Ouverture de session interactive : nécessite l’authentification par le contrôleur de domaine pour le déverrouillage de la station de travail
S’applique à
- Windows 11
- Windows 10
Décrit les meilleures pratiques, l’emplacement, les valeurs, la gestion des stratégies et les considérations relatives à la sécurité pour le paramètre de stratégie de sécurité Connexion interactive : Exiger l’authentification du contrôleur de domaine pour déverrouiller la station de travail .
Référence
Le déverrouillage d’un appareil verrouillé nécessite des informations de connexion. Pour les comptes de domaine, le paramètre de stratégie Connexion interactive : Exiger l’authentification du contrôleur de domaine pour déverrouiller la station de travail détermine s’il est nécessaire de contacter un contrôleur de domaine pour déverrouiller un appareil. L’activation de ce paramètre de stratégie nécessite qu’un contrôleur de domaine authentifie le compte de domaine utilisé pour déverrouiller l’appareil. La désactivation de ce paramètre de stratégie permet à un utilisateur de déverrouiller l’appareil sans que l’ordinateur vérifie les informations de connexion avec un contrôleur de domaine. Toutefois, si ouverture de session interactive : Nombre de connexions précédentes à mettre en cache (au cas où le contrôleur de domaine n’est pas disponible) est défini sur une valeur supérieure à zéro, les informations d’identification mises en cache de l’utilisateur seront utilisées pour déverrouiller le système.
L’appareil met en cache (localement en mémoire) les informations d’identification de tous les utilisateurs qui ont été authentifiés. L’appareil utilise ces informations d’identification mises en cache pour authentifier toute personne qui tente de déverrouiller la console.
Lorsque des informations d’identification mises en cache sont utilisées, les modifications récemment apportées au compte (telles que les attributions de droits utilisateur, le verrouillage du compte ou le compte désactivé) ne sont pas prises en compte ou appliquées après ce processus d’authentification. Ce résultat signifie non seulement que les droits de l’utilisateur ne sont pas mis à jour, mais surtout que les comptes désactivés sont toujours en mesure de déverrouiller la console du système.
Il est recommandé de définir Ouverture de session interactive : Exiger l’authentification du contrôleur de domaine pour déverrouiller la station de travail sur Activé et définir Ouverture de session interactive : Nombre de connexions précédentes à mettre en cache (au cas où le contrôleur de domaine n’est pas disponible) sur 0. Lorsque la console d’un appareil est verrouillée par un utilisateur ou automatiquement par un économiseur d’écran, la console ne peut être déverrouillée que si l’utilisateur est en mesure de se réauthentifier auprès du contrôleur de domaine. Si aucun contrôleur de domaine n’est disponible, les utilisateurs ne peuvent pas déverrouiller leurs appareils.
Valeurs possibles
- Activé
- Désactivé
- Non définie
Meilleures pratiques
- Définir l’ouverture de session interactive : exiger l’authentification du contrôleur de domaine pour déverrouiller la station de travail sur Activé et définir Ouverture de session interactive : nombre de connexions précédentes à mettre en cache (si le contrôleur de domaine n’est pas disponible) sur 0. Lorsque la console d’un appareil est verrouillée par un utilisateur ou automatiquement par un économiseur d’écran, la console ne peut être déverrouillée que si l’utilisateur est en mesure de se réauthentifier auprès du contrôleur de domaine. Si aucun contrôleur de domaine n’est disponible, les utilisateurs ne peuvent pas déverrouiller leurs appareils.
Emplacement
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Valeurs par défaut
Le tableau suivant répertorie les valeurs par défaut réelles et effectives de cette stratégie. Les valeurs par défaut sont également répertoriées dans la page de propriétés de la stratégie.
| Type de serveur ou GPO | Valeur par défaut |
|---|---|
| Stratégie de domaine par défaut | Non définie |
| Stratégie de contrôleur de domaine par défaut | Non définie |
| Paramètres par défaut du serveur autonome | Désactivés |
| Paramètres effectifs par défaut du contrôleur de domaine | Désactivés |
| Paramètres effectifs par défaut du serveur membre | Désactivés |
| Paramètres effectifs par défaut de l’ordinateur client | Désactivés |
Gestion des stratégies
Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.
Exigence de redémarrage
Aucune. Les modifications apportées à cette stratégie deviennent effectives sans qu’un appareil ne redémarre lorsqu’ils sont enregistrés localement ou distribués via stratégie de groupe.
Considérations relatives aux conflits de stratégie
Aucun(e)
Stratégie de groupe
Ce paramètre de stratégie peut être configuré à l’aide de la console de gestion stratégie de groupe (GPMC) pour être distribué via stratégie de groupe Objects (GPO). Si cette stratégie n’est pas contenue dans un objet de stratégie de groupe distribué, cette stratégie peut être configurée sur l’ordinateur local à l’aide du composant logiciel enfichable Stratégie de sécurité locale.
Considérations en matière de sécurité
Cette section explique comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure, ainsi que les possibles conséquences négatives de l’implémentation de cette dernière.
Vulnérabilité
Par défaut, l’appareil met en cache localement en mémoire les informations d’identification de tous les utilisateurs authentifiés. L’appareil utilise ces informations d’identification mises en cache pour authentifier toute personne qui tente de déverrouiller la console. Lorsque des informations d’identification mises en cache sont utilisées, les modifications récemment apportées au compte, telles que les attributions de droits utilisateur, le verrouillage du compte ou la désactivation du compte, ne sont pas prises en compte ou appliquées après l’authentification du compte. Les privilèges utilisateur ne sont pas mis à jour et les comptes désactivés peuvent toujours déverrouiller la console de l’appareil
Contre-mesure
Configurez le paramètre Connexion interactive : Exiger l’authentification du contrôleur de domaine pour déverrouiller la station de travail sur Activé et configurez le paramètre Ouverture de session interactive : Nombre de connexions précédentes dans le cache (si le contrôleur de domaine n’est pas disponible) sur 0.
Impact possible
Lorsque la console d’un appareil est verrouillée par un utilisateur ou automatiquement par un délai d’expiration de l’économiseur d’écran, la console ne peut être déverrouillée que si l’utilisateur peut se réauthentifier auprès du contrôleur de domaine. Si aucun contrôleur de domaine n’est disponible, les utilisateurs ne peuvent pas déverrouiller leurs stations de travail. Si vous configurez le paramètre Ouverture de session interactive : Nombre de connexions précédentes à mettre en cache (au cas où le contrôleur de domaine n’est pas disponible) sur 0, les utilisateurs dont les contrôleurs de domaine ne sont pas disponibles (par exemple, les utilisateurs mobiles ou distants) ne peuvent pas se connecter.
Rubriques connexes
Commentaires
Envoyer et afficher des commentaires pour