entrer le nom complet ici entrer la description ici Autoriser la gestion de serveurs à distance via WinRM Autoriser l’authentification de base Ce paramètre de stratégie permet de définir si le client Gestion à distance de Windows (WinRM) utilise l’authentification de base. Si vous activez ce paramètre de stratégie, le client WinRM utilise l’authentification de base. Si le service WinRM est configuré pour utiliser le transport HTTP, le nom d’utilisateur et le mot de passe sont envoyés sur le réseau en texte clair. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le client WinRM n’utilise pas l’authentification de base. Ce paramètre de stratégie vous permet de définir si le service Gestion à distance de Windows (WinRM) accepte l’authentification de base de la part d’un client distant. Si vous activez ce paramètre de stratégie, le service WinRM accepte l’authentification de base à partir d’un client distant. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le service WinRM n’accepte pas l’authentification de base à partir d’un client distant. Autoriser le trafic non chiffré Ce paramètre de stratégie permet de définir si le client Gestion à distance de Windows (WinRM) échange échange des messages non chiffrés sur le réseau. Si vous activez ce paramètre de stratégie, le client WinRM échange des messages non chiffrés sur le réseau. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le client WinRM n’échange que des messages chiffrés sur le réseau. Ce paramètre de stratégie permet de définir si le service Gestion à distance de Windows (WinRM) échange des messages non chiffrés sur le réseau. Si vous activez ce paramètre de stratégie, le client WinRM échange des messages non chiffrés sur le réseau. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le client WinRM n’échange que des messages chiffrés sur le réseau. Ne pas autoriser WinRM à stocke des informations d’identification RunAs Ce paramètre de stratégie permet de définir si le service Gestion à distance de Windows (WinRM) n’accepte pas le stockage d’informations d’identification RunAs pour aucun plug-in. Si vous activez ce paramètre de stratégie, le service WinRM n’autorise pas la définition des valeurs de configuration RunAsUser ou RunAsPassword pour aucun plug-in. Si un plug-in a déjà défini des valeurs de configuration RunAsUser et RunAsPassword, la valeur de configuration RunAsPassword est effacée de la banque d’informations d’identification sur l’ordinateur. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le service WinRM autorise la définition de valeurs de configuration RunAsUser et RunAsPassword pour les plug-ins et la valeur RunAsPassword est stockée de façon sécurisée. Si vous activez puis désactivez ce paramètre de stratégie, les valeurs précédemment configurées pour RunAsPassword devront être réinitialisées. Ce paramètre de stratégie permet de définir si le service Gestion à distance de Windows (WinRM) écoute automatiquement le réseau pour détecter les demandes utilisant le transport HTTP sur le port HTTP par défaut. Si vous activez ce paramètre de stratégie, le service WinRM écoute automatiquement le réseau pour détecter les demandes utilisant le transport HTTP sur le port HTTP par défaut. Pour autoriser le service WinRM à recevoir des demandes sur le réseau, configurez le paramètre de stratégie Pare-feu Windows en définissant des exceptions pour le port 5985 (port par défaut du protocole HTTP). Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le service WinRM ne répond pas aux demandes émanant d’un ordinateur distant, que des écouteurs WinRM soient ou non configurés. Le service écoute les adresses spécifiées par les filtres IPv4 et IPv6. Le filtre IPv4 spécifie une ou plusieurs plages d’adresses IPv4 et le filtre IPv6 spécifie une ou plusieurs plages d’adresses IPv6. Si l’un de ces filtres est spécifié, le service énumère les adresses IP disponibles sur l’ordinateur et n’utilise que les adresses figurant dans l’une des plages du filtre. Pour indiquer que le service écoute toutes les adresses IP disponibles sur l’ordinateur, utilisez un astérisque (*). Lorsque l’astérisque (*) est utilisé, les autres plages du filtre sont ignorées. Si le filtre reste vide, le service n’écoute aucune adresse. Par exemple, si vous voulez que le service écoute uniquement les adresses IPv4, laissez le filtre IPv6 vide. Pour spécifier des plages d’adresses, utilisez la syntaxe IP1-IP2. Pour séparer plusieurs plages d’adresses, utilisez une virgule « , ». Exemple de filtre IPv4 :\n2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 Exemple de filtre IPv6 :\n3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562 Ne pas autoriser l’authentification Digest Ce paramètre de stratégie permet de définir si le client Gestion à distance de Windows (WinRM) utilise l’authentification de Digest. Si vous activez ce paramètre de stratégie, le client WinRM n’utilise pas l’authentification Digest. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le client WinRM utilise l’authentification Digest. Ne pas autoriser l’authentification par négociation Ne pas autoriser l’authentification Kerberos Ce paramètre de stratégie permet de définir si le client Gestion à distance de Windows (WinRM) utilise l’authentification par négociation. Si vous activez ce paramètre de stratégie, le client WinRM n’utilise pas l’authentification par négociation. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le client WinRM utilise l’authentification par négociation. Ce paramètre de stratégie vous permet de définir si le service Gestion à distance de Windows (WinRM) accepte l’authentification par négociation de la part d’un client distant. Si vous activez ce paramètre de stratégie, le service WinRM n’accepte pas l’authentification par négociation à partir d’un client distant. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le service WinRM accepte l’authentification par négociation à partir d’un client distant. Ce paramètre de stratégie permet de définir si le client Gestion à distance de Windows (WinRM) utilise directement l’authentification Kerberos. Si vous activez ce paramètre de stratégie, le client Gestion à distance de Windows (WinRM) n’utilise pas directement l’authentification Kerberos. Celle-ci peut toujours être utilisée si le client WinRM utilise l’authentification par négociation et si Kerberos est sélectionné. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le client WinRM utilise directement l’authentification Kerberos. Ce paramètre de stratégie vous permet de définir si le service Gestion à distance de Windows (WinRM) n’accepte pas d’informations d’identification Kerberos sur le réseau. Si vous activez ce paramètre de stratégie, le service WinRM n’accepte pas les informations d’identification Kerberos sur le réseau. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le service WinRM accepte l’authentification Kerberos à partir d’un client distant. Autoriser l’authentification CredSSP Ce paramètre de stratégie permet de définir si le client Gestion à distance de Windows (WinRM) doit utiliser l’authentification CredSSP. Si vous activez ce paramètre de stratégie, le client WinRM utilise l’authentification CredSSP. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le client WinRM n’utilise pas l’authentification CredSSP. Ce paramètre de stratégie permet de définir si le service Gestion à distance de Windows (WinRM) accepte l’authentification CredSSP de la part d’un client distant. Si vous activez ce paramètre de stratégie, le service WinRM accepte l’authentification CredSSP à partir d’un client distant. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, le service WinRM n’accepte pas l’authentification CredSSP à partir d’un client distant. Spécifier le niveau de sécurisation renforcée des jetons de liaison de canaux Ce paramètre de stratégie permet de définir le niveau de sécurisation renforcée que le service Gestion à distance de Windows (WinRM) applique pour les jetons de liaison de canaux. Si vous activez ce paramètre de stratégie, le service WinRM applique le niveau de sécurisation renforcée défini dans HardeningLevel pour déterminer s’il doit ou non accepter une demande qu’il a reçue, sur la base d’un jeton de liaison de canaux fourni. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, vous pouvez configurer le niveau de sécurisation renforcée localement sur chaque ordinateur. Si HardeningLevel a la valeur Strict, toute demande qui ne contient pas un jeton de liaison de canaux valide est rejetée. Si HardeningLevel a la valeur Détendu (valeur par défaut), toute demande qui contient un jeton de liaison de canaux non valide est rejetée. En revanche, une demande ne contenant aucun jeton de liaison de canaux est acceptée (mais elle n’est pas protégée contre les attaques par transfert d’informations d’identification). Si HardeningLevel a la valeur Aucun, toutes les demandes sont acceptées (mais elles ne sont pas protégées contre les attaques par transfert d’informations d’identification). Aucun Strict Détendu Gestion à distance de Windows (WinRM) Client WinRM Service WinRM Hôtes approuvés Ce paramètre de stratégie permet de définir si le client Gestion à distance de Windows (WinRM) utilise la liste spécifiée dans TrustedHostsList afin de déterminer si l’hôte de destination est une entité approuvée. Si vous activez ce paramètre de stratégie, le client WinRM utilise la liste spécifiée dans TrustedHostsList afin de déterminer si l’hôte de destination est une entité approuvée. Le client WinRM utilise cette liste lorsque ni HTTPS ni Kerberos ne sont utilisés pour authentifier l’identité de l’hôte. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, et si le client WinRM a besoin d’utiliser la liste des hôtes approuvés, vous devez configurer la liste des hôtes approuvés localement sur chaque ordinateur. Activer l’écouteur HTTP de compatibilité Activer l’écouteur HTTPS de compatibilité Ce paramètre de stratégie active ou désactive l’écouteur HTTP créé en vue d’assurer la compatibilité descendante dans le service Gestion à distance de Windows (WinRM). Si vous activez ce paramètre de stratégie, l’écouteur HTTP apparaît toujours. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, l’écouteur HTTP n’apparaît jamais. En cas de migration de certains écouteurs du port 80 vers WinRM 2.0, le numéro du port d’écoute est remplacé par le numéro 5985. Il est possible de créer automatiquement un écouteur pour le port 80 afin d’assurer la compatibilité descendante. Ce paramètre de stratégie active ou désactive un écouteur HTTP créé en vue d’assurer la compatibilité descendante dans le service Gestion à distance de Windows (WinRM). Si vous activez ce paramètre de stratégie, l’écouteur HTTP apparaît toujours. Si vous désactivez ce paramètre de stratégie ou ne le configurez pas, l’écouteur HTTPS n’apparaît jamais. En cas de migration de certains écouteurs du port 443 vers WinRM 2.0, le numéro du port d’écoute est remplacé par le numéro 5986. Il est possible de créer automatiquement un écouteur pour le port 443 afin d’assurer la compatibilité descendante. Filtre IPv4 : Filtre IPv6 : Syntaxe : Tapez « * » afin d’autoriser les messages provenant de n’importe quelle adresse IP, ou laissez le champ vide pour ne pas écouter les adresses IP. Vous pouvez spécifier une ou plusieurs plages d’adresses IP. Exemple de filtre IPv4 : 2.0.0.1-2.0.0.20, 24.0.0.1-24.0.0.22 * Exemple de filtre IPv6 : 3FFE:FFFF:7654:FEDA:1245:BA98:0000:0000-3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562 * TrustedHostsList : Syntaxe : Configurez les hôtes approuvés dans une liste de noms d’hôtes séparés par une virgule. Vous pouvez utiliser des caractères génériques (*), mais un seul caractère générique est autorisé par liste de noms d’hôtes. Utilisez la valeur « <local> » (sans respecter la casse) pour indiquer tous les noms d’hôtes ne contenant pas de point (.). Définissez une liste vide pour indiquer qu’aucun hôte n’est approuvé. Utilisez un astérisque (*) pour indiquer que tous les hôtes sont approuvés. Si vous utilisez *, aucun autre caractère générique ne peut figurer dans la liste. Exemples : *.mondomaine.com indique que tous les ordinateurs de mondomaine.com sont approuvés 2.0.* indique que toutes les adresses IP commençant par 2.0. sont approuvées Niveau de sécurisation renforcée :