Options de sécurité

  • Article

 

S’applique à : Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette rubrique de référence pour les professionnels de l’informatique fournit une introduction aux paramètres sous Options de sécurité des stratégies de sécurité locales et des liens vers des informations sur chaque paramètre.

Le Options de sécurité contiennent les regroupements suivants de paramètres de stratégie de sécurité qui vous permettent de configurer le comportement de l’ordinateur local. Certaines de ces stratégies peuvent être inclus dans un objet de stratégie de groupe et distribué sur votre entreprise.

Si vous modifiez des paramètres de stratégie localement sur un ordinateur, vous affectez uniquement les paramètres de cet ordinateur. Si vous configurez les paramètres dans un objet de stratégie de groupe hébergé dans un domaine Active Directory, ces paramètres s'appliquent à tous les ordinateurs qui sont soumis à cet objet de stratégie de groupe. Pour plus d’informations sur la stratégie de groupe dans un domaine Active Directory, voir stratégie de groupe(https://go.microsoft.com/fwlink/?LinkId=55625).

Pour plus d’informations sur les technologies de stratégie sécurité enfichable et connexes, consultez Présentation technique de paramètres de stratégie sécurité.

Ouvrez le composant logiciel enfichable Stratégie de sécurité locale (secpol.msc) et accédez à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies Locales\options de sécurité.

Autorisations de l’ordinateur local : l’appartenance au groupe Administrateurs local, ou équivalent, est la condition minimale requise pour modifier ces paramètres de stratégie.

Pour plus d’informations sur la définition des stratégies de sécurité, consultez Comment configurer les paramètres de stratégie de sécurité.

Regroupement Paramètre de stratégie de sécurité
comptes ; - Comptes : Statut du compte administrateur
- Comptes : bloquer les comptes Microsoft
- Comptes : Statut du compte invité
- Comptes : Restreindre l’utilisation du compte local de mots de passe vides à l’ouverture de session console
- Comptes : Renommer le compte administrateur
- Comptes : Renommer le compte invité
Audit - Audit : Auditer l’accès des objets système globaux
- Audit : Auditer l’utilisation des privilèges de sauvegarde et de restauration
- D’audit : Paramètres de sous-catégorie de stratégie Force d’audit (Windows Vista ou version ultérieure) pour remplacer les paramètres de catégorie de stratégie d’audit
- Audit : Arrêter immédiatement le système s’il est impossible de se connecter aux audits de sécurité
DCOM - DCOM : Restrictions d’accès ordinateur dans la syntaxe SDDL Security Descriptor Definition Language)
- DCOM : Restrictions d’exécution Machine dans la syntaxe SDDL Security Descriptor Definition Language)
Périphériques - Périphériques : Autoriser retirer sans avoir à se connecter
- Périphériques : Permettre le formatage et l’éjection des supports amovibles
- Périphériques : Empêcher les utilisateurs d’installer des pilotes d’imprimante
- Périphériques : Autoriser l’accès au CD-ROM enregistrées localement uniquement aux utilisateurs
- Périphériques : Autoriser l’accès aux disquettes enregistrées localement uniquement aux utilisateurs
Contrôleur de domaine - Contrôleur de domaine : permettre aux opérateurs de serveur de planifier des tâches
- Contrôleur de domaine : signature de serveur LDAP
- Contrôleur de domaine : refuser les modifications de mot de passe du compte ordinateur
Membre de domaine - Membre de domaine : crypter numériquement ou signer les données des canaux sécurisés (toujours)
- Membre de domaine : crypter numériquement les données des canaux sécurisés (lorsque cela est possible)
- Membre de domaine : signer numériquement les données (si possible) des canaux sécurisés
- Membre de domaine : désactiver les modifications de mot de passe du compte ordinateur
- Membre de domaine : âge de mot de passe du compte ordinateur Maximum
- Membre de domaine : nécessite une clé de session forte (Windows 2000 ou version ultérieure)
Ouverture de session interactive - Ouverture de session interactive : affichage des informations utilisateur lors de la session est verrouillée
- Ouverture de session interactive : ne pas afficher le dernier nom d’utilisateur
- Ouverture de session interactive : ne nécessitent pas de CTRL + ALT + SUPPR
- Ouverture de session interactive : seuil de verrouillage du compte d’ordinateur
- Ouverture de session interactive : limite d’inactivité de l’ordinateur
- Ouverture de session interactive : contenu du Message pour les utilisateurs essayant de se connecter
- Ouverture de session interactive : titre du Message pour les utilisateurs essayant de se connecter
- Ouverture de session interactive : nombre d’ouvertures de session précédentes pour mettre en cache (au cas où le contrôleur de domaine n’est pas disponible)
- Ouverture de session interactive : inviter l’utilisateur à modifier le mot de passe avant l’expiration
- Ouverture de session interactive : exiger une authentification du contrôleur de domaine pour déverrouiller la station de travail
- Ouverture de session interactive : carte à puce nécessaire
- Ouverture de session interactive : comportement de suppression de carte à puce
Client réseau Microsoft - Client réseau Microsoft : communications signées numériquement (toujours)
- Client réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
- Client réseau Microsoft : envoyer un mot de passe non chiffré pour les serveurs SMB tierce partie
Serveur réseau Microsoft - Serveur réseau Microsoft : durée d’inactivité avant la suspension d’une session
- Serveur réseau Microsoft : tentative de S4U2Self d’obtenir des informations relatives aux revendications
- Serveur réseau Microsoft : communications signées numériquement (toujours)
- Serveur réseau Microsoft : communications signées numériquement (lorsque le serveur l’accepte)
- Serveur réseau Microsoft : déconnecter les clients à l’expiration du délai de la durée de session
- Serveur réseau Microsoft : SPN du serveur cible au niveau de la validation de nom
Accès réseau - Accès réseau : permet la traduction de noms/SID anonymes
- Accès réseau : ne pas autoriser l’énumération anonyme des SAM comptes
- Accès réseau : ne pas autoriser l’énumération anonyme des SAM comptes et des partages
- Accès réseau : ne pas autoriser le stockage des mots de passe et les informations d’identification pour l’authentification réseau
- Accès réseau : tout le monde les autorisations s’appliquent aux utilisateurs anonymes
- Accès réseau : les canaux nommés qui sont accessibles de manière anonyme
- Accès réseau : chemins de Registre accessibles à distance
- Accès réseau : chemins de Registre accessibles à distance et sous-chemins
- Accès réseau : restreindre l’accès anonyme aux canaux nommés et aux partages
- Accès réseau : les partages qui sont accessibles de manière anonyme
- Accès réseau : modèle de partage et de sécurité pour les comptes locaux
Sécurité du réseau - Sécurité réseau : autoriser le système Local pour utiliser l’identité de l’ordinateur pour NTLM
- Sécurité réseau : autoriser les sessions NULL LocalSystem secours
- Sécurité réseau : Autoriser les demandes d’authentification PKU2U à cet ordinateur utiliser des identités en ligne
- Sécurité réseau : configurer les types de chiffrement autorisés pour Kerberos
- Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe
- Sécurité réseau : forcer la fermeture de session quand les horaires d’ouverture de session
- Sécurité réseau : niveau d’authentification LAN Manager
- Sécurité réseau : conditions de signature de client LDAP
- Sécurité réseau : sécurité de session minimale pour NTLM SSP basé (y compris RPC sécurisé) clients
- Sécurité réseau : sécurité de session minimale pour NTLM SSP basé (y compris RPC sécurisé) serveurs
- Sécurité réseau : restreindre NTLM : ajouter des exceptions de serveur distant pour l’authentification NTLM
- Sécurité réseau : restreindre NTLM : ajouter des exceptions de serveur dans ce domaine
- Sécurité réseau : Restreindre NTLM : trafic NTLM entrant
- Sécurité réseau : Restreindre NTLM : l’authentification NTLM dans ce domaine
- Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers des serveurs distants
- Sécurité réseau : Restreindre NTLM : auditer le trafic entrant de NTLM
- Sécurité réseau : Restreindre NTLM : l’authentification NTLM de l’Audit dans ce domaine
Console de récupération - Console de récupération : autoriser l’ouverture de session d’administration automatique
- Console de récupération : autoriser la copie de disquettes et l'accès à tous les lecteurs et dossiers
Arrêt - Arrêt : Permet au système d’être arrêté sans avoir à se connecter
- Fermeture : Fichier d’échange de mémoire virtuelle
Cryptographie système - Cryptographie système : Force une protection forte des clés utilisateur enregistrées sur l’ordinateur
- Cryptographie système : utilisez FIPS pour le chiffrement, le hachage et la signature des algorithmes compatibles
Objets système - Objets système : minuscules pour les sous-systèmes non Windows
- Objets système : renforcer les autorisations par défaut des objets système internes (par exemple, les liens symboliques)
Paramètres système - Paramètres système : sous-systèmes optionnels
- Paramètres système : utiliser les règles de certificat avec les exécutables Windows pour les stratégies de Restriction logicielle
Contrôle de compte d’utilisateur - Contrôle de compte d’utilisateur : Mode d’approbation administrateur pour le compte administrateur intégré
- Contrôle de compte d’utilisateur : Autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé
- Contrôle de compte d’utilisateur : Comportement de l’invite d’élévation pour les administrateurs en Mode d’approbation administrateur
- Contrôle de compte d’utilisateur : Comportement de l’invite d’élévation pour les utilisateurs standard
- Contrôle de compte d’utilisateur : Détecter les installations d’applications et demander l’élévation
- Contrôle de compte d’utilisateur : Élever uniquement les exécutables signés et validés
- Contrôle de compte d’utilisateur : Élever uniquement les applications UIAccess installées à des emplacements sécurisés
- Contrôle de compte d’utilisateur : Exécuter tous les administrateurs en Mode d’approbation administrateur
- Contrôle de compte d’utilisateur : Passer au bureau sécurisé lors d’une demande d’élévation
- Contrôle de compte d’utilisateur : Virtualiser les échecs d’écriture des fichiers et de Registre vers des emplacements par utilisateur