Bases de référence de sécurité
Utilisation des lignes de base de sécurité dans votre organisation
Microsoft s’engage à fournir à ses clients des systèmes d’exploitation sécurisés, tels que Windows et Windows Server, et des applications sécurisées, telles que les applications Microsoft 365 pour les entreprises et Microsoft Edge. En plus de garantir la sécurité de ses produits, Microsoft vous permet de contrôler précisément vos environnements en fournissant des capacités de configuration variées.
Même si Windows et Windows Server sont conçus pour être immédiatement sécurisés, de nombreuses organisations souhaitent toujours disposer d’un contrôle plus précis de leurs configurations de sécurité. Pour explorer ces nombreux contrôles, les organisations ont besoin de conseils sur la configuration de différentes fonctionnalités de sécurité. Microsoft fournit ces conseils sous la forme de lignes de base de sécurité.
Nous vous recommandons d’implémenter une configuration standard largement connue et testée, comme les lignes de base de sécurité Microsoft, plutôt que de créer vous-même une ligne de base. Cette configuration standard permet d’accroître la flexibilité et de réduire les coûts.
Pour plus d’informations, consultez le billet de blog suivant : S’en tenir à des solutions connues et éprouvées.
Que sont les lignes de base de sécurité Windows ?
Chaque organisation fait face à des menaces de sécurité. Toutefois, les types de menaces de sécurité qui préoccupent le plus une organisation peuvent être différents de ceux d’une autre organisation. Par exemple, une entreprise de commerce électronique peut se concentrer sur la protection de ses applications web accessibles sur Internet, tandis qu’un hôpital peut se concentrer sur la protection des informations confidentielles sur les patients. La seule chose que toutes les organisations ont en commun est la nécessité de préserver la sécurité de leurs applications et de leurs appareils. Ces appareils doivent être conformes aux normes de sécurité (ou aux lignes de base de sécurité) définies par l’organisation.
Une base de référence de sécurité est un groupe de paramètres de configuration recommandés par Microsoft qui explique leur implication en matière de sécurité. Ces paramètres sont basés sur les commentaires des équipes d’ingénieurs en sécurité de Microsoft, des groupes de produits, des partenaires et des clients.
Pourquoi les bases de référence de sécurité sont-elles utiles ?
Les lignes de base de sécurité sont un avantage essentiel pour les clients, car elles regroupent les connaissances de Microsoft, des partenaires et des clients.
Par exemple, il existe plus de 3 000 paramètres de stratégie de groupe pour Windows 10, qui n’incluent pas plus de 1 800 paramètres Internet Explorer 11. Parmi ces 4 800 paramètres, seuls certains sont liés à la sécurité. Même si Microsoft fournit de nombreux conseils sur les différentes fonctionnalités de sécurité, la découverte de chacun d’eux peut prendre beaucoup de temps. Vous devez déterminer vous-même l’implication de chaque paramètre en matière de sécurité. Ensuite, vous devez toujours déterminer la valeur appropriée pour chaque paramètre.
Dans les organisations modernes, le paysage des menaces de sécurité est en constante évolution, et les professionnels de l’informatique et les décideurs doivent suivre les menaces de sécurité et apporter les modifications nécessaires aux paramètres de sécurité pour aider à atténuer ces menaces. Pour accélérer les déploiements et faciliter la gestion des produits Microsoft, Microsoft fournit aux clients des bases de référence de sécurité disponibles dans des formats consommables, tels que les sauvegardes d’objets de stratégie de groupe.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge les bases de référence de sécurité :
Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
---|---|---|---|
Oui | Oui | Oui | Oui |
Les droits de licence des bases de référence de sécurité sont accordés par les licences suivantes :
Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
---|---|---|---|---|
Oui | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Principes de base
Nos recommandations suivent une approche rationalisée et efficace des définitions de base. Cette approche repose essentiellement sur les éléments suivants :
- Les bases de référence sont conçues pour les organisations bien gérées et soucieux de la sécurité dans lesquelles les utilisateurs finaux standard ne disposent pas de droits d’administration.
- Une base de référence applique un paramètre uniquement s’il atténue une menace de sécurité contemporaine et ne provoque pas de problèmes opérationnels pires que les risques qu’ils atténuent.
- Une base de référence applique une valeur par défaut uniquement si elle est susceptible d’être définie sur un état non sécurisé par un utilisateur autorisé :
- Si un non-administrateur peut définir un état non sécurisé, appliquez la valeur par défaut.
- Si la définition d’un état non sécurisé nécessite des droits d’administration, appliquez la valeur par défaut uniquement s’il est probable qu’un administrateur mal renseigné choisira sinon mal.
Comment utiliser les lignes de base de sécurité ?
Vous pouvez utiliser les bases de référence de sécurité pour :
- Vous assurer que les paramètres de configuration des utilisateurs et des appareils sont conformes à la base de référence.
- Définir des paramètres de configuration. Par exemple, vous pouvez utiliser une stratégie de groupe, Microsoft Configuration Manager ou Microsoft Intune pour configurer un appareil avec les valeurs de paramètre spécifiées dans la base de référence.
Où puis-je obtenir les lignes de base de sécurité ?
Il existe plusieurs façons d’obtenir et d’utiliser des bases de référence de sécurité :
Vous pouvez télécharger les lignes de base de sécurité depuis le Centre de téléchargement Microsoft. Cette page de téléchargement concerne le Kit de ressources de conformité de la sécurité (SCT), qui comprend des outils qui peuvent aider les administrateurs à gérer les bases de référence en plus des bases de référence de sécurité. Le SCT inclut également des outils pour vous aider à gérer les bases de référence de sécurité. Vous pouvez également obtenir du support pour les bases de référence de sécurité
Les bases de référence de sécurité de la gestion des appareils mobiles (GPM) fonctionnent comme les bases de référence de sécurité basées sur une stratégie de groupe Microsoft et peuvent facilement intégrer ces bases de référence dans un outil de gestion MDM existant.
Les bases de référence de sécurité MDM peuvent facilement être configurées dans Microsoft Intune sur les appareils qui exécutent Windows 10 et Windows 11. Pour plus d’informations, consultez Liste des paramètres dans la base de référence de sécurité MDM Windows 10/11 dans Intune.