application Sécurité Windows 21H2 |
Sécurité Windows’application est une interface facile à utiliser et combine les fonctionnalités de sécurité couramment utilisées. Par exemple, votre accès à la protection contre les virus et menaces, au pare-feu et à la protection réseau, à la protection des comptes, etc. Pour plus d’informations, consultez l’application Sécurité Windows. |
Bases de référence de sécurité 21H2 |
Les bases de référence de sécurité incluent les paramètres de sécurité déjà configurés et prêts à être déployés sur vos appareils. Si vous ne savez pas où démarrer, ou si vous avez trop de temps à parcourir tous les paramètres, vous devez examiner les bases de référence de sécurité. Pour plus d’informations, consultez Bases de référence de sécurité Windows. |
Antivirus Microsoft Defender 21H2 |
Antivirus Microsoft Defender permet de protéger les appareils à l’aide de la sécurité de nouvelle génération. Lorsqu’elle est utilisée avec Microsoft Defender pour point de terminaison, votre organisation obtient une protection de point de terminaison forte et une protection avancée des points de terminaison & réponse. Si vous utilisez Intune pour gérer les appareils, vous pouvez créer des stratégies en fonction des niveaux de menace dans Microsoft Defender pour point de terminaison. Pour plus d’informations, consultez : • Antivirus Microsoft Defender • Microsoft Defender pour point de terminaison • Appliquer la conformité Microsoft Defender pour point de terminaison |
Sécurité des applications 21H2 |
Les fonctionnalités de sécurité des applications permettent d’empêcher l’exécution de code indésirable ou malveillant, d’isoler les sites web non approuvés et les fichiers Office non approuvés, de se protéger contre le hameçonnage ou les sites web malveillants, etc. Pour plus d’informations, consultez Sécurité des applications Windows. |
Microsoft Pluton 22H2 |
Pluton, conçu par Microsoft et construit par des partenaires en silicium, est un processeur de chiffrement sécurisé intégré au processeur. Pluton assure la sécurité au cœur pour garantir l’intégrité du code et la protection la plus récente avec les mises à jour fournies par Microsoft via Windows Update. Pluton protège les informations d’identification, les identités, les données personnelles et les clés de chiffrement. Les informations sont plus difficiles à supprimer même si un attaquant a installé un programme malveillant ou a une possession physique complète. Pour plus d’informations, consultez le processeur de sécurité Microsoft Pluton. |
Protection améliorée contre l’hameçonnage 22H2 |
La protection améliorée contre le hameçonnage dans Microsoft Defender SmartScreen permet de protéger les mots de passe Microsoft contre l’hameçonnage et l’utilisation non sécurisée. La protection contre le hameçonnage améliorée fonctionne en même temps que les protections de sécurité Windows pour protéger les mots de passe de connexion. Pour plus d’informations, consultez : • Protection améliorée contre le hameçonnage dans Microsoft Defender SmartScreen • Protégez les mots de passe avec une protection améliorée contre le hameçonnage dans le blog Windows IT Pro. |
Smart App Control 22H2 |
Smart App Control ajoute une protection significative contre les programmes malveillants, y compris les menaces nouvelles et émergentes, en bloquant les applications malveillantes ou non approuvées. Smart App Control permet de bloquer les applications indésirables qui affectent les performances, affichent des publicités inattendues, offrent des logiciels supplémentaires que vous ne souhaitez pas, et d’autres choses que vous ne vous attendez pas. Pour plus d’informations, consultez Smart App Control. |
Credential Guard 22H2 |
Credential Guard, activé par défaut, utilise la sécurité basée sur la virtualisation (VBS) pour isoler les secrets afin que seuls les logiciels système privilégiés puissent y accéder. L’accès non autorisé à ces secrets peut entraîner des attaques de vol d’informations d’identification telles que passer le hachage et passer le ticket. Pour plus d’informations, consultez Configurer Credential Guard. |
Pilote malveillant et vulnérable bloquant 22H2 |
La liste de blocages de pilotes vulnérables est automatiquement activée sur les appareils lorsque Smart App Control est activé et pour les installations propres de Windows. Pour plus d’informations, consultez les règles de bloc recommandées. |
Renforcement de la sécurité et protection contre les menaces 22H2 |
Prise en charge améliorée avec l’autorité de sécurité locale (LSA) pour empêcher l’injection de code susceptible de compromettre les informations d’identification. Pour plus d’informations, consultez Configuration d’une protection LSA supplémentaire. |
Chiffrement des données personnelles (PDE) 22H2 |
Le chiffrement des données personnelles (PDE) est une fonctionnalité de sécurité qui fournit des fonctionnalités de chiffrement des données basées sur des fichiers à Windows. PDE utilise Windows Hello Entreprise pour lier des clés de chiffrement de données à des informations d’identification utilisateur. Lorsqu’un utilisateur se connecte à un appareil à l’aide de Windows Hello Entreprise, les clés de déchiffrement sont libérées et les données chiffrées sont accessibles à l’utilisateur. |
Clés secrètes dans Windows 23H2 |
Windows offre une expérience native pour la gestion des clés d’accès. Vous pouvez utiliser l’application Paramètres pour afficher et gérer les clés d’accès enregistrées pour les applications ou les sites web. Pour plus d’informations, consultez Prise en charge des clés secrètes dans Windows. |
Expérience sans mot de passe Windows 23H2 |
L’expérience sans mot de passe Windows est une stratégie de sécurité qui promeut une expérience utilisateur sans mot de passe sur les appareils joints à Microsoft Entra. Lorsque la stratégie est activée, certains scénarios d’authentification Windows n’offrent pas aux utilisateurs la possibilité d’utiliser un mot de passe, ce qui aide les organisations et prépare progressivement les utilisateurs à ne plus utiliser des mots de passe. Pour plus d’informations, consultez Expérience sans mot de passe Windows. |
Connexion web pour Windows 23H2 |
Vous pouvez activer une expérience de connexion basée sur le web sur les appareils joints à Microsoft Entra , déverrouiller les nouvelles options de connexion et les fonctionnalités. Pour plus d’informations, consultez Connexion web pour Windows. |
Connexion fédérée 23H2 |
La connexion fédérée est un excellent moyen de simplifier le processus de connexion pour vos utilisateurs : au lieu d’avoir à mémoriser un nom d’utilisateur et un mot de passe défini dans l’ID Microsoft Entra , ils peuvent se connecter à l’aide de leurs informations d’identification existantes à partir du fournisseur d’identité fédéré. Pour plus d’informations, consultez Configurer la connexion fédérée pour les appareils Windows. |
amélioration de l’authentification Windows Hello Entreprise 23H2 |
Les capteurs de visage et d’empreinte digitale périphérique peuvent être utilisés pour l’authentification Windows Hello Entreprise sur les appareils où la sécurité de connexion améliorée (biométrie sécurisée) est activée à l’usine. Pour plus d’informations, consultez Questions courantes sur Windows Hello Entreprise. |
App Control for Business 24H2 |
Les clients peuvent désormais utiliser App Control for Business (anciennement Windows Defender Application Control) et ses fonctionnalités de nouvelle génération pour protéger leur propriété numérique contre le code malveillant. Avec App Control for Business, les équipes informatiques peuvent configurer les exécutions dans un environnement métier via Microsoft Intune ou d’autres MDMs dans la console d’administration, notamment configurer Intune en tant que programme d’installation géré. Pour plus d’informations, consultez Contrôle d’application pour Windows. |
Protection de l’autorité de sécurité locale (LSA) 24H2 |
La protection LSA empêche l’exécution de code non autorisé dans le processus LSA afin d’empêcher le vol de secrets et d’informations d’identification utilisés pour la connexion et empêche le dumping de la mémoire du processus. Un audit se produit pour les incompatibilités avec la protection LSA à partir de cette mise à niveau. Si les incompatibilités ne sont pas détectées, la protection LSA est automatiquement activée. Vous pouvez vérifier et modifier l’état d’activation de la protection LSA dans l’application Sécurité Windows sous la page Isolation principale de sécurité>des appareils. Dans le journal des événements, la protection LSA enregistre si les programmes ne sont pas chargés dans LSA. Si vous souhaitez vérifier si quelque chose a été bloqué, passez en revue les journaux de protection LSA. |
Rust dans le noyau Windows 24H2 |
Il existe une nouvelle implémentation de la région GDI dans win32kbase_rs.sys qui utilise Rust, ce qui offre des avantages en matière de fiabilité et de sécurité par rapport aux programmes traditionnels écrits en C/C++. Nous prévoyons une augmentation de l’utilisation de Rust dans le noyau. |
Prise en charge de SHA-3 24H2 |
La prise en charge de la famille SHA-3 de fonctions de hachage et des fonctions dérivées SHA-3 (SHAKE, cSHAKE, KMAC) a été ajoutée. La famille d’algorithmes SHA-3 est la dernière fonction de hachage standardisée par l’Institut national des normes et de la technologie (NIST). La prise en charge de ces fonctions est activée via la bibliothèque CNG Windows. |
Solution de mot de passe d’administrateur local Windows (LAPS) 24H2 |
La solution de mot de passe d’administrateur local Windows (Windows LAPS) est une fonctionnalité Windows qui gère et sauvegarde automatiquement le mot de passe d’un compte d’administrateur local sur vos appareils joints à Microsoft Entra ou joints Windows Server Active Directory. Windows LAPS est le successeur du produit Microsoft LAPS hérité. Pour plus d’informations, consultez Qu’est-ce que Windows LAPS ? |
Gestion automatique des comptes Windows LAPS 24H2 |
La solution de mot de passe d’administrateur local Windows (LAPS) a une nouvelle fonctionnalité de gestion automatique des comptes. Les administrateurs peuvent configurer Windows LAPS pour : • Créer automatiquement le compte local géré • Configurer le nom du compte • Activer ou désactiver le compte • Aléatoirer le nom du compte |
Améliorations de la stratégie Windows LAPS 24H2 |
• Ajout de paramètres de phrase secrète pour la stratégie PasswordComplexity • Utiliser la phrase secrèteLength pour contrôler le nombre de mots dans une nouvelle phrase secrète • Ajout d’un paramètre de lisibilité amélioré pour la stratégie PasswordComplexity, qui génère des mots de passe sans utiliser de caractères facilement confondus avec un autre caractère. Par exemple, le nombre 0 et la lettre O ne sont pas utilisés dans le mot de passe, car les caractères peuvent être confondus. • Ajout du Reset the password, logoff the managed account, and terminate any remaining processes paramètre à la stratégie PostAuthenticationActions . Les messages de journalisation des événements émis lors de l’exécution post-authentification-action ont également été développés pour fournir des informations sur exactement ce qui a été fait pendant l’opération. |
Détection de restauration d’image WINDOWS LAPS 24H2 |
La détection de restauration d’image a été introduite pour LAPS. LAPS peut détecter lorsqu’un appareil a été restauré sur une image précédente. Lorsqu’un appareil est restauré, le mot de passe dans Active Directory peut ne pas correspondre au mot de passe sur l’appareil qui a été restauré. Cette nouvelle fonctionnalité ajoute un attribut Active Directory, msLAPS-CurrentPasswordVersion au schéma Windows LAPS. Cet attribut contient un GUID aléatoire que Windows LAPS écrit chaque fois qu’un nouveau mot de passe est conservé dans Active Directory, suivi de l’enregistrement d’une copie locale. Pendant chaque cycle de traitement, le GUID stocké dans msLAPS-CurrentPasswordVersion est interrogé et comparé à la copie persistante localement. Si les GUID sont différents, le mot de passe est immédiatement pivoté. Pour activer cette fonctionnalité, vous devez exécuter la dernière version de l’applet de commande PowerShell Update-LapsADSchema. |
Mode d’impression protégé par Windows 24H2 |
Le mode d’impression protégé par Windows (WPP) permet une pile d’impression moderne conçue pour fonctionner exclusivement avec des imprimantes certifiées Mopria. Pour plus d’informations, voir Qu’est-ce que le mode d’impression protégé par Windows (WPP) et l’annonce WPP Windows Insider. |
Modifications des exigences de signature SMB 24H2 |
La signature SMB est désormais requise par défaut pour toutes les connexions. La signature SMB garantit que chaque message contient une signature générée à l’aide de la clé de session et de la suite de chiffrement. Le client place un hachage de l’intégralité du message dans le champ de signature de l’en-tête SMB. Si quelqu’un modifie le message lui-même ultérieurement sur le fil, le hachage ne correspond pas et SMB sait que quelqu’un a falsifié les données. Il confirme également à l’expéditeur et au destinataire qu’ils disent qu’ils sont, cassant les attaques de relais. Pour plus d’informations sur la signature SMB requise par défaut, consultez https://aka.ms/SMBSigningOBD. |
Chiffrement du client SMB 24H2 |
SMB prend désormais en charge l’exigence de chiffrement sur toutes les connexions clientes SMB sortantes. Le chiffrement de toutes les connexions sortantes du client SMB impose le niveau de sécurité réseau le plus élevé et apporte une parité de gestion au signalement SMB, ce qui permet d’imposer des exigences tant au client qu’au serveur. Avec cette nouvelle option, les administrateurs peuvent mandater que tous les serveurs de destination utilisent SMB 3 et le chiffrement, et si ces fonctionnalités sont manquantes, le client ne se connecte pas. Pour plus d’informations sur cette modification, consultez https://aka.ms/SmbClientEncrypt. |
Audit de signature et de chiffrement SMB 24H2 |
Les administrateurs peuvent désormais activer l’audit du serveur et du client SMB pour la prise en charge de la signature et du chiffrement SMB. Cela indique si un client ou un serveur tiers ne prend pas en charge le chiffrement ou la signature SMB. Les paramètres d’audit de signature et de chiffrement SMB peuvent être modifiés dans la stratégie de groupe ou via PowerShell. |
Autres ports client et serveur SMB 24H2 |
Le client SMB prend désormais en charge la connexion à un serveur SMB via TCP, QUIC ou RDMA à l’aide de ports réseau alternatifs aux valeurs par défaut codées en dur. Vous ne pouvez toutefois vous connecter à d’autres ports que si le serveur SMB est configuré pour la prise en charge de l’écoute sur ce port. À compter de Windows Server Insider build 26040, le serveur SMB prend désormais en charge l’écoute sur un autre port réseau pour SMB via QUIC. Windows Server ne prend pas en charge la configuration d’autres ports TCP du serveur SMB, mais certains tiers le font. Pour plus d’informations sur cette modification, consultez https://aka.ms/SMBAlternativePorts. |
Liste d’exceptions bloquantes SMB NTLM 24H2 |
Le client SMB prend désormais en charge le blocage de NTLM pour les connexions sortantes distantes. Avec cette nouvelle option, les administrateurs peuvent empêcher intentionnellement Windows d’offrir NTLM via SMB et spécifier des exceptions pour l’utilisation de NTLM. Un attaquant qui astuce un utilisateur ou une application pour envoyer des réponses de défi NTLM à un serveur malveillant ne recevra plus de données NTLM et ne peut pas forcer brute, craquer ou transmettre des hachages. Cette modification ajoute un nouveau niveau de protection pour les entreprises sans obligation de désactiver entièrement l’utilisation de NTLM dans le système d’exploitation. Pour plus d’informations sur cette modification, consultez https://aka.ms/SmbNtlmBlock. |
Gestion du dialecte SMB 24H2 |
Le serveur SMB prend désormais en charge le contrôle des dialectes SMB 2 et 3 qu’il négocie. Avec cette nouvelle option, un administrateur peut supprimer des protocoles SMB spécifiques à utiliser dans l’organisation, bloquant les appareils Windows plus anciens, moins sécurisés et moins capables de se connecter. Par exemple, les administrateurs peuvent spécifier pour utiliser uniquement SMB 3.1.1, le dialecte le plus sécurisé du protocole. Pour plus d’informations sur cette modification, consultez https://aka.ms/SmbDialectManage. |
SMB sur le contrôle d’accès client QUIC 24H2 |
SMB sur QUIC, qui a introduit une alternative à TCP et RDMA, fournit une connectivité sécurisée aux serveurs de fichiers edge sur des réseaux non approuvés comme Internet. QUIC présente des avantages significatifs, le plus important étant le chiffrement par certificat obligatoire au lieu de s’appuyer sur des mots de passe. SMB sur le contrôle d’accès client QUIC améliore la fonctionnalité SMB existante sur QUIC. Les administrateurs disposent désormais d’autres options pour SMB sur QUIC, par exemple : • Spécification des clients qui peuvent accéder à SMB sur des serveurs QUIC. Cela offre aux organisations davantage de protection, mais ne modifie pas les Authentification Windows utilisées pour établir la connexion SMB ou l’expérience utilisateur final. • Désactivation de SMB sur QUIC pour le client avec une stratégie de groupe et PowerShell • Audit des événements de connexion client pour SMB sur QUIC
Pour plus d’informations sur ces modifications, consultez https://aka.ms/SmbOverQUICCAC. |
Modification de la règle de pare-feu SMB 24H2 |
Le comportement par défaut du Pare-feu Windows a changé. Auparavant, la création d’un partage SMB a automatiquement configuré le pare-feu pour activer les règles dans le groupe Partage de fichiers et d’imprimantes pour les profils de pare-feu donnés. À présent, Windows configure automatiquement le nouveau groupe partage de fichiers et d’imprimantes (restrictif), qui ne contient plus de ports NetBIOS entrants 137-139.
Cette modification applique un degré plus élevé de sécurité réseau et rapproche les règles de pare-feu SMB du comportement du rôle Serveur de fichiers Windows Server, qui ouvre uniquement les ports minimum nécessaires pour se connecter et gérer le partage. Les administrateurs peuvent toujours configurer le groupe partage de fichiers et d’imprimantes si nécessaire, ainsi que modifier ce nouveau groupe de pare-feu, ce sont simplement des comportements par défaut. Pour plus d’informations sur cette modification, consultez https://aka.ms/SMBfirewall. Pour plus d’informations sur la sécurité réseau SMB, consultez Sécuriser le trafic SMB dans Windows Server. |