Protection des identités Windows
En savoir plus sur les technologies de protection des identités dans Windows.
Warning
les clés de sécurité Windows Hello Entreprise et FIDO2 sont des méthodes d’authentification à deux facteurs modernes pour Windows. Les clients qui utilisent des cartes à puce virtuelles sont encouragés à passer à Windows Hello Entreprise ou FIDO2. Pour les nouvelles installations Windows, nous vous recommandons d’Windows Hello Entreprise ou de clés de sécurité FIDO2.
Connexion sans mot de passe
Nom de la fonctionnalité | Description |
---|---|
Windows Hello Entreprise | Windows 11 appareils peuvent protéger les identités des utilisateurs en supprimant la nécessité d’utiliser des mots de passe dès le premier jour. Il est facile de commencer à utiliser la méthode adaptée à votre organization. Un mot de passe peut ne devoir être utilisé qu’une seule fois pendant le processus d’approvisionnement, après quoi les utilisateurs utilisent un code confidentiel, un visage ou une empreinte digitale pour déverrouiller les informations d’identification et se connecter à l’appareil. Windows Hello Entreprise remplace le nom d’utilisateur et le mot de passe en combinant une clé de sécurité ou un certificat avec un code confidentiel ou des données biométriques, puis en mappant les informations d’identification à un compte d’utilisateur pendant l’installation. Il existe plusieurs façons de déployer Windows Hello Entreprise, en fonction des besoins de votre organization. Les organisations qui s’appuient sur des certificats utilisent généralement une infrastructure à clé publique (PKI) locale pour prendre en charge l’authentification via l’approbation de certificat. Les organisations qui utilisent le déploiement d’approbation de clés ont besoin d’une racine de confiance fournie par les certificats sur les contrôleurs de domaine. |
Détection de présence Windows | La détection de présence Windows fournit une autre couche de protection de la sécurité des données pour les workers hybrides. Windows 11 appareils peuvent s’adapter intelligemment à votre présence pour vous aider à rester en sécurité et productif, que vous travailliez à domicile, au bureau ou dans un environnement public. La détection de présence Windows combine des capteurs de détection de présence avec Windows Hello reconnaissance faciale pour verrouiller automatiquement votre appareil lorsque vous partez, puis déverrouiller votre appareil et vous connecter à l’aide de Windows Hello reconnaissance faciale à votre retour. Nécessite le matériel de prise en charge OEM. |
Windows Hello Entreprise connexion à la sécurité renforcée (ESS) | Windows Hello biométrie prend également en charge une sécurité de connexion renforcée, qui utilise des composants matériels et logiciels spécialisés pour élever encore plus la barre de sécurité pour la connexion biométrique. La biométrie améliorée de la sécurité de connexion utilise VBS et le TPM pour isoler les processus d’authentification utilisateur et les données et sécuriser le chemin par lequel les informations sont communiquées. Ces composants spécialisés protègent contre une classe d’attaques qui incluent l’injection d’échantillons biométriques, la relecture, la falsification, etc. Par exemple, les lecteurs d’empreintes digitales doivent implémenter le protocole Secure Device Connection Protocol, qui utilise la négociation de clé et un certificat émis par Microsoft pour protéger et stocker en toute sécurité les données d’authentification utilisateur. Pour la reconnaissance faciale, des composants tels que la table SDEV (Secure Devices) et l’isolation des processus avec des trustlets permettent d’empêcher une classe supplémentaire d’attaques. |
Expérience sans mot de passe Windows | L’expérience sans mot de passe Windows est une stratégie de sécurité qui vise à créer une expérience plus conviviale pour Microsoft Entra appareils joints en éliminant le besoin de mots de passe dans certains scénarios d’authentification. En activant cette stratégie, les utilisateurs n’auront pas la possibilité d’utiliser un mot de passe dans ces scénarios, ce qui aide les organisations à abandonner les mots de passe au fil du temps. |
Clés d’accès | Les clés d’accès fournissent une méthode plus sécurisée et plus pratique pour se connecter aux sites web et aux applications que les mots de passe. Contrairement aux mots de passe, que les utilisateurs doivent mémoriser et taper, les clés d’accès sont stockées en tant que secrets sur un appareil et peuvent utiliser le mécanisme de déverrouillage d’un appareil (par exemple, la biométrie ou un code confidentiel). Les clés d’accès peuvent être utilisées sans avoir besoin d’autres défis de connexion, ce qui rend le processus d’authentification plus rapide, sécurisé et plus pratique. |
Clé de sécurité FIDO2 | Les spécifications CTAP et WebAuthN définies par Fast Identity Online (FIDO) sont en train de devenir la norme ouverte pour fournir une authentification forte qui n’est pasishable, conviviale et respectueuse de la confidentialité avec des implémentations des principaux fournisseurs de plateforme et des parties de confiance. Les normes et certifications FIDO sont reconnues comme la norme de référence pour la création de solutions d’authentification sécurisées dans les entreprises, les gouvernements et les marchés de consommation. Windows 11 pouvez utiliser des clés de sécurité FIDO2 externes pour l’authentification avec ou en plus de Windows Hello qui est également une solution sans mot de passe certifiée FIDO2. Windows 11 peut être utilisé comme authentificateur FIDO pour de nombreux services de gestion des identités populaires. |
Service de cartes à puce pour Windows | Les organisations ont également la possibilité d’utiliser des cartes à puce, une méthode d’authentification qui prédéfinit la connexion biométrique. Les cartes à puce sont des dispositifs de stockage portables et inviolables qui peuvent améliorer la sécurité Windows lors de l’authentification des clients, de la signature du code, de la sécurisation des e-mails et de la connexion avec des comptes de domaine Windows. Les cartes à puce peuvent uniquement être utilisées pour se connecter à des comptes de domaine, et non à des comptes locaux. Lorsqu’un mot de passe est utilisé pour se connecter à un compte de domaine, Windows utilise le protocole Kerberos version 5 (v5) pour l’authentification. Si vous utilisez une carte intelligente, le système d’exploitation utilise l’authentification Kerberos v5 avec des certificats X.509 v3. |
Protection avancée des informations d’identification
Nom de la fonctionnalité | Description |
---|---|
Connexion web | La connexion Web est un fournisseur d’informations d’identification initialement introduit dans Windows 10 avec prise en charge du pass d’accès temporaire (TAP) uniquement. Avec la publication de Windows 11, les scénarios pris en charge et les fonctionnalités de connexion web ont été étendus. Par exemple, les utilisateurs peuvent se connecter à Windows à l’aide de l’application Microsoft Authenticator ou avec une identité fédérée. |
Connexion fédérée | les éditions Windows 11 Éducation prennent en charge la connexion fédérée avec des fournisseurs d’identité non-Microsoft. La connexion fédérée permet une connexion sécurisée via des méthodes telles que des codes QR ou des images. |
Windows LAPS | La solution Windows Local Administrator Password Solution (Windows LAPS) est une fonctionnalité Windows qui gère et sauvegarde automatiquement le mot de passe d’un compte d’administrateur local sur vos appareils Microsoft Entra joints ou joints Windows Server Active Directory. Vous pouvez également utiliser Windows LAPS pour gérer et sauvegarder automatiquement le mot de passe du compte DSRM (Directory Services Restore Mode) sur vos contrôleurs de domaine Windows Server Active Directory. Un administrateur autorisé peut récupérer le mot de passe DSRM et l’utiliser. |
Stratégie de verrouillage de compte | Les paramètres de stratégie de verrouillage de compte contrôlent le seuil de réponse pour les tentatives d’ouverture de session ayant échoué et les actions à entreprendre une fois le seuil atteint. |
Protection améliorée contre le hameçonnage avec SmartScreen | Les utilisateurs qui utilisent toujours des mots de passe peuvent bénéficier d’une protection puissante des informations d’identification. Microsoft Defender SmartScreen inclut une protection renforcée contre l’hameçonnage pour détecter automatiquement lorsqu’un utilisateur entre son mot de passe Microsoft dans une application ou un site web. Windows identifie ensuite si l’application ou le site s’authentifie de manière sécurisée auprès de Microsoft et avertit si les informations d’identification sont menacées. Étant donné que les utilisateurs sont avertis au moment d’un vol potentiel d’informations d’identification, ils peuvent prendre des mesures préventives avant que leur mot de passe ne soit utilisé contre eux ou contre leur organization. |
Access Control (ACL/SACL) | Le contrôle d’accès dans Windows garantit que les ressources partagées sont disponibles pour les utilisateurs et les groupes autres que le propriétaire de la ressource et qu’elles sont protégées contre toute utilisation non autorisée. Les administrateurs informatiques peuvent gérer l’accès des utilisateurs, des groupes et des ordinateurs aux objets et ressources sur un réseau ou un ordinateur. Une fois qu’un utilisateur est authentifié, le système d’exploitation Windows implémente la deuxième phase de protection des ressources à l’aide des technologies intégrées d’autorisation et de contrôle d’accès pour déterminer si un utilisateur authentifié dispose des autorisations appropriées. Access Control Listes (ACL) décrivent les autorisations pour un objet spécifique et peuvent également contenir des Access Control Listes système (SACL). Les listes SACL permettent d’auditer des événements spécifiques au niveau du système, par exemple lorsqu’un utilisateur tente d’accéder à des objets de système de fichiers. Ces événements sont essentiels pour le suivi de l’activité des objets sensibles ou précieux qui nécessitent une surveillance supplémentaire. Il est essentiel de pouvoir effectuer un audit lorsqu’une ressource tente de lire ou d’écrire une partie du système d’exploitation pour comprendre une attaque potentielle. |
Credential Guard | Activée par défaut dans Windows 11 Entreprise, Credential Guard utilise la sécurité basée sur la virtualisation (VBS) basée sur le matériel pour vous protéger contre le vol d’informations d’identification. Avec Credential Guard, l’autorité de sécurité locale (LSA) stocke et protège les secrets dans un environnement isolé qui n’est pas accessible au reste du système d’exploitation. L’autorité de sécurité locale utilise des appels de procédure distante pour communiquer avec le processus LSA isolé. En protégeant le processus LSA avec une sécurité basée sur la virtualisation, Credential Guard protège les systèmes contre les techniques d’attaque de vol d’informations d’identification telles que pass-the-hash ou pass-the-ticket. Cela permet également d’empêcher les programmes malveillants d’accéder aux secrets système, même si le processus est en cours d’exécution avec des privilèges d’administrateur. |
Protection des informations d’identification à distance | Remote Credential Guard vous aide à protéger vos informations d’identification via une connexion Bureau à distance en redirigeant les demandes Kerberos vers l’appareil qui demande la connexion. Il fournit également des expériences d’authentification unique pour les sessions Bureau à distance. Les informations d’identification de l’administrateur sont hautement privilégiées et doivent être protégées. Lorsque vous utilisez Remote Credential Guard pour vous connecter pendant les sessions Bureau à distance, vos informations d’identification et dérivés ne sont jamais passés sur le réseau à l’appareil cible. Si l’appareil cible est compromis, vos informations d’identification ne sont pas exposées. |