des données pour l’Explorateur
(CCE-37809-1)
Description : la désactivation de la prévention de l’exécution des données peut permettre à certaines applications de plug-in existantes de fonctionner sans arrêter l’explorateur. L’état recommandé pour ce paramètre est : Disabled. Remarque : certaines applications de plug-in héritées et d’autres logiciels peuvent ne pas fonctionner avec la prévention de l’exécution des données et nécessitent une exception pour être définies pour ce plug-in ou logiciel spécifique.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Explorer\NoDataExecutionPrevention
Système d’exploitation : WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Explorateur de fichiers\Désactiver la prévention de l’exécution des données pour l’explorateur
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle Explorer.admx/adml de stratégie de groupe inclus dans les modèles d’administration Microsoft Windows 7 &Server 2008 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93563
        STIG WS2016 V-73561
        CIS WS2019 18.9.31.2
        CIS WS2022 18.9.31.2
N’existe pas ou = 0
(registre)
Critique
Désactiver l’arrêt du segment de mémoire en cas d’altération
(CCE-36660-9)
Description : sans terminaison de segment de mémoire en cas d’altération, les applications de plug-in héritées peuvent continuer de fonctionner lorsqu’une session de l’explorateur de fichiers est endommagée. Le fait de s’assurer que l’arrêt du segment de mémoire en cas d’altération est actif empêchera cela. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\Explorer\NoHeapTerminationOnCorruption
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Explorateur de fichiers\Désactiver l’arrêt du tas en cas de défaillance
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe Explorer.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93261
        STIG WS2016 V-73563
        CIS WS2019 18.9.31.3
        CIS WS2022 18.9.31.3
N’existe pas ou = 0
(registre)
Critique
Désactiver les expériences consommateur Microsoft
(AZ-WIN-00144)
Description : ce paramètre de stratégie désactive les expériences qui aident les utilisateurs à tirer le meilleur parti de leurs appareils et de leur compte Microsoft. Si vous activez ce paramètre de stratégie, les utilisateurs ne voient plus les recommandations personnalisées provenant de Microsoft ni les notifications concernant leur compte Microsoft. Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent voir des suggestions de Microsoft et des notifications concernant leur compte Microsoft. Remarque : ce paramètre s’applique uniquement aux références SKU Enterprise et Education.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\CloudContent\DisableWindowsConsumerFeatures
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Contenu cloud\Désactiver les expériences consommateur de Microsoft
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle stratégie de groupe « CloudContent.admx/adml », qui est inclus dans les modèles d’administration Microsoft Windows 10 version 1511 (ou version ultérieure).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.14.2
N’existe pas ou = 1
(registre)
Avertissement
Désactiver le mode protégé du protocole de l’interpréteur de commandes
(CCE-36809-2)
Description : ce paramètre de stratégie vous permet de configurer la quantité de fonctionnalités que le protocole de l’interpréteur de commandes peut avoir. Lors de l’utilisation de toutes les fonctionnalités de ce protocole, les applications peuvent ouvrir des dossiers et lancer des fichiers. Le mode protégé réduit les fonctionnalités de ce protocole, ce qui permet aux applications d’ouvrir uniquement un ensemble limité de dossiers. Les applications ne sont pas en mesure d’ouvrir des fichiers avec ce protocole lorsqu’elle est en mode protégé. Il est recommandé de conserver ce protocole en mode protégé pour renforcer la sécurité de Windows. L’état recommandé pour ce paramètre est : Disabled.
Chemin de la clé : SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\PreXPSP2ShellProtocolBehavior
Système d’exploitation : WS2008, WS2008R2, WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Disabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Explorateur de fichiers\Désactiver le mode protégé du protocole noyau
Remarque : Ce chemin de stratégie de groupe est fourni par le modèle de stratégie de groupe WindowsExplorer.admx/adml, qui est inclus avec toutes les versions des modèles d’administration Microsoft Windows.
Correspondance des standards de conformité :
        NomPlateformeID
        STIG WS2019 V-93263
        STIG WS2016 V-73565
        CIS WS2019 18.9.31.4
        CIS WS2022 18.9.31.4
N’existe pas ou = 0
(registre)
Avertissement
Activer l’analyse du comportement
(AZ-WIN-00178)
Description : ce paramètre de stratégie vous permet de configurer l’analyse du comportement. Si vous activez ou ne configurez pas ce paramètre, la surveillance du comportement sera activée. Si vous désactivez ce paramètre, la surveillance du comportement sera désactivée.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection\DisableBehaviorMonitoring
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : pour établir la configuration recommandée avec une stratégie de groupe, définissez le chemin d’IU suivant sur Enabled :
Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Antivirus Windows Defender\Protection en temps réel\Activer l’analyse du comportement
Remarque : Il se peut que ce chemin de stratégie de groupe n’existe pas par défaut. Il est fourni par le modèle WindowsDefender.admx/adml de stratégie de groupe inclus dans les modèles d’administration Microsoft Windows 8.1 &Server 2012 R2 (ou versions ultérieures).
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2019 18.9.47.9.3
        CIS WS2022 18.9.47.9.3
N’existe pas ou = 0
(registre)
Avertissement
Activer la journalisation de blocs de scripts PowerShell
(AZ-WIN-73591)
Description : ce paramètre de stratégie active la journalisation de toutes les entrées de script PowerShell dans le canal Event Log Applications and Services Logs\Microsoft\Windows\PowerShell\Operational. L’état recommandé pour ce paramètre est : Enabled. Remarque : si la journalisation des événements de démarrage/arrêt de l'invocation du bloc de script est activée (case d’option cochée), PowerShell journalisera des événements supplémentaires lors de l’appel d’une commande, d’un bloc de script, d’une fonction ou des démarrages ou arrêts d’un script. L’activation de cette option génère un grand volume de journaux des événements. CIS a intentionnellement choisi de ne pas formuler de recommandation pour cette option, car elle génère un grand volume d’événements. Si une organisation choisit d’activer le paramètre facultatif (activé), cela est également conforme au point de référence.
Chemin de la clé : SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging\EnableScriptBlockLogging
Système d’exploitation : WS2016, WS2019 ou WS2022
Type de serveur : contrôleur de domaine, membre de domaine, membre de groupe de travail
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Modèles d’administration\Composants Windows\Windows PowerShell\Activer la journalisation de blocs de scripts PowerShell
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 18.9.100.1
        CIS WS2019 18.9.100.1
= 1
(registre)
Important

Paramètres Windows - Paramètres de sécurité

Nom
(ID)
Détails Valeur attendue
(Type)
severity
Ajuster les quotas de mémoire pour un processus
(CCE-10849-8)
Description : ce paramètre de stratégie permet à un utilisateur d’ajuster la quantité maximale de mémoire disponible pour un processus. La possibilité d’ajuster les quotas de mémoire est utile pour le réglage du système, mais on peut en abuser. Dans les mauvaises mains, elle peut être utilisée pour lancer une attaque par déni de service (DoS). L’état recommandé pour ce paramètre est : Administrators, LOCAL SERVICE, NETWORK SERVICE. Remarque : un serveur membre qui détient le rôle de serveur Web (IIS) avec le service de rôle serveur Web requiert une exception spéciale à cette recommandation, afin d’autoriser le ou les pools d’applications IIS à obtenir ce droit d’utilisateur. Remarque 2 : Un serveur membre avec Microsoft SQL Server requièrent une exception spéciale à cette recommandation pour que d’autres entrées générées par SQL reçoivent ce droit d’utilisateur.
Chemin de la clé : [Privilege Rights]SeIncreaseQuotaPrivilege
Système d’exploitation : WS2012, WS2012R2, WS2016, WS2019 ou WS2022
Type de serveur: contrôleur de domaine, membre de domaine
Chemin de la stratégie de groupe : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Attribution des droits utilisateur\Ajuster les quotas de mémoire pour un processus
Correspondance des standards de conformité :
        NomPlateformeID
        CIS WS2022 2.2.6
        CIS WS2019 2.2.6
<= Administrateurs, Service local, Service réseau
(Stratégie)
Avertissement

Notes

La disponibilité de paramètres de configuration d’invité Azure Policy spécifiques peut varier dans Azure Government et dans d’autres clouds nationaux.

Étapes suivantes

Autres articles sur Azure Policy et la configuration d’invité :