Ouverture de session interactive : nombre d’ouvertures de sessions précédentes réalisées en utilisant le cache (lorsqu’aucun contrôleur de domaine n’est disponible)
S’applique à
- Windows 11
- Windows 10
Décrit les meilleures pratiques, l’emplacement, les valeurs, la gestion des stratégies et les considérations relatives à la sécurité pour le paramètre de stratégie de sécurité Ouverture de session interactive : Nombre de connexions précédentes dans le cache (au cas où le contrôleur de domaine n’est pas disponible).
Référence
Le paramètre de stratégie Ouverture de session interactive : Nombre de connexions précédentes à mettre en cache (au cas où le contrôleur de domaine n’est pas disponible) détermine si un utilisateur peut se connecter à un domaine Windows à l’aide des informations de compte mises en cache. Les informations de connexion pour les comptes de domaine peuvent être mises en cache localement afin que, si un contrôleur de domaine ne peut pas être contacté lors des ouvertures de session suivantes, un utilisateur puisse toujours se connecter. Ce paramètre de stratégie détermine le nombre d’utilisateurs uniques dont les informations de connexion sont mises en cache localement.
Si un contrôleur de domaine n’est pas disponible et que les informations de connexion d’un utilisateur sont mises en cache, l’utilisateur est invité à entrer le message suivant :
Impossible de contacter un contrôleur de domaine pour votre domaine. Vous avez été connecté à l’aide des informations de compte mises en cache. Les modifications apportées à votre profil depuis la dernière connexion peuvent ne pas être disponibles.
Si un contrôleur de domaine n’est pas disponible et que les informations de connexion d’un utilisateur ne sont pas mises en cache, l’utilisateur est invité à envoyer ce message :
Le système ne peut pas vous connecter maintenant, car le nom de domaine n’est pas disponible.
La valeur de ce paramètre de stratégie indique le nombre d’utilisateurs dont le serveur met en cache localement les informations de connexion. Si la valeur est 10, le serveur met en cache les informations de connexion pour 10 utilisateurs. Lorsqu’un 11e utilisateur se connecte à l’appareil, le serveur remplace la session de connexion mise en cache la plus ancienne.
Les informations d’identification de connexion des utilisateurs qui accèdent à la console du serveur sont mises en cache sur ce serveur. Un utilisateur malveillant qui est en mesure d’accéder au système de fichiers du serveur peut localiser ces informations mises en cache et utiliser une attaque par force brute pour déterminer les mots de passe utilisateur. Windows atténue ce type d’attaque en chiffrant les informations et en conservant les informations d’identification mises en cache dans les registres du système, qui sont répartis dans de nombreux emplacements physiques.
Remarque
Les informations du compte mis en cache n’expirent pas, mais peuvent être remplacées, comme décrit précédemment.
Valeurs possibles
- Nombre défini par l’utilisateur compris entre 0 et 50
- Non définie
Meilleures pratiques
Les bases de référence de sécurité Windows ne recommandent pas de configurer ce paramètre.
Location
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Valeurs par défaut
Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.
| Type de serveur ou GPO | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Non définie |
| Stratégie de contrôleur de domaine par défaut | Non définie |
| Paramètres par défaut du serveur autonome | 10 ouvertures de session |
| Paramètres effectifs par défaut du contrôleur de domaine | Aucun effet |
| Paramètres effectifs par défaut du serveur membre | 10 ouvertures de session |
| Paramètres effectifs par défaut de l’ordinateur client | 10 ouvertures de session |
Gestion des stratégies
Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.
Exigence de redémarrage
Aucune. Les modifications apportées à cette stratégie prennent effet sans redémarrage de l’ordinateur lorsqu’elles sont enregistrées localement ou distribuées via stratégie de groupe.
Considérations relatives aux conflits de stratégie
Aucun(e)
Stratégie de groupe
Ce paramètre de stratégie peut être configuré à l’aide de la console de gestion stratégie de groupe (GPMC) pour être distribué via stratégie de groupe Objects (GPO). Si cette stratégie n’est pas contenue dans un objet de stratégie de groupe distribué, cette stratégie peut être configurée sur l’ordinateur local à l’aide du composant logiciel enfichable Stratégie de sécurité locale.
Considérations en matière de sécurité
Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.
Vulnérabilité
Le numéro affecté à ce paramètre de stratégie indique le nombre d’utilisateurs dont les informations de connexion sont mises en cache localement par les serveurs. Si le nombre est défini sur 10, le serveur met en cache les informations de connexion pour 10 utilisateurs. Lorsqu’un 11e utilisateur se connecte à l’appareil, le serveur remplace la session de connexion mise en cache la plus ancienne.
Les informations d’identification de connexion des utilisateurs qui accèdent à la console du serveur sont mises en cache sur ce serveur. Un attaquant capable d’accéder au système de fichiers du serveur peut localiser ces informations mises en cache et utiliser une attaque par force brute pour tenter de déterminer les mots de passe utilisateur.
Pour atténuer ce type d’attaque, Windows chiffre les informations et masque leur emplacement physique.
Contre-mesure
Configurez le paramètre Ouverture de session interactive : Nombre de connexions précédentes à mettre en cache (au cas où le contrôleur de domaine n’est pas disponible) sur 0, ce qui désactive la mise en cache locale des informations de connexion. D’autres contre-mesures incluent l’application de stratégies de mot de passe forts et des emplacements physiquement sécurisés pour les ordinateurs.
Impact possible
Les utilisateurs ne peuvent pas se connecter à des appareils s’il n’existe aucun contrôleur de domaine disponible pour les authentifier. Les organisations peuvent configurer cette valeur sur 2 pour les ordinateurs des utilisateurs finaux, en particulier pour les utilisateurs mobiles. La valeur de configuration 2 signifie que les informations de connexion de l’utilisateur sont toujours dans le cache, même si un membre du service informatique s’est récemment connecté à l’appareil pour effectuer la maintenance du système. Cette méthode permet aux utilisateurs de se connecter à leurs ordinateurs lorsqu’ils ne sont pas connectés au réseau de l’organisation.