Fournisseur de services de configuration de stratégie - LocalPoliciesSecurityOptions

Logo de Windows Insider.

Important

Ce csp contient certains paramètres en cours de développement et qui s’appliquent uniquement aux builds Windows Insider Preview. Ces paramètres sont susceptibles d’être modifiés et peuvent avoir des dépendances vis-à-vis d’autres fonctionnalités ou services en préversion.

Remarque

Pour rechercher des formats de données (et d’autres détails liés à la stratégie), consultez Fichier DDF de stratégie.

Accounts_BlockMicrosoftAccounts

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Ce paramètre de stratégie empêche les utilisateurs d’ajouter de nouveaux comptes Microsoft sur cet ordinateur. Si vous sélectionnez l’option « Les utilisateurs ne peuvent pas ajouter de comptes Microsoft », les utilisateurs ne pourront pas créer de comptes Microsoft sur cet ordinateur, basculer un compte local vers un compte Microsoft ou connecter un compte de domaine à un compte Microsoft. Il s’agit de l’option recommandée si vous devez limiter l’utilisation des comptes Microsoft dans votre entreprise. Si vous sélectionnez l’option « Les utilisateurs ne peuvent pas ajouter ou se connecter avec des comptes Microsoft », les utilisateurs de compte Microsoft existants ne pourront pas se connecter à Windows. Si vous sélectionnez cette option, il peut être impossible pour un administrateur existant sur cet ordinateur de se connecter et de gérer le système. Si vous désactivez ou ne configurez pas cette stratégie (recommandé), les utilisateurs pourront utiliser des comptes Microsoft avec Windows.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé (les utilisateurs pourront utiliser des comptes Microsoft avec Windows).
1 Activé (les utilisateurs ne peuvent pas ajouter de comptes Microsoft).
3 Les utilisateurs ne peuvent pas ajouter ou se connecter avec des comptes Microsoft.

Mappage de stratégie de groupe :

Nom Valeur
Nom Comptes : bloquer les comptes Microsoft
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Accounts_EnableAdministratorAccountStatus

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

Ce paramètre de sécurité détermine si le compte Administrateur local est activé ou désactivé.

Remarque

Si vous essayez de réactiver le compte administrateur après sa désactivation et si le mot de passe administrateur actuel ne répond pas aux exigences de mot de passe, vous ne pouvez pas réactiver le compte. Dans ce cas, un autre membre du groupe Administrateurs doit réinitialiser le mot de passe sur le compte Administrateur. Pour plus d’informations sur la réinitialisation d’un mot de passe, consultez Pour réinitialiser un mot de passe. La désactivation du compte Administrateur peut devenir un problème de maintenance dans certaines circonstances. Sous démarrage en mode sans échec, le compte Administrateur désactivé est activé uniquement si l’ordinateur n’est pas joint au domaine et qu’il n’existe aucun autre compte d’administrateur actif local. Si l’ordinateur est joint à un domaine, l’administrateur désactivé n’est pas activé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Comptes : statut du compte Administrateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Accounts_EnableGuestAccountStatus

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus

Ce paramètre de sécurité détermine si le compte invité est activé ou désactivé. Remarque : Si le compte invité est désactivé et que l’option de sécurité Accès réseau : partage et modèle de sécurité pour les comptes locaux est définie sur Invité uniquement, les ouvertures de session réseau, telles que celles effectuées par le serveur réseau Microsoft (service SMB), échouent.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Comptes : statut du compte Invité
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Comptes : limiter l’utilisation de mots de passe vides par le compte local à l’ouverture de session de la console uniquement Ce paramètre de sécurité détermine si les comptes locaux qui ne sont pas protégés par mot de passe peuvent être utilisés pour se connecter à partir d’emplacements autres que la console de l’ordinateur physique. Si cette option est activée, les comptes locaux qui ne sont pas protégés par mot de passe peuvent uniquement se connecter au clavier de l’ordinateur. Avertissement : Les ordinateurs qui ne se trouvent pas dans des emplacements physiquement sécurisés doivent toujours appliquer des stratégies de mot de passe fort pour tous les comptes d’utilisateur locaux. Dans le cas contraire, toute personne disposant d’un accès physique à l’ordinateur peut se connecter à l’aide d’un compte d’utilisateur qui n’a pas de mot de passe. Cela est particulièrement important pour les ordinateurs portables. Si vous appliquez cette stratégie de sécurité au groupe Tout le monde, personne ne pourra se connecter via les services Bureau à distance.

Remarque

Ce paramètre n’affecte pas les ouvertures de session qui utilisent des comptes de domaine. Il est possible pour les applications qui utilisent des connexions interactives distantes de contourner ce paramètre.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé.
1 (par défaut) Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Comptes : restreindre l’utilisation de mots de passe vides par le compte local à l’ouverture de session console
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Accounts_RenameAdministratorAccount

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Comptes : Renommer le compte d’administrateur Ce paramètre de sécurité détermine si un autre nom de compte est associé à l’identificateur de sécurité (SID) de l’administrateur du compte. En renommant le compte Administrateur bien connu, il est légèrement plus difficile pour les personnes non autorisées de deviner cette combinaison de nom d’utilisateur privilégié et de mot de passe. Par défaut : Administrateur.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut Administrateur

Mappage de stratégie de groupe :

Nom Valeur
Nom Comptes : renommer le compte Administrateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Accounts_RenameGuestAccount

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Comptes : Renommer le compte invité Ce paramètre de sécurité détermine si un autre nom de compte est associé à l’identificateur de sécurité (SID) du compte « Invité ». Le changement de nom du compte invité bien connu rend légèrement plus difficile pour les personnes non autorisées de deviner cette combinaison de nom d’utilisateur et de mot de passe. Valeur par défaut : Invité.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut Invité

Mappage de stratégie de groupe :

Nom Valeur
Nom Comptes : renommer le compte Invité
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Audit_AuditTheUseOfBackupAndRestoreprivilege

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_AuditTheUseOfBackupAndRestoreprivilege

Auditer : auditer l’utilisation des privilèges de sauvegarde et de restauration Ce paramètre de sécurité détermine s’il faut auditer l’utilisation de tous les privilèges utilisateur, y compris la sauvegarde et la restauration, lorsque la stratégie d’utilisation des privilèges d’audit est en vigueur. L’activation de cette option lorsque la stratégie d’utilisation des privilèges d’audit est également activée génère un événement d’audit pour chaque fichier sauvegardé ou restauré. Si vous désactivez cette stratégie, l’utilisation du privilège Sauvegarde ou Restauration n’est pas auditée, même lorsque l’utilisation du privilège Audit est activée.

Remarque

Sur les versions de Windows antérieures à la configuration de ce paramètre de sécurité par Windows Vista, les modifications n’entreront pas en vigueur tant que vous n’avez pas redémarré Windows. L’activation de ce paramètre peut provoquer beaucoup d’événements, parfois des centaines par seconde, pendant une opération de sauvegarde.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format b64
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut AA==

Valeurs autorisées:

Valeur Description
AQ== Activer.
AA== (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Audit : auditer l’utilisation des privilèges de sauvegarde et de restauration
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ForceAuditPolicySubcategorySettingsToOverrideAuditPolicyCategorySettings

Audit : Forcer les paramètres de sous-catégorie de stratégie d’audit (Windows Vista ou version ultérieure) à remplacer les paramètres de catégorie de stratégie d’audit Windows Vista et les versions ultérieures de Windows permettent de gérer la stratégie d’audit de manière plus précise à l’aide de sous-catégories de stratégie d’audit. La définition de la stratégie d’audit au niveau de la catégorie remplace la nouvelle fonctionnalité de stratégie d’audit de sous-catégorie. stratégie de groupe autorise uniquement la définition de la stratégie d’audit au niveau de la catégorie, et la stratégie de groupe existante peut remplacer les paramètres de sous-catégorie des nouveaux ordinateurs à mesure qu’ils sont joints au domaine ou mis à niveau vers Windows Vista ou des versions ultérieures. Pour permettre la gestion de la stratégie d’audit à l’aide de sous-catégories sans nécessiter de modification de stratégie de groupe, il existe une nouvelle valeur de Registre dans Windows Vista et les versions ultérieures, SCENoApplyLegacyAuditPolicy, qui empêche l’application de la stratégie d’audit au niveau de la catégorie de stratégie de groupe et de l’outil d’administration Stratégie de sécurité locale. Si la stratégie d’audit de niveau catégorie définie ici n’est pas cohérente avec les événements actuellement générés, la cause peut être que cette clé de Registre est définie. Par défaut : Activé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Audit_ShutdownSystemImmediatelyIfUnableToLogSecurityAudits

Audit : Arrêt immédiat du système s’il n’est pas en mesure de journaliser les audits de sécurité Ce paramètre de sécurité détermine si le système s’arrête s’il n’est pas en mesure de journaliser les événements de sécurité. Si ce paramètre de sécurité est activé, le système s’arrête si un audit de sécurité ne peut pas être journalisé pour une raison quelconque. En règle générale, un événement ne parvient pas à être journalisé lorsque le journal d’audit de sécurité est plein et que la méthode de rétention spécifiée pour le journal de sécurité est Ne pas remplacer les événements ou Remplacer les événements par jours. Si le journal de sécurité est plein et qu’une entrée existante ne peut pas être remplacée et que cette option de sécurité est activée, l’erreur d’arrêt suivante s’affiche : STOP : C0000244 {Audit Failed} Une tentative de génération d’un audit de sécurité a échoué. Pour récupérer, un administrateur doit ouvrir une session, archiver le journal (facultatif), effacer le journal et réinitialiser cette option comme vous le souhaitez. Tant que ce paramètre de sécurité n’est pas réinitialisé, aucun utilisateur autre qu’un membre du groupe Administrateurs ne peut se connecter au système, même si le journal de sécurité n’est pas plein.

Remarque

Sur les versions de Windows antérieures à la configuration de ce paramètre de sécurité par Windows Vista, les modifications n’entreront pas en vigueur tant que vous n’avez pas redémarré Windows.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

Devices_AllowedToFormatAndEjectRemovableMedia

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Appareils : autorisés à formater et à éjecter un média amovible Ce paramètre de sécurité détermine qui est autorisé à formater et à éjecter un média NTFS amovible. Cette fonctionnalité peut être attribuée aux administrateurs administrateurs et utilisateurs interactifs Par défaut : cette stratégie n’est pas définie et seuls les administrateurs ont cette capacité.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Appareils : permettre le formatage et l’éjection des médias amovibles
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Devices_AllowUndockWithoutHavingToLogon

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Appareils : autoriser undock sans avoir à ouvrir une session Ce paramètre de sécurité détermine si un ordinateur portable peut être désinténué sans avoir à se connecter.

  • Si cette stratégie est activée, l’ouverture de session n’est pas obligatoire et un bouton d’éjection matérielle externe peut être utilisé pour désacacrer l’ordinateur.

  • Si cette option est désactivée, un utilisateur doit ouvrir une session et disposer du privilège Supprimer l’ordinateur de la station d’accueil pour le désenlever.

Attention

La désactivation de cette stratégie peut tenter les utilisateurs d’essayer de supprimer physiquement l’ordinateur portable de sa station d’accueil à l’aide de méthodes autres que le bouton d’éjection du matériel externe. Étant donné que cela peut endommager le matériel, ce paramètre, en général, ne doit être désactivé que sur les configurations d’ordinateur portable qui sont physiquement sécurisables.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Autoriser.
0 Bloquer.

Mappage de stratégie de groupe :

Nom Valeur
Nom Appareils : autoriser le retrait sans ouverture de session préalable
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Périphériques : empêcher les utilisateurs d’installer des pilotes d’imprimante lors de la connexion à des imprimantes partagées Pour qu’un ordinateur imprime sur une imprimante partagée, le pilote de cette imprimante partagée doit être installé sur l’ordinateur local. Ce paramètre de sécurité détermine qui est autorisé à installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée.

  • Si ce paramètre est activé, seuls les administrateurs peuvent installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée.

  • Si ce paramètre est désactivé, tout utilisateur peut installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée. Valeur par défaut sur les serveurs : Activé. Valeur par défaut sur les stations de travail : notes désactivées Ce paramètre n’affecte pas la possibilité d’ajouter une imprimante locale. Ce paramètre n’affecte pas les administrateurs.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Appareils : empêcher les utilisateurs d’installer des pilotes d’imprimante
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Appareils : restreindre l’accès des CD-ROM aux utilisateurs connectés localement Uniquement Ce paramètre de sécurité détermine si un CD-ROM est accessible simultanément aux utilisateurs locaux et distants.

  • Si cette stratégie est activée, elle permet uniquement à l’utilisateur connecté de manière interactive d’accéder au support de CD-ROM amovible.

  • Si cette stratégie est activée et que personne n’est connecté de manière interactive, le CD-ROM est accessible sur le réseau. Par défaut : cette stratégie n’est pas définie et l’accès au CD-ROM n’est pas limité à l’utilisateur connecté localement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Appareils : autoriser l’accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Devices_RestrictFloppyAccessToLocallyLoggedOnUserOnly

Appareils : restreindre l’accès des disquettes à l’utilisateur connecté localement uniquement Ce paramètre de sécurité détermine si les supports de disquette amovibles sont accessibles simultanément aux utilisateurs locaux et distants.

  • Si cette stratégie est activée, elle permet uniquement à l’utilisateur connecté de manière interactive d’accéder à un support de disquette amovible.

  • Si cette stratégie est activée et que personne n’est connecté de manière interactive, la disquette est accessible sur le réseau. Par défaut : cette stratégie n’est pas définie et l’accès au lecteur de disquette n’est pas limité à l’utilisateur connecté localement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Appareils : ne permettre l’accès aux disquettes qu’aux utilisateurs connectés localement
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptOrSignSecureChannelDataAlways

Membre de domaine : chiffrer ou signer numériquement les données du canal sécurisé (toujours) Ce paramètre de sécurité détermine si tout le trafic de canal sécurisé initié par le membre de domaine doit être signé ou chiffré. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Après cela, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine pour son domaine. Ce canal sécurisé est utilisé pour effectuer des opérations telles que l’authentification directe NTLM, la recherche de sid/nom LSA, etc. Ce paramètre détermine si tout le trafic de canal sécurisé initié par le membre de domaine répond ou non aux exigences de sécurité minimales. Plus précisément, il détermine si tout le trafic de canal sécurisé initié par le membre de domaine doit être signé ou chiffré.

  • Si cette stratégie est activée, le canal sécurisé n’est pas établi, sauf si la signature ou le chiffrement de tout le trafic de canal sécurisé est négocié.

  • Si cette stratégie est désactivée, le chiffrement et la signature de tout le trafic de canal sécurisé sont négociés avec le contrôleur de domaine, auquel cas le niveau de signature et de chiffrement dépend de la version du contrôleur de domaine et des paramètres des deux stratégies suivantes : Membre de domaine : Chiffrer numériquement les données du canal sécurisé (si possible) Membre de domaine : Signer numériquement les données du canal sécurisé (si possible) Remarques : si cette stratégie est activée, le membre de la stratégie Domaine : signer numériquement les données de canal sécurisé (si possible) est supposé être activé, quel que soit son paramètre actuel. Cela garantit que le membre de domaine tente de négocier au moins la signature du trafic du canal sécurisé. Les informations de connexion transmises via le canal sécurisé sont toujours chiffrées, que le chiffrement de TOUS les autres trafics de canal sécurisé soit négocié ou non.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Membre de domaine : chiffrer ou signer numériquement les données des canaux sécurisés (toujours)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallyEncryptSecureChannelDataWhenPossible

Membre de domaine : chiffrer numériquement les données de canal sécurisé (si possible) Ce paramètre de sécurité détermine si un membre de domaine tente de négocier le chiffrement pour tout le trafic de canal sécurisé qu’il lance. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Après cela, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine pour son domaine. Ce canal sécurisé est utilisé pour effectuer des opérations telles que l’authentification directe NTLM, la recherche de nom/SID LSA, etc. Ce paramètre détermine si le membre de domaine tente ou non de négocier le chiffrement pour tout le trafic de canal sécurisé qu’il lance. Si cette option est activée, le membre de domaine demande le chiffrement de tout le trafic de canal sécurisé. Si le contrôleur de domaine prend en charge le chiffrement de tout le trafic de canal sécurisé, tout le trafic de canal sécurisé est chiffré. Sinon, seules les informations de connexion transmises via le canal sécurisé sont chiffrées. Si ce paramètre est désactivé, le membre de domaine ne tente pas de négocier le chiffrement du canal sécurisé. Important Il n’existe aucune raison connue pour désactiver ce paramètre. En plus de réduire inutilement le niveau de confidentialité potentiel du canal sécurisé, la désactivation de ce paramètre peut réduire inutilement le débit du canal sécurisé, car les appels d’API simultanés qui utilisent le canal sécurisé ne sont possibles que lorsque le canal sécurisé est signé ou chiffré.

Remarque

Les contrôleurs de domaine sont également membres du domaine et établissent des canaux sécurisés avec d’autres contrôleurs de domaine dans le même domaine, ainsi que des contrôleurs de domaine dans des domaines approuvés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Membre de domaine : chiffrer numériquement les données des canaux sécurisés (lorsque cela est possible)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

DomainMember_DigitallySignSecureChannelDataWhenPossible

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DigitallySignSecureChannelDataWhenPossible

Membre de domaine : signer numériquement les données du canal sécurisé (si possible) Ce paramètre de sécurité détermine si un membre de domaine tente de négocier la signature pour tout le trafic de canal sécurisé qu’il lance. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Après cela, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine pour son domaine. Ce canal sécurisé est utilisé pour effectuer des opérations telles que l’authentification directe NTLM, la recherche de sid/nom LSA, etc. Ce paramètre détermine si le membre de domaine tente ou non de négocier la signature pour tout le trafic de canal sécurisé qu’il lance. Si cette option est activée, le membre de domaine demande la signature de tout le trafic de canal sécurisé. Si le contrôleur de domaine prend en charge la signature de tout le trafic de canal sécurisé, tout le trafic du canal sécurisé est signé, ce qui garantit qu’il ne peut pas être falsifié en transit.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Membre de domaine : signer numériquement les données des canaux sécurisés (lorsque cela est possible)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

DomainMember_DisableMachineAccountPasswordChanges

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_DisableMachineAccountPasswordChanges

Membre de domaine : désactiver les modifications du mot de passe du compte d’ordinateur Détermine si un membre de domaine modifie régulièrement son mot de passe de compte d’ordinateur.

  • Si ce paramètre est activé, le membre de domaine ne tente pas de modifier son mot de passe de compte d’ordinateur.

  • Si ce paramètre est désactivé, le membre de domaine tente de modifier le mot de passe de son compte d’ordinateur comme spécifié par le paramètre Membre de domaine : Âge maximal du mot de passe du compte d’ordinateur, qui est tous les 30 jours par défaut. Remarque Ce paramètre de sécurité ne doit pas être activé. Les mots de passe de compte d’ordinateur sont utilisés pour établir des communications de canal sécurisées entre les membres et les contrôleurs de domaine et, dans le domaine, entre les contrôleurs de domaine eux-mêmes. Une fois qu’il est établi, le canal sécurisé est utilisé pour transmettre les informations sensibles nécessaires à la prise de décisions d’authentification et d’autorisation. Ce paramètre ne doit pas être utilisé dans une tentative de prise en charge de scénarios de double démarrage qui utilisent le même compte d’ordinateur. Si vous souhaitez démarrer deux installations qui sont jointes au même domaine, donnez aux deux installations des noms d’ordinateur différents.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

DomainMember_MaximumMachineAccountPasswordAge

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_MaximumMachineAccountPasswordAge

Membre de domaine : âge maximal du mot de passe du compte d’ordinateur Ce paramètre de sécurité détermine la fréquence à laquelle un membre de domaine tente de modifier son mot de passe de compte d’ordinateur. Valeur par défaut : 30 jours.

Important

Ce paramètre s’applique aux ordinateurs Windows 2000, mais il n’est pas disponible via les outils Configuration Manager de sécurité sur ces ordinateurs.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-999]
Valeur par défaut 30

Mappage de stratégie de groupe :

Nom Valeur
Nom Membre de domaine : ancienneté maximale du mot de passe du compte ordinateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

DomainMember_RequireStrongSessionKey

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/DomainMember_RequireStrongSessionKey

Membre de domaine : exiger une clé de session forte (Windows 2000 ou version ultérieure) Ce paramètre de sécurité détermine si la force de clé 128 bits est requise pour les données de canal sécurisé chiffrées. Lorsqu’un ordinateur rejoint un domaine, un compte d’ordinateur est créé. Après cela, lorsque le système démarre, il utilise le mot de passe du compte d’ordinateur pour créer un canal sécurisé avec un contrôleur de domaine dans le domaine. Ce canal sécurisé est utilisé pour effectuer des opérations telles que l’authentification directe NTLM, la recherche de nom/SID LSA, etc. Selon la version de Windows en cours d’exécution sur le contrôleur de domaine avec lequel le membre de domaine communique et les paramètres des paramètres : Membre de domaine : Chiffrer numériquement ou signer des données de canal sécurisé (toujours) Membre du domaine : Chiffrer numériquement les données de canal sécurisé (si possible) Une partie ou la totalité des informations transmises sur le canal sécurisé seront chiffrées. Ce paramètre de stratégie détermine si la force de clé 128 bits est requise ou non pour les informations de canal sécurisé chiffrées.

  • Si ce paramètre est activé, le canal sécurisé n’est pas établi, sauf si le chiffrement 128 bits peut être effectué.

  • Si ce paramètre est désactivé, la puissance de la clé est négociée avec le contrôleur de domaine. Important Pour tirer parti de cette stratégie sur les stations de travail et les serveurs membres, tous les contrôleurs de domaine qui constituent le domaine du membre doivent exécuter Windows 2000 ou une version ultérieure. Pour tirer parti de cette stratégie sur les contrôleurs de domaine, tous les contrôleurs de domaine du même domaine ainsi que tous les domaines approuvés doivent exécuter Windows 2000 ou version ultérieure.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Membre de domaine : nécessite une clé de session forte (Windows 2000 ou ultérieur)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Ouverture de session interactive : Afficher les informations utilisateur lorsque la session est verrouillée Nom d’affichage de l’utilisateur, domaine et noms d’utilisateur (1) Nom d’affichage de l’utilisateur uniquement (2) Ne pas afficher les informations utilisateur (3) Noms de domaine et d’utilisateur uniquement (4)

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Nom d’affichage de l’utilisateur, nom de domaine et nom d’utilisateur.
2 Nom d’affichage de l’utilisateur uniquement.
3 N’affichez pas les informations utilisateur.
4 Noms de domaine et d’utilisateur uniquement.

Mappage de stratégie de groupe :

Nom Valeur
Nom Connexion interactive : afficher les informations relatives à l’utilisateur lorsque la session est verrouillée
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_DoNotDisplayLastSignedIn

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Ouverture de session interactive : ne pas afficher la dernière connexion Ce paramètre de sécurité détermine si l’écran de connexion Windows affiche le nom d’utilisateur de la dernière personne qui s’est connectée sur ce PC.

  • Si cette stratégie est activée, le nom d’utilisateur ne s’affiche pas.

  • Si cette stratégie est désactivée, le nom d’utilisateur s’affiche.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé (le nom d’utilisateur s’affiche).
1 Activé (le nom d’utilisateur n’est pas affiché).

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : ne pas afficher le nom du dernier utilisateur connecté
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_DoNotDisplayUsernameAtSignIn

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Ouverture de session interactive : ne pas afficher le nom d’utilisateur lors de la connexion Ce paramètre de sécurité détermine si le nom d’utilisateur de la personne qui se connecte à ce PC s’affiche lors de la connexion Windows, une fois les informations d’identification entrées et avant l’affichage du bureau du PC.

  • Si cette stratégie est activée, le nom d’utilisateur ne s’affiche pas.

  • Si cette stratégie est désactivée, le nom d’utilisateur s’affiche.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé (le nom d’utilisateur s’affiche).
1 (par défaut) Activé (le nom d’utilisateur n’est pas affiché).

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : ne pas afficher le nom de l’utilisateur lors de la connexion
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_DoNotRequireCTRLALTDEL

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Ouverture de session interactive : n’avez pas besoin de Ctrl+Alt+Suppr Ce paramètre de sécurité détermine si l’appui sur Ctrl+Alt+Suppr est nécessaire pour qu’un utilisateur puisse se connecter.

  • Si cette stratégie est activée sur un ordinateur, un utilisateur n’est pas tenu d’appuyer sur Ctrl+Alt+Suppr pour se connecter. Le fait de ne pas avoir à appuyer sur Ctrl+Alt+Suppr laisse les utilisateurs vulnérables aux attaques qui tentent d’intercepter les mots de passe des utilisateurs. L’exigence de Ctrl+Alt+Suppr avant que les utilisateurs se connectent garantit que les utilisateurs communiquent au moyen d’un chemin d’accès approuvé lors de la saisie de leur mot de passe.

  • Si cette stratégie est désactivée, tout utilisateur doit appuyer sur Ctrl+Alt+Suppr avant de se connecter à Windows. Valeur par défaut sur les ordinateurs de domaine : Activé : au moins Windows 8/Désactivé : Windows 7 ou version antérieure. Valeur par défaut sur les ordinateurs autonomes : Activé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé.
1 (par défaut) Activé (un utilisateur n’est pas obligé d’appuyer sur Ctrl+Alt+Suppr pour se connecter).

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : n’a pas besoin de Ctrl+Alt+Suppr
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_MachineAccountLockoutThreshold

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineAccountLockoutThreshold

Ouverture de session interactive : seuil du compte d’ordinateur. La stratégie de verrouillage de la machine est appliquée uniquement sur les machines sur lesquelles BitLocker est activé pour protéger les volumes de système d’exploitation. Vérifiez que les stratégies de sauvegarde de mot de passe de récupération appropriées sont activées. Ce paramètre de sécurité détermine le nombre de tentatives d’ouverture de session ayant échoué qui entraînent le verrouillage de l’ordinateur. Une machine verrouillée ne peut être récupérée qu’en fournissant une clé de récupération sur la console. Vous pouvez définir la valeur entre 1 et 999 tentatives d’ouverture de session ayant échoué. Si vous définissez la valeur sur 0, la machine ne sera jamais verrouillée. Les valeurs comprises entre 1 et 3 sont interprétées comme 4. Les échecs de tentatives de mot de passe sur des stations de travail ou des serveurs membres qui ont été verrouillés à l’aide de Ctrl+Alt+Suppr ou des enregistreurs d’écran protégés par mot de passe sont comptabilisés comme des tentatives d’ouverture de session ayant échoué. La stratégie de verrouillage de la machine est appliquée uniquement sur les machines sur lesquelles BitLocker est activé pour protéger les volumes de système d’exploitation. Vérifiez que les stratégies de sauvegarde de mot de passe de récupération appropriées sont activées. Valeur par défaut : 0.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-999]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : seuil de verrouillage du compte d’ordinateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_MachineInactivityLimit

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Ouverture de session interactive : limite d’inactivité de la machine. Windows remarque l’inactivité d’une session d’ouverture de session et, si la durée d’inactivité dépasse la limite d’inactivité, l’économiseur d’écran s’exécute, verrouillant la session. Valeur par défaut : non appliqué.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-599940]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : limite d’inactivité de l’ordinateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Valider :

Valeurs valides : de 0 à 599940, où la valeur correspond à la durée d’inactivité (en secondes) après laquelle la session sera verrouillée. S’il est défini sur zéro (0), le paramètre est désactivé.

InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Ouverture de session interactive : texte du message pour les utilisateurs qui tentent de se connecter Ce paramètre de sécurité spécifie un message texte qui s’affiche pour les utilisateurs lorsqu’ils se connectent. Ce texte est souvent utilisé pour des raisons juridiques, par exemple, pour avertir les utilisateurs des conséquences d’une mauvaise utilisation des informations de l’entreprise ou pour les avertir que leurs actions peuvent être auditées. Valeur par défaut : aucun message.

Important

Le préprovisionnement de Windows Autopilot ne fonctionne pas lorsque ce paramètre de stratégie est activé. Pour plus d’informations, consultez FAQ sur la résolution des problèmes liés à Windows Autopilot.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : 0xF000)

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Ouverture de session interactive : titre du message pour les utilisateurs qui tentent de se connecter Ce paramètre de sécurité permet à la spécification d’un titre d’apparaître dans la barre de titre de la fenêtre qui contient l’ouverture de session interactive : texte du message pour les utilisateurs qui tentent de se connecter. Valeur par défaut : aucun message.

Important

Le préprovisionnement de Windows Autopilot ne fonctionne pas lorsque ce paramètre de stratégie est activé. Pour plus d’informations, consultez FAQ sur la résolution des problèmes liés à Windows Autopilot.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

InteractiveLogon_NumberOfPreviousLogonsToCache

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_NumberOfPreviousLogonsToCache

Ouverture de session interactive : nombre de connexions précédentes à mettre en cache (au cas où le contrôleur de domaine n’est pas disponible) Les informations de connexion de chaque utilisateur unique sont mises en cache localement afin que, dans le cas où un contrôleur de domaine n’est pas disponible lors des tentatives d’ouverture de session suivantes, il puisse se connecter. Les informations de connexion mises en cache sont stockées à partir de la session d’ouverture de session précédente. Si un contrôleur de domaine n’est pas disponible et que les informations d’ouverture de session d’un utilisateur ne sont pas mises en cache, l’utilisateur est invité à envoyer ce message : Actuellement, aucun serveur d’ouverture de session n’est disponible pour traiter la demande d’ouverture de session. Dans ce paramètre de stratégie, la valeur 0 désactive la mise en cache de l’ouverture de session. Toute valeur supérieure à 50 met uniquement en cache 50 tentatives d’ouverture de session. Windows prend en charge un maximum de 50 entrées de cache et le nombre d’entrées consommées par utilisateur dépend des informations d’identification. Par exemple, un maximum de 50 comptes d’utilisateur de mot de passe unique peuvent être mis en cache sur un système Windows, mais seuls 25 comptes d’utilisateur smart carte peuvent être mis en cache, car les informations de mot de passe et les informations de carte intelligente sont stockées. Lorsqu’un utilisateur avec des informations de connexion mises en cache se reconnecte, les informations mises en cache individuelles de l’utilisateur sont remplacées. Valeur par défaut : Windows Server 2008 : 25 Toutes les autres versions : 10.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 10

InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_PromptUserToChangePasswordBeforeExpiration

Ouverture de session interactive : inviter l’utilisateur à modifier le mot de passe avant l’expiration Détermine à quel point les utilisateurs sont avertis (en jours) que leur mot de passe est sur le point d’expirer. Avec cet avertissement préalable, l’utilisateur a le temps de construire un mot de passe suffisamment fort. Valeur par défaut : 5 jours.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-999]
Valeur par défaut 5

InteractiveLogon_SmartCardRemovalBehavior

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Ouverture de session interactive : comportement de suppression carte intelligente Ce paramètre de sécurité détermine ce qui se passe lorsque le carte intelligent d’un utilisateur connecté est supprimé du lecteur smart carte. Les options sont les suivantes : Aucune action Verrouiller la station de travail Forcer la déconnexion si une session des services Bureau à distance Si vous cliquez sur Verrouiller la station de travail dans la boîte de dialogue Propriétés de cette stratégie, la station de travail est verrouillée lorsque le carte intelligent est supprimé, ce qui permet aux utilisateurs de quitter la zone, de prendre leur carte intelligente avec eux et de maintenir une session protégée. Si vous cliquez sur Forcer la déconnexion dans la boîte de dialogue Propriétés de cette stratégie, l’utilisateur est automatiquement déconnecté lorsque le carte intelligent est supprimé. Si vous cliquez sur Déconnecter en cas de session services Bureau à distance, la suppression de l’carte intelligente déconnecte la session sans déconnecter l’utilisateur. Cela permet à l’utilisateur d’insérer le carte intelligent et de reprendre la session ultérieurement, ou sur un autre ordinateur intelligent carte équipé d’un lecteur, sans avoir à se reconnecter. Si la session est locale, cette stratégie fonctionne de la même manière que Verrouiller la station de travail.

Remarque

Les services Bureau à distance étaient appelés services Terminal Server dans les versions précédentes de Windows Server. Par défaut : cette stratégie n’est pas définie, ce qui signifie que le système la traite comme Aucune action. Sur Windows Vista et versions ultérieures : pour que ce paramètre fonctionne, le service stratégie de suppression de carte à puce doit être démarré.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Aucune action.
1 Verrouiller la station de travail.
2 Forcer la fermeture de session.
3 Déconnectez-vous si une session des services Bureau à distance.

Mappage de stratégie de groupe :

Nom Valeur
Nom Ouverture de session interactive : comportement lorsque la carte à puce est retirée
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Client réseau Microsoft : les communications de signature numérique (toujours) Ce paramètre de sécurité détermine si la signature de paquets est requise par le composant client SMB. Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows à distance. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si la signature de paquet SMB doit être négociée avant qu’une communication ultérieure avec un serveur SMB soit autorisée.

  • Si ce paramètre est activé, le client réseau Microsoft ne communique pas avec un serveur réseau Microsoft, sauf si ce serveur accepte d’effectuer la signature de paquetS SMB.

  • Si cette stratégie est désactivée, la signature de paquetS SMB est négociée entre le client et le serveur. Important Pour que cette stratégie prenne effet sur les ordinateurs exécutant Windows 2000, la signature de paquets côté client doit également être activée. Pour activer la signature de paquets SMB côté client, définissez Client réseau Microsoft : Communications de signature numérique (si le serveur est d’accord).

Remarque

Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Sur les systèmes d’exploitation Windows 2000 et versions ultérieures, l’activation ou l’exigence de signature de paquets pour les composants SMB côté client et serveur est contrôlée par les quatre paramètres de stratégie suivants : Client réseau Microsoft : Communications de signature numérique (toujours) - Contrôle si le composant SMB côté client nécessite ou non la signature de paquets. Client réseau Microsoft : communications de signature numérique (si le serveur est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté client. Serveur réseau Microsoft : communications de signature numérique (toujours) : contrôle si le composant SMB côté serveur nécessite ou non la signature de paquets. Serveur réseau Microsoft : communications de signature numérique (si le client est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté serveur. La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version du dialecte, de la version du système d’exploitation, des tailles de fichiers, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application. Pour plus d’informations, consultez :<https://go.microsoft.com/fwlink/?LinkID=787136> .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Client réseau Microsoft : communications signées numériquement (toujours)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Client réseau Microsoft : les communications de signature numérique (si le serveur est d’accord) Ce paramètre de sécurité détermine si le client SMB tente de négocier la signature des paquets SMB. Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows à distance. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si le composant client SMB tente de négocier la signature de paquetS SMB lorsqu’il se connecte à un serveur SMB.

  • Si ce paramètre est activé, le client réseau Microsoft demande au serveur d’effectuer la signature de paquetS SMB lors de la configuration de la session. Si la signature de paquets a été activée sur le serveur, la signature des paquets est négociée.

  • Si cette stratégie est désactivée, le client SMB ne négociera jamais la signature de paquetS SMB. Remarque Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Sur Windows 2000 et versions ultérieures, l’activation ou l’exigence de signature de paquets pour les composants SMB côté client et serveur est contrôlée par les quatre paramètres de stratégie suivants : Client réseau Microsoft : Communications de signature numérique (toujours) - Contrôle si le composant SMB côté client nécessite ou non la signature de paquets. Client réseau Microsoft : communications de signature numérique (si le serveur est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté client. Serveur réseau Microsoft : communications de signature numérique (toujours) : contrôle si le composant SMB côté serveur nécessite ou non la signature de paquets. Serveur réseau Microsoft : communications de signature numérique (si le client est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté serveur. Si la signature SMB côté client et côté serveur est activée et que le client établit une connexion SMB 1.0 au serveur, la signature SMB est tentée. La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version du dialecte, de la version du système d’exploitation, des tailles de fichiers, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application. Ce paramètre s’applique uniquement aux connexions SMB 1.0. Pour plus d’informations, consultez :<https://go.microsoft.com/fwlink/?LinkID=787136> .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Activer.
0 Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Client réseau Microsoft : envoyer un mot de passe non chiffré pour se connecter à des serveurs SMB tiers Si ce paramètre de sécurité est activé, le redirecteur SMB (Server Message Block) est autorisé à envoyer des mots de passe en texte clair aux serveurs SMB non Microsoft qui ne prennent pas en charge le chiffrement de mot de passe lors de l’authentification. L’envoi de mots de passe non chiffrés constitue un risque pour la sécurité.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Client réseau Microsoft : envoyer un mot de passe non chiffré aux serveurs SMB tiers
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Serveur réseau Microsoft : durée d’inactivité requise avant la suspension d’une session Ce paramètre de sécurité détermine la durée d’inactivité continue qui doit passer dans une session SMB (Server Message Block) avant la suspension de la session en raison d’une inactivité. Les administrateurs peuvent utiliser cette stratégie pour contrôler quand un ordinateur suspend une session SMB inactive. Si l’activité du client reprend, la session est automatiquement rétablie. Pour ce paramètre de stratégie, la valeur 0 signifie déconnecter une session inactive aussi rapidement que possible. La valeur maximale est 99999, soit 208 jours ; en effet, cette valeur désactive la stratégie. Par défaut : cette stratégie n’est pas définie, ce qui signifie que le système la traite comme 15 minutes pour les serveurs et non définie pour les stations de travail.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-99999]
Valeur par défaut 99999

Mappage de stratégie de groupe :

Nom Valeur
Nom Serveur réseau Microsoft : durée d’inactivité avant la suspension d’une session
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Serveur réseau Microsoft : les communications de signature numérique (toujours) Ce paramètre de sécurité détermine si la signature de paquets est requise par le composant serveur SMB. Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows à distance. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si la signature de paquet SMB doit être négociée avant qu’une communication supplémentaire avec un client SMB soit autorisée.

  • Si ce paramètre est activé, le serveur réseau Microsoft ne communique pas avec un client réseau Microsoft, sauf si ce client accepte d’effectuer la signature de paquetS SMB.

  • Si ce paramètre est désactivé, la signature des paquets SMB est négociée entre le client et le serveur. Par défaut : désactivé pour les serveurs membres. Activé pour les contrôleurs de domaine.

Remarque

Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Sur Windows 2000 et versions ultérieures, l’activation ou l’exigence de signature de paquets pour les composants SMB côté client et serveur est contrôlée par les quatre paramètres de stratégie suivants : Client réseau Microsoft : Communications de signature numérique (toujours) - Contrôle si le composant SMB côté client nécessite ou non la signature de paquets. Client réseau Microsoft : communications de signature numérique (si le serveur est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté client. Serveur réseau Microsoft : communications de signature numérique (toujours) : contrôle si le composant SMB côté serveur nécessite ou non la signature de paquets. Serveur réseau Microsoft : communications de signature numérique (si le client est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté serveur. De même, si la signature SMB côté client est requise, ce client ne sera pas en mesure d’établir une session avec des serveurs pour qui la signature de paquets n’est pas activée. Par défaut, la signature SMB côté serveur est activée uniquement sur les contrôleurs de domaine. Si la signature SMB côté serveur est activée, la signature de paquetS SMB est négociée avec les clients pour qui la signature SMB côté client est activée. La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version du dialecte, de la version du système d’exploitation, des tailles de fichiers, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application.

Important

Pour que cette stratégie prenne effet sur les ordinateurs exécutant Windows 2000, la signature de paquets côté serveur doit également être activée. Pour activer la signature de paquetS SMB côté serveur, définissez la stratégie suivante : Serveur réseau Microsoft : Communications de signature numérique (si le serveur accepte) Pour que les serveurs Windows 2000 négocient la signature avec les clients Windows NT 4.0, la valeur de Registre suivante doit être définie sur 1 sur le serveur Windows 2000 : HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Pour plus d’informations, référence : <https://go.microsoft.com/fwlink/?LinkID=787136>.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Serveur réseau Microsoft : communications signées numériquement (toujours)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Serveur réseau Microsoft : les communications de signature numérique (si le client est d’accord) Ce paramètre de sécurité détermine si le serveur SMB négociera la signature de paquetS SMB avec les clients qui le demandent. Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows à distance. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si le serveur SMB négociera la signature de paquet SMB lorsqu’un client SMB le demande.

  • Si ce paramètre est activé, le serveur réseau Microsoft négocie la signature des paquets SMB comme demandé par le client. Autrement dit, si la signature de paquets a été activée sur le client, la signature de paquets est négociée.

  • Si cette stratégie est désactivée, le client SMB ne négociera jamais la signature de paquetS SMB. sur les contrôleurs de domaine uniquement.

Important

Pour que les serveurs Windows 2000 négocient la signature avec les clients Windows NT 4.0, la valeur de Registre suivante doit être définie sur 1 sur le serveur exécutant Windows 2000 : HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Remarques Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Pour Windows 2000 et versions ultérieures, l’activation ou l’exigence de signature de paquets pour les composants SMB côté client et serveur est contrôlée par les quatre paramètres de stratégie suivants : Client réseau Microsoft : Communications de signature numérique (toujours) : contrôle si le composant SMB côté client nécessite ou non la signature de paquets. Client réseau Microsoft : communications de signature numérique (si le serveur est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté client. Serveur réseau Microsoft : communications de signature numérique (toujours) : contrôle si le composant SMB côté serveur nécessite ou non la signature de paquets. Serveur réseau Microsoft : communications de signature numérique (si le client est d’accord) : contrôle si la signature de paquets est activée pour le composant SMB côté serveur. Si la signature SMB côté client et côté serveur est activée et que le client établit une connexion SMB 1.0 au serveur, la signature SMB est tentée. La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version du dialecte, de la version du système d’exploitation, des tailles de fichiers, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application. Ce paramètre s’applique uniquement aux connexions SMB 1.0. Pour plus d’informations, consultez :<https://go.microsoft.com/fwlink/?LinkID=787136> .

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DisconnectClientsWhenLogonHoursExpire

Serveur réseau Microsoft : déconnectez les clients lorsque les heures d’ouverture de session expirent Ce paramètre de sécurité détermine s’il faut déconnecter les utilisateurs qui sont connectés à l’ordinateur local en dehors des heures d’ouverture de session valides de leur compte d’utilisateur. Ce paramètre affecte le composant SMB (Server Message Block). Lorsque cette stratégie est activée, les sessions clientes avec le service SMB sont déconnectées de force lorsque les heures d’ouverture de session du client expirent.

  • Si cette stratégie est désactivée, une session cliente établie est autorisée à être conservée après l’expiration des heures d’ouverture de session du client. Valeur par défaut sur Windows Vista et versions ultérieures : Activé. Valeur par défaut sur Windows XP : Désactivé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/MicrosoftNetworkServer_ServerSPNTargetNameValidationLevel

Serveur réseau Microsoft : niveau de validation du nom cible SPN du serveur Ce paramètre de stratégie contrôle le niveau de validation d’un ordinateur avec des dossiers partagés ou des imprimantes (le serveur) sur le nom de principal du service (SPN) fourni par l’ordinateur client lorsqu’il établit une session à l’aide du protocole SMB (Server Message Block). Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression et d’autres opérations réseau, telles que l’administration Windows à distance. Le protocole SMB prend en charge la validation du nom de principal de service (SPN) du serveur SMB dans l’objet blob d’authentification fourni par un client SMB pour empêcher une classe d’attaques contre des serveurs SMB appelées attaques relais SMB. Ce paramètre affecte SMB1 et SMB2. Ce paramètre de sécurité détermine le niveau de validation qu’un serveur SMB effectue sur le nom de principal de service (SPN) fourni par le client SMB lors de la tentative d’établissement d’une session sur un serveur SMB. Les options sont les suivantes : Désactivé : le SPN n’est pas requis ou validé par le serveur SMB à partir d’un client SMB. Accepter si fourni par le client : le serveur SMB accepte et valide le SPN fourni par le client SMB et autorise l’établissement d’une session si elle correspond à la liste des SPN du serveur SMB pour lui-même. Si le SPN ne correspond PAS, la demande de session pour ce client SMB est refusée. Obligatoire à partir du client : le client SMB DOIT envoyer un nom SPN dans l’installation de session, et le nom spN fourni DOIT correspondre au serveur SMB demandé pour établir une connexion. Si aucun SPN n’est fourni par le client ou si le SPN fourni ne correspond pas, la session est refusée. Par défaut : Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. Ce paramètre affecte le comportement du serveur SMB, et son implémentation doit être soigneusement évaluée et testée pour éviter toute interruption des fonctionnalités de service de fichiers et d’impression. Vous trouverez des informations supplémentaires sur l’implémentation et l’utilisation de ce pour sécuriser vos serveurs SMB sur le site web microsoft (https://go.microsoft.com/fwlink/?LinkId=144505).

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-2]
Valeur par défaut 0

NetworkAccess_AllowAnonymousSIDOrNameTranslation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_AllowAnonymousSIDOrNameTranslation

Accès réseau : autoriser la traduction de sid/nom anonyme Ce paramètre de stratégie détermine si un utilisateur anonyme peut demander des attributs d’identificateur de sécurité (SID) pour un autre utilisateur.

  • Si cette stratégie est activée, un utilisateur anonyme peut demander l’attribut SID pour un autre utilisateur. Un utilisateur anonyme connaissant le SID d’un administrateur peut contacter un ordinateur sur lequel cette stratégie est activée et utiliser le SID pour obtenir le nom de l’administrateur. Ce paramètre affecte à la fois la traduction DE SID en nom ainsi que la traduction de nom en SID.

  • Si ce paramètre de stratégie est désactivé, un utilisateur anonyme ne peut pas demander l’attribut SID pour un autre utilisateur. Valeur par défaut sur les stations de travail et les serveurs membres : Désactivé. Valeur par défaut sur les contrôleurs de domaine exécutant Windows Server 2008 ou version ultérieure : Désactivé. Valeur par défaut sur les contrôleurs de domaine exécutant Windows Server 2003 R2 ou version antérieure : Activé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Accès réseau : autoriser la traduction de sid/nom anonyme
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Accès réseau : n’autorisez pas l’énumération anonyme des comptes SAM Ce paramètre de sécurité détermine les autorisations supplémentaires qui seront accordées pour les connexions anonymes à l’ordinateur. Windows permet aux utilisateurs anonymes d’effectuer certaines activités, par exemple énumérer les noms des comptes de domaine et des partages réseau. Cela est pratique, par exemple, lorsqu’un administrateur souhaite accorder l’accès aux utilisateurs dans un domaine approuvé qui ne maintient pas d’approbation réciproque. Cette option de sécurité permet d’appliquer des restrictions supplémentaires aux connexions anonymes comme suit : Activé : Ne pas autoriser l’énumération des comptes SAM. Cette option remplace Tout le monde par Utilisateurs authentifiés dans les autorisations de sécurité pour les ressources. Désactivé : aucune restriction supplémentaire. Reposez-vous sur les autorisations par défaut. Valeur par défaut sur les stations de travail : Activé. Valeur par défaut sur le serveur : Activé.

Important

Cette stratégie n’a aucun impact sur les contrôleurs de domaine.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Activé.
0 Désactivé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Accès réseau : n’autorisez pas l’énumération anonyme des comptes SAM
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Accès réseau : n’autorisez pas l’énumération anonyme des comptes et partages SAM Ce paramètre de sécurité détermine si l’énumération anonyme des comptes et partages SAM est autorisée. Windows permet aux utilisateurs anonymes d’effectuer certaines activités, par exemple énumérer les noms des comptes de domaine et des partages réseau. Cela est pratique, par exemple, lorsqu’un administrateur souhaite accorder l’accès aux utilisateurs dans un domaine approuvé qui ne maintient pas d’approbation réciproque. Si vous ne souhaitez pas autoriser l’énumération anonyme des comptes et partages SAM, activez cette stratégie.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activé.
0 (par défaut) Désactivé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Accès réseau : n’autorisez pas l’énumération anonyme des comptes et partages SAM
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowStorageOfPasswordsAndCredentialsForNetworkAuthentication

Accès réseau : n’autorisez pas le stockage des mots de passe et des informations d’identification pour l’authentification réseau Ce paramètre de sécurité détermine si le Gestionnaire d’informations d’identification enregistre les mots de passe et les informations d’identification pour une utilisation ultérieure lorsqu’il obtient l’authentification de domaine.

  • Si vous activez ce paramètre, le Gestionnaire d’informations d’identification ne stocke pas les mots de passe et les informations d’identification sur l’ordinateur.

  • Si vous désactivez ou ne configurez pas ce paramètre de stratégie, le Gestionnaire d’informations d’identification stocke les mots de passe et les informations d’identification sur cet ordinateur pour une utilisation ultérieure pour l’authentification de domaine.

Remarque

Lors de la configuration de ce paramètre de sécurité, les modifications ne prennent pas effet tant que vous n’avez pas redémarré Windows.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_LetEveryonePermissionsApplyToAnonymousUsers

Accès réseau : autoriser tout le monde à s’appliquer aux utilisateurs anonymes Ce paramètre de sécurité détermine les autorisations supplémentaires accordées pour les connexions anonymes à l’ordinateur. Windows permet aux utilisateurs anonymes d’effectuer certaines activités, par exemple énumérer les noms des comptes de domaine et des partages réseau. Cela est pratique, par exemple, lorsqu’un administrateur souhaite accorder l’accès aux utilisateurs dans un domaine approuvé qui ne maintient pas d’approbation réciproque. Par défaut, l’identificateur de sécurité Tout le monde (SID) est supprimé du jeton créé pour les connexions anonymes. Par conséquent, les autorisations accordées au groupe Tout le monde ne s’appliquent pas aux utilisateurs anonymes. Si cette option est définie, les utilisateurs anonymes peuvent uniquement accéder aux ressources pour lesquelles l’utilisateur anonyme a été explicitement autorisé.

  • Si cette stratégie est activée, le SID Tout le monde est ajouté au jeton créé pour les connexions anonymes. Dans ce cas, les utilisateurs anonymes peuvent accéder à n’importe quelle ressource pour laquelle le groupe Tout le monde a reçu des autorisations.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Accès réseau : les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s’appliquent aux utilisateurs anonymes
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_NamedPipesThatCanBeAccessedAnonymously

Accès réseau : canaux nommés accessibles de manière anonyme Ce paramètre de sécurité détermine les sessions de communication (canaux) qui auront des attributs et des autorisations qui autorisent l’accès anonyme. Valeur par défaut : Aucun.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : ,)

NetworkAccess_RemotelyAccessibleRegistryPaths

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPaths

Accès réseau : chemins d’accès au Registre accessibles à distance Ce paramètre de sécurité détermine les clés de Registre accessibles sur le réseau, quels que soient les utilisateurs ou les groupes répertoriés dans la liste de contrôle d’accès (ACL) de la clé de Registre winreg. Par défaut : System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Attention Une modification incorrecte du registre peut endommager gravement votre système. Avant d’apporter des modifications au Registre, vous devez sauvegarder toutes les données évaluées sur l’ordinateur.

Remarque

Ce paramètre de sécurité n’est pas disponible sur les versions antérieures de Windows. Le paramètre de sécurité qui s’affiche sur les ordinateurs exécutant Windows XP, « Accès réseau : chemins d’accès au Registre accessibles à distance » correspond à l’option de sécurité « Accès réseau : chemins et sous-chemins de Registre accessibles à distance » sur les membres de la famille Windows Server 2003. Pour plus d’informations, consultez Accès réseau : chemins et sous-chemins de Registre accessibles à distance.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : ,)

NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RemotelyAccessibleRegistryPathsAndSubpaths

Accès réseau : chemins et sous-chemins de Registre accessibles à distance Ce paramètre de sécurité détermine les chemins et sous-chemins de Registre accessibles sur le réseau, quels que soient les utilisateurs ou groupes répertoriés dans la liste de contrôle d’accès (ACL) de la clé de Registre winreg. Par défaut : System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Attention Une modification incorrecte du registre peut endommager gravement votre système. Avant d’apporter des modifications au Registre, vous devez sauvegarder toutes les données évaluées sur l’ordinateur.

Remarque

Sur Windows XP, ce paramètre de sécurité était appelé « Accès réseau : chemins d’accès au Registre accessibles à distance ». Si vous configurez ce paramètre sur un membre de la famille Windows Server 2003 joint à un domaine, ce paramètre est hérité par les ordinateurs exécutant Windows XP, mais s’affiche sous la forme de l’option de sécurité « Accès réseau : chemins d’accès au Registre accessibles à distance ». Pour plus d’informations, consultez Accès réseau : chemins et sous-chemins de Registre accessibles à distance.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : ,)

NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Accès réseau : Restreindre l’accès anonyme aux canaux nommés et aux partages Lorsqu’il est activé, ce paramètre de sécurité limite l’accès anonyme aux partages et aux canaux aux paramètres pour : Accès réseau : canaux nommés accessibles de manière anonyme Accès réseau : partages accessibles de manière anonyme

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Activer.
0 Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Accès réseau : Restreindre les clients autorisés à passer des appels distants à SAM Ce paramètre de stratégie vous permet de restreindre les connexions RPC distantes à SAM. Si cette option n’est pas sélectionnée, le descripteur de sécurité par défaut est utilisé. Cette stratégie est prise en charge sur au moins Windows Server 2016.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Mappage de stratégie de groupe :

Nom Valeur
Nom Accès réseau : restreindre les clients autorisés à effectuer des appels distants vers SAM
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkAccess_SharesThatCanBeAccessedAnonymously

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharesThatCanBeAccessedAnonymously

Accès réseau : partages accessibles de manière anonyme Ce paramètre de sécurité détermine les partages réseau accessibles par les utilisateurs anonymes. Valeur par défaut : Aucun spécifié.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : ,)

NetworkAccess_SharingAndSecurityModelForLocalAccounts

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkAccess_SharingAndSecurityModelForLocalAccounts

Accès réseau : modèle de partage et de sécurité pour les comptes locaux Ce paramètre de sécurité détermine la façon dont les connexions réseau qui utilisent des comptes locaux sont authentifiées. Si ce paramètre est défini sur Classique, les connexions réseau qui utilisent des informations d’identification de compte local s’authentifient à l’aide de ces informations d’identification. Le modèle classique permet un contrôle précis de l’accès aux ressources. En utilisant le modèle classique, vous pouvez accorder différents types d’accès à différents utilisateurs pour la même ressource. Si ce paramètre est défini sur Invité uniquement, les connexions réseau qui utilisent des comptes locaux sont automatiquement mappées au compte Invité. En utilisant le modèle Invité, vous pouvez traiter tous les utilisateurs de la même manière. Tous les utilisateurs s’authentifient en tant qu’invités et ils reçoivent tous le même niveau d’accès à une ressource donnée, qui peut être en lecture seule ou modifier. Valeur par défaut sur les ordinateurs de domaine : Classique. Valeur par défaut sur les ordinateurs autonomes : Invité uniquement Important Avec le modèle Invité uniquement, tout utilisateur qui peut accéder à votre ordinateur sur le réseau (y compris les utilisateurs Internet anonymes) peut accéder à vos ressources partagées. Vous devez utiliser le Pare-feu Windows ou un autre appareil similaire pour protéger votre ordinateur contre tout accès non autorisé. De même, avec le modèle classique, les comptes locaux doivent être protégés par mot de passe ; sinon, ces comptes d’utilisateur peuvent être utilisés par n’importe qui pour accéder aux ressources système partagées.

Remarque

Ce paramètre n’affecte pas les ouvertures de session interactives qui sont effectuées à distance à l’aide de services tels que Telnet ou Les services Bureau à distance. Les services Bureau à distance étaient appelés services Terminal Server dans les versions précédentes de Windows Server. Cette stratégie n’aura aucun impact sur les ordinateurs exécutant Windows 2000. Lorsque l’ordinateur n’est pas joint à un domaine, ce paramètre modifie également les onglets Partage et Sécurité dans Explorateur de fichiers pour qu’ils correspondent au modèle de partage et de sécurité utilisé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

NetworkSecurity_AllowLocalSystemNULLSessionFallback

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemNULLSessionFallback

Sécurité réseau : Autoriser le secours de session NULL LocalSystem Autoriser NTLM à revenir à la session NULL lorsqu’il est utilisé avec LocalSystem. La valeur par défaut est TRUE jusqu’à Windows Vista et FALSE dans Windows 7.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Sécurité réseau : autoriser le système local à utiliser l’identité de l’ordinateur pour NTLM Ce paramètre de stratégie permet aux services système local qui utilisent Negotiate d’utiliser l’identité de l’ordinateur lors du rétablissement de l’authentification NTLM.

  • Si vous activez ce paramètre de stratégie, les services exécutés en tant que système local qui utilisent Negotiate utilisent l’identité de l’ordinateur. Cela peut entraîner l’échec de certaines demandes d’authentification entre les systèmes d’exploitation Windows et enregistrer une erreur.

  • Si vous désactivez ce paramètre de stratégie, les services s’exécutant en tant que système local qui utilisent Negotiate lors du rétablissement de l’authentification NTLM s’authentifient de manière anonyme. Par défaut, cette stratégie est activée sur Windows 7 et versions ultérieures. Par défaut, cette stratégie est désactivée sur Windows Vista. Cette stratégie est prise en charge sur au moins Windows Vista ou Windows Server 2008.

Remarque

Windows Vista ou Windows Server 2008 n’exposent pas ce paramètre dans stratégie de groupe.

  • Lorsqu’un service se connecte à l’identité de l’appareil, la signature et le chiffrement sont pris en charge pour assurer la protection des données.
  • Lorsqu’un service se connecte anonymement, une clé de session générée par le système est créée, ce qui n’offre aucune protection, mais permet aux applications de signer et de chiffrer des données sans erreur. L’authentification anonyme utilise une session NULL, qui est une session avec un serveur dans lequel aucune authentification utilisateur n’est effectuée ; par conséquent, l’accès anonyme est autorisé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Autoriser.
0 Bloquer.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : autoriser le système local à utiliser l’identité de l’ordinateur pour NTLM
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_AllowPKU2UAuthenticationRequests

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Sécurité réseau : autoriser les demandes d’authentification PKU2U à cet ordinateur à utiliser des identités en ligne. Cette stratégie est désactivée par défaut sur les machines jointes au domaine. Cela empêcherait les identités en ligne de s’authentifier auprès de l’ordinateur joint au domaine.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Bloquer.
1 (par défaut) Autoriser.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : autoriser les demandes d’authentification PKU2U à cet ordinateur à utiliser des identités en ligne.
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Remarque

Cette stratégie est déconseillée et peut être supprimée dans une version ultérieure.

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Sécurité réseau : ne stockez pas la valeur de hachage du Gestionnaire de réseau local lors de la prochaine modification de mot de passe Ce paramètre de sécurité détermine si, lors de la modification suivante du mot de passe, la valeur de hachage du gestionnaire de réseau local (LM) pour le nouveau mot de passe est stockée. Le hachage LM est relativement faible et sujet aux attaques, par rapport au hachage Windows NT plus fort du point de vue du chiffrement. Étant donné que le hachage LM est stocké sur l’ordinateur local dans la base de données de sécurité, les mots de passe peuvent être compromis si la base de données de sécurité est attaquée. Par défaut sur Windows Vista et versions ultérieures : Activé Par défaut sur Windows XP : Désactivé.

Important

Windows 2000 Service Pack 2 (SP2) et versions ultérieures offrent une compatibilité avec l’authentification pour les versions antérieures de Windows, telles que Microsoft Windows NT 4.0. Ce paramètre peut affecter la capacité des ordinateurs exécutant Windows 2000 Server, Windows 2000 Professionnel, Windows XP et la famille Windows Server 2003 à communiquer avec les ordinateurs exécutant Windows 95 et Windows 98.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Activer.
0 Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : ne stockez pas la valeur de hachage du Gestionnaire de réseau local lors de la prochaine modification du mot de passe
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_ForceLogoffWhenLogonHoursExpire

Sécurité réseau : Forcer la fermeture de session lorsque les heures d’ouverture de session expirent Ce paramètre de sécurité détermine s’il faut déconnecter les utilisateurs qui sont connectés à l’ordinateur local en dehors des heures d’ouverture de session valides de leur compte d’utilisateur. Ce paramètre affecte le composant SMB (Server Message Block). Lorsque cette stratégie est activée, les sessions clientes avec le serveur SMB sont déconnectées de force lorsque les heures d’ouverture de session du client expirent.

  • Si cette stratégie est désactivée, une session cliente établie est autorisée à être conservée après l’expiration des heures d’ouverture de session du client. Remarque : Ce paramètre de sécurité se comporte comme une stratégie de compte. Pour les comptes de domaine, il ne peut y avoir qu’une seule stratégie de compte. La stratégie de compte doit être définie dans la stratégie de domaine par défaut et elle est appliquée par les contrôleurs de domaine qui composent le domaine. Un contrôleur de domaine extrait toujours la stratégie de compte à partir de l’objet de stratégie de groupe de stratégie de domaine par défaut (GPO), même si une stratégie de compte différente est appliquée à l’unité d’organisation qui contient le contrôleur de domaine. Par défaut, les stations de travail et les serveurs joints à un domaine (par exemple, les ordinateurs membres) reçoivent également la même stratégie de compte pour leurs comptes locaux. Toutefois, les stratégies de compte local pour les ordinateurs membres peuvent être différentes de la stratégie de compte de domaine en définissant une stratégie de compte pour l’unité d’organisation qui contient les ordinateurs membres. Les paramètres Kerberos ne sont pas appliqués aux ordinateurs membres.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Activer.
0 Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : forcer la fermeture de session quand les horaires de connexion expirent
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_LANManagerAuthenticationLevel

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Niveau d’authentification network security LAN Manager Ce paramètre de sécurité détermine le protocole d’authentification challenge/réponse utilisé pour les connexions réseau. Ce choix affecte le niveau du protocole d’authentification utilisé par les clients, le niveau de sécurité de session négocié et le niveau d’authentification accepté par les serveurs comme suit : Envoyer des réponses LM et NTLM : les clients utilisent l’authentification LM et NTLM et n’utilisent jamais la sécurité de session NTLMv2 ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer LM et NTLM : utilisez la sécurité de session NTLMv2 si elle est négociée : les clients utilisent l’authentification LM et NTLM et utilisent la sécurité de session NTLMv2 si le serveur la prend en charge ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer une réponse NTLM uniquement : les clients utilisent l’authentification NTLM uniquement et utilisent la sécurité de session NTLMv2 si le serveur la prend en charge ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer la réponse NTLMv2 uniquement : les clients utilisent l’authentification NTLMv2 uniquement et utilisent la sécurité de session NTLMv2 si le serveur la prend en charge ; Les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2. Envoyer la réponse NTLMv2 uniquement\refuser LM : les clients utilisent l’authentification NTLMv2 uniquement et utilisent la sécurité de session NTLMv2 si le serveur la prend en charge ; les contrôleurs de domaine refusent LM (acceptent uniquement l’authentification NTLM et NTLMv2). Envoyer la réponse NTLMv2 uniquement\refuser LM et NTLM : les clients utilisent l’authentification NTLMv2 uniquement et utilisent la sécurité de session NTLMv2 si le serveur la prend en charge ; les contrôleurs de domaine refusent LM et NTLM (acceptent uniquement l’authentification NTLMv2).

Important

Ce paramètre peut affecter la capacité des ordinateurs exécutant Windows 2000 Server, Windows 2000 Professionnel, Windows XP Professionnel et la famille Windows Server 2003 à communiquer avec les ordinateurs exécutant Windows NT 4.0 et versions antérieures sur le réseau. Par exemple, au moment de la rédaction de cet article, les ordinateurs exécutant Windows NT 4.0 SP4 et versions antérieures ne prenaient pas en charge NTLMv2. Les ordinateurs exécutant Windows 95 et Windows 98 ne prenaient pas en charge NTLM. Par défaut : Windows 2000 et Windows XP : envoyer des réponses LM et NTLM Windows Server 2003 : Envoyer une réponse NTLM uniquement Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 : Envoyer une réponse NTLMv2 uniquement.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 3

Valeurs autorisées:

Valeur Description
0 Envoyer des réponses LM et NTLM.
1 Envoyer la sécurité de session LM et NTLM-use NTLMv2 si elle est négociée.
2 Envoyer des réponses LM et NTLM uniquement.
3 (par défaut) Envoyer des réponses LM et NTLMv2 uniquement.
4 Envoyer des réponses LM et NTLMv2 uniquement. Refusez LM.
5 Envoyer des réponses LM et NTLMv2 uniquement. Refusez LM et NTLM.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : niveau d’authentification LAN Manager
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_LDAPClientSigningRequirements

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_LDAPClientSigningRequirements

Sécurité réseau : exigences de signature du client LDAP Ce paramètre de sécurité détermine le niveau de signature des données demandé pour le compte des clients qui émettent des demandes LDAP BIND, comme suit : Aucun : La demande LDAP BIND est émise avec les options spécifiées par l’appelant. Négocier la signature : si TLS\SSL (Transport Layer Security/Secure Sockets Layer) n’a pas démarré, la requête LDAP BIND est lancée avec l’option de signature de données LDAP définie en plus des options spécifiées par l’appelant. Si TLS\SSL a été démarré, la requête LDAP BIND est lancée avec les options spécifiées par l’appelant. Exiger une signature : il s’agit de la même chose que négocier la signature. Toutefois, si la réponse saslBindInProgress intermédiaire du serveur LDAP n’indique pas que la signature du trafic LDAP est requise, l’appelant est informé que la demande de commande LDAP BIND a échoué.

Attention

Si vous définissez le serveur sur Exiger une signature, vous devez également définir le client. Le fait de ne pas définir le client entraîne une perte de connexion avec le serveur.

Remarque

Ce paramètre n’a aucun impact sur les ldap_simple_bind ou les ldap_simple_bind_s. Aucun client Ldap Microsoft fourni avec Windows XP Professionnel n’utilise ldap_simple_bind ou ldap_simple_bind_s pour communiquer avec un contrôleur de domaine. Par défaut : Négocier la signature.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-2]
Valeur par défaut 1

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1809 [10.0.17763] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Sécurité réseau : sécurité de session minimale pour les clients SSP NTLM (y compris RPC sécurisé) Ce paramètre de sécurité permet à un client d’exiger la négociation d’un chiffrement 128 bits et/ou la sécurité de session NTLMv2. Ces valeurs dépendent de la valeur de sécurité du paramètre niveau d’authentification LAN Manager. Les options sont les suivantes : Exiger la sécurité de session NTLMv2 : la connexion échoue si le protocole NTLMv2 n’est pas négocié. Exiger un chiffrement 128 bits : la connexion échoue si le chiffrement fort (128 bits) n’est pas négocié. Par défaut : Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 et Windows Server 2008 : aucune configuration requise. Windows 7 et Windows Server 2008 R2 : nécessite un chiffrement 128 bits.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 536870912

Valeurs autorisées:

Valeur Description
0 Aucune.
524288 Exiger la sécurité de session NTLMv2.
536870912 (par défaut) Exiger un chiffrement 128 bits.
537395200 Exiger un chiffrement NTLM et 128 bits.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris RPC sécurisé)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Sécurité réseau : sécurité de session minimale pour les serveurs SSP NTLM (y compris RPC sécurisé) Ce paramètre de sécurité permet à un serveur d’exiger la négociation d’un chiffrement 128 bits et/ou la sécurité de session NTLMv2. Ces valeurs dépendent de la valeur de sécurité du paramètre niveau d’authentification LAN Manager. Les options sont les suivantes : Exiger la sécurité de session NTLMv2 : la connexion échoue si l’intégrité du message n’est pas négociée. Exiger un chiffrement 128 bits. La connexion échoue si le chiffrement fort (128 bits) n’est pas négocié. Par défaut : Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 et Windows Server 2008 : aucune configuration requise. Windows 7 et Windows Server 2008 R2 : nécessite un chiffrement 128 bits.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 536870912

Valeurs autorisées:

Valeur Description
0 Aucune.
524288 Exiger la sécurité de session NTLMv2.
536870912 (par défaut) Exiger un chiffrement 128 bits.
537395200 Exiger un chiffrement NTLM et 128 bits.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Sécurité réseau : Restreindre NTLM : ajouter des exceptions de serveur distant pour l’authentification NTLM Ce paramètre de stratégie vous permet de créer une liste d’exceptions de serveurs distants sur lesquels les clients sont autorisés à utiliser l’authentification NTLM si le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants » est configuré.

  • Si vous configurez ce paramètre de stratégie, vous pouvez définir une liste de serveurs distants sur lesquels les clients sont autorisés à utiliser l’authentification NTLM.

  • Si vous ne configurez pas ce paramètre de stratégie, aucune exception n’est appliquée. Le format de nommage des serveurs figurant dans cette liste d’exceptions est le nom de domaine complet (FQDN) ou le nom de serveur NetBIOS utilisé par l’application, répertorié un par ligne. Pour garantir que le nom utilisé par toutes les applications doit figurer dans la liste, et pour s’assurer qu’une exception est exacte, le nom du serveur doit être répertorié dans les deux formats de nommage . Un seul astérisque (*) peut être utilisé n’importe où dans la chaîne comme caractère générique.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Liste (délimiteur : 0xF000)

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : restreindre NTLM : ajouter des exceptions de serveurs distants pour l’authentification NTLM
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant Ce paramètre de stratégie vous permet d’auditer le trafic NTLM entrant. Si vous sélectionnez « Désactiver » ou si vous ne configurez pas ce paramètre de stratégie, le serveur ne journalisera pas les événements pour le trafic NTLM entrant. Si vous sélectionnez « Activer l’audit pour les comptes de domaine », le serveur journalise les événements pour les demandes d’authentification directe NTLM qui seraient bloqués lorsque le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : trafic NTLM entrant » est défini sur l’option « Refuser tous les comptes de domaine ». Si vous sélectionnez « Activer l’audit pour tous les comptes », le serveur journalisera les événements pour toutes les demandes d’authentification NTLM qui seraient bloquées lorsque le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : trafic NTLM entrant » est défini sur l’option « Refuser tous les comptes ». Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2.

Remarque

Les événements d’audit sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous le journal des applications et des services/Microsoft/Windows/NTLM.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactiver.
1 Activez l’audit pour les comptes de domaine.
2 Activez l’audit pour tous les comptes.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : Restreindre NTLM : auditer le trafic NTLM entrant
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Sécurité réseau : Restreindre NTLM : trafic NTLM entrant Ce paramètre de stratégie vous permet de refuser ou d’autoriser le trafic NTLM entrant. Si vous sélectionnez « Autoriser tout » ou si vous ne configurez pas ce paramètre de stratégie, le serveur autorise toutes les demandes d’authentification NTLM. Si vous sélectionnez « Refuser tous les comptes de domaine », le serveur refuse les demandes d’authentification NTLM pour l’ouverture de session au domaine et affiche une erreur NTLM bloquée, mais autorise l’ouverture de session de compte local. Si vous sélectionnez « Refuser tous les comptes », le serveur refuse les demandes d’authentification NTLM du trafic entrant et affiche une erreur NTLM bloquée. Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2.

Remarque

Les événements de blocage sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous le journal des applications et des services/Microsoft/Windows/NTLM.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Autoriser tout.
1 Refuser tous les comptes de domaine.
2 Refuser tous les comptes.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : restreindre NTLM : trafic NTLM entrant
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1803 [10.0.17134] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants Ce paramètre de stratégie vous permet de refuser ou d’auditer le trafic NTLM sortant de cet ordinateur Windows 7 ou Windows Server 2008 R2 vers n’importe quel serveur distant Windows. Si vous sélectionnez « Tout autoriser » ou si vous ne configurez pas ce paramètre de stratégie, l’ordinateur client peut authentifier les identités sur un serveur distant à l’aide de l’authentification NTLM. Si vous sélectionnez « Tout auditer », l’ordinateur client enregistre un événement pour chaque demande d’authentification NTLM à un serveur distant. Cela vous permet d’identifier les serveurs qui reçoivent des demandes d’authentification NTLM de l’ordinateur client. Si vous sélectionnez « Refuser tout », l’ordinateur client ne peut pas authentifier les identités sur un serveur distant à l’aide de l’authentification NTLM. Vous pouvez utiliser le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM » pour définir une liste de serveurs distants sur lesquels les clients sont autorisés à utiliser l’authentification NTLM. Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2.

Remarque

Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous le journal des applications et des services/Microsoft/Windows/NTLM.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Autoriser tout.
1 Refuser tous les comptes de domaine.
2 Refuser tous les comptes.

Mappage de stratégie de groupe :

Nom Valeur
Nom Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

RecoveryConsole_AllowAutomaticAdministrativeLogon

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowAutomaticAdministrativeLogon

Console de récupération : Autoriser l’ouverture de session administrative automatique Ce paramètre de sécurité détermine si le mot de passe du compte Administrateur doit être fourni avant que l’accès au système soit accordé. Si cette option est activée, la console de récupération ne vous oblige pas à fournir de mot de passe et se connecte automatiquement au système. Par défaut : cette stratégie n’est pas définie et l’ouverture de session administrative automatique n’est pas autorisée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

Mappage de stratégie de groupe :

Nom Valeur
Nom Console de récupération : autoriser l’ouverture de session d’administration automatique
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/RecoveryConsole_AllowFloppyCopyAndAccessToAllDrivesAndAllFolders

Console de récupération : autoriser la copie de disquette et l’accès à tous les lecteurs et à tous les dossiers L’activation de cette option de sécurité rend la commande SET de la console de récupération disponible, ce qui vous permet de définir les variables d’environnement de la console de récupération suivantes : AllowWildCards : Activer la prise en charge des caractères génériques pour certaines commandes (par exemple, la commande DEL). AllowAllPaths : autoriser l’accès à tous les fichiers et dossiers sur l’ordinateur. AllowRemovableMedia : autoriser la copie des fichiers sur un support amovible, tel qu’une disquette. NoCopyPrompt : n’invitez pas à remplacer un fichier existant. Par défaut : cette stratégie n’est pas définie et la commande SET de la console de récupération n’est pas disponible.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 0

Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Arrêt : autoriser l’arrêt du système sans avoir à se connecter Ce paramètre de sécurité détermine si un ordinateur peut être arrêté sans avoir à se connecter à Windows. Lorsque cette stratégie est activée, la commande Arrêter est disponible sur l’écran d’ouverture de session Windows. Lorsque cette stratégie est désactivée, l’option d’arrêt de l’ordinateur n’apparaît pas sur l’écran d’ouverture de session Windows. Dans ce cas, les utilisateurs doivent être en mesure de se connecter correctement à l’ordinateur et de disposer de l’option Arrêter l’utilisateur système avant de pouvoir effectuer un arrêt du système. Valeur par défaut sur les stations de travail : Activé. Par défaut sur les serveurs : Désactivé.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé.
1 (par défaut) Activé (autoriser l’arrêt du système sans avoir à se connecter).

Mappage de stratégie de groupe :

Nom Valeur
Nom Arrêt : permet au système d’être arrêté sans avoir à se connecter
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Shutdown_ClearVirtualMemoryPageFile

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Arrêt : effacer le fichier de page de la mémoire virtuelle Ce paramètre de sécurité détermine si le fichier de page de mémoire virtuelle est effacé lorsque le système est arrêté. La prise en charge de la mémoire virtuelle utilise un fichier de page système pour échanger des pages de mémoire sur le disque lorsqu’elles ne sont pas utilisées. Sur un système en cours d’exécution, ce fichier de page est ouvert exclusivement par le système d’exploitation et il est bien protégé. Toutefois, les systèmes configurés pour autoriser le démarrage sur d’autres systèmes d’exploitation peuvent être amenés à s’assurer que le fichier de page du système est effacé propre lorsque ce système s’arrête. Cela garantit que les informations sensibles de la mémoire de processus susceptibles d’entrer dans le fichier de page ne sont pas disponibles pour un utilisateur non autorisé qui parvient à accéder directement au fichier de page. Lorsque cette stratégie est activée, le fichier de page système est effacé lors de propre’arrêt. Si vous activez cette option de sécurité, le fichier de mise en veille prolongée (hiberfil.sys) est également mis à zéro lorsque la mise en veille prolongée est désactivée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Arrêt : effacer le fichier d’échange de mémoire virtuelle
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

SystemCryptography_ForceStrongKeyProtection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemCryptography_ForceStrongKeyProtection

Chiffrement système : Forcer une protection forte des clés utilisateur stockées sur l’ordinateur Ce paramètre de sécurité détermine si les clés privées des utilisateurs nécessitent l’utilisation d’un mot de passe. Les options sont les suivantes : L’entrée utilisateur n’est pas requise lorsque de nouvelles clés sont stockées et que l’utilisateur est utilisé l’utilisateur est invité lors de la première utilisation de la clé L’utilisateur doit entrer un mot de passe chaque fois qu’il utilise une clé Pour plus d’informations, voir Infrastructure de clé publique. Par défaut : cette stratégie n’est pas définie.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-2]
Valeur par défaut 0

SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_RequireCaseInsensitivityForNonWindowsSubsystems

Objets système : exiger l’insensibilité de la casse pour les sous-systèmes autres que Windows Ce paramètre de sécurité détermine si l’insensibilité de cas est appliquée à tous les sous-systèmes. Le sous-système Win32 ne respecte pas la casse. Toutefois, le noyau prend en charge le respect de la casse pour d’autres sous-systèmes, tels que POSIX. Si ce paramètre est activé, l’insensibilité de cas est appliquée à tous les objets d’annuaire, liens symboliques et objets d’E/S, y compris les objets fichier. La désactivation de ce paramètre n’autorise pas le sous-système Win32 à respecter la casse.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

Mappage de stratégie de groupe :

Nom Valeur
Nom Objets système : les différences entre majuscules et minuscules ne doivent pas être prises en compte pour les sous-systèmes autres que Windows
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/SystemObjects_StrengthenDefaultPermissionsOfInternalSystemObjects

Objets système : renforcer les autorisations par défaut des objets système internes (par exemple, liens symboliques) Ce paramètre de sécurité détermine la puissance de la liste de contrôle d’accès discrétionnaire (DACL) par défaut pour les objets. Active Directory tient à jour une liste globale des ressources système partagées, telles que les noms d’appareils DOS, les mutex et les sémaphores. De cette façon, les objets peuvent être localisés et partagés entre les processus. Chaque type d’objet est créé avec une liste DACL par défaut qui spécifie qui peut accéder aux objets et quelles autorisations sont accordées.

  • Si cette stratégie est activée, la liste DACL par défaut est plus forte, ce qui permet aux utilisateurs qui ne sont pas administrateurs de lire des objets partagés, mais pas à ces utilisateurs de modifier des objets partagés qu’ils n’ont pas créés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-1]
Valeur par défaut 1

UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Contrôle de compte d’utilisateur : autorisez les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé. Ce paramètre de stratégie contrôle si les programmes d’accessibilité de l’interface utilisateur (UIAccess ou UIA) peuvent automatiquement désactiver le bureau sécurisé pour les invites d’élévation utilisées par un utilisateur standard.

  • Activé : les programmes UIA, y compris l’Assistance à distance Windows, désactivent automatiquement le Bureau sécurisé pour les invites d’élévation. Si vous ne désactivez pas le paramètre de stratégie « Contrôle de compte d’utilisateur : Basculer vers le bureau sécurisé lorsque vous demandez une élévation », les invites s’affichent sur le bureau de l’utilisateur interactif au lieu du bureau sécurisé.

  • Désactivé : (par défaut) Le bureau sécurisé peut être désactivé uniquement par l’utilisateur du bureau interactif ou en désactivant le paramètre de stratégie « Contrôle de compte d’utilisateur : Basculer vers le bureau sécurisé quand vous demandez une élévation ».

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé.
1 Activé (autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé).

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs s’exécutant avec la protection administrateur. Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les administrateurs. Les options sont les suivantes :

  • Demander des informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer des informations d’identification privilégiées. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

  • Demander le consentement sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser les modifications ou Ne pas autoriser. Si l’utilisateur sélectionne Autoriser les modifications, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

Remarque

Lorsque la protection administrateur est activée, cette stratégie remplace UserAccountControl_BehaviorOfTheElevationPromptForAdministrators stratégie.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Demander des informations d’identification sur le bureau sécurisé.
2 Demander le consentement sur le bureau sécurisé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs s’exécutant avec la protection administrateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les administrateurs. Les options sont les suivantes :

  • Élever sans invite : permet aux comptes privilégiés d’effectuer une opération qui nécessite une élévation sans nécessiter de consentement ou d’informations d’identification.

    Remarque

    Utilisez cette option uniquement dans les environnements les plus limités.

  • Demander des informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe privilégiés. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

  • Demander le consentement sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

  • Demander des informations d’identification : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.

  • Demander le consentement : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

  • Invite de consentement pour les fichiers binaires non-Windows : (par défaut) Lorsqu’une opération pour une application non-Microsoft nécessite une élévation de privilèges, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération se poursuit avec le privilège disponible le plus élevé de l’utilisateur.

Remarque

Lorsque la protection administrateur est activée, ce comportement de stratégie est remplacé par UserAccountControl_BehaviorOfTheElevationPromptForAdministratorProtection stratégie.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 5

Valeurs autorisées:

Valeur Description
0 Élever sans invite.
1 Demander des informations d’identification sur le bureau sécurisé.
2 Demander le consentement sur le bureau sécurisé.
3 Demander des informations d’identification.
4 Demande de consentement.
5 (par défaut) Invite de consentement pour les fichiers binaires non-Windows.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les utilisateurs standard. Les options sont les suivantes :

  • Invite d’informations d’identification : (par défaut) Lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.

  • Refuser automatiquement les demandes d’élévation : lorsqu’une opération nécessite une élévation de privilège, un message d’erreur d’accès refusé configurable s’affiche. Une entreprise qui exécute des bureaux en tant qu’utilisateur standard peut choisir ce paramètre pour réduire les appels au support technique.

  • Demander des informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilège, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe différents. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 3

Valeurs autorisées:

Valeur Description
0 Refuser automatiquement les demandes d’élévation.
1 Demander des informations d’identification sur le bureau sécurisé.
3 (par défaut) Demander des informations d’identification.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Contrôle de compte d’utilisateur : détecter les installations d’application et demander une élévation Ce paramètre de stratégie contrôle le comportement de la détection de l’installation de l’application pour l’ordinateur. Les options sont les suivantes : Activée (par défaut) Lorsqu’un package d’installation d’application qui nécessite une élévation de privilèges est détecté, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération se poursuit avec le privilège applicable. Désactivé : les packages d’installation d’application ne sont pas détectés et invités à effectuer une élévation. Les entreprises qui exécutent des postes de travail utilisateur standard et utilisent des technologies d’installation déléguée telles que stratégie de groupe Software Installation ou Systems Management Server (SMS) doivent désactiver ce paramètre de stratégie. Dans ce cas, la détection du programme d’installation n’est pas nécessaire.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Activer.
0 Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Contrôle de compte d’utilisateur : élever uniquement les fichiers exécutables signés et validés Ce paramètre de stratégie applique des vérifications de signature de l’infrastructure à clé publique (PKI) pour toutes les applications interactives qui demandent une élévation de privilège. Les administrateurs d’entreprise peuvent contrôler les applications autorisées à s’exécuter en ajoutant des certificats au magasin de certificats Éditeurs approuvés sur les ordinateurs locaux. Les options sont les suivantes :

  • Activé : applique la validation du chemin de certification PKI pour un fichier exécutable donné avant qu’il ne soit autorisé à s’exécuter.

  • Désactivé : (par défaut) n’applique pas la validation du chemin de certification PKI avant qu’un fichier exécutable donné ne soit autorisé à s’exécuter.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé : n’applique pas la validation.
1 Activé : applique la validation.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : élever uniquement les exécutables signés et validés
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées dans des emplacements sécurisés Ce paramètre de stratégie contrôle si les applications qui demandent à s’exécuter avec un niveau d’intégrité UIAccess (User Interface Accessibility) doivent résider dans un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux éléments suivants : - .. \Program Files, y compris les sous-dossiers - .. \Windows\system32\ - .. \Program Files (x86), y compris les sous-dossiers pour les versions 64 bits de Windows Remarque : Windows applique une signature d’infrastructure à clé publique (PKI) case activée sur toute application interactive qui demande à s’exécuter avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre de sécurité. Les options sont les suivantes :

  • Activé : (par défaut) Si une application réside dans un emplacement sécurisé dans le système de fichiers, elle s’exécute uniquement avec l’intégrité UIAccess.

  • Désactivé : une application s’exécute avec l’intégrité UIAccess même si elle ne réside pas dans un emplacement sécurisé dans le système de fichiers.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé : l’application s’exécute avec l’intégrité UIAccess même si elle ne réside pas dans un emplacement sécurisé.
1 (par défaut) Activé : l’application s’exécute avec l’intégrité UIAccess uniquement si elle réside dans un emplacement sécurisé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Contrôle de compte d’utilisateur : activer Administration mode d’approbation Ce paramètre de stratégie contrôle le comportement de tous les paramètres de stratégie de contrôle de compte d’utilisateur (UAC) pour l’ordinateur. Si vous modifiez ce paramètre de stratégie, vous devez redémarrer votre ordinateur. Les options sont les suivantes :

  • Activé : (par défaut) Administration mode d’approbation est activé. Cette stratégie doit être activée et les paramètres de stratégie UAC associés doivent également être définis de manière appropriée pour permettre au compte Administrateur intégré et à tous les autres utilisateurs membres du groupe Administrateurs de s’exécuter en mode d’approbation Administration.

  • Désactivé : Administration mode d’approbation et tous les paramètres de stratégie UAC associés sont désactivés.

Remarque

Si ce paramètre de stratégie est désactivé, Security Center vous avertit que la sécurité globale du système d’exploitation a été réduite.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé.
1 (par défaut) Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : exécuter les comptes d’administrateurs en mode d’approbation d’administrateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Contrôle de compte d’utilisateur : basculez vers le bureau sécurisé lorsque vous demandez une élévation Ce paramètre de stratégie détermine si l’invite de demande d’élévation est affichée sur le bureau de l’utilisateur interactif ou sur le bureau sécurisé. Les options sont les suivantes :

  • Activé : (par défaut) Toutes les demandes d’élévation sont envoyées au bureau sécurisé, quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard.

  • Désactivé : toutes les demandes d’élévation sont envoyées au bureau de l’utilisateur interactif. Les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont utilisés.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé.
1 (par défaut) Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_TypeOfAdminApprovalMode

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows Insider Preview
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_TypeOfAdminApprovalMode

Contrôle de compte d’utilisateur : configurez le type de mode d’approbation Administration. Ce paramètre de stratégie détermine si la protection administrateur est appliquée aux élévations du mode d’approbation administrateur. Si vous modifiez ce paramètre de stratégie, vous devez redémarrer votre ordinateur. Cette stratégie n’est prise en charge que sur Windows Desktop, et non sur Server. Les options sont les suivantes : - Administration Mode d’approbation s’exécute en mode hérité (par défaut). - Administration mode d’approbation s’exécute avec la protection administrateur.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
1 (par défaut) Mode d’approbation Administration hérité.
2 Administration mode d’approbation avec protection administrateur.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : Configurer le type de mode d’approbation Administration
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_UseAdminApprovalMode

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Contrôle de compte d’utilisateur : utilisez le mode d’approbation Administration pour le compte administrateur intégré Ce paramètre de stratégie contrôle le comportement de Administration mode d’approbation pour le compte Administrateur intégré. Les options sont les suivantes :

  • Activé : le compte administrateur intégré utilise Administration mode d’approbation. Par défaut, toute opération qui nécessite une élévation de privilège invite l’utilisateur à approuver l’opération.

  • Désactivé : (par défaut) Le compte Administrateur intégré exécute toutes les applications avec des privilèges d’administration complets.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
1 Activer.
0 (par défaut) Désactiver.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : mode d’approbation Administrateur pour le compte Administrateur intégré
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10, version 1709 [10.0.16299] et versions ultérieures
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Contrôle de compte d’utilisateur : virtualiser les échecs d’écriture de fichiers et de registre vers des emplacements par utilisateur Ce paramètre de stratégie contrôle si les échecs d’écriture d’application sont redirigés vers des emplacements de registre et de système de fichiers définis. Ce paramètre de stratégie atténue les applications qui s’exécutent en tant qu’administrateur et écrivent des données d’application d’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. Les options sont les suivantes :

  • Activé : (par défaut) Les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements utilisateur définis pour le système de fichiers et le Registre.

  • Désactivé : les applications qui écrivent des données dans des emplacements protégés échouent.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1

Valeurs autorisées:

Valeur Description
0 Désactivé.
1 (par défaut) Activé.

Mappage de stratégie de groupe :

Nom Valeur
Nom Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de registre dans des emplacements définis par utilisateur
Chemin d'accès Paramètres Windows Paramètres > de sécurité Stratégies > locales Stratégies > de sécurité Options de sécurité

Fournisseur de services de configuration de stratégie