Fournisseur de services de configuration de stratégie - LocalPoliciesSecurityOptions


Stratégies LocalPoliciesSecurityOptions

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts
LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus
LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly
LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount
LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon
LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia
LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters
LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly
LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn
LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL
LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn
LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees
LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways
LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts
LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares
LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM
LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests
LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange
LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients
LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic
LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers
LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn
LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile
LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators
LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers
LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated
LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations
LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation
LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode
LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Notes

Pour rechercher des formats de données (et d’autres détails liés à la stratégie), consultez le fichier DDF de stratégie.

LocalPoliciesSecurityOptions/Accounts_BlockMicrosoftAccounts

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce paramètre de stratégie empêche les utilisateurs d’ajouter de nouveaux comptes Microsoft sur cet ordinateur.

Si vous sélectionnez l’option « Les utilisateurs ne peuvent pas ajouter de comptes Microsoft », les utilisateurs ne peuvent pas créer de comptes Microsoft sur cet ordinateur, basculer un compte local vers un compte Microsoft ou connecter un compte de domaine à un compte Microsoft. Cette option est l’option recommandée si vous devez limiter l’utilisation des comptes Microsoft dans votre entreprise.

Si vous sélectionnez l’option « Les utilisateurs ne peuvent pas ajouter ou se connecter avec des comptes Microsoft », les utilisateurs de comptes Microsoft existants ne peuvent pas se connecter à Windows. Si vous sélectionnez cette option, il peut être impossible pour un administrateur existant sur cet ordinateur de se connecter et de gérer le système.

Si vous désactivez ou ne configurez pas cette stratégie (recommandé), les utilisateurs pourront utiliser des comptes Microsoft avec Windows.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Comptes : Bloquer les comptes Microsoft
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

La liste suivante indique les valeurs prises en charge :

  • 0 - désactivé (les utilisateurs pourront utiliser des comptes Microsoft avec Windows).
  • 1 - activé (les utilisateurs ne peuvent pas ajouter de comptes Microsoft).

LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce paramètre permet à l’administrateur d’activer le compte Administrateur local.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Comptes : activer l’état du compte administrateur
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

La liste suivante indique les valeurs prises en charge :

  • 0 - désactivé (le compte Administrateur local est désactivé).
  • 1 - activé (le compte Administrateur local est activé).

**LocalPoliciesSecurityOptions/Accounts_EnableGuestAccountStatus**
Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ce paramètre permet à l’administrateur d’activer le compte Administrateur invité.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Comptes : activer l’état du compte invité
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

La liste suivante indique les valeurs prises en charge :

  • 0 - désactivé (le compte Administrateur local est désactivé).
  • 1 - activé (le compte Administrateur local est activé).

LocalPoliciesSecurityOptions/Accounts_LimitLocalAccountUseOfBlankPasswordsToConsoleLogonOnly

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Comptes : restreindre l’utilisation de mots de passe vides par le compte local à l’ouverture de session console

Ce paramètre de sécurité détermine si les comptes locaux qui ne sont pas protégés par mot de passe peuvent être utilisés pour se connecter à partir d’emplacements autres que la console d’ordinateur physique. Si cette option est activée, les comptes locaux qui ne sont pas protégés par mot de passe peuvent uniquement se connecter au clavier de l’ordinateur.

Par défaut : activé.

Avertissement

Les ordinateurs qui ne se trouvent pas dans des emplacements physiquement sécurisés doivent toujours appliquer des stratégies de mot de passe fortes pour tous les comptes d’utilisateurs locaux. Sinon, toute personne disposant d’un accès physique à l’ordinateur peut se connecter à l’aide d’un compte d’utilisateur qui n’a pas de mot de passe. Ceci est particulièrement important pour les ordinateurs portables. Si vous appliquez cette stratégie de sécurité au groupe Tout le monde, personne ne pourra se connecter via les services Bureau à distance.

Ce paramètre n’affecte pas les connexions qui utilisent des comptes de domaine. Il est possible pour les applications qui utilisent des connexions interactives à distance de contourner ce paramètre.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Comptes : limiter l’utilisation de mots de passe vides par un compte local à l’ouverture de session de la console uniquement
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - désactivé : les comptes locaux qui ne sont pas protégés par mot de passe peuvent être utilisés pour se connecter à partir d’emplacements autres que la console de l’ordinateur physique
  • 1 - activé - Les comptes locaux qui ne sont pas protégés par mot de passe pourront uniquement se connecter au clavier de l’ordinateur

LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Comptes : renommer le compte Administrateur

Ce paramètre de sécurité détermine si un autre nom de compte est associé à l’identificateur de sécurité (SID) de l’administrateur de compte. Le fait de renommer le compte d’administrateur connu rend légèrement plus difficile pour les personnes non autorisées de deviner ce nom d’utilisateur privilégié et cette combinaison de mots de passe.

Par défaut : Administrateur.

La type de valeur est une chaîne. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Comptes : Renommer le compte d’administrateur
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/Accounts_RenameGuestAccount

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Comptes : renommer le compte Invité

Ce paramètre de sécurité détermine si un autre nom de compte est associé à l’identificateur de sécurité (SID) pour le compte « Invité ». Le fait de renommer le compte Invité connu rend légèrement plus difficile pour les personnes non autorisées de deviner ce nom d’utilisateur et cette combinaison de mots de passe.

Valeur par défaut : Invité.

La type de valeur est une chaîne. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Comptes : Renommer le compte invité
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/Devices_AllowUndockWithoutHavingToLogon

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Appareils : autorisez la désinstaller sans avoir à vous connecter.

Ce paramètre de sécurité détermine si un ordinateur portable peut être désinstallé sans avoir à se connecter. Si cette stratégie est activée, la connexion n’est pas requise et un bouton d’éjection de matériel externe peut être utilisé pour désenlectionner l’ordinateur. S’il est désactivé, un utilisateur doit se connecter et disposer du privilège Supprimer l’ordinateur de la station d’ancrage pour désinstaller l’ordinateur. Par défaut : activé.

Attention

La désactivation de cette stratégie peut inciter les utilisateurs à essayer de supprimer physiquement l’ordinateur portable de sa station d’accueil à l’aide de méthodes autres que le bouton d’éjection du matériel externe. Étant donné que cela peut endommager le matériel, ce paramètre, en général, ne doit être désactivé que sur les configurations d’ordinateur portable qui sont physiquement sécurisables.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Appareils : autoriser l’ouverture de session sans avoir à ouvrir une session
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/Devices_AllowedToFormatAndEjectRemovableMedia

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Appareils : permettre le formatage et l’éjection des médias amovibles

Ce paramètre de sécurité détermine qui est autorisé à mettre en forme et à éjecter un support NTFS amovible. Cette fonctionnalité peut être fournie à :

  • Administrateurs
  • Administrateurs et utilisateurs interactifs

Par défaut : cette stratégie n’est pas définie, et seuls les administrateurs ont cette capacité.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Appareils : autorisé à mettre en forme et à éjecter un média amovible
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/Devices_PreventUsersFromInstallingPrinterDriversWhenConnectingToSharedPrinters

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Appareils : empêcher les utilisateurs d’installer des pilotes d’imprimante lors de la connexion à des imprimantes partagées

Pour qu’un ordinateur imprime sur une imprimante partagée, le pilote de cette imprimante partagée doit être installé sur l’ordinateur local. Ce paramètre de sécurité détermine qui est autorisé à installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée. Si ce paramètre est activé, seuls les administrateurs peuvent installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée. Si ce paramètre est désactivé, tout utilisateur peut installer un pilote d’imprimante dans le cadre de la connexion à une imprimante partagée.

Valeur par défaut sur les serveurs : activé. Par défaut sur les stations de travail : Désactivée

Notes

Ce paramètre n’affecte pas la possibilité d’ajouter une imprimante locale. Ce paramètre n’affecte pas les administrateurs.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Appareils : empêcher les utilisateurs d’installer des pilotes d’imprimante
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/Devices_RestrictCDROMAccessToLocallyLoggedOnUserOnly

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Appareils : autoriser l’accès au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement

Ce paramètre de sécurité détermine si un CD-ROM est accessible simultanément aux utilisateurs locaux et distants.

Si cette stratégie est activée, elle autorise uniquement l’utilisateur connecté de manière interactive à accéder au support CD-ROM amovible. Si cette stratégie est activée et que personne n’est connecté de manière interactive, le CD-ROM est accessible sur le réseau.

Par défaut : cette stratégie n’est pas définie et l’accès CD-ROM n’est pas limité à l’utilisateur connecté localement.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Appareils : restreindre l’accès CD-ROM à l’utilisateur connecté localement uniquement
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/InteractiveLogon_DisplayUserInformationWhenTheSessionIsLocked

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : afficher les informations utilisateur lorsque la session est verrouillée

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : ouverture de session interactive : afficher les informations utilisateur lorsque la session est verrouillée
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 1 - Nom d’affichage de l’utilisateur, nom de domaine et nom d’utilisateur
  • 2 - Nom d’affichage de l’utilisateur uniquement
  • 3 - Ne pas afficher d’informations utilisateur

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayLastSignedIn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : ne pas afficher le nom du dernier utilisateur connecté

Ce paramètre de sécurité détermine si l’écran de connexion Windows affiche le nom d’utilisateur de la dernière personne qui s’est connectée sur ce PC. Si cette stratégie est activée, le nom d’utilisateur ne s’affiche pas.

Si cette stratégie est désactivée, le nom d’utilisateur s’affiche.

Valeur par défaut : Désactivée.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Ouverture de session interactive : ne pas afficher la dernière connexion
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - désactivé (nom d’utilisateur affiché)
  • 1 - activé (le nom d’utilisateur ne s’affiche pas)

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotDisplayUsernameAtSignIn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : ne pas afficher le nom de l’utilisateur lors de la connexion

Ce paramètre de sécurité détermine si le nom d’utilisateur de la personne qui se connecte à ce PC s’affiche à Windows connexion, une fois les informations d’identification entrées et avant l’affichage du bureau du PC.

Si cette stratégie est activée, le nom d’utilisateur ne s’affiche pas.

Si cette stratégie est désactivée, le nom d’utilisateur s’affiche.

Valeur par défaut : Désactivée.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Ouverture de session interactive : ne pas afficher le nom d’utilisateur lors de la connexion
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - désactivé (nom d’utilisateur affiché)
  • 1 - activé (le nom d’utilisateur ne s’affiche pas)

LocalPoliciesSecurityOptions/InteractiveLogon_DoNotRequireCTRLALTDEL

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : ne nécessitez pas de Ctrl+Alt+DEL

Ce paramètre de sécurité détermine si l’appui sur Ctrl+Alt+DEL est nécessaire pour qu’un utilisateur puisse se connecter.

Si cette stratégie est activée sur un ordinateur, un utilisateur n’est pas obligé d’appuyer sur Ctrl+Alt+DEL pour se connecter. Le fait de ne pas avoir à appuyer sur Ctrl+Alt+DEL rend les utilisateurs vulnérables aux attaques qui tentent d’intercepter les mots de passe des utilisateurs. L’exigence de CTRL+ALT+DEL avant la connexion des utilisateurs garantit que les utilisateurs communiquent via un chemin d’accès approuvé lors de l’entrée de leurs mots de passe.

Si cette stratégie est désactivée, tout utilisateur doit appuyer sur Ctrl+Alt+DEL avant de se connecter à Windows.

Par défaut sur les ordinateurs de domaine : activé : au moins Windows 8/Désactivé : Windows 7 ou version antérieure. Valeur par défaut sur les ordinateurs autonomes : activé.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Ouverture de session interactive : ne pas exiger Ctrl+Alt+DEL
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - désactivé
  • 1 - activé (un utilisateur n’est pas obligé d’appuyer sur Ctrl+Alt+DEL pour se connecter)

LocalPoliciesSecurityOptions/InteractiveLogon_MachineInactivityLimit

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : limite d’inactivité de l’ordinateur.

Windows remarque l’inactivité d’une session de connexion, et si la durée d’inactivité dépasse la limite d’inactivité, l’économiseur d’écran s’exécute, verrouillant la session.

Valeur par défaut : non appliquée.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : ouverture de session interactive : limite d’inactivité de la machine
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides : de 0 à 599940, où la valeur correspond à la durée d’inactivité (en secondes) après laquelle la session sera verrouillée. S’il est défini sur zéro (0), le paramètre est désactivé.


LocalPoliciesSecurityOptions/InteractiveLogon_MessageTextForUsersAttemptingToLogOn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : texte du message pour les utilisateurs qui tentent de se connecter

Ce paramètre de sécurité spécifie un SMS qui s’affiche aux utilisateurs lorsqu’ils se connectent.

Ce texte est souvent utilisé pour des raisons légales, par exemple, pour avertir les utilisateurs des conséquences d’une mauvaise utilisation des informations de l’entreprise ou pour les avertir que leurs actions peuvent être auditées.

Valeur par défaut : Aucun message.

La type de valeur est une chaîne. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : ouverture de session interactive : texte du message pour les utilisateurs qui tentent de se connecter
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/InteractiveLogon_MessageTitleForUsersAttemptingToLogOn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : titre du message pour les utilisateurs qui tentent de se connecter

Ce paramètre de sécurité permet à la spécification d’un titre d’apparaître dans la barre de titre de la fenêtre qui contient l’ouverture de session interactive : texte du message pour les utilisateurs qui tentent de se connecter.

Valeur par défaut : Aucun message.

La type de valeur est une chaîne. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Ouverture de session interactive : titre du message pour les utilisateurs qui tentent de se connecter
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/InteractiveLogon_SmartCardRemovalBehavior

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Ouverture de session interactive : comportement lorsque la carte à puce est retirée

Ce paramètre de sécurité détermine ce qui se passe lorsque la carte à puce d’un utilisateur connecté est supprimée du lecteur de carte à puce.

Les options sont les suivantes:

Aucune déconnexion de la fermeture de session force de station de travail de verrouillage d’action si une session Services Bureau à distance

Si vous cliquez sur Verrouiller la station de travail dans la boîte de dialogue Propriétés de cette stratégie, la station de travail est verrouillée lorsque la carte à puce est supprimée, ce qui permet aux utilisateurs de quitter la zone, de prendre leur carte à puce avec eux et de maintenir une session protégée.

Si vous cliquez sur Forcer la fermeture de session dans la boîte de dialogue Propriétés de cette stratégie, l’utilisateur est automatiquement déconnecté lorsque la carte à puce est supprimée.

Si vous cliquez sur Déconnecter si une session services Bureau à distance, la suppression de la carte à puce déconnecte la session sans déconnecter l’utilisateur. Cette stratégie permet à l’utilisateur d’insérer la carte à puce et de reprendre la session ultérieurement, ou sur un autre ordinateur équipé d’un lecteur de carte à puce, sans avoir à se reconnecter. Si la session est locale, cette stratégie fonctionne de la même façon que verrouiller la station de travail.

Notes

Les services Bureau à distance étaient appelés Terminal Services dans les versions précédentes de Windows Server.

Par défaut : cette stratégie n’est pas définie, ce qui signifie que le système la traite comme aucune action.

Sur Windows Vista et versions ultérieures : pour que ce paramètre fonctionne, le service de stratégie de suppression de carte à puce doit être démarré.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : ouverture de session interactive : comportement de suppression de carte à puce
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsAlways

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Client réseau Microsoft : communications signées numériquement (toujours)

Ce paramètre de sécurité détermine si la signature de paquets est requise par le composant client SMB. Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows distante. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si la signature de paquets SMB doit être négociée avant l’autorisation d’une communication supplémentaire avec un serveur SMB.

Si ce paramètre est activé, le client réseau Microsoft ne communiquera pas avec un serveur réseau Microsoft, sauf si ce serveur accepte d’effectuer la signature de paquets SMB. Si cette stratégie est désactivée, la signature des paquets SMB est négociée entre le client et le serveur.

Valeur par défaut : Désactivée.

Notes

Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. L’activation ou l’exigence de signature de paquets pour les composants SMB côté client et côté serveur est contrôlée par les quatre paramètres de stratégie suivants :

  • Client réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté client nécessite ou non la signature de paquets.
  • Client réseau Microsoft : signer numériquement les communications (si le serveur est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté client.
  • Serveur réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté serveur nécessite ou non la signature de paquets.
  • Serveur réseau Microsoft : signer numériquement les communications (si le client est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté serveur.

La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version dialectique, de la version du système d’exploitation, des tailles de fichier, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application. Pour plus d’informations, consultez : Performances réduites après l’activation du chiffrement SMB ou de la signature SMB - Windows Server | Microsoft Docs.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Client réseau Microsoft : Signer numériquement les communications (toujours)
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_DigitallySignCommunicationsIfServerAgrees

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Client réseau Microsoft: communications signées numériquement (lorsque le serveur l’accepte)

Ce paramètre de sécurité détermine si le client SMB tente de négocier la signature de paquets SMB.

Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows distante. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si le composant client SMB tente de négocier la signature de paquets SMB lorsqu’il se connecte à un serveur SMB.

Si ce paramètre est activé, le client réseau Microsoft demande au serveur d’effectuer la signature de paquets SMB lors de l’installation de la session. Si la signature de paquets a été activée sur le serveur, la signature de paquets est négociée. Si cette stratégie est désactivée, le client SMB ne négociera jamais la signature de paquets SMB.

Par défaut : activé.

Notes

Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. L’activation ou l’exigence de signature de paquets pour les composants SMB côté client et côté serveur est contrôlée par les quatre paramètres de stratégie suivants :

  • Client réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté client nécessite ou non la signature de paquets.
  • Client réseau Microsoft : signer numériquement les communications (si le serveur est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté client.
  • Serveur réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté serveur nécessite ou non la signature de paquets.
  • Serveur réseau Microsoft : signer numériquement les communications (si le client est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté serveur. Si la signature SMB côté client et côté serveur est activée et que le client établit une connexion SMB 1.0 au serveur, la signature SMB est tentée.

La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version dialectique, de la version du système d’exploitation, des tailles de fichier, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application. Ce paramètre s’applique uniquement aux connexions SMB 1.0. Pour plus d’informations, consultez : Performances réduites après l’activation du chiffrement SMB ou de la signature SMB - Windows Server | Microsoft Docs.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : client réseau Microsoft : signer numériquement les communications (si le serveur est d’accord)
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/MicrosoftNetworkClient_SendUnencryptedPasswordToThirdPartySMBServers

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Client réseau Microsoft : envoyer un mot de passe non chiffré pour se connecter à des serveurs SMB tiers

Si ce paramètre de sécurité est activé, le redirecteur SMB (Server Message Block) est autorisé à envoyer des mots de passe en texte clair à des serveurs SMB non-Microsoft qui ne prennent pas en charge le chiffrement de mot de passe pendant l’authentification.

L’envoi de mots de passe non chiffrés est un risque de sécurité.

Valeur par défaut : Désactivée.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : client réseau Microsoft : envoyer un mot de passe non chiffré à des serveurs SMB tiers
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_AmountOfIdleTimeRequiredBeforeSuspendingSession

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Avertissement

À compter de Windows 10 version 1803, cette stratégie est déconseillée.

Serveur réseau Microsoft : durée d’inactivité requise avant la suspension d’une session

Ce paramètre de sécurité détermine la durée d’inactivité continue qui doit passer dans une session SMB (Server Message Block) avant la suspension de la session en raison de l’inactivité.

Les administrateurs peuvent utiliser cette stratégie pour contrôler quand un ordinateur suspend une session SMB inactive. Si l’activité du client reprend, la session est automatiquement rétablie.

Pour ce paramètre de stratégie, la valeur 0 signifie déconnecter une session inactive le plus rapidement possible. La valeur maximale est 99999, soit 208 jours; en effet, cette valeur désactive la stratégie.

Par défaut : cette stratégie n’est pas définie, ce qui signifie que le système la traite comme 15 minutes pour les serveurs et non définie pour les stations de travail.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : serveur réseau Microsoft : durée d’inactivité requise avant la suspension de la session
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsAlways

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Serveur réseau Microsoft : communications signées numériquement (toujours)

Ce paramètre de sécurité détermine si la signature de paquets est requise par le composant serveur SMB.

Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows distante. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si la signature de paquets SMB doit être négociée avant que d’autres communications avec un client SMB soient autorisées.

Si ce paramètre est activé, le serveur réseau Microsoft ne communiquera pas avec un client réseau Microsoft, sauf si ce client accepte d’effectuer la signature de paquets SMB. Si ce paramètre est désactivé, la signature des paquets SMB est négociée entre le client et le serveur.

Par défaut : désactivé pour les serveurs membres. Activé pour les contrôleurs de domaine.

Notes

Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. L’activation ou l’exigence de signature de paquets pour les composants SMB côté client et côté serveur est contrôlée par les quatre paramètres de stratégie suivants :

  • Client réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté client nécessite ou non la signature de paquets.
  • Client réseau Microsoft : signer numériquement les communications (si le serveur est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté client.
  • Serveur réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté serveur nécessite ou non la signature de paquets.
  • Serveur réseau Microsoft : signer numériquement les communications (si le client est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté serveur.

De même, si la signature SMB côté client est requise, ce client ne sera pas en mesure d’établir une session avec des serveurs dont la signature de paquets n’est pas activée. Par défaut, la signature SMB côté serveur est activée uniquement sur les contrôleurs de domaine. Si la signature SMB côté serveur est activée, la signature de paquets SMB est négociée avec les clients pour qui la signature SMB côté client est activée. La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version dialectique, de la version du système d’exploitation, des tailles de fichier, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application. Pour plus d’informations, consultez : Performances réduites après l’activation du chiffrement SMB ou de la signature SMB - Windows Server | Microsoft Docs.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : serveur réseau Microsoft : Signer numériquement les communications (toujours)
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/MicrosoftNetworkServer_DigitallySignCommunicationsIfClientAgrees

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Serveur réseau Microsoft: communications signées numériquement (lorsque le serveur l’accepte)

Ce paramètre de sécurité détermine si le serveur SMB négociera la signature des paquets SMB avec les clients qui le demandent.

Le protocole SMB (Server Message Block) fournit la base du partage de fichiers et d’impression Microsoft, ainsi que de nombreuses autres opérations de mise en réseau, telles que l’administration Windows distante. Pour empêcher les attaques de l’intercepteur qui modifient les paquets SMB en transit, le protocole SMB prend en charge la signature numérique des paquets SMB. Ce paramètre de stratégie détermine si le serveur SMB négociera la signature des paquets SMB lorsqu’un client SMB le demande.

Si ce paramètre est activé, le serveur réseau Microsoft négociera la signature des paquets SMB comme demandé par le client. Autrement dit, si la signature de paquets a été activée sur le client, la signature de paquets est négociée. Si cette stratégie est désactivée, le client SMB ne négociera jamais la signature de paquets SMB.

Par défaut : activé sur les contrôleurs de domaine uniquement.

Notes

Tous les systèmes d’exploitation Windows prennent en charge un composant SMB côté client et un composant SMB côté serveur. L’activation ou l’exigence de signature de paquets pour les composants SMB côté client et côté serveur est contrôlée par les quatre paramètres de stratégie suivants :

  • Client réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté client nécessite ou non la signature de paquets.
  • Client réseau Microsoft : signer numériquement les communications (si le serveur est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté client.
  • Serveur réseau Microsoft : signer numériquement les communications (toujours) : détermine si le composant SMB côté serveur nécessite ou non la signature de paquets.
  • Serveur réseau Microsoft : signer numériquement les communications (si le client est d’accord) : détermine si la signature de paquets est activée ou non pour le composant SMB côté serveur. Si la signature SMB côté client et côté serveur est activée et que le client établit une connexion SMB 1.0 au serveur, la signature SMB est tentée.

La signature de paquets SMB peut dégrader considérablement les performances de SMB, en fonction de la version dialectique, de la version du système d’exploitation, des tailles de fichier, des fonctionnalités de déchargement du processeur et des comportements d’E/S d’application. Ce paramètre s’applique uniquement aux connexions SMB 1.0. Pour plus d’informations, consultez : Performances réduites après l’activation du chiffrement SMB ou de la signature SMB - Windows Server | Microsoft Docs.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : serveur réseau Microsoft : signer numériquement les communications (si le client est d’accord)
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSAMAccounts

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Accès réseau : n’autorisez pas l’énumération anonyme des comptes SAM

Ce paramètre de sécurité détermine les autres autorisations accordées pour les connexions anonymes à l’ordinateur.

Windows permet aux utilisateurs anonymes d’effectuer certaines activités, par exemple énumérer les noms des comptes de domaine et des partages réseau. Cette fonctionnalité est pratique, par exemple, lorsqu’un administrateur souhaite accorder l’accès aux utilisateurs d’un domaine approuvé qui ne maintient pas une confiance réciproque.

Cette option de sécurité permet d’appliquer d’autres restrictions aux connexions anonymes comme suit :

Activé : n’autorisez pas l’énumération des comptes SAM. Cette option remplace Tout le monde par des utilisateurs authentifiés dans les autorisations de sécurité pour les ressources. Désactivé : aucune restriction supplémentaire. S’appuyer sur les autorisations par défaut.

Valeur par défaut sur les stations de travail : activée. Valeur par défaut sur le serveur : activée.

Important

Cette stratégie n’a aucun impact sur les contrôleurs de domaine.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Accès réseau : n’autorisez pas l’énumération anonyme des comptes SAM
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkAccess_DoNotAllowAnonymousEnumerationOfSamAccountsAndShares

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Accès réseau : n’autorisez pas l’énumération anonyme des comptes et partages SAM

Ce paramètre de sécurité détermine si l’énumération anonyme des comptes et partages SAM est autorisée.

Windows permet aux utilisateurs anonymes d’effectuer certaines activités, par exemple énumérer les noms des comptes de domaine et des partages réseau. Cette fonctionnalité est pratique, par exemple, lorsqu’un administrateur souhaite accorder l’accès aux utilisateurs d’un domaine approuvé qui ne maintient pas une confiance réciproque. Si vous ne souhaitez pas autoriser l’énumération anonyme des comptes et partages SAM, activez cette stratégie.

Valeur par défaut : Désactivée.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : accès réseau : n’autorisez pas l’énumération anonyme des comptes et partages SAM
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkAccess_RestrictAnonymousAccessToNamedPipesAndShares

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Accès réseau : restreindre l'accès anonyme aux canaux nommés et aux partages

Lorsqu’il est activé, ce paramètre de sécurité limite l’accès anonyme aux partages et aux canaux vers les paramètres pour :

Accès réseau : canaux nommés accessibles de manière anonyme Accès réseau : partages accessibles anonymement Par défaut : activé.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Accès réseau : restreindre l’accès anonyme aux canaux et partages nommés
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkAccess_RestrictClientsAllowedToMakeRemoteCallsToSAM

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Accès réseau : restreindre les clients autorisés à effectuer des appels distants vers SAM

Ce paramètre de stratégie vous permet de limiter les connexions Rpc distantes à SAM.

S’il n’est pas sélectionné, le descripteur de sécurité par défaut est utilisé.

Cette stratégie est prise en charge sur au moins Windows Server 2016.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Accès réseau : restreindre les clients autorisés à passer des appels distants à SAM
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_AllowLocalSystemToUseComputerIdentityForNTLM

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : autoriser le système local à utiliser l’identité de l’ordinateur pour NTLM.

Lorsque les services se connectent à des appareils qui exécutent des versions du système d’exploitation Windows antérieures à Windows Vista ou Windows Server 2008, les services qui s’exécutent en tant que système local et utilisent SPNEGO (Negotiate) qui reviennent à NTLM s’authentifient anonymement. Dans Windows Server 2008 R2 et Windows 7 et versions ultérieures, si un service se connecte à un ordinateur exécutant Windows Server 2008 ou Windows Vista, le service système utilise l’identité de l’ordinateur.

Lorsqu’un service se connecte à l’identité de l’appareil, la signature et le chiffrement sont pris en charge pour assurer la protection des données. (Lorsqu’un service se connecte anonymement, une clé de session générée par le système est créée, ce qui ne fournit aucune protection, mais permet aux applications de signer et de chiffrer des données sans erreur. L’authentification anonyme utilise une session NULL, qui est une session avec un serveur dans lequel aucune authentification utilisateur n’est effectuée ; et par conséquent, l’accès anonyme est autorisé.)

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : autoriser le système local à utiliser l’identité de l’ordinateur pour NTLM
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - Désactivé
  • 1 - Activé (Autoriser le système local à utiliser l’identité de l’ordinateur pour NTLM.)

LocalPoliciesSecurityOptions/NetworkSecurity_AllowPKU2UAuthenticationRequests

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : autorisez les demandes d’authentification PKU2U à cet ordinateur à utiliser des identités en ligne.

Cette stratégie est désactivée par défaut sur les machines jointes au domaine. Cette désactivation empêcherait les identités en ligne de s’authentifier sur l’ordinateur joint au domaine.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : autoriser les demandes d’authentification PKU2U à cet ordinateur à utiliser des identités en ligne.
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - désactivé
  • 1 - activé (autoriser les demandes d’authentification PKU2U à cet ordinateur à utiliser des identités en ligne.)

LocalPoliciesSecurityOptions/NetworkSecurity_DoNotStoreLANManagerHashValueOnNextPasswordChange

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : ne stockez pas la valeur de hachage lan manager lors de la prochaine modification du mot de passe

Ce paramètre de sécurité détermine si, lors de la prochaine modification de mot de passe, la valeur de hachage du gestionnaire de réseau local (LM) du nouveau mot de passe est stockée. Le hachage LM est relativement faible et sujet aux attaques, par rapport au hachage NT Windows plus fort sur le plan du chiffrement. Étant donné que le hachage LM est stocké sur l’ordinateur local dans la base de données de sécurité, les mots de passe peuvent être compromis si la base de données de sécurité est attaquée.

Valeur par défaut sur Windows Vista et versions ultérieures : Activé par défaut sur Windows XP : Désactivé.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : ne pas stocker la valeur de hachage du gestionnaire LAN lors de la prochaine modification du mot de passe
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_LANManagerAuthenticationLevel

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Niveau d’authentification DUN Manager de sécurité réseau

Ce paramètre de sécurité détermine le protocole d’authentification de défi/réponse utilisé pour les journaux d’activité réseau. Ce choix affecte le niveau de protocole d’authentification utilisé par les clients, le niveau de sécurité de session négocié et le niveau d’authentification accepté par les serveurs comme suit :

Envoyer des réponses LM et NTLM : les clients utilisent l’authentification LM et NTLM et n’utilisent jamais la sécurité de session NTLMv2 ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2.

Envoyer LM et NTLM : utilisez la sécurité de session NTLMv2 si elles sont négociées : les clients utilisent l’authentification LM et NTLM et la sécurité de session NTLMv2 si le serveur la prend en charge ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2.

Envoyer une réponse NTLM uniquement : les clients utilisent l’authentification NTLM uniquement et la sécurité de session NTLMv2 si le serveur la prend en charge ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2.

Envoyer la réponse NTLMv2 uniquement : les clients utilisent l’authentification NTLMv2 uniquement et la sécurité de session NTLMv2 si le serveur la prend en charge ; les contrôleurs de domaine acceptent l’authentification LM, NTLM et NTLMv2.

Envoyer la réponse NTLMv2 uniquement\refuser LM : les clients utilisent l’authentification NTLMv2 uniquement et utilisent la sécurité de session NTLMv2 si le serveur la prend en charge ; les contrôleurs de domaine refusent LM (acceptent uniquement l’authentification NTLM et NTLMv2).

Envoyer la réponse NTLMv2 uniquement\refuser LM et NTLM : les clients utilisent l’authentification NTLMv2 uniquement et la sécurité de session NTLMv2 si le serveur la prend en charge ; les contrôleurs de domaine refusent LM et NTLM (acceptent uniquement l’authentification NTLMv2).

Par défaut:

windows XP : envoyer des réponses LM et NTLM

Windows Server 2003 : Envoyer une réponse NTLM uniquement

Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2 : Envoyer la réponse NTLMv2 uniquement

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : niveau d’authentification LAN Manager
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedClients

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : sécurité de session minimale pour les clients basés sur NTLM SSP (y compris rpc sécurisé).

Ce paramètre de sécurité permet à un appareil client d’exiger la négociation du chiffrement 128 bits et/ou de la sécurité de session NTLMv2. Ces valeurs dépendent de la valeur du paramètre de sécurité au niveau de l’authentification laN Manager. Les options sont les suivantes:

  • Exiger la sécurité de session NTLMv2 : la connexion échoue si l’intégrité des messages n’est pas négociée.
  • Exiger un chiffrement 128 bits : la connexion échoue si le chiffrement fort (128 bits) n’est pas négocié.

Par défaut:

Windows XP, Windows Vista, Windows Server 2003 et Windows Server 2008 : Aucune exigence.

Windows 7 et Windows Server 2008 R2 : nécessitent un chiffrement 128 bits.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : sécurité de session minimale pour les clients basés sur SSP NTLM (y compris les clients RPC sécurisés)
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_MinimumSessionSecurityForNTLMSSPBasedServers

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : sécurité de session minimale pour les serveurs basés sur NTLM SSP (y compris RPC sécurisé)

Ce paramètre de sécurité permet à un serveur d’exiger la négociation du chiffrement 128 bits et/ou de la sécurité de session NTLMv2. Ces valeurs dépendent de la valeur du paramètre de sécurité au niveau de l’authentification laN Manager. Les options sont les suivantes:

Exiger la sécurité de session NTLMv2 : la connexion échoue si l’intégrité des messages n’est pas négociée. Exiger un chiffrement 128 bits. La connexion échoue si le chiffrement fort (128 bits) n’est pas négocié.

Par défaut:

Windows XP, Windows Vista, Windows Server 2003 et Windows Server 2008 : Aucune exigence.

Windows 7 et Windows Server 2008 R2 : Exiger un chiffrement 128 bits

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : sécurité de session minimale pour les serveurs NTLM SSP (y compris les serveurs RPC sécurisés)
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AddRemoteServerExceptionsForNTLMAuthentication

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : restreindre NTLM : ajouter des exceptions de serveurs distants pour l’authentification NTLM

Ce paramètre de stratégie vous permet de créer une liste d’exceptions de serveurs distants auxquels les clients sont autorisés à utiliser l’authentification NTLM si le paramètre de stratégie « Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants » est configuré.

Si vous configurez ce paramètre de stratégie, vous pouvez définir une liste de serveurs distants sur lesquels les clients sont autorisés à utiliser l’authentification NTLM.

Si vous ne configurez pas ce paramètre de stratégie, aucune exception n’est appliquée.

Le format d’affectation de noms pour les serveurs de cette liste d’exceptions est le nom de domaine complet (FQDN) ou le nom de serveur NetBIOS utilisé par l’application, répertorié un par ligne. Pour vous assurer que le nom utilisé par toutes les applications doit figurer dans la liste et pour garantir qu’une exception est exacte, le nom du serveur doit être répertorié dans les deux formats d’affectation de noms. Un astérisque unique (*) peut être utilisé n’importe où dans la chaîne comme caractère générique.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_AuditIncomingNTLMTraffic

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant

Ce paramètre de stratégie vous permet d’auditer le trafic NTLM entrant.

Si vous sélectionnez « Désactiver » ou ne configurez pas ce paramètre de stratégie, le serveur ne journalise pas les événements pour le trafic NTLM entrant.

Si vous sélectionnez « Activer l’audit pour les comptes de domaine », le serveur consigne les événements pour les demandes d’authentification directe NTLM qui seront bloquées lorsque le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : trafic NTLM entrant » est défini sur l’option « Refuser tous les comptes de domaine ».

Si vous sélectionnez « Activer l’audit pour tous les comptes », le serveur journalise les événements pour toutes les demandes d’authentification NTLM qui seront bloquées lorsque le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : trafic NTLM entrant » est défini sur l’option « Refuser tous les comptes ».

Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2.

Notes

Les événements d’audit sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous le journal des applications et des services/Microsoft/Windows/NTLM.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : Restreindre NTLM : Auditer le trafic NTLM entrant
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_IncomingNTLMTraffic

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : restreindre NTLM : trafic NTLM entrant

Ce paramètre de stratégie vous permet de refuser ou d’autoriser le trafic NTLM entrant.

Si vous sélectionnez « Autoriser tout » ou si vous ne configurez pas ce paramètre de stratégie, le serveur autorise toutes les demandes d’authentification NTLM.

Si vous sélectionnez « Refuser tous les comptes de domaine », le serveur refuse les demandes d’authentification NTLM pour la connexion au domaine et affiche une erreur bloquée NTLM, mais autorise la connexion au compte local.

Si vous sélectionnez « Refuser tous les comptes », le serveur refuse les demandes d’authentification NTLM provenant du trafic entrant et affiche une erreur NTLM bloquée.

Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2.

Notes

Les événements de blocage sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous le journal des applications et des services/Microsoft/Windows/NTLM.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : Restreindre NTLM : trafic NTLM entrant
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/NetworkSecurity_RestrictNTLM_OutgoingNTLMTrafficToRemoteServers

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Sécurité réseau : restreindre NTLM : trafic NTLM sortant vers des serveurs distants

Ce paramètre de stratégie vous permet de refuser ou d’auditer le trafic NTLM sortant de ce Windows 7 ou de cet ordinateur Windows Server 2008 R2 vers n’importe quel serveur distant Windows.

Si vous sélectionnez « Autoriser tout » ou si vous ne configurez pas ce paramètre de stratégie, l’ordinateur client peut authentifier les identités auprès d’un serveur distant à l’aide de l’authentification NTLM.

Si vous sélectionnez « Auditer tout », l’ordinateur client enregistre un événement pour chaque demande d’authentification NTLM à un serveur distant. Cette journalisation vous permet d’identifier les serveurs qui reçoivent des demandes d’authentification NTLM de l’ordinateur client.

Si vous sélectionnez « Refuser tout », l’ordinateur client ne peut pas authentifier les identités auprès d’un serveur distant à l’aide de l’authentification NTLM. Vous pouvez utiliser le paramètre de stratégie « Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l’authentification NTLM » pour définir une liste de serveurs distants auxquels les clients sont autorisés à utiliser l’authentification NTLM.

Cette stratégie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2.

Notes

Les événements d’audit et de blocage sont enregistrés sur cet ordinateur dans le journal « Opérationnel » situé sous le journal des applications et des services/Microsoft/Windows/NTLM.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Sécurité réseau : Restreindre NTLM : trafic NTLM sortant vers les serveurs distants
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Arrêt : autoriser l’arrêt du système sans avoir à se connecter

Ce paramètre de sécurité détermine si un ordinateur peut être arrêté sans avoir à se connecter à Windows.

Lorsque cette stratégie est activée, la commande Arrêter est disponible sur l’écran d’ouverture de session Windows.

Lorsque cette stratégie est désactivée, l’option d’arrêt de l’ordinateur n’apparaît pas sur l’écran d’ouverture de session Windows. Dans ce cas, les utilisateurs doivent être en mesure de se connecter à l’ordinateur avec succès et de faire arrêter l’utilisateur système juste avant de pouvoir effectuer un arrêt du système.

Valeur par défaut sur les stations de travail : activée. Valeur par défaut sur les serveurs : Désactivé.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Arrêt : autoriser l’arrêt du système sans avoir à ouvrir une session
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - désactivé
  • 1 - activé (autoriser l’arrêt du système sans avoir à se connecter)

LocalPoliciesSecurityOptions/Shutdown_ClearVirtualMemoryPageFile

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Arrêt : effacer le fichier d’échange de mémoire virtuelle

Ce paramètre de sécurité détermine si le fichier de page de mémoire virtuelle est effacé lorsque le système est arrêté.

La prise en charge de la mémoire virtuelle utilise un fichier de page système pour échanger des pages de mémoire sur disque lorsqu’elles ne sont pas utilisées. Sur un système en cours d’exécution, ce fichier de page est ouvert exclusivement par le système d’exploitation et il est bien protégé. Toutefois, les systèmes configurés pour permettre le démarrage vers d’autres systèmes d’exploitation peuvent avoir à s’assurer que le fichier de page système est nettoyé lorsque ce système s’arrête. Ce nettoyage garantit que les informations sensibles de la mémoire de processus susceptibles d’entrer dans le fichier de page ne sont pas disponibles pour un utilisateur non autorisé qui parvient à accéder directement au fichier de pages.

Lorsque cette stratégie est activée, elle entraîne l’effacement du fichier de page système lors de l’arrêt du nettoyage. Si vous activez cette option de sécurité, le fichier de mise en veille prolongée (hiberfil.sys) est également mis à zéro lorsque la mise en veille prolongée est désactivée.

Valeur par défaut : Désactivée.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Arrêt : effacer le fichier de page de mémoire virtuelle
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_AllowUIAccessApplicationsToPromptForElevation

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé.

Ce paramètre de stratégie détermine si les programmes d’accessibilité de l’interface utilisateur (UIAccess ou UIA) peuvent désactiver automatiquement le bureau sécurisé pour les invites d’élévation utilisées par un utilisateur standard.

Activé : les programmes UIA, notamment Windows Assistance à distance, désactivent automatiquement le bureau sécurisé pour les invites d’élévation. Si vous ne désactivez pas le paramètre de stratégie « Contrôle de compte d’utilisateur : basculer vers le bureau sécurisé lors de l’invite d’élévation », les invites s’affichent sur le bureau de l’utilisateur interactif au lieu du bureau sécurisé.

Désactivé : (valeur par défaut)

Le bureau sécurisé ne peut être désactivé que par l’utilisateur du bureau interactif ou en désactivant le paramètre de stratégie « Contrôle de compte d’utilisateur : basculer vers le bureau sécurisé lors de l’invite d’élévation ».

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

Valeurs valides:

  • 0 - désactivé
  • 1 - activé (autoriser les applications UIAccess à demander une élévation sans utiliser le bureau sécurisé)

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForAdministrators

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur

Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les administrateurs.

Les options sont les suivantes:

  • 0 - Élever sans invite : permet aux comptes privilégiés d’effectuer une opération qui nécessite une élévation sans avoir besoin de consentement ou d’informations d’identification.

    Notes

    Utilisez cette option uniquement dans les environnements les plus contraints.

  • 1 - Demander des informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilèges, l’utilisateur est invité sur le bureau sécurisé à entrer un nom d’utilisateur et un mot de passe privilégiés. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec le privilège disponible le plus élevé de l’utilisateur.

  • 2 - Demander le consentement sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilèges, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec le privilège disponible le plus élevé de l’utilisateur.

  • 3 - Invite d’informations d’identification : lorsqu’une opération nécessite une élévation de privilèges, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec le privilège applicable.

  • 4 - Invite de consentement : lorsqu’une opération nécessite une élévation de privilèges, l’utilisateur est invité à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec le privilège disponible le plus élevé de l’utilisateur.

  • 5 - Demander le consentement pour les fichiers binaires non Windows : (valeur par défaut) Lorsqu’une opération pour une application non Microsoft nécessite une élévation de privilèges, l’utilisateur est invité sur le bureau sécurisé à sélectionner Autoriser ou Refuser. Si l’utilisateur sélectionne Autoriser, l’opération continue avec le privilège disponible le plus élevé de l’utilisateur.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation administrateur
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_BehaviorOfTheElevationPromptForStandardUsers

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard Ce paramètre de stratégie contrôle le comportement de l’invite d’élévation pour les utilisateurs standard.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

La liste suivante indique les valeurs prises en charge :

  • 0 - Refuser automatiquement les demandes d’élévation : lorsqu’une opération nécessite une élévation de privilège, un message d’erreur de refus d’accès configurable s’affiche. Une entreprise qui exécute des bureaux en tant qu’utilisateur standard peut choisir ce paramètre pour réduire les appels au support technique.
  • 1 - Demander des informations d’identification sur le bureau sécurisé : lorsqu’une opération nécessite une élévation de privilèges, l’utilisateur est invité sur le bureau sécurisé à entrer un autre nom d’utilisateur et mot de passe. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec le privilège applicable.
  • 3 (Par défaut) - Invite d’informations d’identification : lorsqu’une opération nécessite une élévation de privilèges, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec le privilège applicable.

LocalPoliciesSecurityOptions/UserAccountControl_DetectApplicationInstallationsAndPromptForElevation

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation

Ce paramètre de stratégie contrôle le comportement de la détection d’installation d’application pour l’ordinateur.

Les options sont les suivantes:

Activé : (valeur par défaut) Lorsqu’un package d’installation d’application qui nécessite une élévation de privilège est détecté, l’utilisateur est invité à entrer un nom d’utilisateur et un mot de passe administratifs. Si l’utilisateur entre des informations d’identification valides, l’opération continue avec le privilège applicable.

Désactivé : les packages d’installation d’application ne sont pas détectés et invités à effectuer une élévation. Les entreprises qui exécutent des bureaux utilisateur standard et utilisent des technologies d’installation déléguées telles que stratégie de groupe’installation de logiciels ou le serveur de gestion des systèmes (SMS) doivent désactiver ce paramètre de stratégie. Dans ce cas, la détection du programme d’installation n’est pas nécessaire.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : détecter les installations d’application et demander une élévation
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateExecutableFilesThatAreSignedAndValidated

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : élever uniquement les fichiers exécutables signés et validés

Ce paramètre de stratégie applique des vérifications de signature d’infrastructure à clé publique (PKI) pour toutes les applications interactives qui demandent une élévation de privilèges. Enterprise administrateurs peuvent contrôler les applications autorisées à s’exécuter en ajoutant des certificats au magasin de certificats Serveurs de publication approuvés sur les ordinateurs locaux.

Les options sont les suivantes:

  • 0 - Désactivé : (par défaut) n’applique pas la validation du chemin de certification PKI avant l’exécution d’un fichier exécutable donné.
  • 1 - Activé : applique la validation du chemin de certification PKI pour un fichier exécutable donné avant qu’il ne soit autorisé à s’exécuter.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : élever uniquement les exécutables signés et validés
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_OnlyElevateUIAccessApplicationsThatAreInstalledInSecureLocations

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés

Ce paramètre de stratégie contrôle si les applications qui demandent à s’exécuter avec un niveau d’intégrité d’accessibilité de l’interface utilisateur (UIAccess) doivent résider dans un emplacement sécurisé dans le système de fichiers. Les emplacements sécurisés sont limités aux emplacements suivants :

  • .\Program Files, y compris les sous-dossiers
  • .\Windows\system32\
  • .\Program Files (x86), y compris les sous-dossiers pour les versions 64 bits de Windows

Notes

Windows applique une vérification de signature d’infrastructure à clé publique (PKI) sur toute application interactive qui demande à s’exécuter avec un niveau d’intégrité UIAccess, quel que soit l’état de ce paramètre de sécurité.

Les options sont les suivantes:

  • 0 - Désactivé : une application s’exécute avec l’intégrité UIAccess même si elle ne réside pas dans un emplacement sécurisé dans le système de fichiers.
  • 1 - Activé : (par défaut) Si une application réside dans un emplacement sécurisé dans le système de fichiers, elle s’exécute uniquement avec l’intégrité UIAccess.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : élève uniquement les applications UIAccess installées dans des emplacements sécurisés
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_RunAllAdministratorsInAdminApprovalMode

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : activer le mode d’approbation administrateur

Ce paramètre de stratégie contrôle le comportement de tous les paramètres de stratégie de contrôle de compte d’utilisateur (UAC) pour l’ordinateur. Si vous modifiez ce paramètre de stratégie, vous devez redémarrer votre ordinateur.

Les options sont les suivantes:

  • 0 - Désactivé : le mode d’approbation administrateur et tous les paramètres de stratégie UAC associés sont désactivés.

    Notes

    Si ce paramètre de stratégie est désactivé, Sécurité Windows vous informe que la sécurité globale du système d’exploitation a été réduite.

  • 1 - Activé : le mode d’approbation administrateur (par défaut) est activé. Cette stratégie doit être activée et les paramètres de stratégie UAC associés doivent également être définis de manière appropriée pour permettre au compte Administrateur intégré et à tous les autres utilisateurs membres du groupe Administrateurs de s’exécuter en mode d’approbation administrateur.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : exécuter tous les administrateurs en mode d’approbation administrateur
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_SwitchToTheSecureDesktopWhenPromptingForElevation

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation

Ce paramètre de stratégie contrôle si l’invite de demande d’élévation est affichée sur le bureau de l’utilisateur interactif ou sur le bureau sécurisé.

Les options sont les suivantes:

  • 0 - Désactivé : toutes les demandes d’élévation sont envoyées au bureau de l’utilisateur interactif. Les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard sont utilisés.
  • 1 - Activé : (par défaut) Toutes les demandes d’élévation sont envoyées au bureau sécurisé, quels que soient les paramètres de stratégie de comportement d’invite pour les administrateurs et les utilisateurs standard.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : basculer vers le bureau sécurisé lors de l’invite d’élévation
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_UseAdminApprovalMode

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : utiliser le mode d’approbation administrateur pour le compte Administrateur intégré

Ce paramètre de stratégie contrôle le comportement du mode d’approbation administrateur pour le compte Administrateur intégré.

Les options sont les suivantes:

• Activé : le compte Administrateur intégré utilise le mode d’approbation administrateur. Par défaut, toute opération nécessitant une élévation de privilèges invite l’utilisateur à approuver l’opération.

• Désactivé : (par défaut) Le compte Administrateur intégré exécute toutes les applications avec des privilèges d’administration complets.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : mode d’approbation administrateur pour le compte Administrateur intégré
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

LocalPoliciesSecurityOptions/UserAccountControl_VirtualizeFileAndRegistryWriteFailuresToPerUserLocations

Édition Windows10 Windows11
Accueil Non Non
Pro Oui Oui
Entreprise Oui Oui
Enterprise Oui Oui
Éducation Oui Oui

Étendue:

  • Appareil

Contrôle de compte d’utilisateur : virtualiser les échecs d’écritures de fichiers et de registre dans des emplacements définis par utilisateur

Ce paramètre de stratégie contrôle si les échecs d’écriture d’application sont redirigés vers des emplacements définis du registre et du système de fichiers. Ce paramètre de stratégie atténue les applications qui s’exécutent en tant qu’administrateur et écrivent les données d’application d’exécution dans %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software.

La type de valeur est un entier. Les opérations prises en charge sont Ajouter, Obtenir, Remplacer et Supprimer.

Informations de la stratégie de groupe :

  • Nom convivial de la stratégie de groupe : Contrôle de compte d’utilisateur : Échecs d’écriture de fichier et de Registre virtualiser vers des emplacements par utilisateur
  • Chemin d’accès de la stratégie de groupe : Windows Paramètres/Sécurité Paramètres/Stratégies locales/Options de sécurité

La liste suivante indique les valeurs prises en charge :

  • 0 - Désactivé : Les applications qui écrivent des données dans des emplacements protégés échouent.
  • 1 - Activé : les échecs d’écriture d’application (par défaut) sont redirigés au moment de l’exécution vers des emplacements utilisateur définis pour le système de fichiers et le Registre.