Mise à jour permettant l'amélioration de la protection et de la gestion des informations d'identification
Date de publication : 13 mai 2014 | Date de mise à jour : 9 février 2016
Version : 5.0
Informations générales
Synthèse
Microsoft annonce la disponibilité de mises à jour pour les éditions en cours de support de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1, qui améliorent la protection des informations d'identification et les contrôles d'authentification de domaine afin de réduire les usurpations d'identité.
Mises à jour relatives à cet Avis
Recommandation. Microsoft recommande à ses clients d'appliquer ces mises à jour immédiatement à l'aide d'un logiciel de gestion des mises à jour ou en recherchant les mises à jour à l'aide du service Microsoft Update. Ces mises à jour peuvent être installées dans n'importe quel ordre.
Le 13 mai 2014, Microsoft a publié la mise à jour 2871997 pour les éditions en cours de support de Windows 8, Windows RT, Windows Server 2012, Windows 7 et Windows Server 2008 R2, qui améliore la protection des informations d'identification et les contrôles d'authentification de domaine afin de réduire les usurpations d'identité. Cette mise à jour fournit une protection supplémentaire de l'autorité de sécurité locale (LSA), ajoute un mode Administrateur restreint pour CredSSP (Credential Security Support Provider), introduit la prise en charge de la catégorie d'utilisateur de domaine restreint par compte protégé et applique des stratégies d'authentification plus strictes pour les ordinateurs clients Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012. Pour plus d'informations sur cette mise à jour, notamment les liens de téléchargement, consultez l'Article 2871997 de la Base de connaissances Microsoft.
Notes
Remarque : Les éditions en cours de support de Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1 incluent déjà ces fonctionnalités et ne requièrent pas la mise à jour 2871997.
Le 8 juillet 2014, Microsoft a publié la mise à jour 2973351 pour les éditions en cours de support de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012 et Windows RT, ainsi que pour les éditions en cours de support de Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1 sur lesquelles la mise à jour 2919355 (mise à jour pour Windows 8.1) a été installée. Microsoft a publié la mise à jour 2975625 pour les éditions en cours de support de Windows 8.1 et Windows Server 2012 R2 sur lesquelles la mise à jour 2919355 (mise à jour pour Windows 8.1) n'a pas été installée. Cette mise à jour fournit des paramètres de Registre configurables destinés à la gestion du mode Administrateur restreint pour CredSSP (Credential Security Support Provider). Pour plus d'informations sur cette mise à jour, notamment les liens de téléchargement, consultez l'Article 2973351 de la Base de connaissances Microsoft et l'Article 2975625 de la Base de connaissances Microsoft.
Notes
Remarque : Cette mise à jour modifie le mode Administrateur restreint sous Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1. Pour plus d'informations, consultez le Forum aux questions de cet Avis.
Le 9 septembre 2014, Microsoft a publié la mise à jour 2982378 pour les éditions en cours de support de Windows 7 et Windows Server 2008 R2. Cette mise à jour ajoute une protection supplémentaire pour les informations d'identification des utilisateurs lors de leur connexion à un système Windows 7 ou Windows Server 2008 R2 en s'assurant que ces informations d'identification soient immédiatement nettoyées au lieu d'attendre l'obtention d'un ticket TGT Kerberos. Pour plus d'informations sur cette mise à jour, notamment les liens de téléchargement, consultez l'Article 2982378 de la Base de connaissances Microsoft.
Le 14 octobre 2014, Microsoft a publié les mises à jour suivantes. Les mises à jour applicables ajoutent un mode Administrateur restreint pour la Connexion Bureau à distance et le protocole Bureau à distance :
2984972 pour les éditions en cours de support de Windows 7 et Windows Server 2008 R2
2984976 pour les éditions en cours de support de Windows 7 et Windows Server 2008 R2 sur lesquels la mise à jour 2592687 (mise à jour du protocole Bureau à distance (RDP) 8.0) est installée. Les clients qui installent la mise à jour 2984976 doivent également installer la mise à jour 2984972.
2984981 pour les éditions en cours de support de Windows 7 et Windows Server 2008 R2 sur lesquels la mise à jour 2830477 (mise à jour client de la Connexion Bureau à distance (RDC) 8.1) est installée. Les clients qui installent la mise à jour 2984981 doivent également installer la mise à jour 2984972.
2973501 pour les éditions en cours de support de Windows 8, Windows Server 2012 et Windows RT.
Notes
Remarque : Les éditions en cours de support de Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1 incluent déjà cette fonctionnalité et ne requièrent pas cette mise à jour.
Le 9 février 2016, Microsoft a publié la mise à jour 3126593 pour les éditions prises en charge de Windows 7, Windows Server 2008 R2, Windows 8, Windows RT et Windows Server 2012. La mise à jour active par défaut le mode Administrateur restreint pour CredSSP (Credential Security Support Provider). Cette fonctionnalité force l'effacement d'une session utilisateur après la déconnexion. Pour plus d'informations sur cette mise à jour, voir l'Article 2973351 de la Base de connaissances Microsoft.
Logiciels concernés
Cet Avis porte sur les logiciels suivants.
Système d'exploitation
Windows 7 pour systèmes 32 bits Service Pack 1
Windows 7 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes x64 Service Pack 1
Windows Server 2008 R2 pour systèmes Itanium Service Pack 1
Windows 8 pour systèmes 32 bits
Windows 8 pour systèmes x64
Windows 8.1 pour systèmes 32 bits
Windows 8.1 pour systèmes x64
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
Option d'installation Server Core
Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (installation Server Core)
Windows Server 2012 (installation Server Core)
Windows Server 2012 R2 (installation Server Core)
Forum aux questions relatif à cet Avis
--------------------------------------
**Quelle est la portée de cet Avis ?**
Le but de cet Avis est d'avertir les clients que des mises à jour apportant une protection et une gestion supplémentaires des informations d'identification sont disponibles pour Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1.
**Quels sont les systèmes les plus exposés à une usurpation d'identité ?**
Les environnements d'entreprise dans lesquels des domaines Windows sont déployés sont les plus exposés. Les serveurs pourraient être plus exposés si les administrateurs autorisent les utilisateurs à ouvrir une session sur ces serveurs et à y exécuter des programmes. Néanmoins, les meilleures pratiques recommandent fortement de ne pas autoriser cela.
**Les mises à jour 2973351 et 2975625 modifient-elles une fonctionnalité ?**
Oui. Le comportement par défaut du mode Administrateur restreint a été modifié sur Windows 8.1, Windows Server 2012 R2 et Windows RT 8.1. Le mode Administrateur restreint est désormais désactivé par défaut ; si vous voulez utiliser cette fonctionnalité, vous devrez la réactiver après l'installation de la mise à jour 2973351 ou 2975625. Auparavant, le mode Administrateur restreint était activé par défaut. Pour plus d'informations sur l'activation du mode Administrateur restreint, consultez l'[Article 2973351 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/kb/2973351) ou l'[Article 2975625 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/kb/2975625).
La mise à jour 2973351 ne modifie pas le comportement par défaut sur les éditions en cours de support de Windows 7, Windows Server 2008 R2, Windows 8, Windows 2012 ou Windows RT. Le mode Administrateur restreint est désactivé par défaut sur ces systèmes d'exploitation.
**Les mises à jour 2973351 et 2975625 remplacent-elles la mise à jour 2871997 ?**
Non. La mise à jour 2871997 est requise pour installer la mise à jour 2973351 ou 2975625. Ces mises à jour fournissent des paramètres de Registre configurables pour le mode Administrateur restreint qui a été ajouté lorsque vous avez installé la mise à jour 2871997.
**Plusieurs mises à jour sont répertoriées pour Windows 8.1 et Windows Server 2012 R2. Dois-je installer toutes ces mises à jour ?**
Non. Selon la manière dont votre système est configuré pour recevoir les mises à jour, une seule des mises à jour pour Windows 8.1 ou Windows Server 2012 R2 s'applique.
Pour les systèmes exécutant Windows 8.1 ou Windows Server 2012 R2 :
La mise à jour 2973351 est destinée aux systèmes sur lesquels la mise à jour 2919355 (mise à jour pour Windows 8.1) est installée.
La mise à jour 2975625 est destinée aux systèmes sur lesquels la mise à jour 2919355 n'a pas été installée. Notez que la mise à jour 2975625 est disponible uniquement pour les clients qui gèrent leurs mises à jour via Windows Server Update Services (WSUS), Windows Intune ou System Center Configuration Manager.
**Pour Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1, existe-t-il des conditions requises pour la mise à jour 2973351 ?**
Oui. Les clients exécutant Windows 8.1, Windows Server 2012 R2 ou Windows RT 8.1 doivent d'abord installer la mise à jour 2919355 (mise à jour pour Windows 8.1), publiée au mois d'avril 2014, avant d'installer la mise à jour 2973351. Pour plus d'informations sur la mise à jour prérequise, consultez l'[Article 2919355 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/kb/2919355).
**Dois-je installer toutes les mises à jour de sécurité publiées avec cet Avis ?**
Oui. Les clients doivent appliquer toutes les mises à jour proposées pour les logiciels installés sur leur système afin de disposer de toutes les fonctionnalités de protection des informations d'identification.
**Quels sont les scénarios de déploiement possibles ?**
Bien que ces changements améliorent la protection des informations d'identification sur tous les systèmes, ils sont particulièrement utiles dans un environnement d'entreprise dans lequel des domaines Windows sont déployés. Certains de ces changements dépendent des fonctionnalités disponibles dans un domaine basé sur Windows Server 2012 R2, tandis que d'autres sont utiles dans tous les environnements d'entreprise.
**Qu'est-ce que le service LSASS (Local Security Authority Subsystem Service) ?**
Le service LSASS (Local Security Authority Subsystem Service) fournit une interface servant à gérer les processus de sécurité locale, d'authentification de domaines et d'Active Directory. Il traite l'authentification pour le client et le serveur. Il contient également des fonctions utilisées pour la prise en charge d'utilitaires Active Directory.
**Qu'est-ce que l'autorité de sécurité locale (LSA) ?**
L'autorité de sécurité locale (LSA), qui fait partie du service LSASS (Local Security Authority Subsystem Service), valide les connexions des utilisateurs locaux et distants et applique les stratégies de sécurité locale.
**Que fait cette mise à jour ?**
Cette mise à jour améliore la protection des informations d'identification et les contrôles d'authentification de domaine afin de réduire les usurpations d'identité en apportant des améliorations dans quatre domaines :
- **Mode Administrateur restreint pour CredSSP (Credential Security Support Provider)**
Les applications peuvent être écrites de sorte qu'elles utilisent cette modification afin de se connecter à un serveur distant sans transmettre les informations d'identification au serveur hôte. Cela empêche la récupération de vos informations d'identification au cours du processus de connexion initiale si le serveur a été compromis.
Lorsque l'hôte vérifie que le compte utilisateur en cours de connexion possède les droits d'administrateur et prend en charge le mode Administrateur restreint, la connexion est établie. Dans le cas contraire, la tentative de connexion échoue. Le mode Administrateur restreint n'envoie jamais les informations d'identification sous forme de texte brut ni d'aucune autre forme réutilisable à des ordinateurs distants.
Deux paramètres de clé de Registre peuvent être configurés pour gérer le mode Administrateur restreint. La clé DisableRestrictedAdmin permet d'activer ou de désactiver le mode Administrateur restreint. Si le mode Administrateur restreint est activé, la clé DisableRestrictedAdminOutboundCreds permet d'activer ou de désactiver la possibilité pour un utilisateur connecté à un système via le Bureau à distance avec le mode Administrateur restreint de s'authentifier automatiquement auprès des ressources distantes à l'aide du compte de l'ordinateur local.
- **Nettoyage des informations d'identification dans LSA**
Cette fonctionnalité réduit la surface d'attaque des informations d'identification de domaine dans LSA. Les modifications apportées à cette fonctionnalité permettent, entre autres : d'empêcher les connexions réseau et les connexions interactives à distance à une machine associée à un domaine à l'aide de comptes locaux, de limiter la mise en cache des informations d'identification au temps de connexion, de limiter la mise en cache des informations d'identification fournies par Kerberos/NTLM/Digest/CredSSP, de limiter la mise en cache Kerberos des mots de passe sous la forme de texte brut, d'empêcher la mise en cache des informations d'identification dans CredSSP à moins que la stratégie de délégation des informations d'identification le permette et de limiter l'utilisation des informations d'identification pour Digest.
- **Groupe de sécurité Utilisateurs protégés**
Cette fonctionnalité prend en charge le groupe de sécurité Utilisateurs protégés introduit avec Windows 8.1 et Windows Server 2012 R2. Cette prise en charge s'applique aux machines membres d'un domaine basé sur Windows Server 2012 R2.
Les membres du groupe Utilisateurs protégés sont davantage restreints par les méthodes d'authentification suivante :
- Les membres du groupe Utilisateurs protégés peuvent se connecter uniquement avec le protocole Kerberos. Le compte ne peut pas s'authentifier avec NTLM, l'authentification Digest ou CredSSP. Sur un périphérique exécutant Windows 8, les mots de passe ne sont pas mis en cache, de sorte que le périphérique qui utilise l'un de ces fournisseurs de prise en charge de sécurité (SSP) ne pourra pas s'authentifier sur un domaine si le compte est membre du groupe Utilisateurs protégés.
- Le protocole Kerberos n'utilisera pas les types de chiffrement DES ou RC4 plus faibles lors du processus de pré-authentification. Cela signifie que le domaine doit être configuré pour prendre en charge au moins la suite de chiffrement AES.
- Le compte de l'utilisateur ne peut pas être délégué avec la délégation Kerberos contrainte ou non contrainte. Cela signifie que d'anciennes connexions à d'autres systèmes risquent d'échouer si l'utilisateur est membre du groupe Utilisateurs protégés.
- **Mode Administrateur restreint pour la Connexion Bureau à distance**
Cette fonctionnalité prend en charge le mode Administrateur restreint à la Connexion Bureau à distance et au protocole Bureau à distance sur Windows 7, Windows Server 2008 R2, Windows 8 et Windows Server 2012 introduit avec Windows 8.1 et Windows Server 2012 R2.
- Le mode Administrateur restreint offre un moyen de se connecter de manière interactive à un serveur hôte distant sans transmettre vos informations d'identification au serveur. Cela empêche la récupération de vos informations d'identification au cours du processus de connexion initiale si le serveur a été compromis.
- En utilisant ce mode avec des informations d'identification d'administrateur, le client Bureau à distance tente de se connecter de manière interactive à un hôte qui prend également en charge ce mode sans envoyer d'informations d'identification. Lorsque l'hôte vérifie que le compte utilisateur en cours de connexion possède les droits d'administrateur et prend en charge le mode Administrateur restreint, la connexion est établie. Dans le cas contraire, la tentative de connexion échoue. Le mode Administrateur restreint n'envoie jamais les informations d'identification sous forme de texte brut ni d'aucune autre forme réutilisable à des ordinateurs distants.
- Pour plus d'informations, consultez l'article consacré aux [nouveautés des Services Bureau à distance dans Windows Server](https://technet.microsoft.com/fr-fr/library/dn283323.aspx) (en anglais).
Autres informations
-------------------
### Microsoft Active Protections Program (MAPP)
Pour améliorer la protection de ses clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque mise à jour de sécurité mensuelle. Les fournisseurs de logiciels de sécurité peuvent ainsi utiliser ces informations pour fournir des protections mises à jour à leurs clients via leurs logiciels ou périphériques de sécurité, tels que les antivirus et les systèmes de détection ou de prévention d'intrusion basés sur le réseau ou sur les hôtes. Pour déterminer si des protections actives sont disponibles, visitez les sites Web des partenaires fournisseurs de logiciels de sécurité, répertoriés sur la page [Microsoft Active Protections Program (MAPP) Partners](http://technet.microsoft.com/fr-fr/security/dn467918) (en anglais).
### Commentaires
- Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et Support Microsoft : [Customer Service Contact Us](http://support.microsoft.com/kb/?scid=sw;en;1257&showpage=1&ws=technet&sd=tech) (en anglais).
### Support technique
- En cas de problème, contactez les [services de support sécurité Microsoft](https://consumersecuritysupport.microsoft.com/default.aspx?mkt=fr-fr&scrx=1). Pour plus d'informations, consultez le[site Web Aide et Support Microsoft](http://support.microsoft.com/?ln=fr).
- Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour plus d'informations, consultez le site de [Support international](http://support.microsoft.com/common/international.aspx?ln=fr).
- [TechNet sécurité](http://technet.microsoft.com/fr-fr/security/default.aspx) fournit des informations complémentaires sur la sécurité dans les produits Microsoft.
### Dédit de responsabilité
Les informations contenues dans cet Avis sont fournies « en l'état », sans garantie d'aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.
### Révisions
- V1.0 (13 mai 2014) : Avis publié.
- V2.0 (8 juillet 2014) : Avis réédité pour annoncer la publication des mises à jour 2973351 et 2919355 afin d'améliorer le contrôle des paramètres Administrateur restreint. En fonction des logiciels installés sur leur système, les clients doivent appliquer la mise à jour 2973351 ou 2919355 immédiatement. Pour plus d'informations, consultez la section **Mises à jour relatives à cet Avis** et le **Forum aux questions de l'Avis**.
- V3.0 (9 septembre 2014) : Avis réédité pour annoncer la publication de la mise à jour 2982378 afin de fournir une protection supplémentaire pour les informations d'identification des utilisateurs lors de leur connexion à un système Windows 7 ou Windows Server 2008 R2. Consultez les **mises à jour relatives à cet Avis** pour obtenir des détails.
- V4.0 (14 octobre 2014) : Avis réédité pour annoncer la publication de mises à jour apportant une protection supplémentaire des informations d'identification des utilisateurs lors de la connexion à un serveur hôte distant. Pour plus d'informations, consultez la section **Mises à jour relatives à cet Avis** et le **Forum aux questions de l'Avis**.
- V5.0 (9 février 2016) : Avis réédité pour annoncer la publication de la mise à jour 3126593 qui active par défaut le mode Administrateur restreint pour CredSSP (Credential Security Support Provider). Consultez les **mises à jour relatives à cet Avis** pour obtenir des détails.
*Page generated 2014-10-09 15:32Z-07:00.*