Paramètres Windows que vous pouvez gérer via un profil Intune Endpoint Protection

Article
11/14/2023

Remarque

Intune peut prendre en charge davantage de paramètres que les paramètres répertoriés dans cet article. Tous les paramètres ne sont pas documentés et ne le seront pas. Pour afficher les paramètres que vous pouvez configurer, créez une stratégie de configuration d’appareil, puis sélectionnez Catalogue de paramètres. Pour plus d’informations, accédez à Catalogue de paramètres.

Microsoft Intune inclut de nombreux paramètres pour protéger vos appareils. Cet article décrit les paramètres du modèle Endpoint Protection de configuration de l’appareil. Pour gérer la sécurité des appareils, vous pouvez également utiliser des stratégies de sécurité de point de terminaison, qui se concentrent directement sur les sous-ensembles de la sécurité des appareils. Pour configurer Microsoft Defender Antivirus, consultez Restrictions d’appareil Windows ou Utiliser la stratégie antivirus de sécurité des points de terminaison.

Avant de commencer

Créez un profil de configuration d’appareil Endpoint Protection.

Pour plus d’informations sur les fournisseurs de services de configuration (CSP), consultez Informations de référence sur les fournisseurs de services de configuration.

Microsoft Defender Application Guard

Pour Microsoft Edge, Protection d'application Microsoft Defender protège votre environnement contre les sites qui ne sont pas approuvés par votre organization. Avec Protection d'application, les sites qui ne se trouvent pas dans votre limite réseau isolée s’ouvrent dans une session de navigation virtuelle Hyper-V. Les sites approuvés sont définis par une limite réseau, qui est configurée dans Configuration de l’appareil. Pour plus d’informations, consultez Créer une limite réseau sur les appareils Windows.

Protection d'application est disponible uniquement pour les appareils Windows 64 bits. L’utilisation de ce profil installe un composant Win32 pour activer Protection d'application.

Application Guard
Par défaut : Non configuré
Protection d'application CSP : Settings/AllowWindowsDefenderApplicationGuard
- Activé pour Edge : active cette fonctionnalité, qui ouvre les sites non approuvés dans un conteneur de navigation virtualisé Hyper-V.
- Non configuré : tout site (approuvé et non approuvé) peut s’ouvrir sur l’appareil.
Comportement du Presse-papiers
Par défaut : Non configuré
Protection d'application CSP : Paramètres/Presse-papiersParamètres

Choisissez les actions de copie et de collage autorisées entre le PC local et le Protection d'application navigateur virtuel.
- Non configuré
- Autoriser le copier-coller du PC vers le navigateur uniquement
- Autoriser le copier-coller du navigateur vers le PC uniquement
- Autoriser le copier-coller entre le PC et le navigateur
- Bloquer le copier-coller entre le PC et le navigateur
Contenu du Presse-papiers
Ce paramètre est disponible uniquement lorsque le comportement du Presse-papiers est défini sur l’un des paramètres d’autorisation .
Par défaut : Non configuré
Protection d'application CSP : Settings/ClipboardFileType

Sélectionnez le contenu du Presse-papiers autorisé.
- Non configuré
- Texte
- Images
- Texte et images
Contenu externe sur les sites d’entreprise
Par défaut : Non configuré
Protection d'application CSP : Paramètres/BlockNonEnterpriseContent
- Bloquer : empêcher le chargement du contenu des sites web non approuvés.
- Non configuré : les sites non-entreprise peuvent s’ouvrir sur l’appareil.
Imprimer à partir d’un navigateur virtuel
Par défaut : Non configuré
Protection d'application CSP : Paramètres/PrintingSettings
- Autoriser : autorise l’impression du contenu sélectionné à partir du navigateur virtuel.
- Non configuré Désactivez toutes les fonctionnalités d’impression.
Lorsque vous autorisez l’impression, vous pouvez configurer le paramètre suivant :
- Type(s) d’impression Sélectionnez une ou plusieurs des options suivantes :
  - PDF
  - XPS
  - Imprimantes locales
  - Imprimantes réseau
Collecter les journaux
Par défaut : Non configuré
Protection d'application CSP : Audit/AuditApplicationGuard
- Autoriser : collecte des journaux pour les événements qui se produisent dans une session de navigation Protection d'application.
- Non configuré : ne collectez aucun journal dans la session de navigation.
Conserver les données de navigateur générées par l’utilisateur
Par défaut : Non configuré
Protection d'application CSP : Paramètres/AllowPersistence
- Permettre Enregistrez les données utilisateur (telles que les mots de passe, les favoris et les cookies) créées pendant une session de navigation virtuelle Protection d'application.
- Non configuré Ignorez les fichiers et les données téléchargés par l’utilisateur lors du redémarrage de l’appareil ou lorsqu’un utilisateur se déconnecte.
Accélération graphique
Par défaut : Non configuré
Protection d'application CSP : Paramètres/AllowVirtualGPU
- Activer : chargez plus rapidement des sites web et des vidéos gourmands en graphiques en accédant à une unité de traitement graphique virtuelle.
- Non configuré Utiliser le processeur de l’appareil pour les graphiques ; N’utilisez pas l’unité de traitement graphique virtuelle.
Télécharger des fichiers dans le système de fichiers hôte
Par défaut : Non configuré
Protection d'application CSP : Settings/SaveFilesToHost
- Activer : les utilisateurs peuvent télécharger des fichiers à partir du navigateur virtualisé sur le système d’exploitation hôte.
- Non configuré : conserve les fichiers locaux sur l’appareil et ne télécharge pas les fichiers sur le système de fichiers hôte.

Pare-feu Windows

Paramètres globaux

Ces paramètres s’appliquent à tous les types de réseau.

Protocole de transfert de fichiers
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : MdmStore/Global/DisableStatefulFtp
- Bloquer : désactivez ftp avec état.
- Non configuré : le pare-feu effectue un filtrage FTP avec état pour autoriser les connexions secondaires.
Temps d’inactivité de l’association de sécurité avant suppression
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : MdmStore/Global/SaIdleTime

Spécifiez une durée d’inactivité en secondes, après laquelle les associations de sécurité sont supprimées.
Encodage de clé pré-partagé
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : MdmStore/Global/PresharedKeyEncoding
- Activer : encoder des clés précosées à l’aide d’UTF-8.
- Non configuré : encoder des clés précodées à l’aide de la valeur du magasin local.
Exemptions IPsec
Par défaut : 0 sélectionné
Fournisseur de services de configuration de pare-feu : MdmStore/Global/IPsecExempt

Sélectionnez un ou plusieurs des types de trafic suivants à exempter d’IPsec :
- Codes de type ICMP de découverte du voisin
- ICMP
- Codes de type ICMP IPv6 de découverte du routeur
- Trafic réseau DHCP IPv4 et IPv6
Vérification de la liste de révocation de certificats
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : MdmStore/Global/CRLcheck

Choisissez la façon dont l’appareil vérifie la liste de révocation de certificats. Les options suivantes sont disponibles :
- Désactiver la vérification de la liste de révocation de certificats
- Échec de la vérification de la liste de révocation de certificats sur le certificat révoqué uniquement
- Échec de la vérification de la liste de révocation de certificats en cas d’erreur rencontrée.
Mettre en correspondance opportunistement l’ensemble d’authentification par module de clé
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : MdmStore/Global/OpportunisticallyMatchAuthSetPerKM
- Activer Les modules de clé doivent ignorer uniquement les suites d’authentification qu’ils ne prennent pas en charge.
- Non configurés, les modules keying doivent ignorer l’ensemble du jeu d’authentification s’ils ne prennent pas en charge toutes les suites d’authentification spécifiées dans l’ensemble.
Mise en file d’attente de paquets
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : MdmStore/Global/EnablePacketQueue

Spécifiez comment la mise à l’échelle logicielle côté réception est activée pour la réception chiffrée et le transfert de texte clair pour le scénario de passerelle de tunnel IPsec. Ce paramètre confirme que l’ordre des paquets est conservé. Les options suivantes sont disponibles :
- Non configuré
- Désactiver toutes les files d’attente de paquets
- Paquets chiffrés entrants en file d’attente uniquement
- Paquets de file d’attente après le déchiffrement pour le transfert uniquement
- Configurer les paquets entrants et sortants

Paramètres réseau

Les paramètres suivants sont répertoriés dans cet article une seule fois, mais s’appliquent tous aux trois types de réseau spécifiques :

Réseau de domaine (espace de travail)
Réseau privé (détectable)
Réseau public (non détectable)

Généralités

Pare-feu Windows
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : EnableFirewall
- Activer : activez le pare-feu et la sécurité avancée.
- Non configuré Autorise tout le trafic réseau, quels que soient les autres paramètres de stratégie.
Mode furtif
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : DisableStealthMode
- Non configuré
- Bloquer : le pare-feu ne peut pas fonctionner en mode furtif. Le blocage du mode furtif vous permet également de bloquer l’exemption de paquets sécurisés IPsec.
- Autoriser : le pare-feu fonctionne en mode furtif, ce qui permet d’empêcher les réponses aux demandes de détection.
Exemption de paquets sécurisés IPsec avec mode furtif
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : DisableStealthModeIpsecSecuredPacketExemption

Cette option est ignorée si le mode furtif est défini sur Bloquer.
- Non configuré
- Bloquer : les paquets sécurisés IPSec ne reçoivent pas d’exemptions.
- Autoriser : activez les exemptions. Le mode furtif du pare-feu NE DOIT PAS empêcher l’ordinateur hôte de répondre au trafic réseau non sollicité sécurisé par IPsec.
Blindé
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : protégé
- Non configuré
- Bloquer : lorsque le Pare-feu Windows est activé et que ce paramètre est défini sur Bloquer, tout le trafic entrant est bloqué, quels que soient les autres paramètres de stratégie.
- Autoriser : lorsqu’il est défini sur Autoriser, ce paramètre est désactivé et le trafic entrant est autorisé en fonction d’autres paramètres de stratégie.
Réponses de monodiffusion aux diffusions de multidiffusion
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : DisableUnicastResponsesToMulticastBroadcast

En règle générale, vous ne souhaitez pas recevoir de réponses en monodiffusion à des messages de multidiffusion ou de diffusion. Ces réponses peuvent indiquer une attaque par déni de service (DOS) ou un attaquant qui tente de sonder un ordinateur actif connu.
- Non configuré
- Bloquer : désactivez les réponses en monodiffusion aux diffusions de multidiffusion.
- Autoriser : autoriser les réponses en monodiffusion aux diffusions de multidiffusion.
Notifications entrantes
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : DisableInboundNotifications
- Non configuré
- Bloquer : masquer les notifications à utiliser lorsqu’une application est bloquée pour écouter sur un port.
- Autoriser : active ce paramètre et peut afficher une notification aux utilisateurs lorsqu’une application ne peut pas écouter sur un port.
Action par défaut pour les connexions sortantes
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : DefaultOutboundAction

Configurez l’action par défaut effectuée par le pare-feu sur les connexions sortantes. Ce paramètre sera appliqué à Windows version 1809 et ultérieure.
- Non configuré
- Bloquer : l’action de pare-feu par défaut n’est pas exécutée sur le trafic sortant, sauf si elle est explicitement spécifiée pour ne pas bloquer.
- Autoriser : les actions de pare-feu par défaut s’exécutent sur les connexions sortantes.
Action par défaut pour les connexions entrantes
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : DefaultInboundAction
- Non configuré
- Bloquer : l’action de pare-feu par défaut n’est pas exécutée sur les connexions entrantes.
- Autoriser : les actions de pare-feu par défaut s’exécutent sur les connexions entrantes.

Fusion de règles

Règles de pare-feu Windows d’application autorisées à partir du magasin local
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : AuthAppsAllowUserPrefMerge
- Non configuré
- Bloquer : les règles de pare-feu d’application autorisées dans le magasin local sont ignorées et non appliquées.
- Autoriser : choisissez Activer Applique les règles de pare-feu dans le magasin local afin qu’elles soient reconnues et appliquées.
Règles de pare-feu Windows de port global à partir du magasin local
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : GlobalPortsAllowUserPrefMerge
- Non configuré
- Bloquer : les règles de pare-feu de port globales dans le magasin local sont ignorées et non appliquées.
- Autoriser : appliquez des règles de pare-feu de port globales dans le magasin local à reconnaître et à appliquer.
Règles du Pare-feu Windows à partir du magasin local
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : AllowLocalPolicyMerge
- Non configuré
- Bloquer : les règles de pare-feu du magasin local sont ignorées et non appliquées.
- Autoriser : appliquez des règles de pare-feu dans le magasin local à reconnaître et à appliquer.
Règles IPsec du magasin local
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : AllowLocalIpsecPolicyMerge
- Non configuré
- Bloquer : les règles de sécurité de connexion du magasin local sont ignorées et non appliquées, quelle que soit la version du schéma et la version de la règle de sécurité de connexion.
- Autoriser : appliquez des règles de sécurité de connexion à partir du magasin local, quelles que soient les versions de la règle de sécurité de schéma ou de connexion.

Règles de pare-feu

Vous pouvez ajouter une ou plusieurs règles de pare-feu personnalisées. Pour plus d’informations, consultez Ajouter des règles de pare-feu personnalisées pour les appareils Windows.

Les règles de pare-feu personnalisées prennent en charge les options suivantes :

Paramètres généraux

Name
Par défaut : aucun nom

Spécifiez un nom convivial pour votre règle. Ce nom apparaît dans la liste des règles pour vous aider à l’identifier.
Description
Valeur par défaut : aucune description

Fournissez une description de la règle.
Direction
Par défaut : Non configuré
Fournisseur csp de pare-feu : FirewallRules/FirewallRuleName/Direction

Spécifiez si cette règle s’applique au trafic entrant ou sortant . Lorsqu’elle est définie sur Non configuré, la règle s’applique automatiquement au trafic sortant.
Action
Par défaut : Non configuré
Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/Action et FirewallRules/FirewallRuleName/Action/Type

Sélectionnez Autoriser ou Bloquer. Lorsqu’elle est définie sur Non configuré, la règle autorise par défaut le trafic.
Type de réseau
Par défaut : 0 sélectionné
Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/Profiles

Sélectionnez jusqu’à trois types de réseaux auxquels cette règle appartient. Les options sont Domaine, Privé et Public. Si aucun type de réseau n’est sélectionné, la règle s’applique aux trois types de réseau.

Paramètres d’application

Application(s)
Valeur par défaut : All

Contrôler les connexions d’une application ou d’un programme. Les applications et les programmes peuvent être spécifiés par le chemin d’accès au fichier, le nom de la famille de packages ou le nom du service :
- Nom de la famille de packages : spécifiez un nom de famille de package. Pour rechercher le nom de la famille de packages, utilisez la commande PowerShell Get-AppxPackage.
  Fournisseur csp de pare-feu : FirewallRules/FirewallRuleName/App/PackageFamilyName
- Chemin d’accès au fichier : vous devez spécifier un chemin d’accès à une application sur l’appareil client, qui peut être un chemin absolu ou un chemin relatif. Par exemple : C:\Windows\System\Notepad.exe ou %WINDIR%\Notepad.exe.
  Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/App/FilePath
- Service Windows : spécifiez le nom court du service Windows s’il s’agit d’un service et non d’une application qui envoie ou reçoit du trafic. Pour trouver le nom court du service, utilisez la commande PowerShell Get-Service.
  Fournisseur csp de pare-feu : FirewallRules/FirewallRuleName/App/ServiceName
- Tout : aucune configuration n’est requise

Paramètres d’adresse IP

Spécifiez les adresses locales et distantes auxquelles cette règle s’applique.

Adresses locales
Par défaut : n’importe quelle adresse
Fournisseur csp de pare-feu : FirewallRules/FirewallRuleName/LocalPortRanges

Sélectionnez N’importe quelle adresse ou Adresse spécifiée.

Lorsque vous utilisez Adresse spécifiée, vous ajoutez une ou plusieurs adresses en tant que liste d’adresses locales séparées par des virgules couvertes par la règle. Les jetons valides sont les suivants :
- Utilisez un astérisque * pour toute adresse locale. Si vous utilisez un astérisque, il doit s’agir du seul jeton que vous utilisez.
- Spécifiez un sous-réseau en utilisant le masque de sous-réseau ou la notation de préfixe réseau. Si aucun masque de sous-réseau ou préfixe réseau n’est spécifié, le masque de sous-réseau est défini par défaut sur 255.255.255.255.
- Adresse IPv6 valide.
- Plage d’adresses IPv4 au format « adresse de début - adresse de fin » sans espace.
- Plage d’adresses IPv6 au format « adresse de début - adresse de fin » sans espace inclus.
Adresses distantes
Par défaut : n’importe quelle adresse
Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/RemoteAddressRanges

Sélectionnez N’importe quelle adresse ou Adresse spécifiée.

Lorsque vous utilisez Adresse spécifiée, vous ajoutez une ou plusieurs adresses en tant que liste d’adresses distantes séparées par des virgules couvertes par la règle. Les jetons ne respectent pas la casse. Les jetons valides sont les suivants :
- Utilisez un astérisque « * » pour toute adresse distante. Si vous utilisez un astérisque, il doit s’agir du seul jeton que vous utilisez.
- Defaultgateway
- DHCP
- DNS
- WINS
- Intranet (pris en charge sur Windows versions 1809 et ultérieures)
- RmtIntranet (pris en charge sur Windows versions 1809 et ultérieures)
- Internet (pris en charge sur Windows versions 1809 et ultérieures)
- Ply2Renders (pris en charge sur Windows versions 1809 et ultérieures)
- LocalSubnet indique toute adresse locale sur le sous-réseau local.
- Spécifiez un sous-réseau en utilisant le masque de sous-réseau ou la notation de préfixe réseau. Si aucun masque de sous-réseau ou préfixe réseau n’est spécifié, le masque de sous-réseau est défini par défaut sur 255.255.255.255.
- Adresse IPv6 valide.
- Plage d’adresses IPv4 au format « adresse de début - adresse de fin » sans espace.
- Plage d’adresses IPv6 au format « adresse de début - adresse de fin » sans espace inclus.

Paramètres de port et de protocole

Spécifiez les ports locaux et distants auxquels cette règle s’applique.

Protocol (Protocole)
Par défaut : Any
Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/Protocol
Sélectionnez l’une des options suivantes et effectuez les configurations requises :
- Tout : aucune configuration n’est disponible.
- TCP : configurez les ports locaux et distants. Les deux options prennent en charge Tous les ports ou Ports spécifiés. Entrez Ports spécifiés à l’aide d’une liste séparée par des virgules.
  - Ports locaux - Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/LocalPortRanges
  - Ports distants - Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/RemotePortRanges
- UDP : configurez les ports locaux et distants. Les deux options prennent en charge Tous les ports ou Ports spécifiés. Entrez Ports spécifiés à l’aide d’une liste séparée par des virgules.
  - Ports locaux - Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/LocalPortRanges
  - Ports distants - Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/RemotePortRanges
- Personnalisé : spécifiez un numéro de protocole personnalisé compris entre 0 et 255.

Configuration avancée

Types d’interface
Par défaut : 0 sélectionné
Fournisseur csp de pare-feu : FirewallRules/FirewallRuleName/InterfaceTypes

Sélectionnez l’une des options suivantes :
- Accès distant
- Sans fil
- Réseau local
Autoriser uniquement les connexions de ces utilisateurs
Par défaut : Tous les utilisateurs (utilise par défaut toutes les utilisations lorsqu’aucune liste n’est spécifiée)
Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/LocalUserAuthorizationList

Spécifiez une liste d’utilisateurs locaux autorisés pour cette règle. Une liste d’utilisateurs autorisés ne peut pas être spécifiée si cette règle s’applique à un service Windows.

Microsoft Defender paramètres SmartScreen

Microsoft Edge doit être installé sur l’appareil.

SmartScreen pour les applications et les fichiers
Par défaut : Non configuré
Fournisseur de services de configuration SmartScreen : SmartScreen/EnableSmartScreenInShell
- Non configuré : désactive l’utilisation de SmartScreen.
- Activer : activez Windows SmartScreen pour l’exécution de fichiers et l’exécution d’applications. SmartScreen est un composant anti-hameçonnage et anti-programme malveillant basé sur le cloud.
Exécution de fichiers non vérifiés
Par défaut : Non configuré
Fournisseur de services de configuration SmartScreen : SmartScreen/PreventOverrideForFilesInShell
- Non configuré : désactive cette fonctionnalité et permet aux utilisateurs finaux d’exécuter des fichiers qui n’ont pas été vérifiés.
- Bloquer : empêche les utilisateurs finaux d’exécuter des fichiers qui n’ont pas été vérifiés par Windows SmartScreen.

Chiffrement Windows

Paramètres Windows

Chiffrer les appareils
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : RequireDeviceEncryption
- Exiger : invite les utilisateurs à activer le chiffrement de l’appareil. Selon l’édition de Windows et la configuration du système, les utilisateurs peuvent être invités à :
  - Pour vérifier que le chiffrement d’un autre fournisseur n’est pas activé.
  - Vous devez désactiver le chiffrement de lecteur BitLocker, puis réactiver BitLocker.
- Non configuré
Si le chiffrement Windows est activé alors qu’une autre méthode de chiffrement est active, l’appareil peut devenir instable.

Paramètres de base BitLocker

Les paramètres de base sont des paramètres BitLocker universels pour tous les types de lecteurs de données. Ces paramètres gèrent les tâches de chiffrement de lecteur ou les options de configuration que l’utilisateur final peut modifier sur tous les types de lecteurs de données.

Avertissement pour un autre chiffrement de disque
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : AllowWarningForOtherDiskEncryption
- Bloquer : désactivez l’invite d’avertissement si un autre service de chiffrement de disque se trouve sur l’appareil.
- Non configuré : autoriser l’affichage de l’avertissement pour un autre chiffrement de disque.
Conseil

Pour installer BitLocker automatiquement et en mode silencieux sur un appareil Microsoft Entra joint et exécutant Windows 1809 ou version ultérieure, ce paramètre doit être défini sur Bloquer. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur les appareils.

Lorsque la valeur est Bloquer, vous pouvez configurer le paramètre suivant :
- Autoriser les utilisateurs standard à activer le chiffrement pendant Microsoft Entra jonction
  Ce paramètre s’applique uniquement aux appareils Microsoft Entra joints (Azure ADJ) et dépend du paramètre précédent, Warning for other disk encryption.
  Par défaut : Non configuré
  Fournisseur de services de configuration BitLocker : AllowStandardUserEncryption
  - Autoriser : les utilisateurs standard (non-administrateurs) peuvent activer le chiffrement BitLocker lorsqu’ils sont connectés.
  - Non configuré , seuls les administrateurs peuvent activer le chiffrement BitLocker sur l’appareil.
Conseil

Pour installer BitLocker automatiquement et en mode silencieux sur un appareil Microsoft Entra joint et exécutant Windows 1809 ou version ultérieure, ce paramètre doit être défini sur Autoriser. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur les appareils.
Configurer des méthodes de chiffrement
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : EncryptionMethodByDriveType
- Activer : configurez des algorithmes de chiffrement pour le système d’exploitation, les données et les lecteurs amovibles.
- Non configuré : BitLocker utilise XTS-AES 128 bits comme méthode de chiffrement par défaut, ou utilise la méthode de chiffrement spécifiée par n’importe quel script d’installation.
Lorsque vous avez la valeur Activer, vous pouvez configurer les paramètres suivants :
- Chiffrement des lecteurs de système d’exploitation
  Par défaut : XTS-AES 128 bits
  
  Choisissez la méthode de chiffrement pour les lecteurs de système d’exploitation. Nous vous recommandons d’utiliser l’algorithme XTS-AES.
  - AES-CBC 128 bits
  - AES-CBC 256 bits
  - XTS-AES 128 bits
  - XTS AES 256 bits
- Chiffrement des lecteurs de données fixes
  Par défaut : AES-CBC 128 bits
  
  Choisissez la méthode de chiffrement pour les lecteurs de données fixes (intégrés). Nous vous recommandons d’utiliser l’algorithme XTS-AES.
  - AES-CBC 128 bits
  - AES-CBC 256 bits
  - XTS-AES 128 bits
  - XTS AES 256 bits
- Chiffrement des lecteurs de données amovibles
  Par défaut : AES-CBC 128 bits
  
  Choisissez la méthode de chiffrement pour les lecteurs de données amovibles. Si le lecteur amovible est utilisé avec des appareils qui ne s’exécutent pas Windows 10/11, nous vous recommandons d’utiliser l’algorithme AES-CBC.
  - AES-CBC 128 bits
  - AES-CBC 256 bits
  - XTS-AES 128 bits
  - XTS AES 256 bits

Paramètres du lecteur de système d’exploitation BitLocker

Ces paramètres s’appliquent spécifiquement aux lecteurs de données du système d’exploitation.

Authentification supplémentaire au démarrage
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : SystemDrivesRequireStartupAuthentication
- Exiger : configurez les exigences d’authentification pour le démarrage de l’ordinateur, y compris l’utilisation du module de plateforme sécurisée (TPM).
- Non configuré : configurez uniquement les options de base sur les appareils dotés d’un module TPM.
Lorsque vous avez la valeur Exiger, vous pouvez configurer les paramètres suivants :
- BitLocker avec puce TPM non compatible
  Par défaut : Non configuré
  - Bloquer : désactivez l’utilisation de BitLocker lorsqu’un appareil n’a pas de puce TPM compatible.
  - Non configuré : les utilisateurs peuvent utiliser BitLocker sans puce TPM compatible. BitLocker peut nécessiter un mot de passe ou une clé de démarrage.
- Démarrage du module de plateforme sécurisée compatible
  Par défaut : Autoriser le module TPM
  
  Configurez si le module de plateforme sécurisée est autorisé, obligatoire ou non.
  - Autoriser le module TPM
  - Ne pas autoriser le module de plateforme sécurisée
  - Exiger le module TPM
- Code pin de démarrage du module de plateforme sécurisée compatible
  Par défaut : Autoriser le code pin de démarrage avec TPM
  
  Choisissez d’autoriser, de ne pas autoriser ou d’exiger l’utilisation d’un code pin de démarrage avec la puce TPM. L’activation d’un code pin de démarrage nécessite l’interaction de l’utilisateur final.
  - Autoriser le code pin de démarrage avec TPM
  - Ne pas autoriser le code pin de démarrage avec TPM
  - Exiger le code pin de démarrage avec TPM
  Conseil
  
  Pour installer BitLocker automatiquement et en mode silencieux sur un appareil Microsoft Entra joint et exécutant Windows 1809 ou version ultérieure, ce paramètre ne doit pas être défini sur Exiger le code pin de démarrage avec TPM. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur les appareils.
- Clé de démarrage TPM compatible
  Par défaut : Autoriser la clé de démarrage avec TPM
  
  Choisissez d’autoriser, de ne pas autoriser ou d’exiger l’utilisation d’une clé de démarrage avec la puce TPM. L’activation d’une clé de démarrage nécessite l’interaction de l’utilisateur final.
  - Autoriser la clé de démarrage avec TPM
  - Ne pas autoriser la clé de démarrage avec TPM
  - Exiger une clé de démarrage avec TPM
  Conseil
  
  Pour installer BitLocker automatiquement et en mode silencieux sur un appareil Microsoft Entra joint et exécutant Windows 1809 ou version ultérieure, ce paramètre ne doit pas être défini sur Exiger une clé de démarrage avec TPM. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur les appareils.
- Clé de démarrage et code confidentiel du module de plateforme sécurisée compatibles
  Par défaut : Autoriser la clé de démarrage et le code confidentiel avec TPM
  
  Choisissez d’autoriser, de ne pas autoriser ou d’exiger l’utilisation d’une clé de démarrage et d’un code confidentiel avec la puce TPM. L’activation de la clé de démarrage et du code confidentiel nécessite l’interaction de l’utilisateur final.
  - Autoriser la clé de démarrage et le code confidentiel avec TPM
  - Ne pas autoriser la clé de démarrage et le code confidentiel avec le module de plateforme sécurisée
  - Exiger une clé de démarrage et un code confidentiel avec TPM
  Conseil
  
  Pour installer BitLocker automatiquement et en mode silencieux sur un appareil Microsoft Entra joint et exécutant Windows 1809 ou version ultérieure, ce paramètre ne doit pas être défini sur Exiger une clé de démarrage et un code confidentiel avec TPM. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur les appareils.
Longueur minimale du code confidentiel
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : SystemDrivesMinimumPINLength
- Activer Configurez une longueur minimale pour le code pin de démarrage du module de plateforme sécurisée.
- Non configuré : les utilisateurs peuvent configurer un code pin de démarrage de n’importe quelle longueur comprise entre 6 et 20 chiffres.
Lorsque vous avez la valeur Activer, vous pouvez configurer le paramètre suivant :
- Nombre minimal de caractères
  Par défaut : Fournisseur de services de configuration BitLocker non configuré : SystemDrivesMinimumPINLength
  
  Entrez le nombre de caractères requis pour le code pin de démarrage à partir de 4-20.
Récupération du lecteur de système d’exploitation
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : SystemDrivesRecoveryOptions
- Activer : contrôlez la récupération des lecteurs de système d’exploitation protégés par BitLocker lorsque les informations de démarrage requises ne sont pas disponibles.
- Non configuré : les options de récupération par défaut sont prises en charge, notamment DRA. L’utilisateur final peut spécifier des options de récupération. Les informations de récupération ne sont pas sauvegardées dans AD DS.
Lorsque vous avez la valeur Activer, vous pouvez configurer les paramètres suivants :
- Agent de récupération de données basé sur un certificat
  Par défaut : Non configuré
  - Bloquer : empêcher l’utilisation de l’agent de récupération de données avec des lecteurs de système d’exploitation protégés par BitLocker.
  - Non configuré : autoriser l’utilisation des agents de récupération de données avec des lecteurs de système d’exploitation protégés par BitLocker.
- Création d’un mot de passe de récupération par l’utilisateur
  Par défaut : Autoriser le mot de passe de récupération à 48 chiffres
  
  Choisissez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres.
  - Autoriser le mot de passe de récupération à 48 chiffres
  - Ne pas autoriser le mot de passe de récupération à 48 chiffres
  - Exiger un mot de passe de récupération à 48 chiffres
- Création d’une clé de récupération par l’utilisateur
  Par défaut : Autoriser la clé de récupération 256 bits
  
  Choisissez si les utilisateurs sont autorisés, obligatoires ou non à générer une clé de récupération 256 bits.
  - Autoriser la clé de récupération 256 bits
  - Ne pas autoriser la clé de récupération 256 bits
  - Exiger une clé de récupération 256 bits
- Options de récupération dans l’Assistant Installation de BitLocker
  Par défaut : Non configuré
  - Bloquer : les utilisateurs ne peuvent pas voir et modifier les options de récupération. Lorsque la valeur est définie sur
  - Non configuré : les utilisateurs peuvent voir et modifier les options de récupération lorsqu’ils activent BitLocker.
- Enregistrer les informations de récupération BitLocker dans l’ID de Microsoft Entra
  Par défaut : Non configuré
  - Activer : stockez les informations de récupération BitLocker dans Microsoft Entra ID.
  - Non configuré : les informations de récupération BitLocker ne sont pas stockées dans Microsoft Entra’ID.
- Informations de récupération BitLocker stockées dans l’ID de Microsoft Entra
  Par défaut : Mots de passe de récupération de sauvegarde et packages de clés
  
  Configurez les parties des informations de récupération BitLocker qui sont stockées dans Microsoft Entra ID. Choisissez parmi les autorisations suivantes :
  - Mots de passe de récupération de sauvegarde et packages de clés
  - Mots de passe de récupération de sauvegarde uniquement
- Rotation du mot de passe de récupération pilotée par le client
  Par défaut : Non configuré
  Fournisseur de services de configuration BitLocker : ConfigureRecoveryPasswordRotation
  
  Ce paramètre lance une rotation du mot de passe de récupération pilotée par le client après une récupération de lecteur de système d’exploitation (à l’aide de bootmgr ou de WinRE).
  - Non configuré
  - Rotation des clés désactivée
  - Rotation des clés activée pour les dés joints Microsoft Entra
  - Rotation des clés activée pour les appareils d’ID Microsoft Entra et joints hybrides
- Stocker les informations de récupération dans Microsoft Entra ID avant d’activer BitLocker
  Par défaut : Non configuré
  
  Empêcher les utilisateurs d’activer BitLocker, sauf si l’ordinateur sauvegarde correctement les informations de récupération BitLocker dans Microsoft Entra ID.
  - Exiger : empêcher les utilisateurs d’activer BitLocker, sauf si les informations de récupération BitLocker sont correctement stockées dans Microsoft Entra ID.
  - Non configuré : les utilisateurs peuvent activer BitLocker, même si les informations de récupération ne sont pas correctement stockées dans Microsoft Entra ID.
Message de récupération et URL de prédémarrisation
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : SystemDrivesRecoveryMessage
- Activer : configurez le message et l’URL qui s’affichent sur l’écran de récupération de la clé de prédémarrage.
- Non configuré : désactivez cette fonctionnalité.
Lorsque vous avez la valeur Activer, vous pouvez configurer le paramètre suivant :
- Message de récupération préalable au démarrage
  Par défaut : utiliser le message et l’URL de récupération par défaut
  
  Configurez la façon dont le message de récupération préalable au démarrage s’affiche pour les utilisateurs. Choisissez parmi les autorisations suivantes :
  - Utiliser l’URL et le message de récupération par défaut
  - Utiliser un message de récupération et une URL vides
  - Utiliser un message de récupération personnalisé
  - Utiliser une URL de récupération personnalisée

Paramètres de lecteur de données fixes BitLocker

Ces paramètres s’appliquent spécifiquement aux lecteurs de données fixes.

Accès en écriture au lecteur de données fixe non protégé par BitLocker
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : FixedDrivesRequireEncryption
- Bloquer : accordez un accès en lecture seule aux lecteurs de données qui ne sont pas protégés par BitLocker.
- Non configuré : par défaut, l’accès en lecture et en écriture aux lecteurs de données qui ne sont pas chiffrés.
Récupération de lecteur fixe
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : FixedDrivesRecoveryOptions
- Activer : contrôlez la façon dont les lecteurs fixes protégés par BitLocker récupèrent lorsque les informations de démarrage requises ne sont pas disponibles.
- Non configuré : désactivez cette fonctionnalité.
Lorsque vous avez la valeur Activer, vous pouvez configurer les paramètres suivants :
- Agent de récupération de données
  Par défaut : Non configuré
  - Bloquer : empêchez l’utilisation de l’agent de récupération de données avec l’éditeur de stratégie des lecteurs fixes protégés par BitLocker.
  - Non configuré : active l’utilisation des agents de récupération de données avec des lecteurs fixes protégés par BitLocker.
- Création d’un mot de passe de récupération par l’utilisateur
  Par défaut : Autoriser le mot de passe de récupération à 48 chiffres
  
  Choisissez si les utilisateurs sont autorisés, obligatoires ou non à générer un mot de passe de récupération à 48 chiffres.
  - Autoriser le mot de passe de récupération à 48 chiffres
  - Ne pas autoriser le mot de passe de récupération à 48 chiffres
  - Exiger un mot de passe de récupération à 48 chiffres
- Création d’une clé de récupération par l’utilisateur
  Par défaut : Autoriser la clé de récupération 256 bits
  
  Choisissez si les utilisateurs sont autorisés, obligatoires ou non à générer une clé de récupération 256 bits.
  - Autoriser la clé de récupération 256 bits
  - Ne pas autoriser la clé de récupération 256 bits
  - Exiger une clé de récupération 256 bits
- Options de récupération dans l’Assistant Installation de BitLocker
  Par défaut : Non configuré
  - Bloquer : les utilisateurs ne peuvent pas voir et modifier les options de récupération. Lorsque la valeur est définie sur
  - Non configuré : les utilisateurs peuvent voir et modifier les options de récupération lorsqu’ils activent BitLocker.
- Enregistrer les informations de récupération BitLocker dans l’ID de Microsoft Entra
  Par défaut : Non configuré
  - Activer : stockez les informations de récupération BitLocker dans Microsoft Entra ID.
  - Non configuré : les informations de récupération BitLocker ne sont pas stockées dans Microsoft Entra’ID.
- Informations de récupération BitLocker stockées dans l’ID de Microsoft Entra
  Par défaut : Mots de passe de récupération de sauvegarde et packages de clés
  
  Configurez les parties des informations de récupération BitLocker qui sont stockées dans Microsoft Entra ID. Choisissez parmi les autorisations suivantes :
  - Mots de passe de récupération de sauvegarde et packages de clés
  - Mots de passe de récupération de sauvegarde uniquement
- Stocker les informations de récupération dans Microsoft Entra ID avant d’activer BitLocker
  Par défaut : Non configuré
  
  Empêcher les utilisateurs d’activer BitLocker, sauf si l’ordinateur sauvegarde correctement les informations de récupération BitLocker dans Microsoft Entra ID.
  - Exiger : empêcher les utilisateurs d’activer BitLocker, sauf si les informations de récupération BitLocker sont correctement stockées dans Microsoft Entra ID.
  - Non configuré : les utilisateurs peuvent activer BitLocker, même si les informations de récupération ne sont pas correctement stockées dans Microsoft Entra ID.

Paramètres de lecteur de données amovibles BitLocker

Ces paramètres s’appliquent spécifiquement aux lecteurs de données amovibles.

Accès en écriture au lecteur de données amovible non protégé par BitLocker
Par défaut : Non configuré
Fournisseur de services de configuration BitLocker : RemovableDrivesRequireEncryption
- Bloquer : accordez un accès en lecture seule aux lecteurs de données qui ne sont pas protégés par BitLocker.
- Non configuré : par défaut, l’accès en lecture et en écriture aux lecteurs de données qui ne sont pas chiffrés.
Lorsque vous avez la valeur Activer, vous pouvez configurer le paramètre suivant :
- Accès en écriture aux appareils configurés dans un autre organization
  Par défaut : Non configuré
  - Bloquer : bloquer l’accès en écriture aux appareils configurés dans un autre organization.
  - Non configuré : refuser l’accès en écriture.

Microsoft Defender Exploit Guard

Utilisez exploit protection pour gérer et réduire la surface d’attaque des applications utilisées par vos employés.

Réduction de la surface d’attaque

Les règles de réduction de la surface d’attaque permettent d’empêcher les comportements que les logiciels malveillants utilisent souvent pour infecter les ordinateurs avec du code malveillant.

Règles de réduction de la surface d’attaque

Pour plus d’informations, consultez Règles de réduction de la surface d’attaque dans la documentation Microsoft Defender pour point de terminaison.

Comportement de fusion pour les règles de réduction de la surface d’attaque dans Intune :

Les règles de réduction de la surface d’attaque prennent en charge une fusion de paramètres de différentes stratégies, afin de créer un sur-ensemble de stratégies pour chaque appareil. Seuls les paramètres qui ne sont pas en conflit sont fusionnés, tandis que les paramètres en conflit ne sont pas ajoutés au sur-ensemble de règles. Auparavant, si deux stratégies incluaient des conflits pour un seul paramètre, les deux stratégies étaient marquées comme étant en conflit, et aucun paramètre de l’un ou l’autre profil n’était déployé.

Le comportement de fusion des règles de réduction de la surface d’attaque est le suivant :

Les règles de réduction de la surface d’attaque des profils suivants sont évaluées pour chaque appareil à lequel les règles s’appliquent :
- Stratégie de configuration > des appareils > Profil de protection du point > de terminaison Microsoft Defender réduction de la surface d’attaque Exploit Guard >
- Stratégie de réduction de > la surface d’attaque De sécurité > des points de terminaison Règles de réduction de la surface d’attaque
- Bases de référence de sécurité de la sécurité > des > points de terminaison Microsoft Defender pour point de terminaison règles de réduction de la surface d’attaque de base>.
Les paramètres qui n’ont pas de conflits sont ajoutés à un sur-ensemble de stratégie pour l’appareil.
Lorsque plusieurs stratégies ont des paramètres en conflit, les paramètres en conflit ne sont pas ajoutés à la stratégie combinée. Les paramètres qui ne sont pas en conflit sont ajoutés à la stratégie de sur-ensemble qui s’applique à un appareil.
Seules les configurations pour les paramètres en conflit sont retenues.

Paramètres de ce profil :

Signaler le vol d’informations d’identification du sous-système d’autorité de sécurité locale Windows
Par défaut : Non configuré
Règle : Bloquer le vol d’informations d’identification à partir du sous-système d’autorité de sécurité locale Windows (lsass.exe)

Empêchez les actions et les applications qui sont généralement utilisées par des programmes malveillants à la recherche d’exploits pour infecter les machines.
- Non configuré
- Activer : signaler le vol d’informations d’identification dans le sous-système d’autorité de sécurité locale Windows (lsass.exe).
- Auditer uniquement
Création de processus à partir d’Adobe Reader (bêta)
Par défaut : Non configuré
Règle : Empêcher Adobe Reader de créer des processus enfants
- Non configuré
- Activer : bloquer les processus enfants créés à partir d’Adobe Reader.
- Auditer uniquement

Règles pour empêcher les menaces office macro

Empêchez les applications Office d’effectuer les actions suivantes :

Injection d’applications Office dans d’autres processus (aucune exception)
Par défaut : Non configuré
Règle : Empêcher les applications Office d’injecter du code dans d’autres processus
- Non configuré
- Bloquer : empêcher les applications Office de s’injecter dans d’autres processus.
- Auditer uniquement
Applications/macros Office créant du contenu exécutable
Par défaut : Non configuré
Règle : Empêcher les applications Office de créer du contenu exécutable
- Non configuré
- Bloquer : empêcher les applications et macros Office de créer du contenu exécutable.
- Auditer uniquement
Applications Office qui lancent des processus enfants
Par défaut : Non configuré
Règle : Empêcher toutes les applications Office de créer des processus enfants
- Non configuré
- Bloquer : empêcher les applications Office de lancer des processus enfants.
- Auditer uniquement
Importations Win32 à partir du code de macro Office
Par défaut : Non configuré
Règle : Bloquer les appels d’API Win32 à partir des macros Office
- Non configuré
- Bloquer : bloquer les importations Win32 à partir du code de macro dans Office.
- Auditer uniquement
Création de processus à partir de produits de communication Office
Par défaut : Non configuré
Règle : Empêcher l’application de communication Office de créer des processus enfants
- Non configuré
- Activer : bloquer la création de processus enfants à partir des applications de communication Office.
- Auditer uniquement

Règles pour empêcher les menaces de script

Bloquez les éléments suivants pour éviter les menaces de script :

Code js/vbs/ps/macro obfusqué
Par défaut : Non configuré
Règle : Bloquer l’exécution de scripts potentiellement obfusqués
- Non configuré
- Bloquer : bloque tout code js/vbs/ps/macro obfusqué.
- Auditer uniquement
js/vbs exécutant la charge utile téléchargée à partir d’Internet (aucune exception)
Par défaut : Non configuré
Règle : Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
- Non configuré
- Bloquer : empêche js/vbs d’exécuter la charge utile téléchargée à partir d’Internet.
- Auditer uniquement
Processus de création à partir de commandes PSExec et WMI
Par défaut : Non configuré
Règle : Bloquer les créations de processus provenant des commandes PSExec et WMI
- Non configuré
- Bloquer : bloquer les créations de processus provenant des commandes PSExec et WMI.
- Auditer uniquement
Processus non approuvés et non signés qui s’exécutent à partir du port USB
Par défaut : Non configuré
Règle : Bloquer les processus non approuvés et non signés qui s’exécutent à partir d’USB
- Non configuré
- Bloquer : bloque les processus non approuvés et non signés qui s’exécutent à partir d’USB.
- Auditer uniquement
Exécutables qui ne répondent pas à des critères de prévalence, d’âge ou de liste de confiance
Par défaut : Non configuré
Règle : Bloquer l’exécution des fichiers exécutables, sauf s’ils répondent à un critère de prévalence, d’âge ou de liste approuvée
- Non configuré
- Bloquer : empêcher l’exécution des fichiers exécutables, sauf s’ils répondent à des critères de prévalence, d’âge ou de liste de confiance.
- Auditer uniquement

Règles pour empêcher les menaces par e-mail

Bloquez les éléments suivants pour éviter les menaces par e-mail :

Exécution du contenu exécutable (exe, dll, ps, js, vbs, etc.) supprimé de l’e-mail (webmail/client de messagerie) (aucune exception)
Par défaut : Non configuré
Règle : Bloquer le contenu exécutable du client de messagerie et de la messagerie web
- Non configuré
- Bloquer : bloquer l’exécution du contenu exécutable (exe, dll, ps, js, vbs, etc.) supprimé de l’e-mail (webmail/mail-client).
- Auditer uniquement

Règles de protection contre les rançongiciels

Protection avancée contre les ransomwares
Par défaut : Non configuré
Règle : Utiliser une protection avancée contre les rançongiciels
- Non configuré
- Activer : utilisez une protection agressive contre les rançongiciels.
- Auditer uniquement

Exceptions de réduction de la surface d’attaque

Fichiers et dossiers à exclure des règles de réduction de la surface d’attaque
Fournisseur de services de configuration Defender : AttackSurfaceReductionOnlyExclusions
- Importez un fichier .csv qui contient des fichiers et des dossiers à exclure des règles de réduction de la surface d’attaque.
- Ajoutez manuellement des fichiers ou dossiers locaux.

Importante

Pour permettre l’installation et l’exécution appropriées des applications LOB Win32, les paramètres anti-programme malveillant doivent exclure les répertoires suivants de l’analyse :
Sur les ordinateurs clients X64 :
C :\Program Files (x86)\Microsoft Intune Management Extension\Content
C :\windows\IMECache

Sur les ordinateurs clients X86 :
C :\Program Files\Microsoft Intune Management Extension\Content
C :\windows\IMECache

Pour plus d’informations, consultez Recommandations d’analyse antivirus pour les ordinateurs d’entreprise qui exécutent des versions de Windows actuellement prises en charge.

Accès contrôlé aux dossiers

Aider à protéger les données précieuses contre les applications malveillantes et les menaces, telles que les rançongiciels.

Protection des dossiers
Par défaut : Non configuré
Fournisseur de services de configuration Defender : EnableControlFolderAccess

Protégez les fichiers et dossiers contre les modifications non autorisées par des applications non amicales.
- Non configuré
- Enable
- Auditer uniquement
- Bloquer la modification du disque
- Auditer la modification du disque
Lorsque vous sélectionnez une configuration autre que Non configuré, vous pouvez configurer :
- Liste des applications qui ont accès aux dossiers protégés
  Fournisseur de services de configuration Defender : ControlledFolderAccessAllowedApplications
  - Importez un fichier .csv qui contient une liste d’applications.
  - Ajoutez manuellement des applications à cette liste.
- Liste des dossiers supplémentaires qui doivent être protégés
  Fournisseur de services de configuration Defender : ControlledFolderAccessProtectedFolders
  - Importez un fichier .csv qui contient une liste de dossiers.
  - Ajoutez manuellement des dossiers à cette liste.

Filtrage réseau

Bloquez les connexions sortantes de n’importe quelle application vers des adresses IP ou des domaines avec une mauvaise réputation. Le filtrage réseau est pris en charge en mode Audit et Bloc.

Protection du réseau
Par défaut : Non configuré
Fournisseur de services de configuration Defender : EnableNetworkProtection

L’objectif de ce paramètre est de protéger les utilisateurs finaux contre les applications ayant accès aux escroqueries par hameçonnage, aux sites d’hébergement d’exploitation et au contenu malveillant sur Internet. Il empêche également les navigateurs tiers de se connecter à des sites dangereux.
- Non configuré : désactivez cette fonctionnalité. Les utilisateurs et les applications ne sont pas empêchés de se connecter à des domaines dangereux. Les administrateurs ne peuvent pas voir cette activité dans Centre de sécurité Microsoft Defender.
- Activer : activez la protection réseau et empêchez les utilisateurs et les applications de se connecter à des domaines dangereux. Les administrateurs peuvent voir cette activité dans Centre de sécurité Microsoft Defender.
- Auditer uniquement : les utilisateurs et les applications ne sont pas empêchés de se connecter à des domaines dangereux. Les administrateurs peuvent voir cette activité dans Centre de sécurité Microsoft Defender.

Exploit Protection

Charger du code XML
Par défaut : Non configuré

Pour utiliser Exploit Protection afin de protéger les appareils contre les attaques, créez un fichier XML qui inclut les paramètres d’atténuation du système et des applications souhaités. Il existe deux méthodes pour créer le fichier XML :
- PowerShell : utilisez une ou plusieurs applets de commande PowerShell Get-ProcessMitigation, Set-ProcessMitigation et ConvertTo-ProcessMitigationPolicy . Les applets de commande configurent les paramètres d’atténuation et exportent une représentation XML de ceux-ci.
- Centre de sécurité Microsoft Defender’interface utilisateur : dans le Centre de sécurité Microsoft Defender, sélectionnez App & contrôle de navigateur, puis faites défiler jusqu’au bas de l’écran qui en résulte pour rechercher Exploit Protection. Tout d’abord, utilisez les onglets Paramètres système et Paramètres du programme pour configurer les paramètres d’atténuation. Ensuite, recherchez le lien Exporter les paramètres en bas de l’écran pour exporter une représentation XML de ces paramètres.
Modification par l’utilisateur de l’interface exploit protection
Par défaut : Non configuré
Fournisseur de services de configuration ExploitGuard : ExploitProtectionSettings
- Bloquer : chargez un fichier XML qui vous permet de configurer la mémoire, le flux de contrôle et les restrictions de stratégie. Les paramètres du fichier XML peuvent être utilisés pour bloquer une application contre les attaques.
- Non configuré : aucune configuration personnalisée n’est utilisée.

contrôle d’application Microsoft Defender

Choisissez les applications à auditer par ou qui sont approuvées pour être exécutées par Microsoft Defender Contrôle d’application. Les composants Windows et toutes les applications du Windows Store sont automatiquement approuvés pour s’exécuter.

Stratégies d’intégrité du code de contrôle d’application
Par défaut : Non configuré
CSP : Fournisseur de services de configuration AppLocker
- Appliquer : choisissez les stratégies d’intégrité du code de contrôle d’application pour les appareils de vos utilisateurs.
  
  Une fois activé sur un appareil, le contrôle d’application peut uniquement être désactivé en remplaçant le mode Appliquer par Audit uniquement. Le fait de passer du mode Appliquer à Non configuré entraîne la poursuite de l’application du contrôle d’application sur les appareils affectés.
- Non configuré : le contrôle d’application n’est pas ajouté aux appareils. Toutefois, les paramètres qui ont été ajoutés précédemment continuent d’être appliqués sur les appareils attribués.
- Auditer uniquement : les applications ne sont pas bloquées. Tous les événements sont enregistrés dans les journaux du client local.
  
  Remarque
  
  Si vous utilisez ce paramètre, le comportement du fournisseur de services de configuration AppLocker invite actuellement l’utilisateur final à redémarrer son ordinateur lorsqu’une stratégie est déployée.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard protège contre les attaques de vol d’informations d’identification. Il isole les secrets afin que seuls les logiciels système privilégiés puissent y accéder.

Credential Guard
Par défaut : Désactiver
Fournisseur de services de configuration DeviceGuard
- Désactiver : désactivez Credential Guard à distance, s’il était précédemment activé avec l’option Activé sans verrouillage UEFI .
- Activer avec le verrouillage UEFI : Credential Guard ne peut pas être désactivé à distance à l’aide d’une clé de Registre ou d’une stratégie de groupe.
  
  Remarque
  
  Si vous utilisez ce paramètre et que vous souhaitez ensuite désactiver Credential Guard, vous devez définir le stratégie de groupe sur Désactivé. Et effacez physiquement les informations de configuration UEFI de chaque ordinateur. Tant que la configuration UEFI persiste, Credential Guard est activé.
- Activer sans verrouillage UEFI : permet à Credential Guard d’être désactivé à distance à l’aide de stratégie de groupe. Les appareils qui utilisent ce paramètre doivent exécuter Windows 10 version 1511 ou ultérieure, ou Windows 11.
Lorsque vous activez Credential Guard, les fonctionnalités requises suivantes sont également activées :
- Sécurité basée sur la virtualisation (VBS)
  S’active lors du redémarrage suivant. La sécurité basée sur la virtualisation utilise l’hyperviseur Windows pour assurer la prise en charge des services de sécurité.
- Démarrage sécurisé avec accès à la mémoire du répertoire
  Active VBS avec des protections de démarrage sécurisé et d’accès direct à la mémoire (DMA). Les protections DMA nécessitent une prise en charge matérielle et ne sont activées que sur les appareils correctement configurés.

Centre de sécurité Microsoft Defender

Centre de sécurité Microsoft Defender fonctionne comme une application ou un processus distinct de chacune des fonctionnalités individuelles. Il affiche des notifications via le Centre de notifications. Il agit comme un collecteur ou un emplacement unique pour voir les status et exécuter une configuration pour chacune des fonctionnalités. Pour plus d’informations, consultez la documentation Microsoft Defender.

Centre de sécurité Microsoft Defender l’application et les notifications

Bloquer l’accès de l’utilisateur final aux différentes zones de l’application Centre de sécurité Microsoft Defender. Le masquage d’une section bloque également les notifications associées.

Protection contre les virus et les menaces
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableVirusUI

Configurez si les utilisateurs finaux peuvent afficher la zone Protection contre les virus et les menaces dans le Centre de sécurité Microsoft Defender. Le masquage de cette section bloque également toutes les notifications liées à la protection contre les virus et les menaces.
- Non configuré
- Hide
Protection contre les ransomwares
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : HideRansomwareDataRecovery

Configurez si les utilisateurs finaux peuvent afficher la zone de protection contre les ransomwares dans le Centre de sécurité Microsoft Defender. Le masquage de cette section bloque également toutes les notifications liées à la protection contre les rançongiciels.
- Non configuré
- Hide
Protection de compte
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableAccountProtectionUI

Configurez si les utilisateurs finaux peuvent afficher la zone Protection du compte dans le Centre de sécurité Microsoft Defender. Le masquage de cette section bloque également toutes les notifications liées à la protection du compte.
- Non configuré
- Hide
Pare-feu et protection réseau
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableNetworkUI

Configurez si les utilisateurs finaux peuvent afficher le pare-feu et la zone de protection du réseau dans le Microsoft Defender Security Center. Le masquage de cette section bloque également toutes les notifications relatives au pare-feu et à la protection réseau.
- Non configuré
- Hide
Contrôle d’application et de navigateur
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableAppBrowserUI

Configurez si les utilisateurs finaux peuvent afficher la zone de contrôle de l’application et du navigateur dans le centre de sécurité Microsoft Defender. Le masquage de cette section bloque également toutes les notifications liées au contrôle de l’application et du navigateur.
- Non configuré
- Hide
Protection matérielle
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableDeviceSecurityUI

Configurez si les utilisateurs finaux peuvent afficher la zone Protection du matériel dans le Centre de sécurité Microsoft Defender. Le masquage de cette section bloque également toutes les notifications relatives à la protection matérielle.
- Non configuré
- Hide
Performances et intégrité de l’appareil
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableHealthUI

Configurez si les utilisateurs finaux peuvent afficher la zone Performances et intégrité de l’appareil dans le centre de sécurité Microsoft Defender. Le masquage de cette section bloque également toutes les notifications relatives aux performances et à l’intégrité de l’appareil.
- Non configuré
- Hide
Options de famille
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableFamilyUI

Configurez si les utilisateurs finaux peuvent afficher la zone Options de famille dans le centre de sécurité Microsoft Defender. Le masquage de cette section bloque également toutes les notifications liées aux options Famille.
- Non configuré
- Hide
Notifications provenant des zones affichées de l’application
Par défaut : Non configuré
Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableNotifications

Choisissez les notifications à afficher aux utilisateurs finaux. Les notifications non critiques incluent des résumés de Microsoft Defender’activité antivirus, y compris les notifications lorsque les analyses sont terminées. Toutes les autres notifications sont considérées comme critiques.
- Non configuré
- Bloquer les notifications non critiques
- Bloquer toutes les notifications
icône centre Sécurité Windows dans la barre d’état système
Par défaut : Non configuré WindowsDefenderSecurityCenter CSP : HideWindowsSecurityNotificationAreaControl

Configurez l’affichage du contrôle de zone de notification. L’utilisateur doit se déconnecter et se connecter ou redémarrer l’ordinateur pour que ce paramètre prenne effet.
- Non configuré
- Hide
Bouton Effacer le module de plateforme sécurisée
Par défaut : Fournisseur de services de configuration WindowsDefenderSecurityCenter non configuré : DisableClearTpmButton

Configurez l’affichage du bouton Effacer le module TPM.
- Non configuré
- Disable
Avertissement de mise à jour du microprogramme TPM
Par défaut : Fournisseur de services de configuration WindowsDefenderSecurityCenter non configuré : DisableTpmFirmwareUpdateWarning

Configurez l’affichage de la mise à jour du microprogramme TPM lorsqu’un microprogramme vulnérable est détecté.
- Non configuré
- Hide
Protection contre les falsifications
Par défaut : Non configuré

Activez ou désactivez la protection contre les falsifications sur les appareils. Pour utiliser la protection contre les falsifications, vous devez intégrer Microsoft Defender pour point de terminaison à Intune et disposer de Enterprise Mobility + Security licences E5.
- Non configuré : aucune modification n’est apportée aux paramètres de l’appareil.
- Activé : la protection contre les falsifications est activée et des restrictions sont appliquées sur les appareils.
- Désactivé : la protection contre les falsifications est désactivée et les restrictions ne sont pas appliquées.

Informations de contact du service informatique

Fournissez les informations de contact du service informatique à afficher dans l’application Centre de sécurité Microsoft Defender et les notifications de l’application.

Vous pouvez choisir Afficher dans l’application et dans les notifications, Afficher uniquement dans l’application, Afficher uniquement dans les notifications ou Ne pas afficher. Entrez le nom du organization informatique et au moins l’une des options de contact suivantes :

Informations de contact du service informatique
Par défaut : Ne pas afficher
Fournisseur de services de configuration WindowsDefenderSecurityCenter : EnableCustomizedToasts

Configurez l’emplacement où afficher les informations de contact informatiques aux utilisateurs finaux.
- Afficher dans l’application et dans les notifications
- Afficher uniquement dans l’application
- Afficher uniquement dans les notifications
- Ne pas afficher
Quand vous êtes configuré pour afficher, vous pouvez configurer les paramètres suivants :
- Nom de la organization informatique
  Par défaut : Non configuré
  Fournisseur de services de configuration WindowsDefenderSecurityCenter : CompanyName
- Numéro de téléphone ou ID Skype du service informatique
  Par défaut : Non configuré
  Fournisseur de services de configuration WindowsDefenderSecurityCenter : Téléphone
- Adresse e-mail du service informatique
  Par défaut : Non configuré
  Fournisseur de services de configuration WindowsDefenderSecurityCenter : Email
- URL du site web du support informatique
  Par défaut : Non configuré
  Fournisseur de services de configuration WindowsDefenderSecurityCenter : URL

Options de sécurité des appareils locaux

Utilisez ces options pour configurer les paramètres de sécurité locaux sur les appareils Windows 10/11.

Comptes

Ajouter de nouveaux comptes Microsoft
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_BlockMicrosoftAccounts
- Bloc Empêcher les utilisateurs d’ajouter de nouveaux comptes Microsoft à l’appareil.
- Non configuré : les utilisateurs peuvent utiliser des comptes Microsoft sur l’appareil.
Connexion à distance sans mot de passe
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloquer : autorisez uniquement les comptes locaux avec des mots de passe vides à se connecter à l’aide du clavier de l’appareil.
- Non configuré : autorisez les comptes locaux avec des mots de passe vides à se connecter à partir d’emplacements autres que l’appareil physique.

Administrateur

Compte d’administrateur local
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
- Bloc Empêcher l’utilisation d’un compte d’administrateur local.
- Non configuré
Renommer le compte administrateur
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_RenameAdministratorAccount

Définissez un autre nom de compte à associer à l’identificateur de sécurité (SID) du compte « Administrateur ».

Guest

Compte invité
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : LocalPoliciesSecurityOptions
- Bloquer : empêcher l’utilisation d’un compte invité.
- Non configuré
Renommer le compte invité
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_RenameGuestAccount

Définissez un autre nom de compte à associer à l’identificateur de sécurité (SID) du compte « Invité ».

Appareils

Dédocker un appareil sans ouverture de session
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Devices_AllowUndockWithoutHavingToLogon
- Bloquer : un utilisateur doit se connecter à l’appareil et recevoir l’autorisation d’en détacher l’appareil.
- Non configuré : les utilisateurs peuvent appuyer sur le bouton d’éjection physique d’un appareil portable ancré pour détacher l’appareil en toute sécurité.
Installer les pilotes d’imprimante pour les imprimantes partagées
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
- Activé : tout utilisateur peut installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée.
- Non configuré : seuls les administrateurs peuvent installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée.
Restreindre l’accès des CD-ROM à l’utilisateur actif local
Par défaut : Non configuré
CSP : Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
- Activé : seul l’utilisateur connecté de manière interactive peut utiliser le support de CD-ROM. Si cette stratégie est activée et que personne n’est connecté de manière interactive, le CD-ROM est accessible sur le réseau.
- Non configuré : tout le monde a accès au CD-ROM.
Formater et éjecter un média amovible
Par défaut : Administrateurs
CSP : Devices_AllowedToFormatAndEjectRemovableMedia

Définissez qui est autorisé à mettre en forme et à éjecter un média NTFS amovible :
- Non configuré
- Administrateurs
- Administrateurs et utilisateurs avec pouvoir
- Administrateurs et utilisateurs interactifs

Ouverture de session interactive

Minutes d’inactivité de l’écran de verrouillage jusqu’à ce que l’économiseur d’écran s’active
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_MachineInactivityLimit

Entrez le nombre maximal de minutes d’inactivité jusqu’à ce que l’écran de veille s’active. (0 - 99999)
Exiger Ctrl+Alt+Suppr pour ouvrir une session
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DoNotRequireCTRLALTDEL
- Activer : demandez aux utilisateurs d’appuyer sur Ctrl+Alt+Suppr avant de se connecter à Windows.
- Non configuré : il n’est pas nécessaire d’appuyer sur Ctrl+Alt+Suppr pour que les utilisateurs se connectent.
Comportement de suppression de carte intelligente
Par défaut : Aucune action LocalPoliciesSecurityOptions CSP : InteractiveLogon_SmartCardRemovalBehavior

Détermine ce qui se passe lorsque le carte intelligent d’un utilisateur connecté est supprimé du lecteur smart carte. Les options disponibles sont les suivantes :
- Verrouiller la station de travail : la station de travail est verrouillée lorsque le carte intelligent est supprimé. Cette option permet aux utilisateurs de quitter la zone, de prendre leurs carte intelligentes avec eux, tout en conservant une session protégée.
- Aucune action
- Forcer la fermeture de session : l’utilisateur est automatiquement déconnecté lorsque le carte intelligent est supprimé.
- Déconnecter si une session services Bureau à distance : la suppression du carte intelligent déconnecte la session sans déconnecter l’utilisateur. Cette option permet à l’utilisateur d’insérer le carte intelligent et de reprendre la session ultérieurement, ou sur un autre ordinateur intelligent carte équipé d’un lecteur, sans avoir à se reconnecter. Si la session est locale, cette stratégie fonctionne de la même manière que Verrouiller la station de travail.

Display

Informations utilisateur sur l’écran de verrouillage
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Configurez les informations utilisateur qui s’affichent lorsque la session est verrouillée. S’il n’est pas configuré, le nom d’affichage de l’utilisateur, le domaine et le nom d’utilisateur sont affichés.
- Non configuré
- Nom d’affichage de l’utilisateur, domaine et nom d’utilisateur
- Nom d’affichage de l’utilisateur uniquement
- Ne pas afficher les informations utilisateur
Masquer le dernier utilisateur connecté
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DoNotDisplayLastSignedIn
- Activer : masquez le nom d’utilisateur.
- Non configuré : affiche le dernier nom d’utilisateur.
Masquer le nom d’utilisateur à la connexionPar défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DoNotDisplayUsernameAtSignIn
- Activer : masquez le nom d’utilisateur.
- Non configuré : affiche le dernier nom d’utilisateur.
Titre du message d’ouverture de session
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Définissez le titre du message pour les utilisateurs qui se connectent.
Texte du message d’ouverture de session
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Définissez le texte du message pour les utilisateurs qui se connectent.

Accès réseau et sécurité

Accès anonyme aux canaux nommés et aux partages
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
- Non configuré : limitez l’accès anonyme aux paramètres de partage et de canal nommé. S’applique aux paramètres accessibles de manière anonyme.
- Bloquer : désactivez cette stratégie, ce qui rend l’accès anonyme disponible.
Énumération anonyme des comptes SAM
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
- Non configuré : les utilisateurs anonymes peuvent énumérer les comptes SAM.
- Bloquer : empêche l’énumération anonyme des comptes SAM.
Énumération anonyme des comptes et partages SAM
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
- Non configuré : les utilisateurs anonymes peuvent énumérer les noms des comptes de domaine et des partages réseau.
- Bloquer : empêche l’énumération anonyme des comptes et partages SAM.
Valeur de hachage de LAN Manager stockée lors de la modification du mot de passe
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Déterminez si la valeur de hachage des mots de passe est stockée lors de la prochaine modification du mot de passe.
- Non configuré : la valeur de hachage n’est pas stockée
- Bloquer : le gestionnaire de réseau local (LM) stocke la valeur de hachage du nouveau mot de passe.
Demandes d’authentification PKU2U
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_AllowPKU2UAuthenticationRequests
- Non configuré : autoriser les requêtes PU2U.
- Bloquer : bloquer les demandes d’authentification PKU2U à l’appareil.
Restreindre les connexions RPC distantes à SAM
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
- Non configuré : utilisez le descripteur de sécurité par défaut, qui peut permettre aux utilisateurs et aux groupes d’effectuer des appels RPC distants au sam.
- Autoriser : empêchez les utilisateurs et les groupes d’effectuer des appels RPC distants vers le Gestionnaire des comptes de sécurité (SAM), qui stocke les comptes d’utilisateur et les mots de passe. Autoriser vous permet également de modifier la chaîne SDDL (Security Descriptor Definition Language) par défaut pour autoriser ou refuser explicitement les utilisateurs et les groupes à effectuer ces appels distants.
  - Descripteur de sécurité
    Par défaut : Non configuré
Sécurité de session minimale pour les clients basés sur le fournisseur de services partagés NTLM
Par défaut : Aucun
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Ce paramètre de sécurité permet à un serveur d’exiger la négociation d’un chiffrement 128 bits et/ou d’une sécurité de session NTLMv2.
- Aucune
- Exiger la sécurité de session NTLMv2
- Exiger un chiffrement 128 bits
- Chiffrement NTLMv2 et 128 bits
Sécurité de session minimale pour le serveur SSP NTLM
Par défaut : Aucun
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Ce paramètre de sécurité détermine le protocole d’authentification challenge/réponse utilisé pour les ouvertures de session réseau.
- Aucune
- Exiger la sécurité de session NTLMv2
- Exiger un chiffrement 128 bits
- Chiffrement NTLMv2 et 128 bits
Niveau d’authentification de LAN Manager
Par défaut : LM et NTLM
Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_LANManagerAuthenticationLevel
- LM et NTLM
- LM, NTLM et NTLMv2
- NTLM
- NTLMv2
- NTLMv2 et non LM
- NTLMv2 et non LM ou NTLM
Ouvertures de session invité non sécurisées
Par défaut : Non configuré
Csp LanmanWorkstation : LanmanWorkstation

Si vous activez ce paramètre, le client SMB rejette les ouvertures de session invité non sécurisées.
- Non configuré
- Bloquer : le client SMB rejette les ouvertures de session invité non sécurisées.

Console de récupération et arrêt

Effacer le fichier de page de la mémoire virtuelle lors de l’arrêt
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Shutdown_ClearVirtualMemoryPageFile
- Activer : effacez le fichier de page de la mémoire virtuelle lorsque l’appareil est hors tension.
- Non configuré : ne efface pas la mémoire virtuelle.
Arrêter sans ouvrir de session
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
- Bloquer : masquez l’option d’arrêt sur l’écran de connexion Windows. Les utilisateurs doivent se connecter à l’appareil, puis s’arrêter.
- Non configuré : autoriser les utilisateurs à arrêter l’appareil à partir de l’écran de connexion Windows.

Contrôle de compte d’utilisateur

Intégrité UIA sans emplacement sécurisé
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Bloquer : les applications qui se trouvent dans un emplacement sécurisé dans le système de fichiers s’exécutent uniquement avec l’intégrité UIAccess.
- Non configuré : permet aux applications de s’exécuter avec l’intégrité UIAccess, même si les applications ne se trouvent pas dans un emplacement sécurisé dans le système de fichiers.
Virtualiser les échecs d’écriture de fichiers et de registre dans des emplacements par utilisateur
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations
- Activé : les applications qui écrivent des données dans des emplacements protégés échouent.
- Non configuré : les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements utilisateur définis pour le système de fichiers et le Registre.
Élever uniquement les fichiers exécutables signés et validés
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
- Activé : appliquez la validation du chemin de certification PKI pour un fichier exécutable avant qu’il ne puisse s’exécuter.
- Non configuré : n’appliquez pas la validation du chemin de certification PKI avant qu’un fichier exécutable puisse s’exécuter.

Comportement de l’invite d’élévation UIA

Invite d’élévation pour les administrateurs
Par défaut : invite de consentement pour les fichiers binaires non-Windows
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Définissez le comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administration.
- Non configuré
- Élever sans invite
- Demander des informations d’identification sur le bureau sécurisé
- Demander des informations d’identification
- Demander le consentement
- Invite de consentement pour les fichiers binaires non-Windows
Invite d’élévation pour les utilisateurs standard
Par défaut : Demander des informations d’identification
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Définissez le comportement de l’invite d’élévation pour les utilisateurs standard.
- Non configuré
- Refuser automatiquement les demandes d’élévation
- Demander des informations d’identification sur le bureau sécurisé
- Demander des informations d’identification
Acheminer les invites d’élévation vers le bureau interactif de l’utilisateur
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
- Activé : toutes les demandes d’élévation pour accéder au bureau de l’utilisateur interactif plutôt qu’au bureau sécurisé. Tous les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont utilisés.
- Non configuré : forcez toutes les demandes d’élévation à accéder au bureau sécurisé, quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard.
Invite avec élévation de privilèges pour les installations d’applications
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
- Activé : les packages d’installation d’application ne sont pas détectés ou invités à effectuer une élévation.
- Non configuré : les utilisateurs sont invités à entrer un nom d’utilisateur et un mot de passe administratifs lorsqu’un package d’installation d’application nécessite des privilèges élevés.
Invite d’élévation UIA sans bureau sécurisé
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
Activer : autoriser les applications UIAccess à demander une élévation, sans utiliser le bureau sécurisé.
Non configuré : les invites d’élévation utilisent un bureau sécurisé.

Mode d’approbation Administration

mode d’approbation Administration pour l’administrateur intégré
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_UseAdminApprovalMode
- Activé : autorisez le compte administrateur intégré à utiliser Administration mode d’approbation. Toute opération qui nécessite une élévation de privilège invite l’utilisateur à approuver l’opération.
- Non configuré : exécute toutes les applications avec des privilèges d’administrateur complets.
Exécuter tous les administrateurs en mode d’approbation Administration
Valeur par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_RunAllAdministratorsInAdminApprovalMode
- Activé : activez le mode d’approbation Administration.
- Non configuré : désactivez le mode d’approbation Administration et tous les paramètres de stratégie UAC associés.

Client réseau Microsoft

Communications de signature numérique (si le serveur est d’accord)
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Détermine si le client SMB négocie la signature de paquetS SMB.
- Bloquer : le client SMB ne négocie jamais la signature de paquetS SMB.
- Non configuré : le client réseau Microsoft demande au serveur d’exécuter la signature de paquet SMB lors de la configuration de la session. Si la signature de paquets est activée sur le serveur, la signature de paquets est négociée.
Envoyer un mot de passe non chiffré à des serveurs SMB tiers
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
- Bloquer : le redirecteur SMB (Server Message Block) peut envoyer des mots de passe en texte clair à des serveurs SMB non Microsoft qui ne prennent pas en charge le chiffrement de mot de passe pendant l’authentification.
- Non configuré : bloquer l’envoi de mots de passe en texte clair. Les mots de passe sont chiffrés.
Communications de signature numérique (toujours)
Par défaut : Non configuré
Fournisseur de services de configuration LocalPoliciesSecurityOptions : MicrosoftNetworkClient_DigitallySignCommunicationsAlways
- Activer : le client réseau Microsoft ne communique pas avec un serveur réseau Microsoft, sauf si ce serveur accepte la signature de paquetS SMB.
- Non configuré : la signature de paquetS SMB est négociée entre le client et le serveur.

Serveur réseau Microsoft

Signer numériquement les communications (si le client est d’accord)
Par défaut : Non configuré
CSP : MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
- Activer : le serveur réseau Microsoft négocie la signature des paquets SMB comme demandé par le client. Autrement dit, si la signature de paquets est activée sur le client, la signature de paquets est négociée.
- Non configuré : le client SMB ne négocie jamais la signature de paquetS SMB.
Communications de signature numérique (toujours)
Par défaut : Non configuré
CSP : MicrosoftNetworkServer_DigitallySignCommunicationsAlways
- Activer : le serveur réseau Microsoft ne communique pas avec un client réseau Microsoft, sauf si ce client accepte la signature de paquetS SMB.
- Non configuré : la signature de paquetS SMB est négociée entre le client et le serveur.

Services Xbox

Xbox Game Save Task
Par défaut : Non configuré
CSP : TaskScheduler/EnableXboxGameSaveTask

Ce paramètre détermine si la tâche d’enregistrement du jeu Xbox est activée ou désactivée.
- Enabled
- Non configuré
Service de gestion des accessoires Xbox
Par défaut : Manuel
CSP : SystemServices/ConfigureXboxAccessoryManagementServiceStartupMode

Ce paramètre détermine le type de début du service de gestion des accessoires.
- Manual
- Automatique
- Disabled
Service Gestionnaire d’authentification Xbox Live
Par défaut : Manuel
CSP : SystemServices/ConfigureXboxLiveAuthManagerServiceStartupMode

Ce paramètre détermine le type de démarrage du service Live Auth Manager.
- Manual
- Automatique
- Disabled
Service d’enregistrement de jeu Xbox Live
Par défaut : Manuel
CSP : SystemServices/ConfigureXboxLiveGameSaveServiceStartupMode

Ce paramètre détermine le type de démarrage du service Live Game Save.
- Manual
- Automatique
- Disabled
Service de mise en réseau Xbox Live
Par défaut : Manuel
CSP : SystemServices/ConfigureXboxLiveNetworkingServiceStartupMode

Ce paramètre détermine le type de démarrage du service de mise en réseau.
- Manual
- Automatique
- Disabled

Étapes suivantes

Le profil est créé, mais il ne fait rien pour l’instant. Ensuite, affectez le profil et surveillez son status.

Configurez les paramètres endpoint protections sur les appareils macOS .