Sécurité et protection

 

S'applique à: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette rubrique contient des descriptions et des liens vers des informations sur les changements de technologies de sécurité de Windows Server 2012 R2, Windows Server 2012, Windows 8.1 et Windows 8.

Le tableau suivant propose des liens vers des informations mises à la disposition des informaticiens et traitant des technologies et des fonctionnalités de sécurité pour Windows Server 2012 R2, Windows Server 2012, Windows 8.1 et Windows 8. D’autres technologies et fonctionnalités seront ajoutées à ce tableau à mesure que de nouveaux contenus seront disponibles.

Fonctionnalité ou technologie

Vue d’ensemble

Ce qui a changé dans Windows Server 2012 R2

Ce qui a changé dans Windows Server 2012

Contrôle d’accès

Vue d’ensemble du contrôle d’accès

Le contrôle d’accès permet de protéger les fichiers, les applications et d’autres ressources de toute utilisation non autorisée.

Le groupe de sécurité Utilisateurs protégés et les silos de stratégies d’authentification renforcent la protection des informations d’identification. Ils sont administrés par le biais des services de domaine Active Directory.

Un mode d’administration restreint est disponible dans le client des services Bureau à distance.

Pour plus d'informations, consultez Gestion et protection des informations d’identification.

Ajout de l’utilisation de stratégies basées sur des règles dynamiques pour protéger les fichiers et dossiers partagés. Pour plus d'informations, consultez Contrôle d'accès dynamique : Vue d’ensemble du scénario

Éditeur de liste de contrôle d’accès (éditeur ACL) repensé afin de présenter plus clairement les principales informations requises pour évaluer et gérer le contrôle d’accès. Pour plus d’informations, voir Éditeur ACL amélioré.

AppLocker

Présentation technique AppLocker

AppLocker fournit aux applications une gestion du contrôle des accès basée sur les stratégies.

Pour vous aider dans l’analyse de processus, AppLocker capture des informations de commande pour chaque processus au moment de l’exécution et les écrit dans les états et le journal de sécurité, « Le système essaie de démarrer un processus avec les attributs suivants : »

Fonctionnalités supplémentaires pour définir des règles sur des packages d’application, ce qui simplifie la gestion des applications du Windows Store. Pour plus d'informations, voir Applications empaquetées et règles du programme d’installation d’application empaquetée dans AppLocker.

BitLocker

Vue d’ensemble de BitLocker

Le chiffrement de lecteur BitLocker vous permet de chiffrer l’intégralité des données stockées sur le volume du système d’exploitation et sur les volumes de données configurés pour les ordinateurs exécutant des versions prises en charge de Windows. En utilisant un module de plateforme sécurisée (TPM, Trusted Platform Module), cela contribue à s’assurer de l’intégrité des composants antérieurs de démarrage.

Prise en charge de plates-formes supplémentaires.

Mot de passe de récupération désormais compatible FIPS.

Pour plus d'informations, voir Nouveautés de BitLocker.

Amélioration des méthodes d’approvisionnement et de chiffrement, possibilité pour les utilisateurs standard de modifier leur code confidentiel, prise en charge des disques durs chiffrés et fonctionnalité de déverrouillage réseau. Pour plus d’informations, voir Nouveautés de BitLocker dans Windows 8 et Windows Server 2012 [redirigé].

Stockage sécurisé des informations d’identification

Vue d’ensemble du stockage sécurisé des informations d’identification

Le stockage sécurisé des informations d’identification est géré par le biais du Panneau de configuration par le gestionnaire d’informations d’identification. Il prend en charge principalement les scénarios impliquant des particuliers.

Amélioration du stockage des informations d’identification via des applications d’authentification web prenant en charge les services Broker et possibilité de sélectionner les informations d’identification par défaut pour chaque site

Possibilité de programmer l’utilisation du stockage sécurisé des informations d’identification par les applications du Windows Store et amélioration de l’itinérance des informations d’identification (qui est définie pour être désactivée pour les ordinateurs joints à un domaine). Pour plus d’informations, consultez Fonctionnalités nouvelles et modifiées.

Protection des informations d’identification

Gestion et protection des informations d’identification

Nouvelles techniques et fonctionnalités pour gérer et protéger les informations d’identification lors de l’authentification.

Options de configuration de protection LSA supplémentaires, nouveau groupe de sécurité, nouveaux moyens pour grouper les utilisateurs et appliquer des stratégies d’authentification spécifiques

Pour plus d'informations, consultez Gestion et protection des informations d’identification

Non disponible

Disques durs chiffrés

Disques durs chiffrés

Un disque dur chiffré est une fonctionnalité fournie avec BitLocker pour améliorer la sécurité et la gestion des données.

Le chiffrement d’appareil est disponible sur la plupart des éditions de Windows.

Pour plus d’informations, voir Chiffrement d’appareil.

Introduit dans Windows Server 2012 et Windows 8. Pour plus d’informations, voir Prise en charge des disques durs chiffrés pour Windows.

Moteur de stratégie ActiveSync Exchange

Vue d’ensemble du moteur de stratégie ActiveSync Exchange

Ensemble d’API permettant aux applications d’appliquer des stratégies EAS sur les ordinateurs de bureau, ordinateurs portables et tablettes pour protéger les données synchronisées à partir du cloud, telles que les données provenant d’Exchange Server.

Dans certains cas, les méthodes de connexion biométriques ne sont pas désactivées lorsque la limite de tentatives est dépassée.

Pour plus d'informations, voir Fonctionnalités nouvelles et modifiées.

Introduit dans Windows Server 2012.

Comptes de service administrés de groupe

Group Managed Service Accounts Overview

Le compte de service administré de groupe offre les mêmes fonctionnalités que le compte de service administré autonome dans le domaine, et les étend sur plusieurs serveurs.

Aucun changement.

Nouveau compte de service administré de groupe. Pour plus d'informations, voir What's New for Managed Service Accounts.

Kerberos

Vue d’ensemble de l’authentification Kerberos

Le protocole Kerberos est un mécanisme d’authentification qui vérifie l’identité d’un utilisateur ou d’un hôte.

Modification du comportement lorsque le compte est dans le groupe de sécurité Utilisateurs protégés.

Pour plus d’informations, consultez Gestion et protection des informations d’identification.

Réduction des échecs d’authentification via des tickets de service de plus grande taille, ajout de modifications pour les développeurs et professionnels de l’informatique, modifications apportées aux paramètres par défaut de la validation KDC pour la connexion par carte à puce et améliorations apportées en termes de configuration et de maintenance.

Important

Pour les appareils joints à un domaine, la valeur par défaut a été modifiée de sorte que la connexion par carte à puce exige désormais le chaînage du certificat KDC à une autorité de certification dans le magasin NTAuth.

Pour plus d'informations, consultez Nouveautés de l’authentification Kerberos

Paramètres de stratégie d’ordinateur local

Security Policy Settings Overview

Les paramètres de stratégie de sécurité représentent les règles configurables que le système d’exploitation suit lorsqu’il détermine les autorisations à octroyer en réponse à une demande d’accès aux ressources.

Les modèles d’administration de stratégie de groupe peuvent également être utilisés pour la gestion de la sécurité.

Le paramètre de stratégie Cryptographie système : utilisez FIPS pour le chiffrement, le hachage et la signature des algorithmes compatibles a été modifié pour refléter les modifications du processus de mot de passe de récupération BitLocker.

Pour améliorer le processus d’audit, la stratégie Audit de création de processus a été ajoutée au nœud Système des modèles d’administration sous Configuration ordinateur.

Nouvelles stratégies de sécurité pour améliorer la gestion de la sécurité. Pour plus d'informations, voir Fonctionnalités nouvelles et modifiées.

NTLM

Vue d’ensemble de l’authentification NTLM

Les protocoles d’authentification NTLM reposent sur un mécanisme de challenge et de réponse destiné à prouver à un serveur ou un contrôleur de domaine qu’un utilisateur connaît le mot de passe associé à un compte.

Modification du comportement lorsque le compte est dans le groupe de sécurité Utilisateurs protégés.

Pour plus d'informations, voir Groupe de sécurité Utilisateurs protégés.

Aucun changement.

Mots de passe

Vue d’ensemble sur les mots de passe

La méthode la plus courante pour l’authentification de l’identité d’un utilisateur consiste à utiliser une phrase secrète ou un mot de passe lors du processus de connexion.

Aucun changement.

Microsoft propose d’autres moyens pour prouver l’identité. Pour plus d’informations, consultez Smart Card Overview et Cartes à puce virtuelles.

Aucun changement.

Audit de sécurité

Vue d’ensemble de l’audit de sécurité

L’audit de sécurité peut aider à identifier les attaques, réussies ou non, qui exposent votre réseau à une menace, ou les attaques contre les ressources qui ont été identifiées comme utiles à travers une évaluation des risques.

Aucun changement.

Nouvelles stratégies d’audit basées sur des expressions et amélioration de la capacité à auditer les nouveaux types d’objets sécurisables et périphériques de stockage amovibles. Pour en savoir plus, consultez Nouveautés de l’audit de sécurité.

Assistant Configuration de la sécurité

Assistant Configuration de la sécurité

L’Assistant Configuration de la sécurité est un outil de réduction de la surface d’attaque aidant les administrateurs à créer des stratégies de sécurité qui se limitent à activer les fonctionnalités minimales nécessaires aux rôles d’un serveur.

Aucun changement.

Aucun changement.

Cartes à puce

Smart Card Overview

Les cartes à puce, portables et résistantes, offrent un excellent moyen de sécurité pour des tâches telles que l’authentification de clients, la connexion à des domaines, la signature du code et la protection des messages électroniques.

Le processus d’inscription des appareils avec module de plateforme sécurisée en tant que périphérique de carte à puce virtuelle a été amélioré. Des API ont été ajoutées pour simplifier le processus d’inscription et ainsi faciliter l’inscription d’un périphérique avec une carte à puce virtuelle, joint ou non à un domaine, et quel que soit le matériel.

Modification de l’expérience de connexion par carte à puce, du comportement de démarrage et d’arrêt de service et des transactions par carte à puce via l’ajout de la prise en charge des périphériques Windows RT et applications Windows 8. Pour plus d'informations, voir What's New in Smart Cards.

Stratégies de restriction logicielle

Stratégies de restriction logicielle

La fonctionnalité Stratégies de restriction logicielle est une fonctionnalité fondée sur les stratégies de groupe qui identifie les programmes logiciels s’exécutant sur les ordinateurs d’un domaine et qui contrôle la capacité de ces programmes à s’exécuter.

Aucun changement.

Aucun changement.

Plus grande souplesse d’utilisation d’AppLocker pour contrôler les programmes de votre entreprise. Pour plus d'informations, voir Présentation technique AppLocker.

TLS/SSL (SSP Schannel)

Vue d’ensemble de TLS/SSL (SSP Schannel)

Schannel est un fournisseur de service de sécurité qui implémente les protocoles d’authentification standard Internet SSL (Secure Sockets Layer) et TLS (Transport Layer Security).

Il prend en charge la reprise de session de sécurité TLS/SSL sans état côté serveur (RFC 5077).

Ajout de la négociation de protocole d’application côté client

Pour plus d'informations, voir Nouveautés de TLS/SSL (SSP Schannel) dans Windows Server 2012 R2 et Windows 8.1.

Modification de la méthode de gestion des émetteurs approuvés pour l’authentification client, prise en charge de TLS pour les extensions SNI (Server Name Indicator) et sécurité DTLS (Datagram Transport Layer Security) pour le fournisseur. Pour plus d'informations, voir Nouveautés de TLS/SSL (SSP Schannel) dans Windows Server 2012 et Windows 8.

Module de plateforme sécurisée

Vue d’ensemble de la technologie de module de plateforme sécurisée

La technologie de module de plateforme sécurisée (TPM, Trusted Platform Module) est conçue dans le but d’assurer des fonctions matérielles de sécurité.

Améliorations apportées au fournisseur de stockage de clés du module de plateforme sécurisée pour l’attestation de plateforme et de clé.

Pour plus d’informations, consultez Résistance aux programmes malveillants et Nouveautés du module de plateforme sécurisée dans Windows 8.1.

Amélioration en termes d’administration et de fonctionnalités avec notamment la configuration et la gestion automatisées, le démarrage mesuré avec prise en charge de l’attestation, la carte à puce virtuelle basée sur le module de plateforme sécurisée et le stockage sécurisé des éléments critiques. Pour plus d'informations, voir Fonctionnalités nouvelles et modifiées.

Contrôle de compte d’utilisateur (UAC, User Account Control)

Vue d’ensemble du contrôle de compte d’utilisateur

Le contrôle de compte d’utilisateur permet d’atténuer l’impact des programmes malveillants.

Aucun changement.

Optimisé pour faciliter l’administration des messages et de la configuration du Contrôle de compte d’utilisateur. Pour plus d'informations, voir Fonctionnalités nouvelles et modifiées.

Carte à puce virtuelle

Les cartes à puce virtuelles offrent l’authentification multifacteur et la compatibilité avec de nombreuses infrastructures de carte à puce. Elles simplifient la tâche des utilisateurs qui n’ont pas besoin de carte physique et sont ainsi plus susceptibles d’appliquer les directives de sécurité de leur organisation plutôt que de les contourner.

Présentation et évaluation des cartes à puce virtuelles

Le processus d’inscription des appareils avec module de plateforme sécurisée en tant que périphérique de carte à puce virtuelle a été amélioré. Des API ont été ajoutées pour simplifier le processus d’inscription et ainsi faciliter l’inscription d’un périphérique avec une carte à puce virtuelle, joint ou non à un domaine, et quel que soit le matériel.

Pour plus d’informations, consultez Cartes à puce virtuelles.

Introduite dans Windows Server 2012.

Windows Biometric Framework et biométrie Windows

Vue d’ensemble de Windows Biometric Framework [W8]

Le Windows Biometric Framework (WBF) constitue un ensemble de services et d’interfaces permettant un développement et une gestion cohérents des périphériques biométriques, notamment des lecteurs d’empreintes digitales. Le WBF améliore la fiabilité et la compatibilité avec les services et les pilotes biométriques.

Client et API associées améliorés.

Pour plus d’informations, consultez Biométrie : empreintes digitales.

Meilleure intégration des lecteurs d’empreintes digitales avec changement rapide d’utilisateur et synchronisation des mots de passe avec empreintes digitales. Pour plus d’informations, consultez Fonctionnalités nouvelles et modifiées

Windows Defender

Windows Defender est une solution complète contre les programmes malveillants, capable de détecter et de stopper une plus large gamme de programmes potentiellement malveillants, notamment les virus.

Disponible et activée par défaut dans les options d’installation minimale et le serveur du système de base (sans interface utilisateur).

Pour plus d’informations, voir Windows Defender.

Mise à niveau d’un logiciel anti-espion vers une solution complète contre les programmes malveillants, capable de détecter et de stopper une plus large gamme de programmes potentiellement malveillants, notamment les virus.

Voir aussi

Sécuriser Windows Server 2012 R2 et Windows Server 2012

Sécuriser Windows [Win8]

Nouveautés des technologies de sécurité dans Windows 8.1 [Win 8.1]