tapez le nom complet ici tapez la description ici Autoriser la délégation d’informations d’identification par défaut Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Il est appliqué lorsque l’authentification du serveur est effectuée à l’aide d’un certificat X509 approuvé ou Kerberos. Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les informations d’identification par défaut de l’utilisateur peuvent être déléguées (les informations d’identification par défaut étant celles que vous utilisez lors de la première ouverture de session dans Windows). Cette stratégie prend effet lors de la prochaine connexion de l’utilisateur à un ordinateur exécutant Windows. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas (par défaut), la délégation des informations d’identification par défaut n’est autorisée sur aucun ordinateur. L’authentification des applications qui dépendent de ce comportement de délégation risque d’échouer. Pour plus d’informations, voir l’article de la Base des connaissances. FWlink pour Base des connaissances : http://go.microsoft.com/fwlink/?LinkId=301508 Remarque : le paramètre « Autoriser la délégation d’informations d’identification par défaut » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN, Service Principal Name). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Autoriser la délégation d’informations d’identification par défaut avec l’authentification de serveur NTLM uniquement Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Il est appliqué lorsque l’authentification serveur est effectuée via NTLM. Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les informations d’identification par défaut de l’utilisateur peuvent être déléguées (les informations d’identification par défaut étant celles que vous utilisez lors de la première ouverture de session dans Windows). Si vous désactivez ce paramètre de stratégie ou ne le configurez pas (par défaut), la délégation des informations d’identification par défaut n’est autorisée sur aucun ordinateur. Remarque : le paramètre de stratégie « Autoriser la délégation d’informations d’identification par défaut avec l’authentification de serveur NTLM uniquement » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Autoriser la délégation de nouvelles informations d’identification Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Il est appliqué lorsque l’authentification du serveur est effectuée via un certificat X509 approuvé ou Kerberos. Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les nouvelles informations d’identification de l’utilisateur peuvent être déléguées (les nouvelles informations d’identification sont celles qui vous sont demandées lors de l’exécution de l’application). Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation de nouvelles informations d’identification est autorisée à l’Hôte de session Bureau à distance exécuté sur n’importe quel ordinateur (TERMSRV/*). Si vous désactivez ce paramètre de stratégie, la délégation de nouvelles informations d’identification n’est pas autorisée sur les ordinateurs. Remarque : le paramètre de stratégie « Autoriser la délégation de nouvelles informations d’identification » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN, Service Principal Name). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Autoriser la délégation de nouvelles informations d’identification avec l’authentification de serveur NTLM uniquement Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Il est appliqué lorsque l’authentification serveur est effectuée via NTLM. Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les nouvelles informations d’identification de l’utilisateur peuvent être déléguées (les nouvelles informations d’identification sont celles qui vous sont demandées lors de l’exécution de l’application). Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation de nouvelles informations d’identification est autorisée à l’Hôte de session Bureau à distance exécuté sur n’importe quel ordinateur (TERMSRV/*). Si vous désactivez ce paramètre de stratégie, la délégation de nouvelles informations d’identification n’est pas autorisée sur les ordinateurs. Remarque : le paramètre de stratégie « Autoriser la délégation de nouvelles informations d’identification avec l’authentification de serveur NTLM uniquement » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Autoriser la délégation d’informations d’identification enregistrées Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Il est appliqué lorsque l’authentification du serveur est effectuée via un certificat X509 approuvé ou Kerberos. Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les informations d’identification enregistrées de l’utilisateur peuvent être déléguées (les informations d’identification enregistrées étant celles que vous choisissez d’enregistrer/de mémoriser à l’aide du Gestionnaire d’informations d’identification de Windows). Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation d’informations d’identification enregistrées est autorisée à l’Hôte de session Bureau à distance exécuté sur n’importe quel ordinateur (TERMSRV/*). Si vous désactivez ce paramètre de stratégie, la délégation des informations d’identification enregistrées n’est autorisée sur aucun ordinateur. Remarque : le paramètre de stratégie « Autoriser la délégation d’informations d’identification enregistrées » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN, Service Principal Name). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Autoriser la délégation d’informations d’identification enregistrées avec l’authentification de serveur NTLM uniquement Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Il est appliqué lorsque l’authentification serveur est effectuée via NTLM. Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les informations d’identification enregistrées de l’utilisateur peuvent être déléguées (les informations d’identification enregistrées étant celles que vous choisissez d’enregistrer/de mémoriser à l’aide du Gestionnaire d’informations d’identification de Windows). Si vous ne configurez pas (par défaut) ce paramètre de stratégie, après une authentification mutuelle appropriée, la délégation d’informations d’identification enregistrées est autorisée à l’Hôte de session Bureau à distance exécuté sur n’importe quel ordinateur (TERMSRV/*) si l’ordinateur client n’est membre d’aucun domaine. Si le client fait partie d’un domaine, la délégation d’informations d’identification enregistrées n’est autorisée par défaut à aucun ordinateur. Si vous désactivez ce paramètre de stratégie, la délégation des informations d’identification enregistrées n’est autorisée sur aucun ordinateur. Remarque : le paramètre de stratégie « Autoriser la délégation d’informations d’identification enregistrées avec l’authentification de serveur NTLM uniquement » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur peuvent être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Délégation d’informations d’identification Refuser la délégation d’informations d’identification par défaut Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les informations d’identification par défaut de l’utilisateur ne peuvent pas être déléguées (les informations d’identification par défaut étant celles que vous utilisez lors de la première ouverture de session dans Windows). Si vous désactivez ce paramètre de stratégie ou ne le configurez pas (par défaut), il n’indique aucun serveur. Remarque : le paramètre « Refuser la délégation d’informations d’identification par défaut » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN, Service Principal Name). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur ne peuvent pas être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Ce paramètre de stratégie peut être utilisé avec le paramètre « Autoriser la délégation d’informations d’identification par défaut » pour définir des exceptions pour des serveurs spécifiques étant normalement autorisés lors de l’utilisation de caractères génériques dans la liste de serveurs « Autoriser la délégation d’informations d’identification par défaut ». Refuser la délégation de nouvelles informations d’identification Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les nouvelles informations d’identification par défaut de l’utilisateur ne peuvent pas être déléguées (les nouvelles informations d’identification étant celles qui vous sont demandées lors de l’exécution de l’application). Si vous désactivez ce paramètre de stratégie ou ne le configurez pas (par défaut), il n’indique aucun serveur. Remarque : le paramètre de stratégie « Refuser la délégation de nouvelles informations d’identification » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN, Service Principal Name). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur ne peuvent pas être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Ce paramètre de stratégie peut être utilisé avec le paramètre « Autoriser la délégation de nouvelles informations d’identification » pour définir des exceptions pour des serveurs spécifiques étant normalement autorisés lors de l’utilisation de caractères génériques dans la liste de serveurs « Autoriser la délégation de nouvelles informations d’identification ». Refuser la délégation d’informations d’identification enregistrées Ce paramètre de stratégie s’applique aux applications utilisant le composant Cred SSP (par exemple : Connexion Bureau à distance). Si vous activez ce paramètre de stratégie, vous pouvez spécifier à quels serveurs les informations d’identification enregistrées de l’utilisateur ne peuvent pas être déléguées (les informations d’identification enregistrées étant celles que vous choisissez d’enregistrer/de mémoriser à l’aide du Gestionnaire d’informations d’identification Windows). Si vous désactivez ce paramètre de stratégie ou ne le configurez pas (par défaut), il n’indique aucun serveur. Remarque : le paramètre de stratégie « Refuser la délégation d’informations d’identification enregistrées » peut prendre la valeur d’un ou de plusieurs noms de principal du service (SPN, Service Principal Name). Le SPN représente le serveur cible auquel les informations d’identification de l’utilisateur ne peuvent pas être déléguées. L’utilisation d’un caractère générique unique est autorisée lors de la spécification du SPN. Par exemple : TERMSRV/host.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur l’ordinateur host.humanresources.fabrikam.com TERMSRV/* Hôte de session Bureau à distance exécuté sur tous les ordinateurs. TERMSRV/*.humanresources.fabrikam.com Hôte de session Bureau à distance exécuté sur tous les ordinateurs dans .humanresources.fabrikam.com Ce paramètre de stratégie peut être utilisé avec le paramètre « Autoriser la délégation d’informations d’identification enregistrées » pour définir des exceptions pour des serveurs spécifiques étant normalement autorisés lors de l’utilisation de caractères génériques dans la liste de serveurs « Autoriser la délégation d’informations d’identification enregistrées ». Limiter la délégation d’informations d’identification à des serveurs distants Lors d’une exécution en mode restreint, les applications participantes n’exposent pas les informations d’identification à des ordinateurs distants (quelle que soit la méthode de délégation). Le mode restreint peut limiter l’accès à des ressources situées sur d’autres serveurs ou réseaux au-delà de l’ordinateur cible, car les informations d’identification ne sont pas déléguées. Applications participantes : Client Bureau à distance Si vous activez ce paramètre de stratégie, le mode restreint est appliqué et les applications participantes ne délèguent pas les informations d’identification à des ordinateurs distants. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le mode restreint n’est pas appliqué et les applications participantes peuvent déléguer les informations d’identification à des ordinateurs distants. Remarque : pour désactiver la délégation de la plupart des informations d’identification, il peut être suffisant de refuser la délégation dans le protocole CredSSP (Credential Security Support Provider) en modifiant les paramètres des modèles d’administration (situés dans Configuration ordinateur\Modèles d’administration\Système\Délégation d’informations d’identification). Windows Vista Correction de l'oracle de chiffrement Correction de l'oracle de chiffrement Ce paramètre de stratégie s'applique aux applications qui utilisent le composant CredSSP (par exemple : Connexion Bureau à distance). Certaines versions du protocole CredSSP sont vulnérables à une attaque de l'oracle de chiffrement à l'encontre du client. Cette stratégie contrôle la compatibilité avec des clients et serveurs vulnérables. Cette stratégie vous permet de définir le niveau de protection souhaité pour la vulnérabilité de l'oracle de chiffrement. Si vous activez ce paramètre de stratégie, la prise en charge de la version CredSSP est sélectionnée en fonction des options suivantes : Forcer les clients mis à jour : les applications clientes qui utilisent CredSSP ne peuvent pas avoir recours aux versions non sécurisées et les services qui utilisent CredSSP n'acceptent pas les clients non corrigés. Remarque : ce paramètre ne doit pas être déployé tant que tous les hôtes distants ne prennent pas en charge la dernière version. Atténué : les applications clientes qui utilisent CredSSP ne peuvent pas avoir recours à la version non sécurisée, mais les services qui utilisent CredSSP acceptent les clients non corrigés. Consultez le lien ci-dessous pour obtenir des informations importantes sur le risque représenté par des clients non corrigés restants. Vulnérable : les applications clientes qui utilisent CredSSP exposent les serveurs distants aux attaques en prenant en charge le recours à des versions non sécurisées et les services qui utilisent CredSSP acceptent les clients non corrigés. Pour plus d'informations sur la vulnérabilité et les conditions de maintenance pour la protection, voir https://go.microsoft.com/fwlink/?linkid=866660 Forcer les clients mis à jour Atténué Vulnérable Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Ajoutez des serveurs à la liste : Concaténer les valeurs par défaut du système d’exploitation supérieures à Niveau de protection :