Paramètres Windows 10 (et versions ultérieures) pour protéger les appareils à l’aide d’Intune

Notes

Intune peut prendre en charge davantage de paramètres que ceux mentionnés dans cet article. Tous les paramètres ne sont pas documentés (et ils ne le seront pas). Pour afficher les paramètres que vous pouvez configurer, créez un profil de configuration d’appareil, puis sélectionnez Catalogue des paramètres. Pour plus d’informations, consultez le catalogue des paramètres.

Microsoft Intune comprend de nombreux paramètres permettant de protéger vos appareils. Cet article décrit certains des paramètres que vous pouvez activer et configurer dans les appareils Windows 10 et versions ultérieures. Ces paramètres sont créés dans un profil de configuration de protection des points de terminaison dans Intune pour contrôler la sécurité, notamment BitLocker et Microsoft Defender.

Pour configurer l’antivirus Microsoft Defender, consultez Restrictions relatives aux appareils Windows 10.

Avant de commencer

Créez un profil de configuration de protection des points de terminaison.

Pour plus d’informations sur les fournisseurs de services de configuration, consultez les Informations de référence sur les fournisseurs de services de configuration.

Microsoft Defender Application Guard

Lors de l’utilisation de Microsoft Edge, Windows Defender Application Guard protège votre environnement des sites qui ne sont pas approuvés par votre organisation. Quand des utilisateurs visitent des sites qui ne figurent pas dans la liste des limites de votre réseau isolé, les sites s’ouvrent dans une session de navigation virtuelle Hyper-V. Les sites approuvés, qui sont configurés dans Configuration de l’appareil, sont définis par une limite réseau. Pour plus d’informations, consultez Créer une limite réseau sur les appareils Windows.

Application Guard est uniquement disponible pour les appareils Windows 10 (64 bits). L’utilisation de ce profil permet d’installer un composant Win32 pour activer Application Guard.

  • Application Guard
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/AllowWindowsDefenderApplicationGuard

    • Activer pour Edge : active cette fonctionnalité pour ouvrir des sites non approuvés dans un conteneur de navigation virtualisé Hyper-V.
    • Non configuré : N’importe quel site (approuvé et non approuvé) peut être ouvert sur l’appareil.
  • Comportement du Presse-papiers
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/ClipboardSettings

    Choisissez les actions de copier-coller autorisées entre le PC local et le navigateur virtuel Application Guard.

    • Non configuré
    • Autoriser le copier-coller uniquement du PC vers le navigateur
    • Autoriser le copier-coller uniquement du navigateur vers le PC
    • Autoriser le copier-coller entre le PC et le navigateur
    • Bloquer le copier-coller entre le PC et le navigateur
  • Contenu du Presse-papiers
    Ce paramètre est disponible seulement quand Comportement du Presse-papiers est défini sur une des valeurs Autoriser.
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/ClipboardFileType

    Sélectionnez le contenu autorisé pour le Presse-papiers.

    • Non configuré
    • Text
    • Images
    • Texte et images
  • Contenu externe sur les sites de l’entreprise
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/BlockNonEnterpriseContent

    • Bloquer : bloquer le chargement du contenu des sites web non approuvés.
    • Non configuré : les sites autres que les sites d’entreprise peuvent s’ouvrir sur l’appareil.
  • Imprimer à partir du navigateur virtuel
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/PrintingSettings

    • Autoriser : Autorise l’impression du contenu sélectionné à partir du navigateur virtuel.
    • Non configuré : Désactive toutes les fonctionnalités d’impression.

    Quand vous autorisez l’impression, vous pouvez configurer le paramètre suivant :

    • Type(s) d’impression : Sélectionnez une ou plusieurs des options suivantes :
      • PDF
      • XPS
      • Imprimantes locales
      • Imprimantes réseau
  • Collecter les journaux
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Audit/AuditApplicationGuard

    • Autoriser : collecter les journaux des événements qui se produisent dans une session de navigation Application Guard.
    • Non configuré : ne collecter aucun journal dans la session de navigation.
  • Conserver les données du navigateur générées par l’utilisateur
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/AllowPersistence

    • Autoriser : enregistrer les données utilisateur (comme les mots de passe, les favoris et les cookies) qui sont créées au cours d’une session de navigation virtuelle Application Guard.
    • Non configuré : ignorer les données et les fichiers téléchargés par l’utilisateur lors du redémarrage de l’appareil ou quand un utilisateur se déconnecte.
  • Accélération graphique
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/AllowVirtualGPU

    • Activer : charger des sites web utilisant beaucoup de graphiques et aux performances vidéo plus rapides en obtenant l’accès à une unité de traitement graphique virtuelle.
    • Non configuré : Utilise le processeur de l’appareil pour les graphiques. N’utilise pas l’unité de traitement graphique virtuelle.
  • Télécharger des fichiers sur le système de fichiers hôte
    Par défaut : Non configuré
    Fournisseur de services de configuration Application Guard : Settings/SaveFilesToHost

    • Activer : les utilisateurs peuvent télécharger des fichiers à partir du navigateur virtualisé sur le système d’exploitation hôte.
    • Non configuré : conserve les fichiers en local sur l’appareil et n’en télécharge pas sur le système de fichiers hôte.

Pare-feu Microsoft Defender

Paramètres globaux

Ces paramètres s’appliquent à tous les types de réseaux.

  • Protocole FTP
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : MdmStore/Global/DisableStatefulFtp

    • Bloquer : désactiver le protocole FTP avec état.
    • Non configuré : le pare-feu effectue un filtrage FTP avec état pour autoriser les connexions secondaires.
  • Durée d’inactivité des associations de sécurité avant suppression
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : MdmStore/Global/SaIdleTime

    Spécifie une durée d’inactivité en secondes, après laquelle les associations de sécurité sont supprimées.

  • Codage des clés prépartagées
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : MdmStore/Global/PresharedKeyEncoding

    • Activer : Code les clés prépartagées avec UTF-8.
    • Non configuré : Code les clés prépartagées en utilisant la valeur du magasin local.
  • Exemptions IPsec
    Par défaut : 0 sélectionné
    Fournisseur de services de configuration de pare-feu : MdmStore/Global/IPsecExempt

    Sélectionnez un ou plusieurs des types de trafic suivants à exempter d’IPsec :

    • Codes type ICMP IPv6 de découverte de voisin
    • ICMP
    • Codes type ICMP IPv6 de découverte de routeur
    • Trafic réseau DHCP IPv4 et IPv6
  • Vérification de la liste de révocation de certificats
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : MdmStore/Global/CRLcheck

    choisissez la façon dont l’appareil vérifie la liste de révocation de certificats. Les options sont les suivantes :

    • Désactiver la vérification de la liste de révocation de certificats
    • Échec de vérification de la liste de révocation de certificats sur le certificat révoqué uniquement
    • Échec de vérification de la liste de révocation de certificats pour toute erreur rencontrée
  • Associer le jeu d’authentification de façon opportuniste par module de génération de clés
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : MdmStore/Global/OpportunisticallyMatchAuthSetPerKM

    • Activer : les modules de génération de clés doivent ignorer uniquement les suites d’authentification qu’ils ne prennent pas en charge.
    • Non configuré : les modules de génération de clés doivent ignorer la totalité du jeu d’authentification s’ils ne prennent pas en charge toutes les suites de l’authentification spécifiées dans le jeu.
  • Mise en file d’attente des paquets
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : MdmStore/Global/EnablePacketQueue

    Spécifiez comment la mise à l’échelle des logiciels côté réception est activée pour la réception chiffrée et efface le texte pour le scénario de passerelle du tunnel IPsec. Ce paramètre confirme la préservation de l’ordre des paquets. Les options sont les suivantes :

    • Non configuré
    • Désactiver toute la file d’attente des paquets
    • Mettre en file d’attente les paquets chiffrés entrants uniquement
    • La mise en file d’attente des paquets après le déchiffrement est effectuée pour le transfert uniquement
    • Configurer les paquets entrants et sortants

Paramètres réseau

Les paramètres suivants sont chacun listés une seule fois dans cet article, mais tous s’appliquent aux trois types de réseau spécifiques :

  • Réseau (espace de travail) avec domaine
  • Réseau (découvrable) privé
  • Réseau (non découvrable) public

Paramètres généraux :

  • Pare-feu Microsoft Defender
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : EnableFirewall

    • Activer : activer le pare-feu et les fonctions de sécurité avancées.
    • Non configuré : autorise tout le trafic réseau, quels que soient les autres paramètres de stratégie.
  • Mode furtif
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : DisableStealthMode

    • Non configuré
    • Bloquer : Le pare-feu est empêché de fonctionner en mode furtif. Le blocage du mode furtif vous permet de bloquer également Exemption de paquets sécurisés IPsec.
    • Autoriser : Le pare-feu fonctionne en mode furtif, ce qui permet d’empêcher les réponses aux demandes de détection.
  • Exemption de paquets sécurisés IPsec avec mode furtif
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : DisableStealthModeIpsecSecuredPacketExemption

    Cette option est ignorée si Mode furtif est défini sur Bloquer.

    • Non configuré
    • Bloquer : Les paquets sécurisés IPsec ne reçoivent pas d’exemptions.
    • Autoriser : Permet les exemptions. Le mode furtif du pare-feu NE DOIT PAS empêcher l’ordinateur hôte de répondre au trafic réseau non sollicité qui est sécurisé par IPsec.
  • Protégé
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : Protégé

    • Non configuré
    • Bloquer : Quand le pare-feu Microsoft Defender est activé et que ce paramètre est défini sur Bloquer, tout le trafic entrant est bloqué, quels que soient les autres paramètres de stratégie.
    • Autoriser : Quand la valeur est Autoriser, ce paramètre est désactivé et le trafic entrant est autorisé en fonction d’autres paramètres de stratégie.
  • Réponses en monodiffusion au trafic en multidiffusion
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : DisableUnicastResponsesToMulticastBroadcast

    En règle générale, vous ne souhaitez pas recevoir des réponses en monodiffusion à des messages de multidiffusion ou de diffusion. Ces réponses peuvent indiquer une attaque par déni de service ou un attaquant qui tente de sonder un ordinateur actif connu.

    • Non configuré
    • Bloquer : désactive les réponses en monodiffusion au trafic en multidiffusion.
    • Autoriser : autoriser les réponses en monodiffusion au trafic en multidiffusion.
  • Notifications entrantes
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : DisableInboundNotifications

    • Non configuré
    • Bloquer : Masque les notifications aux utilisateurs quand une application n’est pas autorisée à écouter sur un port.
    • Autoriser  : active ce paramètre et peut afficher une notification aux utilisateurs lors du blocage d’une application pour écouter sur un port.
  • Action par défaut pour les connexions sortantes
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : DefaultOutboundAction

    Configure l’action par défaut que le pare-feu effectue sur les connexions sortantes. Ce paramètre sera appliqué à Windows version 1809 et ultérieures.

    • Non configuré
    • Bloquer : L’action de pare-feu par défaut n’est pas exécutée sur le trafic sortant, sauf s’il est explicitement spécifié de ne pas bloquer.
    • Autoriser : Les actions de pare-feu par défaut s’exécutent sur les connexions sortantes.
  • Action par défaut pour les connexions entrantes
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : DefaultInboundAction

    • Non configuré
    • Bloquer : l’action de pare-feu par défaut n’est pas exécutée sur les connexions entrantes.
    • Autoriser : Les actions de pare-feu par défaut s’exécutent sur les connexions entrantes.

Fusion des règles

  • Règles de pare-feu Microsoft Defender d’application autorisées du magasin local
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : AuthAppsAllowUserPrefMerge

    • Non configuré
    • Bloquer : les règles de pare-feu d’applications autorisées du magasin local sont ignorées et non appliquées.
    • Autoriser : - Choisir Activer applique des règles de pare-feu du magasin local afin qu’elles soient reconnues et appliquées.
  • Règles de pare-feu Microsoft Defender de port globales du magasin local
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : GlobalPortsAllowUserPrefMerge

    • Non configuré
    • Bloquer : Les règles de pare-feu de port globales du magasin local sont ignorées et non appliquées.
    • Autoriser : appliquer des règles de pare-feu de port globales du magasin local à reconnaître et à appliquer.
  • Règles du pare-feu Microsoft Defender du magasin local
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : AllowLocalPolicyMerge

    • Non configuré
    • Bloquer : Les règles de pare-feu du magasin local sont ignorées et non appliquées.
    • Autoriser : appliquer les règles de pare-feu du magasin local à reconnaître et à appliquer.
  • Règles IPsec du magasin local
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : AllowLocalIpsecPolicyMerge

    • Non configuré
    • Bloquer  : les règles de sécurité de connexion du magasin local sont ignorées et ne sont pas appliquées, quelles que soient la version du schéma et la version des règles de sécurité de connexion.
    • Autoriser : appliquer les règles de sécurité de connexion du magasin local, quelles que soient les versions des règles de sécurité de connexion ou du schéma.

Règles de pare-feu

Vous pouvez ajouter une ou plusieurs règles de pare-feu personnalisées. Pour plus d’informations, consultez Ajouter des règles de pare-feu personnalisées pour les appareils Windows 10.

Les règles de pare-feu personnalisées prennent en charge les options suivantes :

Paramètres généraux :

  • Nom
    Par défaut : Aucun nom

    Spécifiez un nom convivial pour votre règle. Ce nom apparaît dans la liste des règles pour vous aider à l’identifier.

  • Description
    Par défaut : Aucune description

    Spécifiez une description de la règle.

  • Sens
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/Direction

    Spécifie si cette règle s’applique au trafic entrant ou sortant. Si la valeur est Non configuré, la règle s’applique automatiquement au trafic sortant.

  • Action
    Par défaut : Non configuré
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/Action et FirewallRules/FirewallRuleName/Action/Type

    Choisissez entre Autoriser et Bloquer. Si la valeur Non configuré, la règle autorise par défaut le trafic.

  • Type de réseau
    Par défaut : 0 sélectionné
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/Profiles

    Sélectionnez jusqu’à trois types de réseau auxquels cette règle appartient. Les options sont Domaine, Privé et Public. Si aucun type de réseau n’est sélectionné, la règle s’applique aux trois types de réseau.

Paramètres d'application

  • Application(s)
    Par défaut : Tout

    Contrôlez les connexions pour une application ou un programme. Sélectionnez une des options suivantes, puis effectuez la configuration supplémentaire :

    • Nom de la famille de packages – Spécifiez un nom de famille de packages. Pour rechercher le nom de la famille de packages, utilisez la commande PowerShell Get-AppxPackage.
      Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/App/PackageFamilyName

    • Chemin de fichier : Vous devez spécifier un chemin de fichier vers une application sur l’appareil client, qui peut être un chemin absolu ou relatif. Par exemple : C:\Windows\System\Notepad.exe or %WINDIR%\Notepad.exe.
      Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/App/FilePath

    • Service Windows : Spécifiez le nom abrégé du service Windows s’il s’agit d’un service, et non pas d’une application qui envoie ou reçoit du trafic. Pour rechercher le nom abrégé du service, utilisez la commande PowerShell Get-Service.
      Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/App/ServiceName

    • Tout : Aucune configuration supplémentaire n’est disponible.

Paramètres d’adresse IP

Spécifiez les adresses locales et distantes auxquelles s’applique cette règle.

  • Adresses locales
    Par défaut : N’importe quelle adresse
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/LocalPortRanges

    Sélectionnez N’importe quelle adresse ou Adresse spécifiée.

    Quand vous utilisez Adresse spécifiée, vous ajoutez une ou plusieurs adresses sous la forme d’une liste séparée par des virgules d’adresses locales qui sont couvertes par la règle. Les jetons valides sont :

    • Utilisez un astérisque « * » pour n’importe quelle adresse locale. Si vous utilisez un astérisque, il doit s’agir du seul jeton que vous utilisez.
    • Pour spécifier un sous-réseau, utilisez le masque de sous-réseau ou la notation de préfixe réseau. Si ni un masque de sous-réseau ni un préfixe réseau ne sont spécifiés, le masque de sous-réseau est par défaut 255.255.255.255.
    • Une adresse IPv6 valide.
    • Une plage d’adresses IPv4 au format « adresse de début - adresse de fin » sans espaces.
    • Une plage d’adresses IPv6 au format « adresse de début - adresse de fin » sans espaces.
  • Adresses distantes
    Par défaut : N’importe quelle adresse
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/RemoteAddressRanges

    Sélectionnez N’importe quelle adresse ou Adresse spécifiée.

    Quand vous utilisez Adresse spécifiée, vous ajoutez une ou plusieurs adresses sous la forme d’une liste séparée par des virgules d’adresses distantes qui sont couvertes par la règle. Les jetons ne respectent pas la casse. Les jetons valides sont :

    • Utilisez un astérisque « * » pour n’importe quelle adresse distante. Si vous utilisez un astérisque, il doit s’agir du seul jeton que vous utilisez.
    • « Defaultgateway »
    • « DHCP »
    • « DNS »
    • « WINS »
    • « Intranet » (pris en charge sur les versions de Windows 1809 et ultérieures)
    • « RmtIntranet » (pris en charge sur les versions de Windows 1809 et ultérieures)
    • « Internet » (pris en charge sur les versions de Windows 1809 et ultérieures)
    • « Ply2Renders » (pris en charge sur les versions de Windows 1809 et ultérieures)
    • « LocalSubnet » indique n’importe quelle adresse locale sur le sous-réseau local.
    • Pour spécifier un sous-réseau, utilisez le masque de sous-réseau ou la notation de préfixe réseau. Si ni un masque de sous-réseau ni un préfixe réseau ne sont spécifiés, le masque de sous-réseau est par défaut 255.255.255.255.
    • Une adresse IPv6 valide.
    • Une plage d’adresses IPv4 au format « adresse de début - adresse de fin » sans espaces.
    • Une plage d’adresses IPv6 au format « adresse de début - adresse de fin » sans espaces.

Paramètres de port et de protocole

Spécifiez les ports locaux et distants auxquels s’applique cette règle.

  • Protocole
    Par défaut : Indifférent
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/Protocol
    Sélectionnez parmi les options suivantes et effectuez les éventuelles configurations nécessaires :
    • Tout : Aucune configuration supplémentaire n’est disponible.
    • TCP : Configurez les ports locaux et distants. Les deux options prennent en charge tous les ports ou des ports spécifiés. Entrez les ports spécifiés en utilisant une liste séparée par des virgules.
    • UDP : Configurez les ports locaux et distants. Les deux options prennent en charge tous les ports ou des ports spécifiés. Entrez les ports spécifiés en utilisant une liste séparée par des virgules.
    • Personnalisé : Spécifiez un numéro de protocole personnalisé compris entre 0 et 255.

Configuration avancée

  • Types d'interface
    Par défaut : 0 sélectionné
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/InterfaceTypes

    Sélectionnez l'une des options suivantes :

    • Accès à distance
    • Sans fil
    • réseau local
  • Autoriser uniquement les connexions de ces utilisateurs
    Par défaut : Tous les utilisateurs (par défaut, tous les utilisateurs quand aucune liste n’est spécifiée)
    Fournisseur de services de configuration de pare-feu : FirewallRules/FirewallRuleName/LocalUserAuthorizationList

    Spécifiez une liste d’utilisateurs locaux autorisés pour cette règle. Vous ne pouvez pas spécifier une liste d’utilisateurs autorisés si cette règle s’applique à un service Windows.

Paramètres Microsoft Defender SmartScreen

Microsoft Edge doit être installé sur l’appareil.

  • SmartScreen pour les applications et les fichiers
    Par défaut : Non configuré
    Fournisseur de services de configuration SmartScreen : SmartScreen/EnableSmartScreenInShell

    • Non configuré : Désactive l’utilisation de SmartScreen.
    • Activer : activer Windows SmartScreen pour l’exécution de fichiers et d’applications. SmartScreen est un composant cloud anti-hameçonnage et anti-programme malveillant.
  • Exécution de fichiers non vérifiés
    Par défaut : Non configuré
    Fournisseur de services de configuration SmartScreen : SmartScreen/PreventOverrideForFilesInShell

    • Non configuré : désactive cette fonctionnalité et permet aux utilisateurs finaux d’exécuter des fichiers qui n’ont pas été vérifiés.
    • Bloquer : empêcher les utilisateurs finaux d’exécuter des fichiers qui n’ont pas été vérifiés par Windows SmartScreen.

Chiffrement Windows

Paramètres Windows

  • Chiffrer les appareils
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : RequireDeviceEncryption

    • Exiger : demander aux utilisateurs d’activer le chiffrement des appareils. En fonction de l’édition de Windows et de la configuration du système, les utilisateurs peuvent être invités à :
      • Vérifier que le chiffrement d’un autre fournisseur n’est pas activé.
      • Être amenés à désactiver le chiffrement de lecteur BitLocker, puis à réactiver BitLocker.
    • Non configuré

    Si le chiffrement Windows est activé alors qu’une autre méthode de chiffrement est active, l’appareil peut devenir instable.

Paramètres de base BitLocker

Les paramètres de base correspondent aux paramètres BitLocker universels pour tous les types de lecteurs de données. Ces paramètres permettent de gérer les options de configuration ou les tâches de chiffrement de lecteur modifiables par l’utilisateur final pour tous les types de lecteurs de données.

  • Avertissement pour tout autre chiffrement de disque
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : AllowWarningForOtherDiskEncryption

    • Bloquer : désactiver l’invite d’avertissement si un autre service de chiffrement de disque se trouve sur l’appareil.
    • Non configuré : Autoriser l’affichage de l’avertissement pour le chiffrement d’un autre disque.

    Conseil

    Pour installer BitLocker automatiquement et en mode silencieux sur un appareil qui est joint à Azure AD et qui exécute Windows 1809 ou ultérieur, ce paramètre doit être défini sur Bloquer. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur des appareils.

    Quand la valeur est Bloquer, vous pouvez configurer le paramètre suivant :

    • Autoriser les utilisateurs standard à activer le chiffrement pendant une jonction Azure AD
      Ce paramètre s’applique uniquement aux appareils joints à Azure Active Directory et dépend du paramètre précédent, Warning for other disk encryption.
      Par défaut : Non configuré
      Fournisseur de services de configuration BitLocker : AllowStandardUserEncryption

      • Autoriser : Les utilisateurs standard (non-administrateurs) peuvent activer le chiffrement BitLocker quand ils sont connectés.
      • Non configuré : seuls les administrateurs peuvent activer le chiffrement BitLocker sur l’appareil.

    Conseil

    Pour installer BitLocker automatiquement et en mode silencieux sur un appareil qui est joint à Azure AD et qui exécute Windows 1809 ou ultérieur, ce paramètre doit être défini sur Autoriser. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur des appareils.

  • Configurer les méthodes de chiffrement
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : EncryptionMethodByDriveType

    • Activer : configurer des algorithmes de chiffrement pour le système d’exploitation, les données et les lecteurs amovibles.
    • Non configuré : BitLocker utilise XTS-AES 128 bits comme méthode de chiffrement par défaut, ou utilise la méthode de chiffrement spécifiée par tout script d’installation.

    Lorsque cette option est définie sur Activer, vous pouvez configurer les paramètres suivants :

    • Chiffrement pour les lecteurs du système d’exploitation
      Par défaut : XTS-AES 128 bits

      choisissez la méthode de chiffrement pour les lecteurs de système d’exploitation. Nous vous recommandons d’utiliser l’algorithme AES-XTS.

      • AES-CBC 128 bits
      • AES-CBC 256 bits
      • XTS-AES 128 bits
      • XTS-AES 256 bits
    • Chiffrement pour les lecteurs de données fixes
      Par défaut : AES-CBC 128 bits

      choisissez la méthode de chiffrement pour les lecteurs de données fixes (intégrés). Nous vous recommandons d’utiliser l’algorithme AES-XTS.

      • AES-CBC 128 bits
      • AES-CBC 256 bits
      • XTS-AES 128 bits
      • XTS-AES 256 bits
    • Chiffrement pour les lecteurs de données amovibles
      Par défaut : AES-CBC 128 bits

      choisissez la méthode de chiffrement pour les lecteurs de données amovibles. Si le lecteur amovible est utilisé avec des appareils qui n’exécutent pas Windows 10, nous vous recommandons d’utiliser l’algorithme AES-CBC.

      • AES-CBC 128 bits
      • AES-CBC 256 bits
      • XTS-AES 128 bits
      • XTS-AES 256 bits

Paramètres de lecteur du système d’exploitation BitLocker

Ces paramètres s’appliquent spécifiquement aux lecteurs de données de système d’exploitation.

  • Authentification supplémentaire au démarrage
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : SystemDrivesRequireStartupAuthentication

    • Exiger : configurer les conditions d’authentification pour le démarrage de l’ordinateur, notamment l’utilisation du module de plateforme sécurisée (TPM).
    • Non configuré : Configure uniquement les options de base sur les appareils avec un module TPM.

    Lorsque cette option est définie sur Exiger, vous pouvez configurer les paramètres suivants :

    • BitLocker avec puce TPM non compatible
      Par défaut : Non configuré

      • Bloquer : désactiver l’utilisation de BitLocker quand un appareil ne dispose pas d’une puce TPM compatible.
      • Non configuré : les utilisateurs peuvent utiliser BitLocker sans puce TPM compatible. BitLocker peut exiger un mot de passe ou une clé de démarrage.
    • Démarrage du module TPM compatible
      Par défaut : Autoriser TPM

      Configurer si TPM est autorisé, obligatoire ou interdit.

      • Autoriser TPM
      • Ne pas autoriser TPM
      • Exiger TPM
    • Code PIN de démarrage du module TPM compatible
      Par défaut : Autoriser un code PIN de démarrage avec TPM

      indiquez si l’utilisation d’un code PIN de démarrage avec la puce TPM est autorisée, non autorisée ou obligatoire. L’activation d’un code confidentiel de démarrage nécessite une intervention de l’utilisateur final.

      • Autoriser un code PIN de démarrage avec TPM
      • Ne pas autoriser un code PIN de démarrage avec TPM
      • Exiger un code PIN de démarrage avec le module de plateforme sécurisée

      Conseil

      Pour installer BitLocker automatiquement et en mode silencieux sur un appareil qui est joint à Azure AD et qui exécute Windows 1809 ou ultérieur, ce paramètre doit être défini sur Exiger un code PIN de démarrage avec le module de plateforme sécurisée. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur des appareils.

    • Clé de démarrage du module TPM compatible
      Par défaut : Autoriser une clé de démarrage avec le module de plateforme sécurisée

      indiquez si l’utilisation d’une clé de démarrage avec la puce TPM est autorisée, non autorisée ou obligatoire. L’activation d’une clé de démarrage nécessite une intervention de l’utilisateur final.

      • Autoriser une clé de démarrage avec le module de plateforme sécurisée
      • Ne pas autoriser de clé de démarrage avec le module de plateforme sécurisée
      • Exiger une clé de démarrage avec le module de plateforme sécurisée

      Conseil

      Pour installer BitLocker automatiquement et en mode silencieux sur un appareil qui est joint à Azure AD et qui exécute Windows 1809 ou ultérieur, ce paramètre doit être défini sur Exiger une clé de démarrage avec le module de plateforme sécurisée. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur des appareils.

    • Code PIN et clé et de démarrage du module TPM compatible
      Par défaut : Autoriser une clé et un code PIN de démarrage avec le module de plateforme sécurisée

      indiquez si l’utilisation d’un code PIN et d’une clé de démarrage avec la puce TPM est autorisée, non autorisée ou obligatoire. L’activation d’une clé de démarrage et d’un code confidentiel de démarrage nécessite une intervention de l’utilisateur final.

      • Autoriser une clé et un code PIN de démarrage avec le module de plateforme sécurisée
      • Ne pas autoriser de clé et de code PIN de démarrage avec le module de plateforme sécurisée
      • Exiger une clé et un code PIN de démarrage avec le module de plateforme sécurisée

      Conseil

      Pour installer BitLocker automatiquement et en mode silencieux sur un appareil qui est joint à Azure AD et qui exécute Windows 1809 ou ultérieur, ce paramètre doit être défini sur Exiger une clé et un code PIN de démarrage avec le module de plateforme sécurisée. Pour plus d’informations, consultez Activer BitLocker en mode silencieux sur des appareils.

  • Longueur minimale du code confidentiel
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : SystemDrivesMinimumPINLength

    • Activer : Configurer une longueur minimale pour le code PIN de démarrage du module de plateforme sécurisée.
    • Non configuré : les utilisateurs peuvent configurer un code confidentiel de démarrage d’une longueur comprise entre 6 et 20 chiffres.

    Lorsque cette option est définie sur Activer, vous pouvez configurer le paramètre suivant :

    • Nombre minimal de caractères
      Par défaut : Non configuré : Fournisseur de services de configuration BitLocker : SystemDrivesMinimumPINLength

      entrez le nombre de caractères obligatoires pour le code PIN de démarrage (4-20).

  • Récupération du lecteur du système d’exploitation
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : SystemDrivesRecoveryOptions

    • Activer : contrôler la façon dont les lecteurs de système d’exploitation protégés par BitLocker récupèrent quand les informations de démarrage nécessaires ne sont pas disponibles.
    • Non configuré : les options de récupération par défaut sont prises en charge pour la récupération BitLocker. Par défaut, un agent de récupération de données (DRA) est autorisé. Les options de récupération sont choisies par l’utilisateur, notamment le mot de passe de récupération et la clé de récupération. De plus, les informations de récupération ne sont pas sauvegardées dans AD DS.

    Lorsque cette option est définie sur Activer, vous pouvez configurer les paramètres suivants :

    • Agent de récupération de données basé sur les certificats
      Par défaut : Non configuré

      • Bloquer : Empêcher l’utilisation de l’agent de récupération de données avec des lecteurs de système d’exploitation protégés par BitLocker.
      • Non configuré: Autoriser l’utilisation des agents de récupération de données avec les lecteurs de système d’exploitation protégés par BitLocker.
    • Création d’un mot de passe de récupération par l’utilisateur
      Par défaut : Autoriser un mot de passe de récupération de 48 chiffres

      indiquez si les utilisateurs sont autorisés, non autorisés ou contraints à générer un mot de passe de récupération de 48 chiffres.

      • Autoriser un mot de passe de récupération de 48 chiffres
      • Ne pas autoriser un mot de passe de récupération de 48 chiffres
      • Exiger un mot de passe de récupération de 48 chiffres
    • Création d’une clé de récupération par l’utilisateur
      Par défaut : Autoriser une clé de récupération de 256 bits

      indiquez si les utilisateurs sont autorisés, non autorisés ou contraints à générer une clé de récupération de 256 bits.

      • Autoriser une clé de récupération de 256 bits
      • Ne pas autoriser une clé de récupération de 256 bits
      • Exiger une clé de récupération de 256 bits
    • Options de récupération dans l’Assistant Installation de BitLocker
      Par défaut : Non configuré

      • Bloquer : les utilisateurs ne peuvent pas voir ni changer les options de récupération. Quand la valeur est
      • Non configuré : les utilisateurs peuvent voir et changer les options de récupération quand ils activent BitLocker.
    • Enregistrer les informations de récupération BitLocker dans Azure Active Directory
      Par défaut : Non configuré

      • Activer : stocker les informations de récupération BitLocker dans Azure Active Directory (Azure AD).
      • Non configuré : les informations de récupération BitLocker ne sont pas stockées dans Azure AD.
    • Informations de récupération BitLocker stockées dans Azure Active Directory
      Par défaut : Sauvegarder les mots de passe de récupération et les packages de clés

      configurez les parties des informations de récupération BitLocker qui sont stockées dans Azure AD. Choisissez parmi :

      • Sauvegarder les mots de passe et les jeux de clés de récupération
      • Sauvegarder les mots de passe de récupération uniquement
    • Rotation du mot de passe de récupération déclenchée par le client
      Par défaut : Rotation de clé activée pour les appareils joints à Azure AD
      Fournisseur de services de configuration BitLocker : ConfigureRecoveryPasswordRotation

      Ce paramètre lance une rotation du mot de passe de récupération basée sur le client après la récupération d’un lecteur de système d’exploitation (à l’aide de bootmgr ou WinRE).

      • Non configuré
      • Rotation de clé désactivée
      • Rotation de clé activée pour les appareils joints à Azure AD
      • Rotation de clé activée pour les appareils joints à Azure AD et à Hybride
    • Stocker les informations de récupération dans Azure Active Directory avant d’activer BitLocker
      Par défaut : Non configuré

      Empêchez les utilisateurs d’activer BitLocker, sauf si l’ordinateur sauvegarde correctement les informations de récupération BitLocker dans Azure Active Directory.

      • Exiger : empêcher les utilisateurs d’activer BitLocker, sauf si les informations de récupération BitLocker sont correctement stockées dans Azure AD.
      • Non configuré : les utilisateurs peuvent activer BitLocker, même si les informations de récupération ne sont pas correctement stockées dans Azure AD.
  • Message et URL de récupération préalables au démarrage
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : SystemDrivesRecoveryMessage

    • Activer : Configure le message et l’URL qui s’affichent sur l’écran de récupération de clé préalable au démarrage.
    • Non configuré : désactiver cette fonctionnalité.

    Lorsque cette option est définie sur Activer, vous pouvez configurer le paramètre suivant :

    • Message de récupération préalable au démarrage
      Par défaut : Utiliser le message et l’URL de récupération par défaut

      configurez la façon dont le message de récupération préalable au démarrage est présenté aux utilisateurs. Choisissez parmi :

      • Utiliser le message et l’URL de récupération par défaut
      • Utiliser un message et une URL de récupération vides
      • Utiliser le message de récupération personnalisé
      • Utiliser l’URL de récupération personnalisée

Paramètres BitLocker des lecteurs de données fixes

Ces paramètres s’appliquent spécifiquement aux lecteurs de données fixes.

  • Accès en écriture à un lecteur de données fixe non protégé par BitLocker
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : FixedDrivesRequireEncryption

    • Bloquer : octroyer l’accès en lecture seule aux lecteurs de données qui ne sont protégés par BitLocker.
    • Non configuré : Par défaut, accès en lecture et en écriture aux lecteurs de données qui ne sont pas chiffrés.
  • Récupération d’un lecteur fixe
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : FixedDrivesRecoveryOptions

    • Activer : contrôler la façon dont les lecteurs fixes protégés par BitLocker récupèrent quand les informations de démarrage nécessaires ne sont pas disponibles.
    • Non configuré : désactiver cette fonctionnalité.

    Lorsque cette option est définie sur Activer, vous pouvez configurer les paramètres suivants :

    • Agent de récupération de données
      Par défaut : Non configuré

      • Bloquer : empêcher l’utilisation de l’agent de récupération de données avec l’Éditeur de stratégie des lecteurs fixes protégés par BitLocker.
      • Non configuré : permet d’utiliser des agents de récupération de données avec des lecteurs fixes protégés par BitLocker.
    • Création d’un mot de passe de récupération par l’utilisateur
      Par défaut : Autoriser un mot de passe de récupération de 48 chiffres

      indiquez si les utilisateurs sont autorisés, non autorisés ou contraints à générer un mot de passe de récupération de 48 chiffres.

      • Autoriser un mot de passe de récupération de 48 chiffres
      • Ne pas autoriser un mot de passe de récupération de 48 chiffres
      • Exiger un mot de passe de récupération de 48 chiffres
    • Création d’une clé de récupération par l’utilisateur
      Par défaut : Autoriser une clé de récupération de 256 bits

      indiquez si les utilisateurs sont autorisés, non autorisés ou contraints à générer une clé de récupération de 256 bits.

      • Autoriser une clé de récupération de 256 bits
      • Ne pas autoriser une clé de récupération de 256 bits
      • Exiger une clé de récupération de 256 bits
    • Options de récupération dans l’Assistant Installation de BitLocker
      Par défaut : Non configuré

      • Bloquer : les utilisateurs ne peuvent pas voir ni changer les options de récupération. Quand la valeur est
      • Non configuré : les utilisateurs peuvent voir et changer les options de récupération quand ils activent BitLocker.
    • Enregistrer les informations de récupération BitLocker dans Azure Active Directory
      Par défaut : Non configuré

      • Activer : stocker les informations de récupération BitLocker dans Azure Active Directory (Azure AD).
      • Non configuré : les informations de récupération BitLocker ne sont pas stockées dans Azure AD.
    • Informations de récupération BitLocker stockées dans Azure Active Directory
      Par défaut : Sauvegarder les mots de passe de récupération et les packages de clés

      configurez les parties des informations de récupération BitLocker qui sont stockées dans Azure AD. Choisissez parmi :

      • Sauvegarder les mots de passe et les jeux de clés de récupération
      • Sauvegarder les mots de passe de récupération uniquement
    • Stocker les informations de récupération dans Azure Active Directory avant d’activer BitLocker
      Par défaut : Non configuré

      Empêchez les utilisateurs d’activer BitLocker, sauf si l’ordinateur sauvegarde correctement les informations de récupération BitLocker dans Azure Active Directory.

      • Exiger : empêcher les utilisateurs d’activer BitLocker, sauf si les informations de récupération BitLocker sont correctement stockées dans Azure AD.
      • Non configuré : les utilisateurs peuvent activer BitLocker, même si les informations de récupération ne sont pas correctement stockées dans Azure AD.

Paramètres BitLocker des lecteurs de données amovibles

Ces paramètres s’appliquent spécifiquement aux lecteurs de données amovibles.

  • Accès en écriture à un lecteur de données amovible non protégé par BitLocker
    Par défaut : Non configuré
    Fournisseur de services de configuration BitLocker : RemovableDrivesRequireEncryption

    • Bloquer : octroyer l’accès en lecture seule aux lecteurs de données qui ne sont protégés par BitLocker.
    • Non configuré : Par défaut, accès en lecture et en écriture aux lecteurs de données qui ne sont pas chiffrés.

    Lorsque cette option est définie sur Activer, vous pouvez configurer le paramètre suivant :

    • Accès en écriture aux appareils configurés dans une autre organisation
      Par défaut : Non configuré

      • Bloquer : autoriser l’accès en écriture pour les appareils configurés dans une autre organisation.
      • Non configuré : Refuser l’accès en écriture.

Microsoft Defender Exploit Guard

Utilisez Exploit Protection pour gérer et réduire la surface d’attaque des applications utilisées par vos employés.

Règles de réduction de la surface d’attaque

Les règles de réduction de la surface d’attaque aident à empêcher les comportements que les logiciels malveillants utilisent souvent pour infecter des ordinateurs avec du code malveillant.

Règles de réduction de la surface d'attaque

Pour en savoir plus, consultez Règles de réduction de la surface d’attaque dans la documentation de Microsoft Defender pour point de terminaison.

Comportement de fusion pour les règles de réduction de la surface d’attaque dans Intune :

Les règles de réduction de la surface d’attaque prennent en charge une fusion des paramètres de différentes stratégies, afin de créer un sur-ensemble de stratégies pour chaque appareil. Seuls les paramètres qui ne sont pas en conflit sont fusionnés, alors que ceux qui sont en conflit ne sont pas ajoutés au sur-ensemble de règles. Auparavant, si deux stratégies comprenaient des conflits concernant un seul paramètre, les deux stratégies étaient signalées comme étant en conflit et aucun paramètre de l’un ou l’autre des profils n’était déployé.

Le comportement de fusion des règles de réduction de la surface d’attaque est le suivant :

  • Les règles de réduction de la surface d’attaque des profils suivants sont évaluées pour chaque appareil auquel les règles s’appliquent :
    • Appareils > Stratégie de configuration > Profil Endpoint Protection > Microsoft Defender Exploit Guard > Réduction de la surface d’attaque
    • Sécurité du point de terminaison > Stratégie de réduction de la surface d’attaque > Règles de réduction de la surface d’attaque
    • Sécurité du point de terminaison > Bases de référence de sécurité > Base de référence Microsoft Defender pour point de terminaison > Règles de réduction de la surface d’attaque.
  • Les paramètres qui ne sont pas en conflit sont ajoutés à un sur-ensemble de stratégies pour l’appareil.
  • Quand au moins deux stratégies ont des paramètres en conflit, ces derniers ne sont pas ajoutés à la stratégie combinée, alors que les paramètres qui ne sont pas en conflit sont ajoutés à la stratégie du sur-ensemble qui s’applique à un appareil.
  • Seules les configurations pour les paramètres en conflit sont conservées.

Paramètres de ce profil :

  • Marquer le vol des informations d’identification du sous-système de l’autorité de sécurité locale Windows
    Par défaut : Non configuré
    Règle : Bloquer le vol des informations d’identification du sous-système de l’autorité de sécurité locale Windows (lsass.exe)

    Cette fonctionnalité contribue à empêcher les actions et les applications généralement utilisées par les programmes malveillants pour infecter les ordinateurs.

    • Non configuré
    • Activer : marquer le vol des informations d’identification du sous-système de l’autorité de sécurité locale Windows (lsass.exe).
    • Auditer uniquement
  • Création de processus à partir d’Adobe Reader (bêta)
    Par défaut : Non configuré
    Règle : Empêcher Adobe Reader de créer des processus enfants

    • Non configuré
    • Activer : Bloque les processus enfants de bloc qui sont créés à partir d’Adobe Reader.
    • Auditer uniquement

Règles pour empêcher les menaces sur les macros Office

Empêchez les applications Office d’effectuer les actions suivantes :

Règles pour empêcher les menaces sur les scripts

Bloquez les éléments suivants pour empêcher les menaces sur les scripts :

Règles pour empêcher les menaces sur les e-mails

Bloquez ce qui suit pour empêcher les menaces sur les e-mails :

  • Exécution du contenu exécutable (exe, dll, ps, js, vbs, etc.) supprimé de la messagerie (messagerie web/client de messagerie) (aucune exception)
    Par défaut : Non configuré
    Règle : Bloquer le contenu exécutable du client de messagerie et de la messagerie web

    • Non configuré
    • Bloquer : bloquer l’exécution du contenu exécutable (exe, dll, ps, js, vbs, etc.) supprimé de la messagerie (messagerie web/client de messagerie).
    • Auditer uniquement

Règles de protection contre les ransomware

Exceptions de la réduction de surface d’attaque

  • Fichiers et dossiers à exclure des règles de réduction de la surface d’attaque
    Fournisseur de services de configuration Defender : AttackSurfaceReductionOnlyExclusions

    • Importer un fichier .csv qui contient des fichiers et des dossiers à exclure des règles de réduction de la surface d’attaque.
    • Ajoutez manuellement des fichiers ou des dossiers locaux.

Important

Pour permettre une installation et une exécution correctes des applications Win32 métier, les paramètres de logiciel anti-programme malveillant doivent exclure les répertoires suivants de l’analyse :
Sur des ordinateurs clients X64 :
C:\Program Files (x86)\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Sur des ordinateurs clients X86 :
C:\Program Files\Microsoft Intune Management Extension\Content
C:\windows\IMECache

Pour plus d’informations, consultez Recommandations en matière d’analyse antivirus pour les ordinateurs Entreprise qui exécutent des versions de Windows actuellement prises en charge.

Accès contrôlé aux dossiers

Protégez vos données importantes contre des applications malveillantes et des menaces, telles que les ransomware.

  • Protection des dossiers
    Par défaut : Non configuré
    Fournisseur de services de configuration Defender : EnableControlledFolderAccess

    Protéger les fichiers et les dossiers contre les modifications non autorisées par des applications hostiles.

    • Non configuré
    • Activer
    • Auditer uniquement
    • Bloquer la modification du disque
    • Auditer la modification du disque

    Quand vous sélectionnez une configuration autre que Non configuré, vous pouvez configurer :

    • Liste des applications qui ont accès aux dossiers protégés
      Fournisseur de services de configuration Defender : ControlledFolderAccessAllowedApplications

      • Importez un fichier .csv contenant une liste d’applications.
      • Ajoutez manuellement des applications à cette liste.
    • Liste de dossiers supplémentaires qui doivent être protégés
      Fournisseur de services de configuration Defender : ControlledFolderAccessProtectedFolders

      • Importez un fichier .csv contenant une liste de dossiers.
      • Ajoutez manuellement des dossiers à cette liste.

Filtrage du réseau

Bloquer les connexions sortantes de toutes les applications à des adresses IP/domaines de faible réputation. Le filtrage réseau est pris en charge en mode d’audit et de blocage.

  • Protection du réseau
    Par défaut : Non configuré
    Fournisseur de services de configuration Defender : EnableNetworkProtection

    L’objectif de ce paramètre est de protéger les utilisateurs finaux des applications ayant accès à des escroqueries par hameçonnage, à des sites d’hébergement d’exploits et à du contenu malveillant sur Internet. Il empêche aussi les navigateurs tiers de se connecter à des sites dangereux.

    • Non configuré : désactiver cette fonctionnalité. Les utilisateurs et les applications ne sont pas empêchés de se connecter aux domaines dangereux. Les administrateurs ne peuvent pas voir cette activité dans Microsoft Defender Security Center.
    • Activer : Active la protection réseau, et empêche les utilisateurs et les applications de se connecter à des domaines dangereux. Les administrateurs peuvent voir cette activité dans Microsoft Defender Security Center.
    • Auditer uniquement : Les utilisateurs et les applications ne sont pas empêchés de se connecter aux domaines dangereux. Les administrateurs peuvent voir cette activité dans Microsoft Defender Security Center.

Exploit Protection

  • Charger le XML
    Par défaut : Non configuré

    Pour utiliser Exploit Protection afin de protéger les appareils contre les attaques, créez un fichier XML qui inclut les paramètres d’atténuation du système et des applications de votre choix. Il existe deux méthodes pour créer le fichier XML :

    • PowerShell : utilisez une ou plusieurs des applets de commande PowerShell Get-ProcessMitigation, Set-ProcessMitigation et ConvertTo-ProcessMitigationPolicy. Les applets de commande permettent de configurer les paramètres d’atténuation et de les exporter sous forme d’une représentation XML.

    • Interface utilisateur du Centre de sécurité Microsoft Defender : dans le Centre de sécurité Microsoft Defender, cliquez sur Contrôle des applications et du navigateur, puis faites défiler l’écran vers le bas jusqu’à Exploit Protection. Utilisez d’abord les onglets Paramètres système et Paramètres du programme pour configurer les paramètres d’atténuation. Recherchez ensuite le lien Exporter les paramètres en bas de l’écran pour les exporter sous forme d’une représentation XML.

  • Modification par l’utilisateur de l’interface d’Exploit Protection
    Par défaut : Non configuré
    Fournisseur de services de configuration ExploitGuard : ExploitProtectionSettings

    • Bloquer : Charger un fichier XML qui vous permet de configurer des restrictions au niveau de la mémoire, des flux de contrôle et des stratégies. Les paramètres du fichier XML permettent de protéger une application contre les attaques.
    • Non configuré : Aucune configuration personnalisée n’est utilisée.

Contrôle d’application Microsoft Defender

Choisissez d’autres applications qui doivent être auditées ou dont l’exécution peut être approuvée par le contrôle d’application Microsoft Defender. L’exécution des composants Windows et de toutes les applications du Windows Store est automatiquement approuvée.

  • Stratégies d’intégrité du code de contrôle des applications
    Par défaut : Non configuré
    CSP : Fournisseur de services de configuration AppLocker

    • Appliquer : Choisissez les stratégies d’intégrité du code de contrôle des applications pour les appareils de vos utilisateurs.

      Une fois activé sur un appareil, le contrôle d’application peut être désactivé uniquement en changeant le mode Appliquer en Auditer uniquement. Quand vous changez le mode Appliquer en Non configuré, le contrôle d’application continue à s’appliquer sur les appareils attribués.

    • Non configuré : Le contrôle des applications n’est pas ajouté aux appareils. Les paramètres qui ont été ajoutés auparavant continuent cependant d’être appliqués sur les appareils affectés.

    • Auditer uniquement : Les applications ne sont pas bloquées. Tous les événements sont consignés dans les journaux du client local.

      Notes

      Si vous utilisez ce paramètre, le comportement du fournisseur de services de configuration AppLocker consiste à inviter l’utilisateur final à redémarrer sa machine quand une stratégie est déployée.

Microsoft Defender Credential Guard

Microsoft Defender Credential Guard protège contre le vol d’informations d’identification. Il isole les clés secrètes afin que seuls les logiciels système privilégiés puissent y accéder.

  • Credential Guard
    Par défaut : Désactiver
    Fournisseur de services de configuration DeviceGuard

    • Désactiver : désactiver Credential Guard à distance s’il a été préalablement activé avec l’option Activé sans verrouillage UEFI.

    • Activer avec le verrouillage UEFI : Credential Guard ne peut pas être désactivé à distance à l’aide d’une clé de Registre ou d’une stratégie de groupe.

      Notes

      Si vous utilisez ce paramètre et souhaitez ultérieurement désactiver Credential Guard, vous devez définir la stratégie de groupe sur Désactivé. Vous devez également effacer physiquement les informations de configuration UEFI sur chaque ordinateur. Tant que la configuration UEFI persiste, Credential Guard est activé.

    • Activer sans verrouillage UEFI : permet de désactiver Credential Guard à distance à l’aide d’une stratégie de groupe. Les appareils utilisant ce paramètre doivent exécuter Windows 10 (version 1511) et versions ultérieures.

    Lorsque vous activez Credential Guard, les fonctionnalités requises suivantes sont également activées :

    • Sécurité basée sur la virtualisation (VBS)
      s’active au prochain redémarrage. La sécurité basée sur la virtualisation utilise l’hyperviseur Windows pour prendre en charge les services de sécurité.
    • Démarrage sécurisé avec accès direct à la mémoire
      active VBS avec les protections Démarrage sécurisé et Accès direct à la mémoire (DMA). Les protections DMA nécessitent une prise en charge matérielle et sont uniquement activées sur des appareils configurés correctement.

Centre de sécurité Microsoft Defender

Le Centre de sécurité Microsoft Defender fonctionne comme une application ou un processus distinct de chacune des fonctionnalités individuelles. Elle affiche des notifications dans le centre de notifications. Elle agit comme un collecteur de données ou emplacement unique pour afficher l’état et exécuter la configuration de chacune des fonctionnalités. Pour plus d’informations, consultez la documentation Microsoft Defender.

Application Centre de sécurité Microsoft Defender et notifications

Empêchez l’utilisateur final d’accéder aux différentes zones de l’application Centre de sécurité Microsoft Defender. Le masquage d’une section bloque également les notifications associées.

  • Protection contre les virus et menaces
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableVirusUI

    Configurez si les utilisateurs finaux peuvent visualiser la zone Protection contre les virus et les menaces dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées à la protection contre les virus et les menaces.

    • Non configuré
    • Masquer
  • Protection contre les ransomwares
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : HideRansomwareDataRecovery

    Configurez si les utilisateurs finaux peuvent visualiser la zone Protection contre les ransomwares dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées à la protection contre les ransomwares.

    • Non configuré
    • Masquer
  • Protection des comptes
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableAccountProtectionUI

    Configurez si les utilisateurs finaux peuvent visualiser la zone Protection des comptes dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées à la protection des comptes.

    • Non configuré
    • Masquer
  • Pare-feu et protection du réseau
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableNetworkUI

    Configurez si les utilisateurs finaux peuvent visualiser la zone Pare-feu et protection du réseau dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées au pare-feu et à la protection du réseau.

    • Non configuré
    • Masquer
  • Contrôle des applications et du navigateur
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableAppBrowserUI

    Configurez si les utilisateurs finaux peuvent visualiser la zone Contrôle des applications et du navigateur dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées au contrôle des applications et du navigateur.

    • Non configuré
    • Masquer
  • Protection du matériel
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableDeviceSecurityUI

    Configurez si les utilisateurs finaux peuvent visualiser la zone Protection du matériel dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées à la protection du matériel.

    • Non configuré
    • Masquer
  • Performances des appareils et intégrité
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableHealthUI

    Configurez si les utilisateurs finaux peuvent visualiser la zone Performances des appareils et intégrité dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées aux performances et à l’intégrité des appareils.

    • Non configuré
    • Masquer
  • Options de contrôle parental
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableFamilyUI

    Configurez si les utilisateurs finaux peuvent visualiser la zone Options de contrôle parental dans le Centre de sécurité Microsoft Defender. Le fait de masquer cette section va aussi bloquer toutes les notifications liées aux options de contrôle parental.

    • Non configuré
    • Masquer
  • Notifications des zones affichées de l’application
    Par défaut : Non configuré
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : DisableNotifications

    choisissez les notifications à afficher aux utilisateurs finaux. Les notifications non critiques sont notamment les récapitulatifs d’activité de l’antivirus Microsoft Defender, dont les notifications indiquant qu’une analyse est terminée. Toutes les autres notifications sont considérées comme critiques.

    • Non configuré
    • Bloquer les notifications non critiques
    • Bloquer toutes les notifications
  • Icône Centre de sécurité Windows dans la zone de notification
    Par défaut : Non configuré

    Configurez l’affichage du contrôle de la zone de notification. L’utilisateur doit se déconnecter et se reconnecter, ou redémarrer l’ordinateur pour appliquer ce paramètre.

    • Non configuré
    • Masquer
  • Bouton Effacer le module de plateforme sécurisée
    Par défaut : Non configuré

    Configurez l’affichage du bouton Effacer le module de plateforme sécurisée.

    • Non configuré
    • Désactiver
  • Avertissement de mise à jour du microprogramme du TPM
    Par défaut : Non configuré

    Configurez l’affichage de la mise à jour du microprogramme TPM quand un microprogramme vulnérable est détecté.

    • Non configuré
    • Masquer
  • Protection contre les falsifications
    Par défaut : Non configuré

    Activez ou désactivez la protection contre les falsifications sur les appareils. Pour utiliser la protection contre les falsifications, vous devez intégrer Microsoft Defender pour point de terminaison à Intune et avoir des licences Enterprise Mobility + Security E5.

    • Non configuré : Aucune modification n’est apportée aux paramètres des appareils.
    • Activé : La protection contre la falsification est activée et les restrictions sont appliquées sur les appareils.
    • Désactivé : La protection contre la falsification est désactivée et les restrictions ne sont pas appliquées.

Informations de contact du service informatique

Indiquez les informations de contact du service informatique à afficher dans l’application Centre de sécurité Microsoft Defender et ses notifications.

Vous avez le choix entre Afficher dans l’application et dans les notifications, Afficher uniquement dans l’application, Afficher uniquement dans les notifications ou Ne pas afficher. Entrez le nom de l’organisation du service informatique et au moins l’une des options de contact suivantes :

  • Informations de contact du service informatique
    Par défaut : Ne pas afficher
    Fournisseur de services de configuration WindowsDefenderSecurityCenter : EnableCustomizedToasts

    Configurez où afficher les informations de contact du service informatique pour les utilisateurs finaux.

    • Afficher dans l’application et dans les notifications
    • Afficher uniquement dans l’application
    • Afficher uniquement dans les notifications
    • Ne pas afficher

    Quand cette option est configurée pour afficher, vous pouvez configurer les paramètres suivants :

    • Nom du département informatique
      Par défaut : Non configuré
      Fournisseur de services de configuration WindowsDefenderSecurityCenter : CompanyName

    • Numéro de téléphone ou ID Skype du service informatique
      Par défaut : Non configuré
      Fournisseur de services de configuration WindowsDefenderSecurityCenter : Phone

    • Adresse e-mail du service informatique
      Par défaut : Non configuré
      Fournisseur de services de configuration WindowsDefenderSecurityCenter : Courrier électronique

    • URL du site web de support informatique
      Par défaut : Non configuré
      Fournisseur de services de configuration WindowsDefenderSecurityCenter : URL

Option de sécurité de l’appareil local

Utilisez ces options pour configurer les paramètres de sécurité locale sur les appareils Windows 10.

Comptes

  • Ajouter de nouveaux comptes Microsoft
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_BlockMicrosoftAccounts

    • Bloquer : empêcher les utilisateurs d’ajouter de nouveaux comptes Microsoft sur l’appareil.
    • Non configuré : Les utilisateurs peuvent utiliser des comptes Microsoft sur l’appareil.
  • Ouverture de session à distance sans mot de passe
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquer : autoriser uniquement les comptes locaux avec des mots de passe vides à se connecter à l’aide du clavier de l’appareil.
    • Non configuré : autoriser les comptes locaux avec des mots de passe vides à se connecter à partir d’emplacements autres que l’appareil physique.

Administrateur

  • Compte Administrateur local
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

    • Bloquer : Empêche l’utilisation d’un compte d’administrateur local.
    • Non configuré
  • Renommer le compte Administrateur
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_RenameAdministratorAccount

    Définir un autre nom de compte à associer à l’identificateur de sécurité (SID) pour le compte « Administrateur ».

Invité

  • Compte Invité
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : LocalPoliciesSecurityOptions

    • Bloquer : Empêche l’utilisation d’un compte invité.
    • Non configuré
  • Renommer le compte invité
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Accounts_RenameGuestAccount

    Définir un autre nom de compte à associer à l’identificateur de sécurité (SID) pour le compte « Invité ».

Appareils

  • Retirer l’appareil de la station d’accueil sans ouverture de session
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Devices_AllowUndockWithoutHavingToLogon

    • Bloquer : un utilisateur doit se connecter à l’appareil et recevoir l’autorisation de retirer l’appareil.
    • Non configuré : les utilisateurs peuvent appuyer sur le bouton d’éjection physique d’un appareil portable placé sur une station d’accueil afin de retirer l’appareil de manière sécurisée.
  • Installer des pilotes d’imprimante pour les imprimantes partagées
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

    • Activé : n’importe quel utilisateur peut installer un pilote d’imprimante lors de la connexion à une imprimante partagée.
    • Non configuré : seuls les administrateurs peuvent installer un pilote lors de la connexion à une imprimante partagée.
  • Limiter l’accès au CD-ROM à l’utilisateur actif local
    Par défaut : Non configuré
    CSP : Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

    • Activé : seul l’utilisateur connecté de manière interactive peut utiliser le CD-ROM. Si cette stratégie est activée et qu’aucun utilisateur n’est connecté de façon interactive, le CD-ROM est accessible sur le réseau.
    • Non configuré : Tout le monde a accès au CD-ROM.
  • Formater et éjecter les supports amovibles
    Par défaut : Administrateurs
    CSP : Devices_AllowedToFormatAndEjectRemovableMedia

    définit les personnes autorisées à formater et à éjecter un support NTFS amovible :

    • Non configuré
    • Administrateurs
    • Administrateurs et utilisateurs avec pouvoir
    • Administrateurs et utilisateurs interactifs

Ouverture de session interactive

  • Minutes d’inactivité de l’écran de verrouillage avant l’activation de l’économiseur d’écran
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_MachineInactivityLimit

    Entrez le nombre maximal de minutes d’inactivité avant activation de l’écran de veille. (0 - 99999)

  • Exiger CTRL+ALT+SUPPR pour ouvrir une session
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DoNotRequireCTRLALTDEL

    • Activer : les utilisateurs doivent appuyer sur Ctrl+Alt+Suppr avant de se connecter à Windows.
    • Non configuré : les utilisateurs n’ont pas à appuyer sur Ctrl+Alt+Suppr pour se connecter.
  • Comportement lorsque la carte à puce est retirée
    Par défaut : Verrouiller la station de travail
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_SmartCardRemovalBehavior

    détermine ce qui se passe quand la carte à puce d’un utilisateur connecté est retirée du lecteur de carte à puce. Les options disponibles sont les suivantes :

    • Verrouiller la station de travail : la station de travail est verrouillée quand la carte à puce est retirée. Cette option permet aux utilisateurs de quitter les lieux, d’emporter leur carte à puce et de conserver une session protégée.
    • Aucune action
    • Forcer la fermeture de session : l’utilisateur est automatiquement déconnecté lorsque la carte à puce est retirée.
    • Déconnecter en cas de session des services Bureau à distance : le retrait de la carte à puce déconnecte la session sans déconnecter l’utilisateur. Cette option permet à l’utilisateur d’insérer la carte à puce et de reprendre la session ultérieurement, ou sur un autre ordinateur équipé d’un lecteur de carte à puce, sans avoir à se reconnecter. Si la session est locale, cette stratégie fonctionne comme l’option Verrouiller la station de travail.

Afficher

  • Informations utilisateur sur l’écran de verrouillage
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

    configurez les informations de l’utilisateur qui s’affichent quand la session est verrouillée. Si cette option n’est pas configurée, le nom d’utilisateur, le domaine et le nom d’utilisateur complet sont affichés.

    • Non configuré
    • Nom d’affichage de l’utilisateur, domaine et nom d’utilisateur
    • Nom d'affichage de l'utilisateur uniquement
    • Ne pas afficher les informations utilisateur
  • Masquer le dernier utilisateur connecté
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DoNotDisplayLastSignedIn

    • Activer : Masquer le nom d’utilisateur.
    • Non configuré : Montrer le dernier nom d’utilisateur.
  • Masquer le nom d’utilisateur lors de la connexion Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_DoNotDisplayUsernameAtSignIn

    • Activer : Masquer le nom d’utilisateur.
    • Non configuré : Montrer le dernier nom d’utilisateur.
  • Titre du message de connexion
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

    définissez le titre du message pour les utilisateurs se connectant.

  • Texte du message de connexion
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : InteractiveLogon_MessageTextForUsersAttemptingToLogOn

    définissez le texte du message pour les utilisateurs se connectant.

Accès réseau et sécurité

  • Accès anonyme aux canaux nommés et aux partages
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

    • Non configuré : restreindre l’accès anonyme aux paramètres de partage et de canal nommé. S’applique aux paramètres accessibles de manière anonyme.
    • Bloquer : Désactiver cette stratégie, ce qui rend les accès anonymes disponibles.
  • Énumération anonyme des comptes SAM
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

    • Non configuré : Les utilisateurs anonymes peuvent énumérer les comptes SAM.
    • Bloquer : empêcher l’énumération anonyme des comptes SAM.
  • Énumération anonyme des comptes et partages SAM
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

    • Non configuré : des utilisateurs anonymes peuvent énumérer les noms des comptes de domaine et des partages réseau.
    • Bloquer : empêcher l’énumération anonyme des comptes et des partages SAM.
  • Valeur de hachage LAN Manager stockée au changement de mot de passe
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

    Détermine si la valeur de hachage pour les mots de passe est stockée la prochaine fois que le mot de passe est changé.

    • Non configuré : La valeur de hachage n’est pas stockée.
    • Bloquer : LAN Manager stocke la valeur de hachage pour le nouveau mot de passe.
  • Demandes d’authentification PKU2U
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_AllowPKU2UAuthenticationRequests

    • Non configuré : Autoriser les demandes PU2U.
    • Bloquer : Bloquer les demandes d’authentification PKU2U auprès de l’appareil.
  • Limiter les connexions RPC à distance au SAM
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

    • Non configuré : Utiliser le descripteur de sécurité par défaut, ce qui peut autoriser les utilisateurs et les groupes à effectuer des appels RPC distants au gestionnaire des comptes de sécurité.

    • Autoriser : Interdire aux utilisateurs et aux groupes d’effectuer des appels RPC distants au gestionnaire des comptes de sécurité, qui stocke les comptes et les mots de passe des utilisateurs. Autoriser : vous permet aussi de changer SDDL (Security Descriptor Definition Language) par défaut pour autoriser ou interdire explicitement aux utilisateurs et aux groupes d’effectuer ces appels distants.

      • Descripteur de sécurité
        Par défaut : Non configuré
  • Sécurité de session minimale pour les clients basés sur NTLM SSP
    Par défaut : Aucune
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

    Ce paramètre de sécurité permet à un serveur d’exiger la négociation d’un chiffrement de 128 bits et/ou de la sécurité de session NTLMv2.

    • Aucun
    • Exiger la sécurité de session NTLMv2
    • Exiger un chiffrement 128 bits
    • Authentification NTLMv2 et chiffrement de 128 bits
  • Sécurité de session minimale pour serveur basé sur NTLM SSP
    Par défaut : Aucune
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

    Ce paramètre de sécurité détermine le protocole d'authentification de stimulation/réponse utilisé pour les ouvertures de session réseau.

    • Aucun
    • Exiger la sécurité de session NTLMv2
    • Exiger un chiffrement 128 bits
    • Authentification NTLMv2 et chiffrement de 128 bits
  • Niveau d’authentification LAN Manager
    Par défaut : LM et NTLM
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : NetworkSecurity_LANManagerAuthenticationLevel

    • LM et NTLM
    • LM, NTLM et NTLMv2
    • NTLM
    • NTLMv2
    • NTLMv2 mais pas LM
    • NTLMv2 mais pas LM ni NTLM
  • Ouvertures de session invité non sécurisées
    Par défaut : Non configuré
    Fournisseur de services de configuration LanmanWorkstation : LanmanWorkstation

    Si vous activez ce paramètre, le client SMB rejette les ouvertures de session invité non sécurisées.

    • Non configuré
    • Bloquer : Le client SMB rejette les ouvertures de session invité non sécurisées.

Console de récupération et arrêt

  • Effacer le fichier d’échange de mémoire virtuelle pendant l’arrêt
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Shutdown_ClearVirtualMemoryPageFile

    • Activer : effacer le fichier d’échange de mémoire virtuelle quand l’appareil est mis hors tension.
    • Non configuré : n’efface pas la mémoire virtuelle.
  • Arrêt sans ouverture de session
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

    • Bloquer : masquer l’option d’arrêt sur l’écran d’ouverture de session Windows. Les utilisateurs doivent se connecter à l’appareil, puis l’arrêter.
    • Non configuré : autoriser les utilisateurs à arrêter l’appareil à partir de l’écran d’ouverture de session Windows.

Contrôle de compte d'utilisateur

  • Intégrité UIA sans emplacement sécurisé
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Bloquer : Les applications qui se trouvent à un emplacement sécurisé dans le système de fichiers s’exécutent uniquement avec l’intégrité UIAccess.
    • Non configuré : autorise les applications à s’exécuter avec l’intégrité UIAccess, même si elles ne se trouvent pas dans un emplacement sécurisé dans le système de fichiers.
  • Virtualiser les échecs d’écriture de fichier et de Registre dans des emplacements par utilisateur
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

    • Désactivé : les applications qui écrivent des données dans des emplacements protégés échouent.
    • Non configuré : les échecs d’écriture d’application sont redirigés au moment de l’exécution vers des emplacements définis par l’utilisateur pour le système de fichiers et le registre.
  • Élever uniquement les fichiers exécutables signés et validés
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

    • Activé : appliquer la validation du chemin de certification PKI d’un fichier exécutable avant qu’il puisse s’exécuter.
    • Non configuré : ne pas appliquer de validation de chemin de certificat PKI avant qu’un fichier exécutable puisse s’exécuter.

Comportement de l’invite d’élévation UIA

  • Invite d’élévation pour les administrateurs
    Par défaut : Demande de consentement pour les binaires non Windows
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

    Définir le comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur.

    • Non configuré
    • Élever sans invite
    • Demande d’informations d’identification sur le bureau sécurisé
    • Demande d’informations d’identification
    • Demande de consentement
    • Demande de consentement pour les binaires non-Windows
  • Invite d’élévation pour les utilisateurs standard
    Par défaut : Demande d’informations d’identification
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

    Définir le comportement de l’invite d’élévation pour les utilisateurs standard.

    • Non configuré
    • Refuser automatiquement les demandes d’élévation de privilèges
    • Demande d’informations d’identification sur le bureau sécurisé
    • Demande d’informations d’identification
  • Router les invites d’élévation vers le Bureau interactif de l’utilisateur
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

    • Activé : Toutes les demandes d’élévation passent par le Bureau interactif de l’utilisateur, et non pas par le Bureau sécurisé. Tous les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont utilisés.
    • Non configuré : forcer toutes les demandes d’élévation à passer au bureau sécurisé, quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard.
  • Invite avec élévation de privilèges pour les installations d’application
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

    • Désactivé : les packages d’installation d’application ne sont pas détectés ni invités pour une élévation.
    • Non configuré : les utilisateurs sont invités à entrer un nom d’utilisateur et un mot de base d’administration quand un package d’installation d’application nécessite une élévation de privilège.
  • Invite d’élévation UIA sans Bureau sécurisé
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

  • Activer : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé.

  • Non configuré : Les invites d’élévation utilisent un Bureau sécurisé.

Mode d’approbation Administrateur

  • Mode d’approbation Administrateur pour l’administrateur intégré
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_UseAdminApprovalMode

    • Activé : autoriser le compte Administrateur intégré à utiliser le mode d’approbation Administrateur. Une invite d’approbation est présentée à l’utilisateur pour toute opération nécessitant une élévation de privilège.
    • Non configuré : exécute toutes les applications avec des privilèges d’administrateur complets.
  • Exécuter tous les administrateurs en mode d’approbation Administrateur
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : UserAccountControl_RunAllAdministratorsInAdminApprovalMode

    • Activé : Activer le mode d’approbation Administrateur.
    • Non configuré : désactiver le mode d’approbation Administrateur et tous les paramètres de stratégie UAC associés.

Client réseau Microsoft

  • Signer numériquement les communications (si le serveur accepte)
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

    détermine si le client SMB négocie la signature de paquet SMB.

    • Bloquer : Le client SMB ne négocie jamais la signature de paquets SMB.
    • Non configuré : le client réseau Microsoft demande au serveur d’effectuer la signature de paquet SMB lors de la configuration de la session. Si la signature de paquet est activée sur le serveur, la signature de paquet est négociée.
  • Envoyer un mot de passe non chiffré aux serveurs SMB tiers
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

    • Bloquer : le redirecteur Server Message Block (SMB) peut envoyer des mots de passe en clair aux serveurs SMB non-Microsoft qui ne prennent pas en charge le chiffrement de mot de passe lors de l’authentification.
    • Non configuré : Bloquer l’envoi des mots de passe en texte clair. Les mots de passe sont chiffrés.
  • Signer numériquement les communications (toujours)
    Par défaut : Non configuré
    Fournisseur de services de configuration LocalPoliciesSecurityOptions : MicrosoftNetworkClient_DigitallySignCommunicationsAlways

    • Activer : le client réseau Microsoft ne communique avec un serveur réseau Microsoft que si ce serveur accepte la signature de paquet SMB.
    • Non configuré : La signature de paquets SMB est négociée entre le client et le serveur.

Serveur réseau Microsoft

  • Signer numériquement les communications (si le client accepte)
    Par défaut : Non configuré
    CSP : MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

    • Activer : le serveur réseau Microsoft négocie la signature de paquet SMB comme demandé par le client. Autrement dit, si la signature de paquet a été activée sur le client, la signature de paquet est négociée.
    • Non configuré : Le client SMB ne négocie jamais la signature de paquets SMB.
  • Signer numériquement les communications (toujours)
    Par défaut : Non configuré
    CSP : MicrosoftNetworkServer_DigitallySignCommunicationsAlways

    • Activer : le serveur réseau Microsoft ne communique avec un client réseau Microsoft que si ce client accepte la signature de paquet SMB.
    • Non configuré : La signature de paquets SMB est négociée entre le client et le serveur.

Services Xbox

Étapes suivantes

Le profil est créé, mais il ne fait rien pour le moment. À présent, affectez le profil, puis supervisez son état.

Configurez les paramètres de protection des points de terminaison sur les appareils macOS.