MZ@ !L!This program cannot be run in DOS mode. $Rؕ3}3}3}H̴3}H̱3}Rich3}PEL!   @h.rsrc@@0HhBjk(@Xp0H`x 8Ph(@Xp  0 H ` x     8 P h      G ( @ X p     0 H ` x        8 P h   # , - / 01(w@xXypz{|}~0H`x 8 P*h01hijklm(n@oXppqr        0 @ P ` p             0 @ P ` p             0 @ P ` p             0 @ P ` p             0 @ P ` p             0 @ P ` p             0 @ P ` p             0 @ P ` p             0 @ P ` p*H+$.10H48hL<4@RB@DG*0JNLHNnOHTvWR\$a$dDhh,n ru`wTyh{}D~2x.Ѕ<(   P\@0@BĴTLt|<HX ` pXpT8T\& 08hdt8Rd \ |< \d> !8D%`*Z07>vPXl_a4bPf0gTgi jB!d|{>WShA/xp2 (FpOmNHpv6<~D  $D P r|LP(f^  x  Xtt F `MUIuZInV`n`%yF MUIfr-FRȀParamtre de stratgie de scurit du modleMS Shell DlgPP(Configurer la liste d attribution des privilges$P# 0&Dfinir ces paramtres de stratgie dans le modle: P2gPAj&outer un utilisateur ou un groupe...P2&Supprimer@ )YSysLink@PAȀ Gestion des membres du groupe <group>MS Shell DlgPMembres de ce groupe: PF"@FPZX$A&jouter des membres...PiZA%&SupprimerPpCe groupe est membre de: PzF @zFPXAj&outer des groupes...PiAS&upprimer@0@ȀParamtre de stratgie de scurit analyseMS Shell DlgPP'Renommer le compte d administrateur$PF 0&Dfinir cette stratgie dans la base de donnes:PPPxrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.P$}Paramtre de l ordinateur:P.Ȁ Paramtre de stratgie de scurit analyseMS Shell DlgPP'Modifier l attribut numrique$PZ 0&Dfinir cette stratgie dans la base de donnes:PiL&Verrouiller le compte aprs: Ps-4P8s msctls_updown32Spin1PEvtentatives ayant chouPrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.P)}Paramtre de l ordinateur P8KVerrouiller le compte aprs:PBP StaticȀParamtre de stratgie de scurit analyseMS Shell DlgPP'Scuriser les objets systme PK 0&Dfinir cette stratgie dans la base de donnes: $PZ Ac&tive $Pi Dsa&ctivePrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.P)}Paramtre de l ordinateur:P3Ȁ Paramtre de stratgie de scurit analyseMS Shell DlgPP'Audit des accs aux fichiers$PK 0&Dfinir cette stratgie dans la base de donnes:PZtAuditer les tentatives des types suivants:$Pi &Russite$Px c&hecPrCes paramtres n affectent que la base de donnes. Ils ne modifient pas les paramtres actuels de l ordinateur.P)}Paramtre de l ordinateur:P3-Ȑ_MS Shell DlgP1J2OKPgJ2AnnulerPJ2AppliquerP> PxAccepter les paramtres de scurit actuels P$wRemplacer par les paramtres recommandsPH&Afficher...P&HAffi&cher/Modifier...PAȀSlection de la cl de RegistreMS Shell DlgP`&Registre:Px&SysTreeView32Tree1PpCl &slectionne:PSP2OKP2AnnulerPAȀParamtre de stratgie de scurit du modleMS Shell DlgPP'Audit des accs aux fichiers$P) 0&Dfinir ces paramtres de stratgie dans le modleP8 tAuditer les tentatives des types suivants:$PG &Russite$PV c&hec@#x)YSysLink@ xPAȀ wParamtre de stratgie de scurit du modleMS Shell DlgPP'Modifier l attribut numrique$P) 0&Dfinir ce paramtre de stratgie dans le modleP8<&Verrouiller le compte aprs: PB-4P7B msctls_updown32Spin2PEEtentatives ayant chouPU Static@ Z(YSysLink@\PAȀmParamtre de stratgie de scurit du modleMS Shell DlgPP'Activer/dsactiver un attribut$P) 0&Dfinir ce paramtre de stratgie dans le modle $P8 Ac&tiv $PG Dsa&ctiv@ Q)YSysLink@QPAȀjParamtre de stratgie de scurit du modleMS Shell DlgPP'Renommer le compte d administrateur$P) 0&Dfinir ce paramtre de stratgie dans le modleP3ȐEnregistrement des modles de scuritMS Shell DlgPa&Slectionner les modles enregistrer: Px'P2OuiP2NonPAȀ Paramtre de stratgie de scurit analyseMS Shell DlgPP'Mthode de stockage du journal de scurit$PF 0&Dfinir cette stratgie dans la base de donnes: $PU .Remplacer les vnements par j&ours $Pd 4Remplacer les v&nements si ncessaire $Ps 5Ne &pas remplacer les vnements (nettoyage manuel du journal)PrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.P$}Paramtre de l ordinateur:P.-ȀParamtre de stratgie de scurit du modleMS Shell DlgPP'Mthode de stockage du journal de scurit$P) 0&Dfinir ce paramtre de stratgie dans le modle P8 .Remplacer les vnements par j&ours PG 4Remplacer les v&nements si ncessaire $PV 5Ne &pas remplacer les vnements (nettoyage manuel du journal)@ d(YSysLink@fPAȀ Paramtre de stratgie de scurit d analyseMS Shell DlgPP'Accder cet ordinateur depuis le rseau$P) 0&Dfinir cette stratgie dans la base de donnes:P?/cA&ttribu PF?ddParamtre de base de donnesP?QeParamtre de l ordinateurPJZ1CHECKLIST_SCECheckListPrCes paramtres n affectent que la base de donnes. Ils ne modifient pas les paramtres actuels de l ordinateur.Pv&Ajouter un utilisateur ou un groupe...PAȀ Paramtre de stratgie de scurit analyseMS Shell DlgPP'Duplicateur de rpertoireP }Paramtre de l ordinateur:P/fMode de dmarrage du service:P9PMP4Affic&her la scurit...$Pe 0&Dfinir cette stratgie dans la base de donnes:Pt/Slectionnez le mode de dmarrage du service: $P Aut&omatique P Ma&nuel P Dsa&ctivPP3&Modifier la scurit...PrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.ȀParamtre de stratgie de scurit du modleMS Shell DlgPP'Gestionnaire de disque local$P) 0D&finir ce paramtre de stratgie dans le modleP8/Slectionnez le mode de dmarrage du service: $PG Aut&omatique $PV Ma&nuel $Pe Dsa&ctivPyP3&Modifier la scurit...ȀParamtre de stratgie de scurit du modleMS Shell DlgPP' $P$ ~&Configurer ce fichier ou ce dossier $PgI&nterdire le remplacement des autorisations de ce fichier $P8&Propager les autorisations pouvant tre hrites tous les sous-dossiers et les fichiers $PM3&Remplacer les autorisations existantes dans tous les sous-dossiers et les fichiers disposants d autorisations pouvant tre hritesPX7&Modifier la scurit...$@0Ȁ Paramtre de stratgie de scurit analyseMS Shell DlgPP'Duplicateur de rpertoirePR^$P R 0&Dfinir cette stratgie dans la base de donnes: $Pa ~&Configurer ce fichier ou ce dossier $PI&nterdire le remplacement des autorisations de ce fichier $P&p&Propager les autorisations pouvant tre hrites tous les sous-dossiers et les fichiers $P&3&Remplacer les autorisations existantes dans tous les sous-dossiers et les fichiers disposants d autorisations pouvant tre hritesPP9&Modifier la scurit...P$}Paramtre de l ordinateur:P.;PBN:&Afficher la scurit...Analyse de la scurit du systmeMS Shell DlgPTAnalyse en cours:@Bg@LJStratgies de comptes@*Cg@)KKStratgies locales@?Dg@>KLGroupes restreints@TEg@SMMRegistre@cFg@mdNSystmes de fichiers@c*Gg@m)jOServices systme@c?Hf@m>kPObjets Active DirectoryPjAmsctls_progress32Progress1PAȀzMS Shell DlgPebOKP,0Configuration et analyse de la scurit est un outil d administration conu pour scuriser un ordinateur et analyser les aspects relatifs la scurit. Vous pouvez crer ou modifier un modle de scurit, appliquer le modle de scurit, effectuer des analyses bases sur ce modle et afficher les rsultats d analyse.PConfiguration et analyse de la scurit v. 1.0 PAȀNConfiguration du systmeMS Shell DlgPOP2P&Parcourir...P 'RP2&Erreur du chemin d accs du fichier journal:P92OKP92AnnulerPA@PMS Shell DlgPX<&Membres de ce groupePcDgParamtre de base de donnesP9eParamtre de l ordinateurPf"CHECKLIST_SCECheckList@fP2Aj&outer... Pq&Dfinir ce groupe dans la base de donnes:ȀNEffectuer l analyseMS Shell DlgP&Erreur du chemin d accs du fichier journal:POP2P&Parcourir...P)RP92OKP92AnnulerPAȀOModle d importationMS Shell DlgP OP2P&Parcourir...P1hErreur du chemin d accs du fichier journalP % N&Remplacer le modle existant dans la base de donnesP:2OKP:2AnnulerPA@DMS Shell DlgPN&Effacer cette base de donnes avant d importerPAȀaDescription du modle de scuritMS Shell DlgPi&Description:DP0PL2OKPL2AnnulerPAȀNouveau modle de scuritMS Shell DlgP&Nom du modle:PUP*&Description:DP40Pp2OKPp2AnnulerPAȀParamtre de scurit localeMS Shell DlgPP'Audit des accs aux fichiers$@) 0&Dfinir ces paramtres de stratgie dans le modleP8 tAuditer les tentatives des types suivants:$PG &Russite$PV &chec@#x)YSysLink@ xPAȀParamtre de scurit localeMS Shell DlgPP&Activer/dsactiver un attribut$@# 0D&finir ce paramtre de stratgie dans le modle $P2 Ac&tiv $PA &Dsactiv@ Q)YSysLink@ QPAȀwParamtre de scurit localeMS Shell DlgPP'Modifier l attribut numrique$@) 0&Dfinir ce paramtre de stratgie dans le modleP8<&Verrouiller le compte aprs: PB-4P7B msctls_updown32Spin2PEEtentatives ayant chouPU StaticȀParamtre de scurit localeMS Shell DlgPP'Mthode de stockage du journal de scurit$@) 0&Dfinir ce paramtre de stratgie dans le modle P8 .Remplacer les vnements par j&ours PG 4Remplacer les v&nements si ncessaire $PV 5Ne &pas remplacer les vnements (nettoyage manuel du journal)ȀjParamtre de scurit localeMS Shell DlgPP'Renommer le compte d administrateur$@) 0&Dfinir ce paramtre de stratgie dans le modleP3ȀParamtre de scurit localeMS Shell DlgPP(Configurer la liste d attribution des privilges$@# 0&Dfinir ces paramtres de stratgie dans le modle: P8gP&Ajouter un utilisateur ou un groupe...P2S&upprimer@ )YSysLink@PAgConfirmer la modification du paramtreMS Shell DlgPZR2&OuiPR2&NonP"EYSysLink PȀrParamtre de scurit localeMS Shell DlgPP&Nom de bote de dialogue$@) 0&Dfinir ce paramtre de stratgie dans le modle!P3W@ G(YSysLink@IPAȀrParamtre de stratgie de scurit du modleMS Shell DlgPP&Nom de bote de dialogue$P) 0&Dfinir ce paramtre de stratgie dans le modle!P3=W@ G(YSysLink@IPAȀParamtre de stratgie de scurit analyseMS Shell DlgPP'Bote de dialogue$PF 0&Dfinir cette stratgie dans la base de donnes:!PPWPtrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.P$}Paramtre de l ordinateur:P.ȀWModifications suggres pour les valeursMS Shell DlgP5YPuisque la valeur de %s est maintenant %s, les paramtres des lments suivants seront modifis pour prendre les valeurs suggres.P$FPXSysListView32List1P|2OKP|2&AnnulerȀParamtre de stratgie de scuritMS Shell DlgPP&Audit des accs aux fichiers$P) 0&Dfinir ces paramtres de stratgieP8 tAuditer les tentatives des types suivants:$PG &Russite$PV c&hecȀParamtre de stratgie de scuritMS Shell DlgPP'Activer/dsactiver un attribut$P' 0D&finir ce paramtre de stratgie: $P6 A&ctiv $PE &Dsactiv@ Q)YSysLink@OPA Gestion des membres du groupe <group>MS Shell DlgP&Membres de ce groupe: PH"@HP6$Aj&outer...P#6%&SupprimerPh&Ce groupe est membre de: PrH @rHPr6&Ajouter...P6S&upprimer@0@ȀjParamtre de stratgie de scuritMS Shell DlgPP&Renommer le compte d administrateur$P) 0&Dfinir ce paramtre de stratgieP3Ȁ wParamtre de stratgie de scuritMS Shell DlgPP'Modifier l attribut numrique$P) 0&Dfinir ce paramtre de stratgieP8<&Verrouiller le compte aprs: PB-4P7B msctls_updown32Spin2PEEtentatives ayant chouPU Static@ Z(YSysLink@ \PAȀParamtre de stratgie de scuritMS Shell DlgPP' $P$ ~&Configurer ce fichier ou ce dossier $PgI&nterdire le remplacement des autorisations de ce fichier $P8&Propager les autorisations pouvant tre hrites tous les sous-dossiers et les fichiers $PM3&Remplacer les autorisations existantes dans tous les sous-dossiers et les fichiers disposants d autorisations pouvant tre hritesPX7&Modifier la scurit...$@0ȀParamtre de stratgie de scuritMS Shell DlgPP(Configurer la liste d attribution des privilges$P# 0&Dfinir ces paramtres de stratgie: P2gP&Ajouter un utilisateur ou un groupe...P2&Supprimer@ )YSysLink@PAȀrParamtre de stratgie de scuritMS Shell DlgPP'Nom de bote de dialogue$P) 0&Dfinir ce paramtre de stratgie!P3=W@ G(YSysLink @ IPAȀParamtre de stratgie de scuritMS Shell DlgPP'Mthode de stockage du journal de scurit$P) 0&Dfinir ce paramtre de stratgie P8 .Remplacer les vnements par j&ours PG 4Remplacer les v&nements si ncessaire $PV 5Ne &pas remplacer les vnements (nettoyage manuel du journal)@ d(YSysLink@ fPAȀParamtre de stratgie de scuritMS Shell DlgPP'Gestionnaire de disque local$P) 0&Dfinir ce paramtre de stratgieP8/Slectionnez le mode de dmarrage du service: $PG Au&tomatique $PV Man&uel $Pe Dsa&ctivPyP3&Modifier la scurit...ȀParamtre de stratgie de scurit du modleMS Shell DlgPP'Multi SZ$P) 0&Dfinir ce paramtre de stratgie dans le modleP3@ȀParamtre de stratgie de scurit analyseMS Shell DlgPP'Multi SZ$PF 0&Dfinir cette stratgie dans la base de donnes:PP9PrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.P$}Paramtre de l ordinateur:P.ȀParamtre de stratgie localeMS Shell DlgPP'Multi SZ$@) 0&Dfinir ce paramtre de stratgie dans le modleP9@ȀParamtre de stratgie de scuritMS Shell DlgPP'Multi SZ$P) 0&Dfinir ce paramtre de stratgie dans le modleP3@ȀParamtre de stratgie de scurit du modleMS Shell DlgPP'Audit des accs aux fichiers$P) 0&Dfinir ces paramtres de stratgie dans le modleP:6CHECKLIST_SCEȀParamtre de stratgie de scurit analyseMS Shell DlgPP'Audit des accs aux fichiers$PK 0&Dfinir cette stratgie dans la base de donnes:PrCes paramtres n affectent que la base de donnes. Ils ne modifient pas les paramtres actuels de l ordinateur.P)}Paramtre de l ordinateur:P3PV6CHECKLIST_SCEȀParamtre local de scuritMS Shell DlgPP'Audit des accs aux fichiers$@) 0&Dfinir ces paramtres de stratgie dans le modleP:6CHECKLIST_SCEȀParamtre de stratgie de scuritMS Shell DlgPP'Audit des accs aux fichiers$P) 0&Dfinir ces paramtres de stratgieP36CHECKLIST_SCEȀ Ajouter un objetMS Shell DlgPP' $P$ ~&Configurer ce fichier ou ce dossier $PgI&nterdire le remplacement des autorisations de ce fichier $P8&Propager les autorisations pouvant tre hrites tous les sous-dossiers et les fichiers $PM3&Remplacer les autorisations existantes dans tous les sous-dossiers et les fichiers disposants d autorisations pouvant tre hritesPY7&Modifier la scurit...P2OKP2Annuler$@0@HPrioritMS Shell DlgPP%PSysListView32PyLes objets de stratgie de groupe les plus hauts dans la liste ont la plus haute priorit.PP!,Pw'ȀwParamtre de stratgie de scurit du modleMS Shell DlgPP'$P) 0&Dfinir ce paramtre de stratgie dans le modleP8Si le descripteur de scurit reste vide aprs la dfinition du paramtre de stratgie dans le modle, le paramtre de stratgie ne sera pas appliqu.PUD&escripteur de scurit:P^ P]MW&Modifier la scurit...ȀwParamtre de stratgie de scurit du modleMS Shell DlgPP'$@) 0&Dfinir ce paramtre de stratgie dans le modleP8Si le descripteur de scurit reste vide aprs avoir dfini le paramtre de stratgie dans le modle, le paramtre de stratgie ne sera pas appliqu.PUD&escripteur de scurit:P^ P]QW&Modifier la scurit...ȀwParamtre de stratgie de scurit du modleMS Shell DlgPP'$P) 0&Dfinir ce paramtre de stratgieP8Si le descripteur de scurit est laiss vide aprs avoir dfini le paramtre de stratgie dans le modle, le paramtre de stratgie ne sera pas forc.PUD&escripteur de scurit:P^ P]IW&Modifier la scurit...ȀParamtre de stratgie de scurit analyseMS Shell DlgPP'$PF 0&Dfinir cette stratgie dans la base de donnes:PRPQOW&Modifier la scurit...PxrCe paramtre n affecte que la base de donnes. Il ne modifie pas les paramtres actuels de l ordinateur.P$}Paramtre de l ordinateur:P.ȀExpliquerMS Shell DlgPPSysLinkPour obtenir plus d informations sur la stratgie de scurit et les fonctionnalits de Windows, <A>visitez le site Web de Microsoft</A>.PAȐ |Configuration des stratgies d accs centralisesMS Shell DlgC PPH2&Ajouter >S PP\2< S&upprimerDPnPStratgies d accs centralises disponibles:PStratgies d accs centralises applicables:PdDescription:P 2OKPC2AnnulerPAClasse d extension WSecEditNom Description StratgieParamtre de base de donnesParamtre de l ordinateurModle de scuritModlesDernire configuration/analyseFModles de scurit dfinis pour configurer ou analyser un ordinateur.Dernire configuration/analyseStratgie de scurit"Attribution des droits utilisateurGroupes restreintsServices systmePARegistreSystme de fichiers"Attribution des droits utilisateurGroupes restreintsParamtres du service systme"Paramtres de scurit du Registre-Paramtres de scurit du systme de fichiersModles de scurit(pas enregistr)Paramtres de scurit/Classe de configuration de la scurit WSecEdit+Classe du gestionnaire de scurit WSecEdit#Voulez-vous vraiment supprimer %s ?6Voulez-vous supprimer tous les lments slectionns ?&Analyser l ordinateur maintenant... Compare les paramtres actuels de l ordinateur avec les paramtres de scurit dans la base de donnesI&Exporter le modle... Exporte le modle de base pour l ordinateur actuel@Ajouter des fic&hiers... Ajoute de nouveaux fichiers ce modleNouv&eau chemin de recherche de modle... Ajoute un emplacement de modle au chemin de recherche des modles de scurit (.inf - format INF))Nouv&eau modle... Cre un nouveau modleN&Supprimer le chemin Supprime l emplacement slectionn du chemin de rechercheRA&ctualiser Met jour cet emplacement pour afficher les modles rcemment ajouts_&Configurer l ordinateur maintenant... Configure l ordinateur en fonction du modle slectionn5Windows ne peut pas importer le modle partir de %s=En&registrer sous... Enregistre le modle sous un nouveau nomK&Copier Copie les informations du modle slectionn dans le Presse-papiers?Co&ller Colle les informations du Presse-papiers dans le modle)Objet de stratgie de groupe (GPO) source!&Actualiser Actualise les donnesPA.La scurit est requise pour ajouter cet objet2Windows ne peut pas importer le modle de scuritStratgie de mot de passe+Dure de vie maximale du mot de passe jours+Dure de vie minimale du mot de passe jours.Longueur minimale du mot de passe caractre(s)@Conserver l historique des mots de passe mots de passe mmoriss:Le mot de passe doit respecter des exigences de complexitCL'utilisateur doit ouvrir une session pour modifier le mot de passe#Stratgie de verrouillage du compteNSeuil de verrouillage du compte tentatives d ouvertures de session non validesBRinitialiser le compteur de verrouillages du compte aprs minutes)Dure de verrouillage des comptes minutes!Voulez-vous supprimer ce modle ?%La base de donnes n est pas charge.YScurit rseau : forcer la fermeture de session quand les horaires de connexion expirentPA+Comptes : renommer le compte administrateur#Comptes : renommer le compte InvitnRecharger Recharge les tables de stratgies locales et en vigueur partir de la base de donnes de stratgies Nom du groupeJournal des vnements.Taille maximale du journal systme kilo-octets&Mthode de stockage du journal systme*Dure de stockage du journal systme jours2Taille maximale du journal de scurit kilo-octets*Mthode de stockage du journal de scurit.Dure de stockage du journal de scurit jours7Taille maximale du journal des applications kilo-octets/Mthode de stockage du journal des applications3Dure de stockage du journal des applications joursEArrter l ordinateur lorsque le journal d audit de scurit est pleinStratgie d auditMode d audit d vnementAuditer les vnements systme#Auditer les vnements de connexionAuditer l accs aux objets$Auditer l utilisation des privilges&Auditer les modifications de stratgieAuditer la gestion des comptesAuditer le suivi des processusOptions de scurit Non dfini Impossible d ajouter des membres!Impossible d afficher la scurit%Impossible d ajouter des utilisateurs(Impossible d ajouter un objet rpertoireImpossible d ajouter un dossier -- MembreszCe nom de fichier contient certains caractres qui ne peuvent pas tre reconnu par le langage systme actuel. Renommez le. AutorisationAudit'Windows ne peut pas ajouter un fichier."Le nom de modle n est pas valide.AUne erreur s est produite lors de l exportation du modle stock./Windows ne peut pas ajouter une cl de RegistreContrle total ModificationPALecture et excutionAffichage du contenu du dossierLecturecriture'Parcours du dossier/excuter le fichier SuppressionAucunContrle totalLecturecritureRetrouver la valeurDfinir la valeurCrer une sous-clnumrer les sous-clsNotifierCrer une liaisonExcuterImpossible de crer une thread4Les comptes suivants n ont pas pu tre valids : %1 Nom du fichier journal!Raliser l analyse de la scurit#Paramtres de stratgie de scurit3Configuration et analyse de la scurit Version 1.0$Configuration et analyse de la scurit est un outil d administration utilis pour scuriser un ordinateur et analyser ses aspects de scurit. Vous pouvez crer ou modifier un modle de scurit, l appliquer, raliser des analyses bases sur un modle et afficher les rsultats de l analyse.Dernire analyse ralise sur 6Description de la configuration de scurit de base : SL'ordinateur a t configur par le modle suivant. L'analyse n a pas t ralise.]L'ordinateur n a pas t configur ou analys par la Configuration et analyse de la scurit.6 propos de la Configuration et analyse de la scurit propos de la dernire analyse9Ajouter un emplacement de modles aux modles de scuritNom de l objetValeurs incohrentesOuvrir le modle!Modle de scurit (.inf)|*.inf||inf Ouverture du journal des erreurslog Fichiers journaux (.log)|*.log||PAGSoftware\Microsoft\Windows NT\CurrentVersion\SecEdit\Template Locations-Windows ne peut pas ouvrir le fichier modle.4Windows ne peut pas lire les informations du modle.Aucune information d analyse n est disponible pour affichage dans la base de donnes slectionne. Utilisez l option du menu Analyser pour commencer utiliser cet outil.0Autant que ncessaire Par joursManuelleActiv DsactivActifInactif Non dfiniMembres Membre de CLASSES_ROOTMACHINEUSERSrussiErreur inconnue\Security\Templates+Accder cet ordinateur partir du rseau*Permettre l ouverture d une session localeImpossible d enregistrer !&Enregistrer Enregistre le modle4Software\Microsoft\Windows NT\CurrentVersion\SecEditAjouter un dossier?Ajouter un &dossier... Ajoute un nouveau dossier dans ce modle:Ajo&uter une cl... Ajoute une nouvelle cl dans ce modle=Ajouter un &groupe... Ajoute un nouveau groupe dans ce modleNom du service DmarrageAnalys Configur AutomatiqueManuelOKEnquterPA$Scurit de la base de donnes pour Dernire scurit analyse pour Scurit pour Contrle totalLecturecritureAppartenance au groupeMembres de ce groupe Membre deMembresStratgies de comptes7Stratgies de mot de passe et de verrouillage de compteStratgies localesGStratgies des options d audit, de droits d utilisateurs et de scuritJournal des vnements>Paramtres du journal d vnements et Observateur d vnements%Auditer l accs au service d annuaire/Auditer les vnements de connexion aux comptes@Empcher le groupe d invits locaux d accder au journal systmeDEmpcher le groupe d invits locaux d accder au journal de scuritDInterdire au groupe local Invit l accs au journal des applicationsToujoursIgnorer Remplacer$Ouvrir une session en tant que tche&Ouvrir une session en tant que serviceObjets Active Directory2Gestion de la scurit des objets Active DirectoryRAjouter un &objet Active Directory Ajoute un objet Active Directory dans ce modleLecturecriture#Liste du dossier/lecture de donnesAttributs de lectureLecture des attributs tendus'Cration de fichier/criture de donnes$Cration de dossier/ajout de donnesAttributs d criturecriture d attributs tendus&Suppression de sous-dossier et fichier SupprimerAutorisations de lectureModifier les autorisations Appropriation SynchroniserLecture, criture et excutionLecture et excutionParcourir / ExcuterCe dossier seulement-Ce dossier, les sous-dossiers et les fichiersCe dossier et les sous-dossiersCe dossier et les fichiers+Les sous-dossiers et les fichiers seulementLes sous-dossiers seulementFichiers seulementCette cl seulementCette cl et les sous-clsLes sous-cls seulementCette cl et les sous-clsPALes sous-cls seulementDmarrage, arrt et pauseModle de requteModifier le modletat de la requte#numration des lments dpendantsDmarrerArrterPause et reprise Interrogation!Contrle dfini par l utilisateurContrle totalLirecrireCrer des enfantsSupprimer des enfantsLister le contenuAjout/Suppression automatiqueProprits de lectureProprits d critureCe conteneur seulement#Ce conteneur et les sous-conteneursLes sous-conteneurs seulement9[[ Configuration de la stratgie de l ordinateur local ]]!Le compte ne sera pas verrouill.0Le mot de passe peut tre modifi immdiatement.$Aucun mot de passe n est ncessaire.,Ne pas tenir d historique des mots de passe.Le mot de passe expirera dans :)Le mot de passe peut tre modifi aprs :'Le mot de passe doit faire au minimum :0Conserver l historique du mot de passe pendant :!Le compte sera verrouill aprs :Le compte est verrouill pour :,Remplacer les vnements datant de plus de : Le mot de passe n expire jamais.ILe compte est verrouill jusqu ce que l administrateur le dverrouille.DEnregistrer les mots de passe en utilisant un chiffrement rversibleStratgie Kerberos6Appliquer les restrictions pour l ouverture de sessionOTolrance maximale pour la synchronisation de l horloge de l ordinateur minutes2Dure de vie maximale du ticket de service minutes3Dure de vie maximale du ticket utilisateur minutesJDure de vie maximale pour le renouvellement du ticket utilisateur minutesAjouter un membre0Mmoire insuffisante pour afficher cette sectionBAucune information concernant la dernire analyse n est disponible5Windows ne peut pas enregistrer les modles modifis.#Voulez-vous vraiment supprimer %s ?'Configuration et analyse de la scuritEnquterCI&mporter un modle... Importe un modle dans cette base de donnes(Windows ne peut pas crer ou d ouvrir %s$Trouver le fichier journal d erreurssdbPFichiers base de donnes de scurit (*.sdb)|*.sdb|Tous les fichiers (*.*)|*.*||"Appliquer le modle l ordinateuroChemin d accs au fichier journal d erreurs pour enregistrer la progression de la configuration de l ordinateur Scu&rit...%Modifier la scurit pour cet lmentPABSoftware\Microsoft\Windows NT\CurrentVersion\SecEdit\Configuration2Scu&rit... Modifier la scurit pour cet lmentEnvironmentVariablesa%AppData%|%UserProfile%|%AllUsersProfile%|%ProgramFiles%|%SystemRoot%|%SystemDrive%|%Temp%|%Tmp%|NOuvrir une &base de donnes... Ouvre une base de donnes existante ou nouvelleG&Nouvelle base de donnes... Cre et ouvre une nouvelle base de donnes^Dfinir la descri&ption... Permet de crer une description pour les modles dans ce rpertoire \help\sce.chmTous les fichiers (*.*)|*.*||Base de donnes : %sZUne erreur inconnue s est produite lors de la tentative d ouverture de la base de donnes.Avant de pouvoir utiliser la base de donnes, vous devez l analyser. Dans le menu Base de donnes, slectionnez l option de lancement de l analyse.wLa base de donnes que vous essayez d ouvrir n existe pas. Cliquez sur Importer un modle dans le menu Base de donnes.La base de donnes est endommage. Consultez l aide en ligne pour obtenir des informations sur la rparation de la base de donnes.cMmoire insuffisante pour charger la base de donnes. Fermez certaines applications et recommencez.L'accs la base de donnes est refus. Si les autorisations sur la base de donnes n ont pas chang, vous devez avoir des droits d administrateur pour l utiliser.\Security\Database3Voulez-vous enregistrer les modifications sous %s ?Un modle import existant est en attente. Pour l enregistrer, cliquez sur Annuler puis lancez une analyse ou un modle avant d importer un autre modle. Pour ignorer le prcdent modle import, cliquez sur OK. Tous les fichiers slectionns*Interdire l ouverture d une session locale5Interdire l accs cet ordinateur partir du rseau4Interdire l ouverture de session en tant que service2Interdire l ouverture de session en tant que tcheAjouter un groupe &Groupe : Non analysErreur lors de l analyse Non dfiniPAParamtres suggrsYStratgie locale... Cre un fichier modle partir des paramtres de la stratgie locale]Stratgie en cours... Cre un fichier modle partir des paramtres de la stratgie en cours<H2>Configuration et analyse de la scurit</H2> <H4>Pour ouvrir une base de donne existante</H4> <OL><LI ALIGN="LEFT" ID="OPEN_DATABASE_1">Cliquez avec le bouton droit de la souris sur l lment tendu de <I>Configuration et analyse de la scurit</I>. <LI ALIGN="LEFT" ID="OPEN_DATABASE_2">Cliquez sur <B>Ouvrir la base de donnes</B><LI ALIGN="LEFT" ID="OPEN_DATABASE_3">Slectionnez une base de donnes et cliquez sur <b>Ouvrir</b></OL> <H4>Pour crer une nouvelle base de donnes</H4><OL> <LI ALIGN="LEFT" ID="OPEN_DATABASE_4">Cliquez avec le bouton droit sur l lment d tendue <I>Configuration et analyse de la scurit</I>.<LI ALIGN="LEFT" ID="OPEN_DATABASE_5">Cliquez sur <B>Ouvrir la base de donnes</B> <LI ALIGN="LEFT" ID="OPEN_DATABASE_6"> Entrez un nouveau nom de base de donnes et cliquez sur <b>Ouvrir</b>.<LI ALIGN="LEFT" ID="OPEN_DATABASE_7">Slectionnez un fichier de configuration de scurit importer puis cliquez sur <b>Ouvrir</b></OL>.A<HTML DIR="ltr" ID="MAIN_HEADER"><BODY><FONT face="arial" size=2></FONT></BODY></HTML>:La base de donnes que vous essayez d ouvrir n existe pas.Vous pouvez crer une nouvelle base de donnes de stratgie locale en choisissant <B>Importer la stratgie</B> dans le menu de commande des <I>paramtres de scurit</I>.*L'accs la base de donnes a t refus.&Vioir le fichier journal Bascule l affichage du fichier journal ou de l arborescence des dossiers lorsque le nSud Configuration et analyse de la scurit est slectionn<<BR>Vous pouvez maintenant configurer et analyser votre ordinateur en utilisant les paramtres de scurit dfinis dans cette base de donnes.<BR> <H4>Pour configurer votre ordinateur</H4><OL><LI ALIGN="LEFT" ID="NO_ANALYSIS_1">Cliquez avec le bouton droit de la souris sur l lment d tendue <I>Configuration et analyse de la scurit</I>.<LI ALIGN="LEFT" ID="NO_ANALYSIS_2">Cliquez sur <B>Configurer l ordinateur maintenant</B><LI ALIGN="LEFT" ID="NO_ANALYSIS_3">dans la bote de dialogue, entrez le nom du journal afficher puis cliquez sur <B>OK</B>.</OL><B>Remarque :</B> une fois la configuration termine, effectuez une analyse pour afficher les informations de votre base de donnes.<BR><BR><H4>Pour analyser les paramtres de scurit de votre ordinateur</H4> <OL><LI ALIGN="LEFT" ID="NO_ANALYSIS_4">Cliquez avec le bouton droit de la souris sur l lment d tendue <I>Configuration et analyse de la scurit</I>.<LI ALIGN="LEFT" ID="NO_ANALYSIS_5">Slectionnez <B>Analyser l ordinateur maintenant</B><LI ALIGN="LEFT" ID="NO_ANALYSIS_6">Dans la bote de dialogue, entrez le chemin du journal et cliquez sur <B>OK</B>.</OL><BR><B>Remarque :</B> pour afficher le fichier cr lors d une configuration ou une analyse, slectionnez <B>Afficher le journal</B> dans le menu contextuel de <I>Configuration et analyse de la scurit</I>.4<h3> Erreur lors de la lecture de l emplacement</h3>Paramtre de l ordinateurParamtres de stratgie=Assistant &Scurisation... Assistant Rle du serveur scuris4Windows ne peut pas importer un modle non valide %sPA)Comptes : statut du compte Administrateur!Comptes : statut du compte Invit PropritsiLe nom d utilisateur n est pas valide. Il est vide ou ne peut contenir aucun des caractres suivants : %1Pas de minimumZLes noms de groupe et d utilisateur ne peuvent contenir aucun des caractres suivants : %18Le systme ne trouve pas le chemin d accs spcifi : %1ELe nom de fichier ne peut contenir aucun des caractres suivants : %1+Un mode de dmarrage doit tre slectionn.L'objet "%1" ne peut pas tre supprim car une fentre ouverte affiche ses proprits. Pour supprimer cet objet, fermez cette fentre et slectionnez de nouveau "Supprimer".'Configurer l appartenance pour %.17s...:Rinitialiser le compteur de verrouillages du compte aprs^Dfinir la descri&ption... Permet de crer une description pour les modles dans ce rpertoireBLa description ne peut contenir aucun des caractres suivants : %1Paramtre du modleParamtres de stratgieDAssurez-vous de disposer des autorisations correctes pour cet objet."Assurez-vous que cet objet existe.DLe dossier %1 ne peut pas tre utilis. Choisissez un autre dossier.Poste de travail Le nom du fichier est trop long.Aspolsconcepts.chm::/html/2ff43721-e5fb-4e0c-b1a1-4ee3f414a3b7.htmPAMLe nom de fichier ne peut pas contenir uniquement l un de ces caractres: %1g%1 Ce nom de fichier est un nom de priphrique rserv. Veuillez utiliser un nom de fichier diffrent.!Le type de fichier est incorrect.UVous devez tre membre du groupe Administrateurs pour effectuer l opration demande.Le nom de fichier %1 n est pas valide. Entrez de nouveau le nom de fichier dans un format correct, tel que c:\emplacement\fichier.%2.NLe mappage entre les noms de compte et les ID de scurit n a pas t effectuPAlPour affecter les comptes de domaine, ce paramtre doit tre dfini dans la stratgie de domaine par dfaut.Stratgie de scurit locale%1%2%1%2 %3%1%2%1%2Spcial9Paramtres de scurit pour les canaux scuriss NETLOGON Crer des connexions vulnrablesStratgie d accs centraliseAStratgies d accs centralises appliques au systme de fichiers!!Stratgie inconnue!!:%1 %22Autoriser le verrouillage du compte AdministrateurAppliquer l historique des mots de passe Ce paramtre de scurit dtermine le nombre de nouveaux mots de passe uniques devant tre associs un compte d utilisateur avant qu un ancien mot de passe puisse tre rutilis. La valeur doit tre comprise entre 0 et 24 mots de passe. Cette stratgie permet aux administrateurs d amliorer la scurit en garantissant que d anciens mots de passe ne sont pas rutiliss continuellement. Valeur par dfaut: 24 sur les contrleurs de domaine. 0 sur les serveurs autonomes. Remarque: par dfaut, les ordinateurs membres suivent la configuration de leur contrleur de domaine. Pour maintenir l efficacit de l historique des mots de passe, ne permettez pas que les mots de passe soient changs immdiatement aprs avoir t changs en activant galement le paramtre de stratgie de scurit Dure de vie minimale du mot de passe. Pour plus d informations sur le paramtre de stratgie de scurit de dure de vie minimale du mot de passe, voir Dure de vie minimale du mot de passe.Dure de vie maximale du mot de passe Ce paramtre de scurit dtermine la priode (en jours) pendant laquelle un mot de passe peut tre utilis avant que le systme oblige l utilisateur le changer. Vous pouvez prvoir que les mots de passe expirent aprs une priode comprise entre 1 et 999 jours, ou vous pouvez spcifier que les mots de passe n expirent jamais en choisissant la valeur 0. Si la dure de vie maximale du mot de passe est comprise entre 1 et 999 jours, la dure de vie minimale du mot de passe doit tre infrieure la dure de vie maximale. Si la dure de vie maximale du mot de passe a la valeur 0, la dure de vie minimale peut tre comprise entre 0 et 998 jours. Remarque: la meilleure pratique consiste choisir un dlai d expiration compris entre 30 et 90 jours, selon votre environnement. De cette manire, un attaquant dispose d une priode limite pour trouver le mot de passe d un utilisateur et avoir accs aux ressources de votre rseau. Valeur par dfaut: 42.Dure de vie minimale du mot de passe Ce paramtre de scurit dtermine la priode minimale (en jours) d utilisation d un mot de passe avant que l utilisateur puisse le changer. Vous choisissez une valeur comprise entre 1 et 998 jours, ou vous pouvez permettre des changements immdiats en spcifiant la valeur 0. La dure de vie minimale du mot de passe doit tre infrieure la dure de vie maximale, sauf si la dure de vie maximale du mot de passe est dfinie 0, indiquant que les mots de passe n expirent jamais. Si la dure de vie maximale du mot de passe est de 0, la dure de vie minimale peut tre rgle une valeur comprise entre 0 et 998. Configurez la dure de vie minimale du mot de passe une valeur suprieure 0 pour garantir l efficacit du paramtre Appliquer l historique des mots de passe. Sans une dure de vie minimale du mot de passe, les utilisateurs peuvent effectuer des tentatives rptes d entre de mot de passe jusqu ce qu ils obtiennent un ancien mot de passe favori. Le rglage par dfaut ne respecte pas cette recommandation, afin qu un administrateur puisse spcifier un mot de passe pour un utilisateur et obliger ce dernier changer le mot de passe dfini par l administrateur lorsque l utilisateur se connecte. Si l historique du mot de passe est dfini 0, l utilisateur n a pas besoin de choisir un nouveau mot de passe. Pour cette raison, le paramtre Appliquer l historique des mots de passe est dfini 1 par dfaut. Valeur par dfaut: 1 sur les contrleurs de domaine. 0 sur les serveurs autonomes. Remarque: par dfaut, les ordinateurs membres adoptent la configuration de leur contrleur de domaine.Longueur minimale du mot de passe Ce paramtre de scurit dtermine le nombre minimal de caractres que doit contenir le mot de passe d un compte d utilisateur. Vous pouvez choisir une valeur comprise entre 1 et 14 caractres, ou vous pouvez tablir qu aucun mot de passe n est requis en choisissant la valeur 0. Valeur par dfaut: 7 sur les contrleurs de domaine. 0 sur les serveurs autonomes. Remarque: par dfaut, les ordinateurs membres adoptent la configuration de leur contrleur de domaine.PALe mot de passe doit respecter des exigences de complexit Ce paramtre de scurit dtermine si les mots de passe doivent respecter des exigences de complexit. Si cette stratgie est active, les mots de passe doivent respecter les exigences minimales suivantes: Ne pas contenir le nom de compte de l utilisateur ou des parties du nom complet de l utilisateur comptant plus de deux caractres successifs Comporter au moins six caractres Contenir des caractres provenant de trois des quatre catgories suivantes: Caractres majuscules anglais (A Z) Caractres minuscules anglais (a z) Chiffres en base 10 (0 9) Caractres non alphabtiques (par exemple, !, $, #, %) Les exigences de complexit sont appliques lors du changement ou de la cration de mots de passe. Valeur par dfaut: Activ sur les contrleurs de domaine. Dsactiv sur les serveurs automnes. Remarque: par dfaut, les ordinateurs membres adoptent la configuration de leur contrleur de domaine.Stocker les mots de passe en utilisant un chiffrement rversible Ce paramtre de scurit dtermine si le systme d exploitation stocke les mots de passe en utilisant un chiffrement rversible. Cette stratgie est destine aux applications qui utilisent des protocoles ncessitant la connaissance du mot de passe de l utilisateur des fins d authentification. Le stockage des mots de passe avec un chiffrement rversible est fondamentalement identique au stockage des versions des mots de passe en texte clair. Pour cette raison, cette stratgie ne doit tre active que si les impratifs de l application prvalent sur la ncessit de protger les informations des mots de passe. Cette stratgie est requise lors de l utilisation de l authentification CHAP (Challenge-Handshake Authentication Protocol) par accs distant ou IAS (Internet Authentication Services). Elle est aussi requise lors de l utilisation de l authentification Digest dans IIS (Internet Information Services). Valeur par dfaut: Dsactiv.Dure de verrouillage des comptes Ce paramtre de scurit dtermine le nombre de minutes pendant lesquelles un compte verrouill reste verrouill avant d tre automatiquement dverrouill. Les valeurs disponibles sont comprises entre 0 et 99 999 minutes. Si vous rglez la dure de verrouillage des comptes 0, le compte est verrouill jusqu ce qu un administrateur le dverrouille explicitement. Si un seuil de verrouillage de comptes est dfini, la dure de verrouillage des comptes doit tre suprieure ou gale au dlai de rinitialisation. Valeur par dfaut: aucune, car ce paramtre de stratgie n a un sens que si un seuil de verrouillage de comptes est spcifi.Seuil de verrouillage de comptes Ce paramtre de scurit dtermine le nombre d checs d ouverture de session entranant le blocage d un compte d utilisateur. Un compte verrouill ne peut pas tre utilis tant qu il n a pas t rinitialis par un administrateur ou jusqu l expiration de la dure de verrouillage du compte. Vous pouvez choisir une valeur comprise entre 0 et 999 checs d ouverture de session. Si vous choisissez la valeur 0, le compte ne se sera jamais verrouill. Les checs d entre de mot de passe sur des stations de travail ou des serveurs membres ayant t verrouills par Ctrl+Alt+Suppr ou par un cran de veille protg par mot de passe sont compts comme des checs d ouverture de session. Valeur par dfaut: 0.`Rinitialiser le compteur de verrouillages du compte aprs Ce paramtre de stratgie dtermine le nombre de minutes devant s couler aprs un chec d ouverture de session avant que le compteur d checs d ouverture de session ne soit remis 0. Les valeurs disponibles sont comprises entre 1 minute et 99 999 minutes. Si un seuil de verrouillage de comptes est dfini, ce dlai de rinitialisation doit tre infrieur ou gal la Dure de verrouillage du compte. Valeur par dfaut: aucun, car ce paramtre de stratgie n est significatif que lorsqu un seuil de verrouillage de comptes est spcifi.Appliquer les restrictions pour l ouverture de session Ce paramtre de stratgie dtermine si le centre de distribution de cls (KDC) Kerberos V5 valide chaque demande de ticket de session en fonction de la stratgie des droits de l utilisateur du compte d utilisateur. La validation de chaque demande de ticket de session est facultative, car l opration supplmentaire prend du temps et risque de ralentir l accs rseau aux services. Valeur par dfaut: Activ.Dure de vie maximale du ticket de service Ce paramtre de scurit dtermine la priode maximale (en minutes) pendant laquelle un ticket peut tre utilis pour accder un service particulier. La valeur doit tre suprieure 10 minutes et infrieure ou gale celle de Dure de vie maximale du ticket utilisateur. Si un client prsente un ticket de session expir lorsqu il demande une connexion un serveur, le serveur renvoie un message d erreur. Le client doit demander un nouveau ticket de session au centre de distribution de cls (KDC) Kerberos V5. Une fois qu une connexion est authentifie, le ticket de session ne doit pas ncessairement rester valide. Les tickets de session servent uniquement authentifier de nouvelles connexions aux serveurs. Les oprations sortantes ne sont pas interrompues si le ticket de session qui est utilis pour authentifier la connexion expire pendant celle-ci. Valeur par dfaut: 600 minutes (10 heures).Dure de vie maximale du ticket utilisateur Ce paramtre de scurit dtermine la priode maximale (en heures) pendant laquelle un ticket TGT (ticket-granting ticket) peut tre utilis. Valeur par dfaut: 10 heures.Dure de vie maximale pour le renouvellement du ticket utilisateur Ce paramtre de scurit dtermine la priode (en jours) pendant laquelle le ticket TGT (ticket-granting ticket) d un utilisateur peut tre renouvel. Valeur par dfaut: 7 jours.Tolrance maximale pour la synchronisation de l horloge de l ordinateur Ce paramtre de scurit dtermine la diffrence d heure maximale (en minutes) que Kerberos V5 tolre entre l heure sur l horloge du client et l heure sur le contrleur de domaine excutant Windows Server 2003 qui fournit l authentification Kerberos. Pour empcher les attaques par relecture, Kerberos V5 utilise des horodatages dans sa dfinition de protocole. Pour permettre le bon fonctionnement des horodatages, les horloges du client et du contrleur de domaine doivent tre aussi synchronises que possible. En d autres termes, les deux ordinateurs doivent tre rgls aux mmes date et heure. Comme les horloges des deux ordinateurs sont souvent dsynchronises, les administrateurs peuvent utiliser cette stratgie pour tablir la diffrence maximale acceptable pour Kerberos V5 entre l horloge d un client et celle d un contrleur de domaine. Si la diffrence entre l horloge d un client et celle du contrleur de domaine est infrieure la diffrence d heure maximale spcifie dans cette stratgie, tous les horodatages utiliss dans une session entre les deux ordinateurs sont considrs authentiques. Important Ce paramtre n est pas persistant sur les plateformes antrieures Vista. Si vous configurez ce paramtre, puis redmarrez l ordinateur, la valeur par dfaut est rtablie. Valeur par dfaut: 5 minutes..Auditer les vnements de connexion aux comptes Ce paramtre de scurit dtermine si le systme d exploitation effectue un audit chaque fois que cet ordinateur valide les informations d identification d un compte.s Des vnements de connexion aux comptes sont gnrs lorsqu un ordinateur valide les informations d identification d un compte pour lequel il fait autorit. Les membres du domaine et les ordinateurs non joints au domaine font autorit sur leurs comptes locaux; les contrleurs de domaine font tous autorit pour les comptes du domaine. La validation des informations d identification peut tre utilise pour la prise en charge d une connexion locale ou, dans le cas d un compte de domaine Active Directory sur un contrleur de domaine, pour la prise en charge de la connexion un autre ordinateur. La validation des informations d identification est sans tat: il n y a donc aucun vnement de dconnexion correspondant pour les vnements de connexion aux comptes. Si ce paramtre de stratgie est dfini, l administrateur peut spcifier s il convient d auditer uniquement les russites, uniquement les checs, les russites et les checs, ou de n auditer aucun de ces vnements (c est--dire ni les russites ni les checs). Valeurs par dfaut sur les ditions clientes: Validation des informations d identification: Pas d audit Oprations de ticket du service Kerberos: Pas d audit Autres vnements d ouverture de session: Pas d audit Service d authentification Kerberos: Pas d audit Valeurs par dfaut sur les ditions serveur: Validation des informations d identification: Russite Oprations de ticket du service Kerberos: Russite Autres vnements d ouverture de session: Pas d audit Service d authentification Kerberos: Russite Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.Auditer la gestion des comptes Ce paramtre de scurit dtermine s il convient d auditer chaque vnement de gestion des comptes sur un ordinateur. Exemples d vnements de gestion des comptes: Un compte ou un groupe d utilisateurs est cr, modifi ou supprim. Un compte d utilisateur est renomm, dsactiv ou activ. Un mot de passe est dfini ou chang. Si vous dfinissez ce paramtre de stratgie, vous pouvez spcifier s il convient d auditer les russites, les checs, ou de ne pas du tout auditer le type d vnement. Les audits de russite gnrent une entre d audit lorsqu un vnement de gestion de compte russit. Les audits d chec gnrent une entre d audit lorsqu un vnement de gestion de compte choue. Pour dfinir cette valeur Pas d audit, dans la bote de dialogue Proprits de ce paramtre de stratgie, activez la case cocher Dfinir ces paramtres de stratgie et dsactivez les cases cocher Russite et chec. Valeur par dfaut sur les ditions clientes: Gestion des comptes d utilisateur: Russite Gestion des comptes d ordinateur: Pas d audit Gestion des groupes de scurit: Russite Gestion des groupes de distribution: Pas d audit Gestion des groupes d applications: Pas d audit Autres vnements de gestion des comptes: Pas d audit Valeurs par dfaut sur les ditions serveur: Gestion des comptes d utilisateur: Russite Gestion des comptes d ordinateur: Russite Gestion des groupes de scurit: Russite Gestion des groupes de distribution: Pas d audit Gestion des groupes d applications: Pas d audit Autres vnements de gestion des comptes: Pas d audit Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.cAuditer l accs au service d annuaire Ce paramtre de scurit dtermine si le systme d exploitation audite les tentatives d accs aux objets Active Directory par l utilisateur. L audit est gnr uniquement pour les objets pour lesquels des listes de contrle d accs systme (SACL) sont spcifies, et uniquement si le type d accs demand (tel qu criture, Lecture ou Modification) et le compte effectuant la demande correspondent aux paramtres dans la liste SACL. L administrateur peut spcifier s il convient d auditer uniquement les russites, uniquement les checs, les russites et les checs, ou de n auditer aucun de ces vnements (c est--dire ni les russites ni les checs). Si un audit des russites est activ, une entre d audit est gnre chaque fois qu un compte accde un objet Active Directory pour lequel une liste SACL correspondante est spcifie. Si un audit des checs est activ, une entre d audit est gnre chaque fois qu un utilisateur tente en vain d accder un objet Active Directory pour lequel une liste SACL correspondante est spcifie. Valeur par dfaut sur les ditions clientes: Accs au service d annuaire: Pas d audit Modification du service d annuaire: Pas d audit Rplication du service d annuaire: Pas d audit Rplication du service d annuaire dtaill: Pas d audit Valeurs par dfaut sur les ditions serveur: Accs au service d annuaire: Russite Modification du service d annuaire: Pas d audit Rplication du service d annuaire: Pas d audit Rplication du service d annuaire dtaill: Pas d audit Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.Auditer les vnements de connexion Ce paramtre de scurit dtermine si le systme d exploitation audite chaque instance d une tentative de connexion ou de dconnexion cet ordinateur par un utilisateur. Des vnements de dconnexion sont gnrs lorsqu une session de connexion d un compte d utilisateur connect se termine. Si ce paramtre de stratgie est dfini, l administrateur peut spcifier s il convient d auditer uniquement les russites, uniquement les checs, les russites et les checs, ou de n auditer aucun de ces vnements (c est--dire ni les russites ni les checs). Valeurs par dfaut sur les ditions clientes: Ouverture de session: Russite Fermeture de session: Russite Verrouillage de compte: Russite Mode principal IPsec: Pas d audit Mode rapide IPsec: Pas d audit Mode tendu IPsec: Pas d audit Ouverture de session spciale: Russite Autres vnements d ouverture/fermeture de session: Pas d audit Serveur NPS (Network Policy Server): Russite, chec Valeurs par dfaut sur les ditions serveur: Ouverture de session: Russite, chec Fermeture de session: Russite Verrouillage de compte: Russite Mode principal IPsec: Pas d audit Mode rapide IPsec: Pas d audit Mode tendu IPsec: Pas d audit Ouverture de session spciale: Russite Autres vnements d ouverture/fermeture de session: Pas d audit Serveur NPS (Network Policy Server): Russite, chec Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.-Auditer l accs aux objets Ce paramtre de scurit dtermine si le systme d exploitation audite les tentatives d accs des objets non-Active Directory par l utilisateur. L audit est gnr uniquement pour les objets pour lesquels des listes de contrle d accs systme (SACL) sont spcifies, et uniquement si le type d accs demand (tel qu criture, Lecture ou Modification) et le compte effectuant la demande correspondent aux paramtres dans la liste SACL. L administrateur peut spcifier s il convient d auditer uniquement les russites, uniquement les checs, les russites et les checs, ou de n auditer aucun de ces vnements (c est--dire ni les russites ni les checs). Si un audit des russites est activ, une entre d audit est gnre chaque fois qu un compte accde un objet non-Active Directory pour lequel une liste SACL correspondante est spcifie. Si un audit des checs est activ, une entre d audit est gnre chaque fois qu un utilisateur tente en vain d accder un objet non-Active Directory pour lequel une liste SACL correspondante est spcifie. Notez que vous pouvez dfinir une liste SACL sur un objet de systme de fichiers en utilisant l onglet Scurit dans la bote de dialogue Proprits de cet objet. Valeur par dfaut: Pas d audit. Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.Auditer les modifications de stratgie Ce paramtre de scurit dtermine si le systme d exploitation audite chaque instance des tentatives de modification de la stratgie d affectation des droits d utilisateur, de la stratgie d audit, de la stratgie de compte ou de la stratgie d approbation. L administrateur peut spcifier s il convient d auditer uniquement les russites, uniquement les checs, les russites et les checs, ou de n auditer aucun de ces vnements (c est--dire ni les russites ni les checs). Si un audit des russites est activ, une entre d audit est gnre lorsqu une tentative de modification de la stratgie d affectation des droits d utilisateur, de la stratgie d audit ou de la stratgie d approbation aboutit. Si un audit des checs est activ, une entre d audit est gnre lorsqu une tentative de modification de la stratgie d affectation des droits d utilisateur, de la stratgie d audit ou de la stratgie d approbation est effectue par un compte qui n est pas autoris effectuer la modification de stratgie demande. Valeur par dfaut: Auditer les modifications de stratgie Russite Modification de la stratgie d authentification: Russite Modification de la stratgie d autorisation: Pas d audit Modification de la stratgie de niveau rgle MPSSVC: Pas d audit Modification de la stratgie de plateforme de filtrage: Pas d audit Autres vnements de modification de stratgie: Pas d audit Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.Auditer l utilisation des privilges Ce paramtre de scurit dtermine s il convient d auditer chaque instance d un utilisateur exerant un droit de l utilisateur. Si vous dfinissez ce paramtre de stratgie, vous pouvez spcifier s il convient d auditer les russites, d auditer les checs, ou de ne pas du tout auditer le type d vnement. Les audits de russite gnrent une entre d audit lorsque l exercice d un droit de l utilisateur russit. Les audits d chec gnrent une entre d audit lorsque l exercice d un droit de l utilisateur choue. Pour dfinir cette valeur Pas d audit, dans la bote de dialogue Proprits de ce paramtre de stratgie, activez la case cocher Dfinir ces paramtres de stratgie et dsactivez les cases cocher Russite et chec. Valeur par dfaut: Pas d audit. Des audits ne sont pas gnrs pour l utilisation des droits de l utilisateur suivants, mme si des audits de russite ou des audits d chec sont spcifis pour Auditer l utilisation des privilges. L activation de l audit de ces droits de l utilisateur tend gnrer de nombreux vnements dans le journal de scurit, ce qui peut compromettre les performances de votre ordinateur. Pour auditer les droits de l utilisateur suivants, activez la cl de Registre FullPrivilegeAuditing. Contourner la vrification de parcours Dboguer les programmes Crer un objet-jeton Remplacer un jeton de niveau processus Gnrer des audits de scurit Sauvegarder les fichiers et les rpertoires Restaurer les fichiers et les rpertoires Attention Une modification incorrecte du Registre peut gravement endommager le systme. Avant d apporter des modifications au Registre, il convient de sauvegarder toutes les donnes importantes de l ordinateur. Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.Auditer le suivi des processus Ce paramtre de scurit dtermine si le systme d exploitation audite les vnements associs aux processus tels que la cration de processus, la fin de processus, la duplication de descripteur et l accs indirect aux objets. Si ce paramtre de stratgie est dfini, l administrateur peut spcifier s il convient d auditer uniquement les russites, uniquement les checs, les russites et les checs, ou de n auditer aucun de ces vnements (c est--dire ni les russites ni les checs). Si un audit des russites est activ, une entre d audit est gnre chaque fois que le systme d exploitation effectue l une de ces activits associes aux processus. Si un audit des checs est activ, une entre d audit est gnre chaque fois que le systme d exploitation choue effectuer l une de ces activits. Valeur par dfaut: Pas d audit Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.$Auditer les vnements systme Ce paramtre de scurit dtermine si le systme d exploitation audite l un des vnements suivants: Tentative de modification de l heure systme Tentative de dmarrage ou d arrt du systme de scurit Tentative de chargement de composants d authentification extensibles Perte d vnements audits en raison d une dfaillance du systme d audit Taille du journal de scurit dpassant un niveau de seuil d avertissement configurable. Si ce paramtre de stratgie est dfini, l administrateur peut spcifier s il convient d auditer uniquement les russites, uniquement les checs, les russites et les checs, ou de n auditer aucun de ces vnements (c est--dire ni les russites ni les checs). Si un audit des russites est activ, une entre d audit est gnre chaque fois que le systme d exploitation effectue l une de ces activits. Si un audit des checs est activ, une entre d audit est gnre chaque fois que le systme d exploitation choue effectuer l une de ces activits. Valeur par dfaut: Modification de l tat de la scurit Russite Extension systme de scurit Pas d audit Intgrit du systme Russite, chec Pilote IPSEC Pas d audit Autres vnements systme Russite, chec Important: pour plus de contrle sur les stratgies d audit, utilisez les paramtres dans le nSud Configuration avance de la stratgie d audit. Pour plus d informations sur la Configuration avance de la stratgie d audit, voir http://go.microsoft.com/fwlink/?LinkId=140969.Accder cet ordinateur partir du rseau Ce droit d utilisateur dtermine quels utilisateurs et groupes sont autoriss se connecter l ordinateur sur le rseau. Les services Bureau distance ne sont pas affects par ce droit d utilisateur. Remarque: les services Bureau distance taient appels services Terminal Server dans les versions prcdentes de Windows Server. Valeur par dfaut sur les stations de travail et les serveurs: Administrateurs Oprateurs de sauvegarde Utilisateurs Tout le monde Valeur par dfaut sur les contrleurs de domaines: Administrateurs Utilisateurs authentifis Contrleurs de domaine d entreprise Tout le monde Accs compatible avec les versions antrieures Windows20000Agir en tant que partie du systme d exploitation Ce droit d utilisateur permet un processus d emprunter l identit d un utilisateur sans authentification. Le processus peut par consquent accder aux mmes ressources locales que cet utilisateur. Les processus qui ncessitent ce privilge doivent utiliser le compte Systme local, qui inclut dj les privilges, plutt que d utiliser un compte d utilisateur distinct auquel ces privilges seraient spcialement affects. Si votre organisation utilise uniquement des serveurs membres de la famille Windows Server 2003, il n est pas ncessaire d affecter ce privilge vos utilisateurs. Cependant, si votre organisation utilise des serveurs excutant Windows 2000 ou Windows NT 4.0, il peut tre ncessaire d affecter ce privilge pour utiliser les applications qui changent des mots de passe en texte clair. Attention L affectation de ce droit d utilisateur peut constituer un risque pour la scurit. Affectez uniquement ce droit d utilisateur des utilisateurs approuvs. Valeur par dfaut: aucune.Ajouter des stations de travail au domaine Ce paramtre de scurit dtermine quels groupes ou utilisateurs peuvent ajouter des stations de travail un domaine. Ce paramtre de scurit est valide uniquement sur les contrleurs de domaine. Par dfaut, tout utilisateur authentifi dispose de ce droit et peut crer jusqu 10 comptes d ordinateur dans le domaine. L ajout d un compte d ordinateur au domaine permet l ordinateur de participer un rseau bas sur Active Directory. Par exemple, l ajout d une station de travail un domaine permet cette station de travail de reconnatre les comptes et les groupes qui existent dans Active Directory. Valeur par dfaut: Utilisateurs authentifis sur les contrleurs de domaine. Remarque: les utilisateurs disposant de l autorisation Crer des objets d ordinateur sur le conteneur ordinateur Active Directory peuvent galement crer des comptes d ordinateur dans le domaine. La diffrence rside dans le fait que les utilisateurs bnficiant d autorisations sur le conteneur ne sont pas limits la cration de seulement 10 comptes d ordinateur. En outre, les comptes d ordinateur qui sont crs au moyen de Ajouter des stations de travail au domaine ont des administrateurs de domaine comme propritaire du compte d ordinateur, tandis que les comptes d ordinateur qui sont crs au moyen d autorisations sur le conteneur ordinateur ont le crateur comme propritaire du compte d ordinateur. Si un utilisateur dispose d autorisations sur le conteneur, ainsi que du droit d utilisateur Ajouter des stations de travail au domaine, l ordinateur est ajout, en fonction des autorisations du conteneur ordinateur et non pas en fonction du droit d utilisateur. VAjuster les quotas de mmoire pour un processus Ce privilge dtermine qui peut changer la quantit de mmoire maximale pouvant tre consomme par un processus. Ce droit d utilisateur est dfini dans l objet de stratgie de groupe (GPO) Contrleur de domaine par dfaut et dans la stratgie de scurit locale de stations de travail et de serveurs. Remarque : ce privilge est utile pour l ajustement du systme, mais il peut tre utilis des fins malveillantes, par exemple dans une attaque par dni de service. Valeur par dfaut : Administrateurs Service local Service rseau. Permettre l ouverture d une session locale Dtermine quels utilisateurs peuvent se connecter l ordinateur. Important La modification de ce paramtre peut affecter la compatibilit avec des clients, des services et des applications. Pour obtenir des informations de compatibilit sur ce paramtre, voir l article sur cet aspect de compatibilit (http://go.microsoft.com/fwlink/?LinkId=24268) sur le site Web Microsoft. Valeur par dfaut: Sur les stations de travail et les serveurs: Administrateurs, Oprateurs de sauvegarde, Utilisateurs avec pouvoir, Utilisateurs et Invit. Sur les contrleurs de domaine: Oprateurs de compte, Administrateurs, Oprateurs de sauvegarde et Oprateurs d impression. Autoriser l ouverture de session par les services Bureau distance Ce paramtre de scurit dtermine quels utilisateurs ou groupes sont autoriss se connecter comme client des services Bureau distance. Valeur par dfaut: Sur les stations de travail et les serveurs: Administrateurs, Utilisateurs du Bureau distance. Sur les contrleurs de domaine: Administrateurs. Important Ce paramtre n a aucun effet sur les ordinateurs Windows2000 qui n ont pas t mis jour avec le ServicePack2. jSauvegarder les fichiers et les rpertoires Ce droit d utilisateur dtermine quels utilisateurs peuvent contourner les autorisations de fichiers et de rpertoires, de Registre, et autres autorisations d objet persistantes des fins de sauvegarde du systme. Spcifiquement, ce droit d utilisateur revient accorder les autorisations suivantes l utilisateur ou au groupe en question sur tous les fichiers et dossiers du systme : Parcours du dossier/excuter le fichier Liste du dossier/lecture de donnes Lecture des attributs Lecture des attributs tendus Autorisations de lecture Attention L'affectation de ce droit d utilisateur peut constituer un risque pour la scurit. Comme il est impossible de s assurer qu un utilisateur sauvegarde des donnes, drobe des donnes ou copie des donnes distribuer, n affectez ce droit d utilisateur qu aux utilisateurs approuvs. Valeur par dfaut sur les stations de travail et les serveurs : Administrateurs Oprateurs de sauvegarde. Valeur par dfaut sur les contrleurs de domaine : Administrateurs Oprateurs de sauvegarde Oprateurs de serveur. Contourner la vrification de parcours Ce droit d utilisateur dtermine quels utilisateurs peuvent parcourir les arborescences de rpertoires mme si l utilisateur ne dispose pas d autorisations sur le rpertoire parcouru. Ce privilge ne permet pas l utilisateur d afficher le contenu d un rpertoire, mais seulement de parcourir des rpertoires. Ce droit d utilisateur est dfini dans l objet de stratgie de groupe (GPO) Contrleur de domaine par dfaut et dans la stratgie de scurit locale des stations de travail et des serveurs. Valeur par dfaut sur les stations de travail et les serveurs : Administrateurs Oprateurs de sauvegarde Utilisateurs Tout le monde Service local Service rseau Valeur par dfaut sur les contrleurs de domaine : Administrateurs Utilisateurs authentifis Tout le monde Service local Service rseau Accs compatible avec les versions antrieures Windows 2000 LModifier l heure systme Ce droit d utilisateur dtermine quels utilisateurs et groupes peuvent changer la date et l heure sur l horloge interne de l ordinateur. Les utilisateurs qui bnficient de ce droit d utilisateur peuvent modifier le contenu des journaux d vnements. Si l heure systme est change, les vnements enregistrs refltent cette nouvelle heure, et non pas l heure relle laquelle les vnements se sont produits. Ce droit d utilisateur est dfini dans l objet de stratgie de groupe (GPO) Contrleur de domaine par dfaut et dans la stratgie de scurit locale des stations de travail et des serveurs. Valeur par dfaut sur les stations de travail et les serveurs : Administrateurs Service local Valeur par dfaut sur les contrleurs de domaine : Administrateurs Oprateurs de serveur Service local >Crer un fichier d change Ce droit d utilisateur dtermine quels utilisateurs et groupes peuvent appeler une interface de programmation d application (API) interne pour crer et redimensionner un fichier d change. Ce droit d utilisateur est utilis en interne par le systme d exploitation et n a pas besoin d tre affect des utilisateurs. Pour plus d informations sur la spcification d une taille de fichier d change pour un lecteur donn, voir l article Modifier la taille du fichier d change de mmoire virtuelle. Valeur par dfaut: Administrateurs. Crer un objet-jeton Ce paramtre de scurit dtermine quels comptes peuvent tre utiliss par des processus pour crer un jeton pouvant servir accder des ressources locales lorsque le processus utilise une interface de programmation d application (API) interne pour crer un jeton d accs. Ce droit d utilisateur est gnralement utilis par le systme d exploitation. Sauf en cas de ncessit, vitez d affecter ce droit d utilisateur un utilisateur, un groupe ou un processus autre que Systme local. Attention L'affectation de ce droit d utilisateur peut crer un risque pour la scurit. N'affectez pas ce droit d utilisateur un utilisateur, un groupe ou un processus que vous ne souhaitez pas voir prendre le contrle du systme. Valeur par dfaut : aucune. Crer des objets globaux Ce paramtre de scurit dtermine si les utilisateurs peuvent crer des objets globaux disponibles dans toutes les sessions. Les utilisateurs peuvent toujours crer des objets spcifiques leurs propres sessions s ils n ont pas ce droit d utilisateur. Les utilisateurs qui peuvent crer des objets globaux peuvent affecter les processus qui s excutent sous les sessions d autres utilisateurs, ce qui pourrait entraner une dfaillance d une application ou une altration des donnes. Attention L affectation de ce droit d utilisateur peut compromettre la scurit. Affectez ce droit d utilisateur uniquement des utilisateurs approuvs. Valeur par dfaut: Administrateurs Service local Service rseau Service Crer des objets partags permanents Ce droit d utilisateur dtermine quels comptes peuvent tre utiliss par des processus pour crer un objet rpertoire l aide du Gestionnaire d objets. Ce droit d utilisateur est employ en interne par le systme d exploitation et est utile aux composants en mode noyau qui tendent l espace de noms d objets. Comme les composants excuts en mode noyau disposent dj de ce droit d utilisateur, il n est pas ncessaire de l affecter spcifiquement. Valeur par dfaut: aucune.Dboguer les programmes Ce droit d utilisateur dtermine quels utilisateurs peuvent attacher un dbogueur un processus ou au noyau. Il n est pas ncessaire d affecter ce droit d utilisateur aux dveloppeurs qui dboguent leurs propres applications. Les dveloppeurs qui dboguent de nouveaux composants systme auront besoin de ce droit d utilisateur dans le cadre de cette activit. Ce droit d utilisateur donne un accs complet des composants sensibles et critiques du systme d exploitation. Attention L affectation de ce droit d utilisateur peut constituer un risque pour la scurit. N affectez ce droit d utilisateur qu des utilisateurs approuvs. Valeur par dfaut: AdministrateursiInterdire l accs cet ordinateur partir du rseau Ce paramtre de scurit dtermine quels utilisateurs ne peuvent pas accder un ordinateur sur le rseau. Ce paramtre de stratgie prvaut sur le paramtre de stratgie Accder cet ordinateur partir du rseau si un compte d utilisateur est soumis aux deux stratgies. Valeur par dfaut: Invit^Interdire l ouverture de session en tant que tche Ce paramtre de stratgie dtermine quels comptes ne peuvent pas ouvrir une session en tant que tche. Ce paramtre de stratgie prvaut sur le paramtre de stratgie Ouvrir une session en tant que tche si un compte d utilisateur est soumis aux deux stratgies. Valeur par dfaut : Aucun. Interdire l ouverture de session en tant que service Ce paramtre de stratgie dtermine quels comptes de service ne peuvent pas inscrire un processus en tant que service. Ce paramtre de stratgie prvaut sur le paramtre de stratgie Ouvrir une session en tant que service si un compte est soumis aux deux stratgies. Remarque: ce paramtre de stratgie ne s applique pas aux comptes Systme, Service local ou Service rseau. Valeur par dfaut: aucune.Interdire l ouverture d une session locale Ce paramtre de scurit dtermine quels utilisateurs ne peuvent pas se connecter sur l ordinateur. Ce paramtre de stratgie prvaut sur le paramtre de stratgie Permettre l ouverture d une session locale si un compte est soumis aux deux stratgies. Important Si vous appliquez cette stratgie au groupe Tout le monde, personne ne pourra se connecter localement. Valeur par dfaut: aucune.Interdire l ouverture de session par les services Bureau distance Ce paramtre de stratgie dtermine quels utilisateurs et quels groupes ne peuvent pas ouvrir une session en tant que client des services Bureau distance. Valeur par dfaut: aucune. Important Ce paramtre n a aucun effet sur les ordinateurs Windows2000 qui n ont pas t mis jour avec le ServicePack2.Permettre l ordinateur et aux comptes d utilisateurs d tre approuvs pour la dlgation Ce paramtre de scurit dtermine quels utilisateurs peuvent dfinir le paramtre Approuv pour la dlgation sur un utilisateur ou un objet ordinateur. L utilisateur ou l objet qui se voit octroyer ce privilge doit avoir un accs en criture aux indicateurs de contrle de compte sur l utilisateur ou l objet ordinateur. Un processus serveur s excutant sur un ordinateur (ou sous un contexte d utilisateur) qui est approuv pour la dlgation peut accder des ressources sur un autre ordinateur en utilisant les informations d identification dlgues d un client, condition que l indicateur de contrle de compte Compte ne peut pas tre dlgu ne soit pas activ sur le compte du client. Ce droit d utilisateur est dfini dans l objet de stratgie de groupe (GPO) Contrleur de domaine par dfaut et dans la stratgie de scurit locale des stations de travail et des serveurs. Attention Une utilisation incorrecte de ce droit d utilisateur ou du paramtre Approuv pour la dlgation peut rendre le rseau vulnrable des attaques sophistiques utilisant des programmes Cheval de Troie, qui empruntent l identit de clients entrants et utilisent leurs informations d identification pour accder aux ressources du rseau. Valeur par dfaut: Administrateurs sur les contrleurs de domaine.yForcer l arrt partir d un systme distant Ce paramtre de scurit dtermine quels utilisateurs sont autoriss arrter un ordinateur partir d un emplacement distant sur le rseau. Une utilisation incorrecte de ce droit d utilisateur peut entraner un dni de service. Ce droit d utilisateur est dfini dans l objet de stratgie de groupe (GPO) Contrleur de domaine par dfaut et dans la stratgie de scurit locale des stations de travail et des serveurs. Valeur par dfaut: Sur les stations de travail et les serveurs: Administrateurs. Sur les contrleurs de domaine: Administrateurs, Oprateurs de serveur.$Gnrer des audits de scurit Ce paramtre de scurit dtermine quels comptes peuvent tre utiliss par un processus pour ajouter des entres au journal de scurit. Le journal de scurit est utilis pour suivre les accs non autoriss au systme. Une utilisation incorrecte de ce droit d utilisateur peut entraner la gnration de nombreux vnements d audit, masquant ainsi potentiellement les signes d une attaque ou causant un dni de service si le paramtre de stratgie de scurit Audit: arrter immdiatement le systme s il n est pas possible de se connecter aux audits de scurit est activ. Pour plus d informations, voir Audit: arrter immdiatement le systme s il n est pas possible de se connecter aux audits de scurit. Valeur par dfaut: Service local Service rseau.9Emprunter l identit d un client aprs l authentification L'affectation de ce privilge un utilisateur permet aux programmes excuts au nom de cet utilisateur d emprunter l identit d un client. Imposer ce droit d utilisateur pour ce type d emprunt d identit empche un utilisateur non autoris de convaincre un client de se connecter (par exemple, par un appel de procdure distante (RPC) ou par canaux nomms) un service qu il a cr, puis d emprunter l identit de ce client, ce qui peut lever les autorisations de l utilisateur non autoris des niveaux administratifs ou systme. Attention L'affectation de ce droit d utilisateur peut constituer un risque pour la scurit. N'affectez ce droit d utilisateur qu aux utilisateurs approuvs. Valeur par dfaut : Administrateurs Service local Service rseau Service Remarque : par dfaut, le groupe Service intgr est ajout aux jetons d accs des services qui sont dmarrs par le Gestionnaire de contrle des services. Le groupe Service est galement ajout aux jetons d accs des serveurs COM (Component Object Model) qui sont dmarrs par l infrastructure COM et qui sont configurs pour s excuter sous un compte spcifique. Ces services obtiennent donc ce droit d utilisateur leur dmarrage. En outre, un utilisateur peut galement emprunter l identit d un jeton d accs si l une des conditions suivantes existe. Le jeton d accs faisant l objet d un emprunt d identit est destin cet utilisateur. L'utilisateur, dans cette session de connexion, a cr le jeton d accs en se connectant au rseau avec des informations d identification explicites. Le niveau demand est infrieur Emprunter l identit, par exemple Anonyme ou Identifier. En raison de ces facteurs, les utilisateurs n ont gnralement pas besoin de ce droit d utilisateur. Pour plus d informations, recherchez " SeImpersonatePrivilege " dans Microsoft Platform SDK. Avertissement Si vous activez ce paramtre, les programmes qui avaient auparavant le privilge Emprunter l identit risquent de le perdre et de ne pas fonctionner.Augmenter la priorit de planification Ce paramtre de scurit dtermine quels comptes peuvent utiliser un processus avec un accs Proprit d criture un autre processus pour augmenter la priorit d excution affecte l autre processus. Un utilisateur dot de ce privilge peut changer la priorit de planification d un processus par le biais de l interface utilisateur du Gestionnaire des tches. Valeur par dfaut: Administrateurs. Charger et dcharger les pilotes de priphriques Ce droit d utilisateur dtermine quels utilisateurs peuvent charger et dcharger des pilotes de priphriques ou un autre code en mode noyau. Ce droit d utilisateur ne s applique pas aux pilotes de priphriques Plug-and-Play. Il est prfrable de ne pas affecter ce privilge d autres utilisateurs. Attention L affectation de ce droit d utilisateur peut constituer un risque pour la scurit. N affectez pas ce droit d utilisateur un utilisateur, un groupe ou un processus que vous ne souhaitez pas voir prendre le contrle du systme. Valeur par dfaut sur les stations de travail et les serveurs: Administrateurs. Valeur par dfaut sur les contrleurs de domaine: Administrateurs Oprateurs d impressionVerrouiller les pages en mmoire Ce paramtre de scurit dtermine quels comptes peuvent utiliser un processus pour conserver les donnes en mmoire physique, ce qui empche le systme de paginer les donnes en mmoire virtuelle sur disque. L exercice de ce privilge peut avoir une incidence significative sur les performances du systme en diminuant la quantit de mmoire vive (RAM) disponible. Valeur par dfaut: aucune. Ouvrir une session en tant que tche Ce paramtre de scurit permet un utilisateur d ouvrir une session au moyen d une fonction de file d attente de tches. Il n existe que pour assurer la compatibilit avec les versions antrieures de Windows. Par exemple, lorsqu un utilisateur soumet une tche au moyen du Planificateur de tches, ce dernier connecte l utilisateur en tant qu utilisateur de tche et non pas en tant qu utilisateur interactif. Valeur par dfaut: Administrateurs Oprateurs de sauvegarde.Ouvrir une session en tant que service Ce paramtre de scurit permet un principal de scurit d ouvrir une session en tant que service. Les services peuvent tre configurs pour s excuter sous les comptes Systme local, Service local ou Service rseau, qui possdent un droit intgr d ouvrir une session en tant que service. Il faut affecter ce droit tout service qui s excute sous un compte d utilisateur distinct. Valeur par dfaut: aucune.HGrer le journal d audit et de scurit Ce paramtre de scurit dtermine quels utilisateurs peuvent spcifier des options d audit d accs aux objets pour des ressources individuelles, par exemple des fichiers, des objets Active Directory et des cls de Registre. Ce paramtre de scurit ne permet pas un utilisateur d activer l audit d accs aux fichiers et aux objets en gnral. Pour activer ce type d audit, le paramtre Auditer l accs aux objets dans Configuration ordinateur\Paramtres Windows\Paramtres de scurit\Stratgies locales\Stratgies d audit doit tre configur. Vous pouvez afficher les vnements audits dans le journal de scurit de l observateur d vnements. Un utilisateur bnficiant de ce privilge peut galement afficher et effacer le journal de scurit. Valeur par dfaut: Administrateurs.PAVModifier les valeurs d environnement de microprogramme Ce paramtre de scurit dtermine qui peut modifier les valeurs d environnement de microprogramme. Les variables d environnement de microprogramme sont des paramtres enregistrs dans la RAM non volatile des ordinateurs non-x86. L effet de ce paramtre dpend du processeur. Sur les ordinateurs x86, la seule valeur d environnement de microprogramme pouvant tre modifie en affectant ce droit d utilisateur est le paramtre Dernire bonne configuration connue, qui doit uniquement tre modifi par le systme. Sur les ordinateurs processeur Itanium, les informations de dmarrage sont enregistres en RAM non volatile. Les utilisateurs doivent disposer de ce droit d utilisateur pour excuter bootcfg.exe et pour changer le paramtre Systme d exploitation par dfaut sur Dmarrage et rcupration dans Proprits systme. Sur tous les ordinateurs, ce droit d utilisateur est obligatoire pour installer ou mettre jour Windows. Remarque: ce paramtre de scurit ne dtermine pas qui peut modifier les variables d environnement systme et les variables d environnement utilisateur de l onglet Avanc des Proprits systme. Pour plus d informations sur la modification de ces variables, voir Ajouter ou modifier les valeurs des variables d environnement. Valeur par dfaut: Administrateurs.MEffectuer des tches de maintenance sur les volumes Ce paramtre de scurit dtermine quels utilisateurs et quels groupes peuvent excuter des tches de maintenance sur un volume, telles qu une dfragmentation distance. Soyez prudent lorsque vous attribuez ce droit d utilisateur. Les utilisateurs disposant de ce droit d utilisateur peuvent explorer les disques et tendre des fichiers dans une mmoire contenant d autres donnes. Une fois les fichiers tendus ouverts, l utilisateur est capable de lire et de modifier les donnes acquises. Valeur par dfaut: AdministrateursProcessus unique du profil Ce paramtre de scurit dtermine quels utilisateurs peuvent utiliser les outils de surveillance des performances pour surveiller les performances de processus non-systme. Valeur par dfaut: Administrateurs, Utilisateurs avec pouvoir.Performance systme du profil Ce paramtre de scurit dtermine quels utilisateurs peuvent utiliser des outils de surveillance des performances pour surveiller les performances de processus systme. Valeur par dfaut : Administrateurs. Retirer l ordinateur de la station d accueil Ce paramtre de scurit dtermine si un utilisateur peut retirer un ordinateur portable de sa station d accueil sans ouvrir de session. Si cette stratgie est active, l utilisateur doit ouvrir une session avant de retirer l ordinateur portable de sa station d accueil. Si cette stratgie est dsactive, l utilisateur peut retirer l ordinateur portable de sa station d accueil sans ouvrir de session. Valeur par dfaut: Administrateurs, Utilisateurs avec pouvoir, UtilisateursRemplacer un jeton de niveau processus Ce paramtre de scurit dtermine quels comptes d utilisateur peuvent appeler l interface de programmation d application (API) CreateProcessAsUser() afin qu un service puisse en dmarrer un autre. Le Planificateur de tches est un exemple de processus utilisant ce droit d utilisateur. Pour plus d informations sur le Planificateur de tches, voir Prsentation du Planificateur de tches. Valeur par dfaut: Service rseau, Service local.}Restaurer les fichiers et les rpertoires Ce paramtre de scurit dtermine quels utilisateurs peuvent contourner les autorisations de fichiers, de rpertoires, de Registre, et autres autorisations d objets persistantes lors de la restauration de fichiers et de rpertoires sauvegards, et dtermine quels utilisateurs peuvent dfinir un principal de scurit comme propritaire d un objet. Spcifiquement, ce droit d utilisateur revient octroyer les autorisations suivantes l utilisateur ou au groupe en question sur tous les fichiers et dossiers du systme: Parcours du dossier/excuter le fichier crire Attention L affectation de ce droit d utilisateur peut constituer un risque pour la scurit. Comme les utilisateurs bnficiant de ce droit d utilisateur peuvent remplacer les paramtres du Registre, masquer des donnes et prendre possession d objets systme, n affectez ce droit d utilisateur qu aux utilisateurs approuvs. Valeur par dfaut: Stations de travail et serveurs: Administrateurs, Oprateurs de sauvegarde. Contrleurs de domaine: Administrateurs, Oprateurs de sauvegarde, Oprateurs de serveur.bArrter le systme Ce paramtre de scurit dtermine quels utilisateurs connects localement l ordinateur peuvent arrter le systme d exploitation l aide de la commande Arrter. Une utilisation incorrecte de ce droit d utilisateur peut entraner un dni de service. Valeur par dfaut sur les stations de travail: Administrateurs, Oprateurs de sauvegarde, Utilisateurs. Valeur par dfaut sur les serveurs: Administrateurs, Oprateurs de sauvegarde. Valeur par dfaut sur les contrleurs de domaine: Administrateurs, Oprateurs de sauvegarde, Oprateurs de serveur, Oprateurs d impression.,Synchroniser les donnes du service d annuaire Ce paramtre de scurit dtermine quels utilisateurs et quels groupes sont autoriss synchroniser toutes les donnes du service d annuaire. Cette opration est galement qualifie de synchronisation Active Directory. Valeur par dfaut: aucune.]Prendre possession de fichiers ou d autres objets Ce paramtre de scurit dtermine quels utilisateurs peuvent prendre possession des objets du systme ncessitant une scurit, notamment les objets Active Directory, les fichiers et les dossiers, les imprimantes, les cls de Registre, les processus et les threads. Attention L affectation de ce droit d utilisateur peut constituer un risque pour la scurit. Comme les propritaires d objets disposent d un contrle complet sur les objets, n affectez ce droit d utilisateur qu aux utilisateurs approuvs. Valeur par dfaut: Administrateurs.Comptes: statut du compte Administrateur Ce paramtre de scurit dtermine si le compte Administrateur local est activ ou dsactiv. Remarques Si vous tentez de ractiver le compte Administrateur aprs qu il a t dsactiv, et si le mot de passe Administrateur actuel ne rpond pas aux exigences de mot de passe, vous ne pouvez pas ractiver le compte. Dans ce cas, un autre membre du groupe Administrateurs doit rinitialiser le mot de passe sur le compte Administrateur. Pour plus d informations sur la rinitialisation d un mot de passe, voir l article Rinitialiser un mot de passe. La dsactivation du compte Administrateur peut, dans certains cas, crer un problme de maintenance. En mode sans chec, le compte Administrateur dsactiv ne sera activ que si l ordinateur n appartient pas au domaine et s il n y a pas d autres comptes Administrateur actifs locaux. Si l ordinateur appartient au domaine, l administrateur dsactiv ne sera pas activ. Valeur par dfaut: Dsactiv.Comptes: statut du compte Invit Ce paramtre de scurit dtermine si le compte Invit est activ ou dsactiv. Valeur par dfaut: Dsactiv. Remarque: si le compte Invit est dsactiv et si l option de scurit Accs rseau: modle de partage et de scurit pour les comptes locaux a la valeur Invit seul, les ouvertures de session rseau, telles que celles effectues par le serveur rseau Microsoft (service SMB), chouent.Comptes: restreindre l utilisation de mots de passe vides par le compte local l ouverture de session console Ce paramtre de scurit dtermine si les comptes locaux qui ne sont pas protgs par mot de passe peuvent tre utiliss pour une ouverture de session partir d emplacements autres que la console de l ordinateur physique. S il est activ, les comptes locaux qui ne sont pas protgs par mot de passe ne permettent une ouverture de session que sur le clavier de l ordinateur. Valeur par dfaut: Activ. Attention Les ordinateurs qui ne se trouvent pas des emplacements physiquement scuriss doivent toujours appliquer des stratgies de mot de passe fort pour tous les comptes d utilisateur locaux. Sinon, toute personne ayant un accs physique l ordinateur peut ouvrir une session en utilisant un compte d utilisateur sans mot de passe. Ce paramtre est particulirement important pour les ordinateurs portables. Si vous appliquez cette stratgie de scurit au groupe Tout le monde, personne ne pourra se connecter par le biais des services Bureau distance. Remarques Ce paramtre n a pas d incidence sur les ouvertures de session qui utilisent des comptes de domaine. Les applications qui utilisent des ouvertures de session interactives distance peuvent contourner ce paramtre. Remarque: les services Bureau distance taient appels services Terminal Server dans les versions prcdentes de Windows Server.Comptes: renommer le compte Administrateur Ce paramtre de scurit dtermine si un nom de compte diffrent est associ l identificateur de scurit (SID) pour le compte Administrateur. Le fait de changer le nom bien connu du compte Administrateur rend plus difficile pour les personnes non autorises la dcouverte du nom d utilisateur et du mot de passe de ce compte privilgi. Valeur par dfaut: Administrateur.Comptes : renommer le compte Invit Ce paramtre de scurit dtermine si un nom de compte diffrent est associ l identificateur de scurit (SID) pour le compte " Invit ". Le fait de changer le nom bien connu du compte Invit rend plus difficile pour les personnes non autorises la dcouverte du nom d utilisateur et du mot de passe de ce compte privilgi. Valeur par dfaut : Invit. Audit: auditer l accs des objets systme globaux Ce paramtre de scurit dtermine s il convient d auditer l accs aux objets systme globaux. Si cette stratgie est active, les objets systme, tels que les mutex, les vnements, les smaphores et les priphriques DOS, sont crs avec une liste de contrle d accs systme par dfaut (SACL). Seuls les objets nomms reoivent une liste de contrle d accs systme; des listes de contrle d accs systme ne sont pas attribues aux objets sans nom. Si la stratgie d audit Auditer l accs aux objets est galement active, l accs ces objets systme est audit. Remarque: lors de la configuration de ce paramtre de scurit, les modifications ne sont appliques qu aprs le redmarrage de Windows. Valeur par dfaut: Dsactiv.Audit: auditer l utilisation des privilges de sauvegarde et de restauration Ce paramtre de scurit dtermine s il convient d auditer l utilisation de tous les privilges d utilisateur, notamment Sauvegarder et Restaurer, lorsque la stratgie Auditer l utilisation des privilges est en vigueur. L activation de cette option lorsque la stratgie Auditer l utilisation des privilges est galement active gnre un vnement d audit pour chaque fichier qui est sauvegard ou restaur. Si vous dsactivez cette stratgie, l utilisation du privilge Sauvegarder ou Restaurer n est pas audite mme si la stratgie Auditer l utilisation des privilges est active. Remarque: sur les versions Windows antrieures Windows Vista configurant ce paramtre de scurit, les modifications ne prennent effet qu aprs redmarrage de Windows. L activation de ce paramtre peut gnrer un grand nombre d vnements, parfois des centaines par seconde, pendant une opration de sauvegarde. Valeur par dfaut: Dsactiv. Audit: arrter immdiatement le systme s il n est pas possible de se connecter aux audits de scurit Ce paramtre de scurit dtermine si le systme s arrte s il n est pas capable de consigner des vnements de scurit. Si ce paramtre de scurit est activ, le systme s arrte si un audit de scurit ne peut pas tre enregistr pour une raison quelconque. Gnralement, l enregistrement d un vnement choue lorsque le journal d audit de scurit est plein et que la mthode de conservation spcifie pour le journal de scurit est Ne pas remplacer les vnements ou Remplacer les vnements par jour. Si le journal de scurit est plein, si une entre existante ne peut pas tre remplace et si cette option de scurit est active, l erreur suivante apparat: STOP: C0000244 {chec d audit} Une tentative de gnration d un audit de scurit a chou. Pour rcuprer, un administrateur doit se connecter, archiver le journal (facultatif), effacer le journal et rinitialiser cette option si dsir. Tant que ce paramtre de scurit n est pas rinitialis, aucun utilisateur, autre qu un membre du groupe Administrateurs ne peut ouvrir une session sur le systme, mme si le journal de scurit n est pas plein. Remarque: lors de la configuration de ce paramtre de scurit sur les versions de Windows antrieures Windows Vista, les modifications ne sont pas appliques tant que vous ne redmarrez pas Windows. Valeur par dfaut: Dsactiv. Priphriques : autoriser le retrait sans ouverture de session pralable Ce paramtre de scurit dtermine si un ordinateur portable peut tre retir de sa station d accueil sans devoir ouvrir une session. Si cette stratgie est active, l ouverture de session n est pas requise et un bouton d jection externe peut tre utilis pour retirer l ordinateur de sa station d accueil. S'il est dsactiv, un utilisateur doit ouvrir une session et disposer du privilge Retirer l ordinateur de la station d accueil pour effectuer ce retrait. Valeur par dfaut : Activ. Attention La dsactivation de cette stratgie peut pousser les utilisateurs tenter de retirer physiquement l ordinateur portable de sa station d accueil en utilisant d autres mthodes que le bouton d jection externe. Comme cette opration risque d endommager le matriel, ce paramtre ne devrait en gnral tre dsactiv que sur les configurations d ordinateurs portables pouvant tre physiquement scurises. Priphriques : permettre le formatage et l jection des mdias amovibles Ce paramtre de scurit dtermine qui est autoris formater et jecter des mdias NTFS amovibles. Cette capacit peut tre attribue aux : Administrateurs Administrateurs et Utilisateurs interactifs Valeur par dfaut : Cette stratgie n est pas dfinie ; seuls les Administrateurs peuvent le faire. Priphriques: empcher les utilisateurs d installer des pilotes d imprimante lors de la connexion des imprimantes partages Pour qu un ordinateur puisse imprimer sur une imprimante partage, le pilote de cette imprimante partage doit tre install sur l ordinateur local. Ce paramtre de scurit dtermine qui est autoris installer un pilote d imprimante lors de la connexion une imprimante partage. Si ce paramtre est activ, seuls les Administrateurs peuvent installer un pilote d imprimante lors de la connexion une imprimante partage. Si ce paramtre est dsactiv, tout utilisateur peut installer un pilote d imprimante lors de la connexion une imprimante partage. Valeur par dfaut sur les serveurs: Activ. Valeur par dfaut sur les stations de travail: Dsactiv Remarques Ce paramtre n a pas d incidence sur la possibilit d ajouter une imprimante locale. Ce paramtre ne concerne pas les Administrateurs. Priphriques : autoriser l accs au CD-ROM uniquement aux utilisateurs ayant ouvert une session localement Ce paramtre de scurit dtermine si un CD-ROM est accessible simultanment aux utilisateurs locaux et aux utilisateurs distants. Si cette stratgie est active, elle permet uniquement l utilisateur ayant effectu une ouverture de session interactive d accder au support CD-ROM amovible. Si cette stratgie est active et si personne n est connect de faon interactive, le CD-ROM est accessible sur le rseau. Valeur par dfaut : cette stratgie n est pas dfinie, et l accs au CD-ROM n est pas limit au seul utilisateur ayant ouvert une session localement. Priphriques : ne permettre l accs aux disquettes qu aux utilisateurs connects localement Ce paramtre de scurit dtermine si les supports disquettes amovibles sont accessibles simultanment aux utilisateurs locaux et aux utilisateurs distants. Si cette stratgie est active, elle permet uniquement l utilisateur connect de faon interactive d accder un mdia amovible. Si cette stratgie est active et si personne n est connect de faon interactive, la disquette est accessible sur le rseau. Valeur par dfaut : cette stratgie n est pas dfinie, et l accs au lecteur de disquettes n est pas limit au seul utilisateur ayant ouvert une session localement. Priphriques : comportement d installation d un pilote non sign Ce paramtre de scurit dtermine ce qui se produit lors d une tentative d installation d un pilote de priphrique (au moyen de l API Setup) qui n a pas t test par le laboratoire WHQL (Windows Hardware Quality Lab). Les options sont les suivantes : Russite silencieuse Avertir, mais autoriser l installation Ne pas autoriser l installation Valeur par dfaut : Avertir, mais autoriser l installation. Contrleur de domaine : permettre aux oprateurs du serveur de planifier des tches Ce paramtre de scurit dtermine si les oprateurs de serveur sont autoriss soumettre des tches au moyen de la fonction Calendrier AT. Remarque : ce paramtre de scurit concerne uniquement la fonction Calendrier AT ; elle n a pas d incidence sur la fonction Planificateur de tches. Valeur par dfaut : cette stratgie n est pas dfinie, ce qui signifie que le systme la traite comme tant dsactive. Contrleur de domaine : conditions requises pour la signature de serveur LDAP Ce paramtre de scurit dtermine si le serveur LDAP ncessite que la signature soit ngocie avec des clients LDAP, de la manire suivante : Aucun : la signature des donnes n est pas requise pour une liaison avec le serveur. Si le client demande la signature des donnes, le serveur le prend en charge. Ncessiter une signature : sauf si TLS\SSL est utilis, l option de signature des donnes LDAP doit tre ngocie. Valeur par dfaut : Cette stratgie n est pas dfinie, ce qui a le mme effet que Aucun. Attention Si vous paramtrez le serveur Ncessiter une signature, vous devez galement paramtrer le client. Le non-paramtrage du client entrane une perte de connexion avec le serveur. Remarques Ce paramtre n a pas d incidence sur la liaison simple LDAP ou la liaison simple LDAP par SSL. Aucun client LADP Microsoft fourni avec Windows XP Professionnel n utilise la liaison simple LDAP ou la liaison simple LDAP par SSL pour communiquer avec un contrleur de domaine. Si une signature est requise, les demandes de liaison simple LDAP et de liaison simple LDAP par SSL sont rejetes. Aucun client LDAP Microsoft excut sur Windows XP Professionnel ou la famille Windows Server 2003 n utilise la liaison simple LDAP ou la liaison simple LDAP par SSL pour tablir une liaison au service d annuaire. Contrleur de domaine : refuser les modifications de mot de passe du compte ordinateur Ce paramtre de scurit dtermine si les contrleurs de domaine refusent les demandes de changement de mot de passe de compte d ordinateur provenant des ordinateurs membres. Par dfaut, les ordinateurs membres changent leur mot de passe de compte d ordinateur tous les 30 jours. Si ce paramtre est activ, le contrleur de domaine refuse les demandes de changement de mot de passe de compte d ordinateur. S'il est activ, ce paramtre ne permet pas un contrleur de domaine d accepter des changements du mot de passe d un compte d ordinateur. Valeur par dfaut : Cette stratgie n est pas dfinie, ce qui fait que le systme la considre comme Dsactiv. C Membre de domaine : chiffrer ou signer numriquement les donnes des canaux scuriss (toujours) Ce paramtre de scurit dtermine si tout le trafic du canal scuris initialis par le membre du domaine doit tre sign ou chiffr. Lorsqu un ordinateur rejoint un domaine, un compte d ordinateur est cr. Ensuite, lorsque le systme dmarre, il utilise le mot de passe du compte d ordinateur pour crer un canal scuris avec un contrleur de domaine pour son domaine. Ce canal scuris est utilis pour effectuer des oprations telles que l authentification NTLM directe, la recherche de nom LSA SID, etc. Ce paramtre dtermine si tout le trafic du canal scuris initialis par le membre de domaine rpond aux exigences de scurit minimales. Spcifiquement, il dtermine si tout le trafic du canal scuris initialis par le membre de domaine doit tre sign ou chiffr. Si cette stratgie est active, le canal scuris ne sera tabli que si la signature ou le chiffrement de tout le trafic du canal scuris est ngoci. Si cette stratgie est dsactive, le chiffrement et la signature de tout le trafic du canal scuris sont ngocis avec le contrleur de domaine, auquel cas le niveau de signature et de chiffrement dpend de la version du contrleur de domaine et des deux paramtres de stratgie suivants : Membre de domaine : chiffrer numriquement les donnes des canaux scuriss (lorsque cela est possible) Membre de domaine : signer numriquement les donnes des canaux scuriss (lorsque cela est possible) Valeur par dfaut : Activ. Remarques : Si cette stratgie est active, la stratgie Membre de domaine : signer numriquement les donnes des canaux scuriss (lorsque cela est possible) est active, quel que soit son rglage actuel. Cela garantit que le membre du domaine tente au moins de ngocier la signature du trafic du canal scuris. Si cette stratgie est active, la stratgie Membre de domaine : signer numriquement les donnes des canaux scuriss (lorsque cela est possible) est active, quel que soit son rglage actuel. Cela garantit que le membre du domaine tente au moins de ngocier la signature du trafic du canal scuris. Les informations d ouverture de session transmises sur le canal scuris sont toujours chiffres, que le chiffrement de TOUT le trafic du canal scuris soit ngoci ou non. MMembre de domaine: chiffrer numriquement les donnes des canaux scuriss (lorsque cela est possible) Ce paramtre de scurit dtermine si un membre de domaine tente de ngocier le chiffrement de tout le trafic du canal scuris qu il initialise. Lorsqu un ordinateur rejoint un domaine, un compte d ordinateur est cr. Ensuite, lorsque le systme dmarre, il utilise le mot de passe du compte d ordinateur pour crer un canal scuris avec un contrleur de domaine pour son domaine. Ce canal scuris sert effectuer des oprations, telles que l authentification relais NTLM, la recherche de nom LSA SID, etc. Ce paramtre dtermine si le membre de domaine tente de ngocier le chiffrement de tout le trafic du canal scuris qu il initialise. S il est activ, le membre de domaine demande le chiffrement de tout le trafic du canal scuris. Si le contrleur de domaine prend en charge le chiffrement de tout le trafic du canal scuris, tout le trafic du canal scuris est chiffr. Sinon, seules les informations d ouverture de session transmises sur le canal scuris sont chiffres. Si ce paramtre est dsactiv, le membre de domaine ne tente pas de ngocier le chiffrement du canal scuris. Valeur par dfaut: Activ. Important Il n y a aucune raison connue de dsactiver ce paramtre. Outre le fait de rduire inutilement le niveau de confidentialit potentielle du canal scuris, la dsactivation de ce paramtre risque de rduire inutilement le dbit du canal scuris, car les appels simultans des API qui utilisent le canal scuris ne sont possibles que lorsque celui-ci est sign ou chiffr. Remarque: les contrleurs de domaine sont galement des membres de domaine et ils tablissent des canaux scuriss avec d autres contrleurs de domaine du mme domaine, ainsi que des contrleurs de domaine de domaines approuvs. Membre de domaine : signer numriquement les donnes des canaux scuriss (lorsque cela est possible) Ce paramtre de scurit dtermine si un membre de domaine tente de ngocier la signature de tout le trafic d un canal scuris qu il initialise. Lorsqu un ordinateur rejoint un domaine, un compte d ordinateur est cr. Ensuite, lorsque le systme dmarre, il utilise le mot de passe du compte d ordinateur pour crer un canal scuris avec un contrleur de domaine pour son domaine. Ce canal scuris sert effectuer des oprations, telles que l authentification relais NTLM, la recherche de nom LSA SID, etc. Ce paramtre dtermine si le membre de domaine doit tenter de ngocier la signature de tout le trafic du canal scuris qu il initialise. S'il est activ, le membre de domaine demande la signature de tout le trafic du canal scuris. Si le contrleur de domaine prend en charge la signature de tout le trafic du canal scuris, tout le trafic du canal scuris est sign, ce qui signifie qu il ne peut pas tre falsifi durant le transit. Valeur par dfaut : Activ. Remarques Si la stratgie Membre de domaine : chiffrer numriquement les donnes des canaux scuriss (toujours) est active, cette stratgie est suppose tre active, quel que soit son paramtrage actuel. Les contrleurs de domaine sont galement des membres de domaine et ils tablissent des canaux scuriss avec d autres contrleurs de domaine du mme domaine, ainsi que des contrleurs de domaine de domaines approuvs. Membre de domaine : antriorit maximale du mot de passe du compte ordinateur Ce paramtre de scurit dtermine la frquence laquelle un membre de domaine tente de modifier son mot de passe de compte d ordinateur. Valeur par dfaut : 30 jours. Important Ce paramtre s applique aux ordinateurs Windows 2000, mais il n est pas disponible via les outils du Gestionnaire de configuration de scurit sur ces ordinateurs. QMembre de domaine: exiger une cl de session forte (Windows2000 ou version ultrieure) Ce paramtre de scurit dtermine si la puissance de cl 128 bits est ncessaire pour les donnes du canal scuris chiffres. Lorsqu un ordinateur rejoint un domaine, un compte d ordinateur est cr. Ensuite, lorsque le systme dmarre, il utilise le mot de passe du compte d ordinateur pour crer un canal scuris avec un contrleur de domaine au sein du domaine. Ce canal scuris sert effectuer des oprations, telles que l authentification relais NTLM, la recherche de nom LSA SID, etc. Selon la version de Windows excute sur le contrleur de domaine avec lequel le membre de domaine communique et les valeurs des paramtres suivants: Membre de domaine: chiffrer ou signer numriquement les donnes des canaux scuriss (toujours) Membre de domaine: chiffrer numriquement les donnes des canaux scuriss (lorsque cela est possible) Toutes ou une partie des informations transmises sur le canal scuris sont chiffres. Ce paramtre de stratgie dtermine si la puissance de cl 128 bits est ncessaire pour les informations du canal scuris chiffres. Si ce paramtre est activ, le canal scuris n est pas tabli, moins que le chiffrement 128 bits puisse tre effectu. Si ce paramtre est dsactiv, la puissance de la cl est ngocie avec le contrleur de domaine. Valeur par dfaut: Dsactiv. Important Pour bnficier de cette stratgie sur les stations de travail et les serveurs membres, tous les contrleurs de domaine qui constituent le domaine du membre doivent excuter Windows2000 ou une version ultrieure. Pour bnficier de cette stratgie sur les contrleurs de domaine, tous les contrleurs de domaine d un mme domaine, ainsi que des domaines approuvs, doivent excuter Windows2000 ou une version ultrieure. PAMembre de domaine: dsactiver les modifications de mot de passe du compte ordinateur Dtermine si un membre de domaine doit priodiquement modifier son mot de passe de compte d ordinateur. Si ce paramtre est activ, le membre de domaine ne tente pas de modifier son mot de passe de compte d ordinateur. Si ce paramtre est dsactiv, le membre de domaine essaie de modifier son mot de passe de compte d ordinateur tel qu il est spcifi par le paramtre Membre de domaine: antriorit maximale du mot de passe du compte ordinateur, qui est fix par dfaut 30 jours. Valeur par dfaut: Dsactiv. Remarques Il est recommand de ne pas activer ce paramtre de scurit. Les mots de passe de compte d ordinateur sont utiliss pour tablir des communications via le canal scuris entre des membres et des contrleurs de domaine et, au sein du domaine, entre les contrleurs de domaine eux-mmes. Une fois qu il est tabli, le canal scuris est utilis pour transmettre des informations sensibles qui rendent ncessaires le processus d authentification et la vrification des autorisations. Il est recommand de ne pas utiliser ce paramtre pour essayer de prendre en charge des scnarios de double-dmarrage utilisant le mme compte d ordinateur. Si vous voulez mettre en Suvre le double-dmarrage de deux installations qui sont lies au mme domaine, donnez aux deux installations des noms d ordinateur diffrents.Ouverture de session interactive: ne pas afficher le dernier nom d utilisateur Ce paramtre de scurit dtermine si le nom du dernier utilisateur qui s est connect l ordinateur est affich dans l cran d ouverture de session de Windows Si cette stratgie est active, le nom du dernier utilisateur avoir ouvert une session avec succs n est pas affich dans l cran de connexion. . Si cette stratgie est dsactive, le nom du dernier utilisateur avoir ouvert une session est affich. Valeur par dfaut: Dsactiv. ?Ouverture de session interactive: ne pas demander la combinaison de touches Ctrl+Alt+Suppr Ce paramtre de scurit dtermine s il faut appuyer sur les touches Ctrl+Alt+Suppr avant qu un utilisateur puisse ouvrir une session. Si cette stratgie est active sur un ordinateur, l utilisateur ne doit pas appuyer sur les touches Ctrl+Alt+Suppr pour ouvrir une session. Le fait de ne pas avoir appuyer sur ces touches expose les utilisateurs des attaques qui tentent d intercepter leur mot de passe. Le fait d exiger la combinaison de touches Ctrl+Alt+Suppr avant que des utilisateurs ouvrent une session garantit que ces utilisateurs tablissent la communication via un chemin d accs approuv quand ils entrent leur mot de passe. Si cette stratgie est dsactive, tous les utilisateurs doivent appuyer sur les touches Ctrl+Alt+Suppr avant d ouvrir une session Windows. Valeur par dfaut sur les ordinateurs qui sont lis un domaine: Activ: au moins Windows8/Dsactiv: Windows7 ou version antrieure. Valeur par dfaut sur les ordinateurs autonomes: Activ. Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter Ce paramtre de scurit spcifie un message texte qui est affich aux utilisateurs quand ils ouvrent une session. Ce texte est souvent affich pour des raisons juridiques, par exemple pour informer les utilisateurs des consquences d une mauvaise utilisation des informations de l entreprise ou pour les avertir que leurs actions peuvent tre enregistres. Valeur par dfaut : pas de message. _Ouverture de session interactive : titre du message pour les utilisateurs essayant de se connecter Ce paramtre de scurit permet de spcifier un titre qui apparatra dans la barre de titre de la fentre Ouverture de session interactive : contenu du message pour les utilisateurs essayant de se connecter. Valeur par dfaut : aucun message. Ouverture de session interactive: nombre d ouvertures de session antrieures mettre en cache (au cas o le contrleur de domaine ne serait pas disponible) Les informations d ouverture de session de chaque utilisateur unique sont mises en cache de manire locale afin que, dans l hypothse ou un contrleur de domaine ne serait pas disponible lors de tentatives d ouverture de session ultrieures, l utilisateur puisse ouvrir une session. Les informations d ouverture de session mises en cache sont stockes partir de la prcdente session ouverte. Si un contrleur de domaine n est pas disponible et si les informations d ouverture de session ne sont pas mises en cache, l utilisateur voit s afficher le message suivant: Aucun serveur d accs n est actuellement disponible pour traiter la demande d ouverture de session. Dans ce paramtre de stratgie, la valeur0 dsactive la mise en cache de l ouverture de session. Toute valeur suprieure 50entrane la mise en cache de 50tentatives d ouverture de session uniquement. Windows prend en charge au maximum 50entres de cache, et le nombre d entres consommes par utilisateur dpend des informations d identification. Par exemple, au maximum, 50comptes d utilisateurs uniques avec accs par mot de passe peuvent tre mis en cache sur un systme Windows, mais seulement 25comptes d utilisateurs avec accs par carte puce peuvent tre mis en cache, car les informations relatives au mot de passe et les informations relatives la carte puce sont stockes. Lorsqu un utilisateur dont les informations d ouverture de session ont t mises en cache rouvre une session, les informations mises en cache pour cet utilisateur sont remplaces. Valeur par dfaut: Windows Server 2008: 25 Toutes les autres versions: 10 vOuverture de session interactive: prvenir l utilisateur qu il doit changer son mot de passe avant qu il n expire Dtermine combien de temps l avance (en jours) les utilisateurs sont prvenus que leur mot de passe va expirer. Grce cet avertissement anticip, l utilisateur a le temps d laborer un mot de passe suffisamment fort. Valeur par dfaut: 5 jours. jOuverture de session interactive : exiger l authentification par le contrleur de domaine pour le dverrouillage Les informations d ouverture de session doivent tre fournies pour dverrouiller un ordinateur verrouill. Pour les comptes de domaine, ce paramtre de scurit dtermine si un contrleur de domaine doit tre contact pour dverrouiller un ordinateur. Si ce paramtre est dsactiv, un utilisateur peut dverrouiller l ordinateur avec les informations d identification qui se trouvent dans le cache. Si ce paramtre est activ, un contrleur de domaine doit authentifier le compte de domaine qui est utilis pour dverrouiller l ordinateur. Valeur par dfaut : Dsactiv. Important Ce paramtre s applique aux ordinateurs Windows 2000, mais il n est pas disponible via les outils du Gestionnaire de configuration de scurit sur ces ordinateurs. Ouverture de session interactive : carte puce ncessaire Ce paramtre de scurit exige que les utilisateurs ouvrent une session sur un ordinateur l aide d une carte puce. Les options sont : Activ. Les utilisateurs peuvent ouvrir une session sur l ordinateur uniquement l aide d une carte puce. Dsactiv. Les utilisateurs peuvent ouvrir une session sur l ordinateur l aide de n importe quelle mthode. Valeur par dfaut : Dsactiv. Important Ce paramtre s applique tous les ordinateurs excutant Windows 2000 par le biais de modifications dans le Registre, mais le paramtre de scurit ne peut pas tre affich l aide du jeu d outils du Gestionnaire de configuration de scurit. &Ouverture de session interactive: comportement lorsque la carte puce est retire Ce paramtre de scurit dtermine ce qui se passe quand la carte puce d un utilisateur connect est retire du lecteur de carte puce. Les options sont: Aucune action Verrouiller la station de travail Forcer la fermeture de session Dconnecter en cas de session Bureau distance Si vous cliquez sur Verrouiller la station de travail dans la bote de dialogue Proprits de cette stratgie, la station de travail est verrouille quand la carte puce est retire, permettant ainsi aux utilisateurs de quitter les locaux, de prendre avec eux leur carte puce et de conserver nanmoins une session protge. Si vous cliquez sur Forcer la fermeture de session dans la bote de dialogue Proprits de cette stratgie, l utilisateur est automatiquement dconnect quand la carte puce est retire. Si vous cliquez sur Dconnecter en cas de session Bureau distance, la session est dconnecte sans fermeture de la session de l utilisateur quand la carte puce est retire. Cela permet l utilisateur d insrer la carte puce et de reprendre la session ultrieurement ou sur un autre ordinateur quip d un lecteur de carte puce, sans devoir ouvrir nouveau une session. Si la session est locale, cette stratgie prsente un fonctionnement identique Verrouiller la station de travail. Remarque: les services Bureau distance taient appels services Terminal Server dans les versions prcdentes de Windows Server. Par dfaut: cette stratgie n est pas dfinie, ce qui signifie que le systme la traite comme si aucune action n tait configure. Sur Windows Vista et version ultrieure: pour que ce paramtre fonctionne, le service Stratgie de retrait de la carte puce doit tre dmarr. Client rseau Microsoft : communications signes numriquement (toujours) Ce paramtre de scurit dtermine si la signature des paquets est requise par le composant client SMB. Le protocole SMB (Server Message Block) reprsente la base sur laquelle s appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d autres oprations de gestion de rseau, telles que l administration distance de Windows. Pour empcher les attaques par un intermdiaire, susceptibles de modifier les paquets SMB en transit, le protocole SMB prend en charge la signature numrique des paquets SMB. Ce paramtre de stratgie dtermine si la signature des paquets SMB doit tre ngocie pour qu une communication soit autorise avec un serveur SMB. Si ce paramtre est activ, le client rseau Microsoft ne communique pas avec un serveur rseau Microsoft, moins que ce serveur accepte de signer les paquets SMB. Si cette stratgie est dsactive, la signature des paquets SMB est ngocie entre le client et le serveur. Valeur par dfaut : Dsactiv. Important Pour que cette stratgie prenne effet sur les ordinateurs excutant Windows 2000, la signature des paquets ct client doit galement tre active. Pour activer la signature des paquets SMB ct client, dfinissez Client rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte). Les ordinateurs sur lesquels cette stratgie est dfinie ne communiqueront pas avec les ordinateurs pour lesquels la signature des paquets ct serveur n est pas active. Par dfaut, la signature des paquets ct serveur est active seulement sur les contrleurs de domaine excutant Windows 2000 et versions ultrieures. Il est possible d activer la signature des paquets ct serveur sur les ordinateurs excutant Windows 2000 ou version ultrieure, en dfinissant Serveur rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) Il est possible d activer la signature des paquets ct serveur sur les ordinateurs excutant Windows NT 4.0 Service Pack 3 ou version ultrieure, en dfinissant la valeur de Registre suivante sur 1 : HKLM\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature La signature des paquets ct serveur ne peut pas tre active sur les ordinateurs excutant Windows 95 ou Windows 98. Remarques Tous les systmes d exploitation Windows prennent en charge un composant SMB ct client et un composant SMB ct serveur. Afin de bnficier de la signature des paquets SMB, le composant SMB ct client et le composant SMB ct serveur impliqus dans une communication doivent avoir la signature de paquets SMB active ou requise. Sous Windows 2000 et versions ultrieures, l activation et la demande de la signature de paquets pour les composants SMB ct client et ct serveur sont contrles par les quatre paramtres de stratgie suivants : Client rseau Microsoft : communications signes numriquement (toujours) - Contrle si le composant SMB ct client ncessite ou non la signature des paquets. Client rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct client est active ou non. Serveur rseau Microsoft : communications signes numriquement (toujours) - Contrle si le composant SMB ct serveur ncessite ou non la signature des paquets. Serveur rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct serveur est active ou non. Si la signature SMB ct serveur est requise, un client ne peut pas tablir de session avec ce serveur moins que la signature SMB ct client soit active. Par dfaut, la signature SMB ct client est active sur les stations de travail, les serveurs et les contrleurs de domaine. De mme, si la signature SMB ct client est requise, ce client ne peut pas tablir de session avec les serveurs sur lesquels la signature des paquets n est pas active. Par dfaut, la signature SMB ct serveur est active seulement sur les contrleurs de domaine. Si la signature SMB ct serveur est active, la signature des paquets SMB est ngocie avec les clients pour lesquels la signature SMB ct client est active. L'utilisation de la signature des paquets SMB peut entraner un gain de performances pouvant aller jusqu 15 pour cent sur les transactions des services de fichiers. Client rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) Ce paramtre de scurit dtermine si le client SMB tente de ngocier la signature du paquet SMB ou non. Le protocole SMB (Server Message Block) reprsente la base sur laquelle s appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d autres oprations de gestion de rseau, telles que l administration distance de Windows. Pour empcher les attaques par un intermdiaire, susceptibles de modifier les paquets SMB en transit, le protocole SMB prend en charge la signature numrique des paquets SMB. Ce paramtre de stratgie dtermine si le composant client SMB tente de ngocier la signature des paquets SMB lorsqu il se connecte un serveur SMB. Si ce paramtre est activ, le client rseau Microsoft demandera au serveur de signer les paquets SMB lors de l installation de la session. Si la signature des paquets est active sur le serveur, elle est ngocie. Si cette stratgie est dsactive, le client SMB ne ngocie jamais la signature des paquets SMB. Valeur par dfaut : Activ. Remarques Tous les systmes d exploitation Windows prennent en charge un composant SMB ct client et un composant SMB ct serveur. Afin de bnficier de la signature des paquets SMB, le composant SMB ct client et le composant SMB ct serveur impliqus dans une communication doivent avoir la signature de paquets SMB active ou requise. Sous Windows 2000 et versions ultrieures, l activation et la demande de cette signature de paquets pour les composants SMB ct client et ct serveur sont contrles par les quatre paramtres de stratgie suivants : Client rseau Microsoft : communications signes numriquement (toujours) - Contrle si le composant SMB ct client ncessite ou non la signature des paquets. Client rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct client est active ou non. Serveur rseau Microsoft : communications signes numriquement (toujours) - Contrle si le composant SMB ct serveur ncessite ou non la signature des paquets. Serveur rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct serveur est active ou non. Si la signature SMB ct serveur est requise, un client ne peut pas tablir de session avec ce serveur, moins que la signature SMB ct client soit active. Par dfaut, la signature SMB ct client est active sur les stations de travail, les serveurs et les contrleurs de domaine. De mme, si la signature SMB ct client est requise, ce client ne peut pas tablir de session avec les serveurs sur lesquels la signature des paquets n est pas active. Par dfaut, la signature SMB ct serveur est active seulement sur les contrleurs de domaine. Si la signature SMB ct serveur est active, la signature des paquets SMB est ngocie avec les clients pour lesquels la signature SMB ct client est active. L'utilisation de la signature des paquets SMB peut entraner une dgradation des performances pouvant aller jusqu 15 pour cent sur les transactions des services de fichiers. Client rseau Microsoft: envoyer un mot de passe non chiffr pour se connecter des serveurs SMB tierce partie Si ce paramtre de scurit est activ, le redirecteur SMB (Server Message Block) est autoris envoyer des mots de passe en clair des serveurs qui ne sont pas des serveurs SMB Microsoft et qui ne prennent pas en charge le chiffrement de mot de passe lors de l authentification. L envoi de mots de passe non chiffrs constitue un risque pour la scurit. Valeur par dfaut: Dsactiv.Serveur rseau Microsoft : dure du dlai d attente avant la fermeture d une session Ce paramtre de scurit dtermine la dure d inactivit continue qui doit s'couler au cours d une session SMB (Server Message Block) avant que la session soit suspendue pour cause d inactivit. Les administrateurs peuvent utiliser cette stratgie pour contrler quand un ordinateur suspend une session SMB inactive. Si l activit du client reprend, la session est automatiquement rtablie. Pour ce paramtre de stratgie, une valeur de 0 signifie qu il faut dconnecter une session inactive aussi vite qu il est raisonnablement possible. La valeur maximale est 99 999, soit 208 jours ; quand elle est applique, cette valeur dsactive la stratgie. Valeur par dfaut : cette stratgie n est pas dfinie, ce qui fait que le systme la considre comme 15 minutes pour les serveurs et comme non dfinie pour les stations de travail. Client rseau Microsoft : communications signes numriquement (toujours) Ce paramtre de scurit dtermine si la signature des paquets est requise par le composant client SMB. Le protocole SMB (Server Message Block) reprsente la base sur laquelle s appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d autres oprations de gestion de rseau, telles que l administration distance de Windows. Pour empcher les attaques par un intermdiaire, susceptibles de modifier les paquets SMB en transit, le protocole SMB prend en charge la signature numrique des paquets SMB. Ce paramtre de stratgie dtermine si la signature des paquets SMB doit tre ngocie pour qu une communication soit autorise avec un serveur SMB. Si ce paramtre est activ, le client rseau Microsoft ne communique pas avec un serveur rseau Microsoft, moins que ce serveur accepte de signer les paquets SMB. Si cette stratgie est dsactive, la signature des paquets SMB est ngocie entre le client et le serveur. Valeur par dfaut : Dsactiv pour les serveurs membres. Activ pour les contrleurs de domaine. Remarques Tous les systmes d exploitation Windows prennent en charge un composant SMB ct client et un composant SMB ct serveur. Pour bnficier de la signature des paquets SMB, le composant SMB ct client et le composant SMB ct serveur impliqus dans une communication doivent avoir la signature de paquets SMB active ou requise. Sous Windows 2000 et versions ultrieures, l activation et la demande de la signature de paquets pour les composants SMB ct client et ct serveur sont contrles par les quatre paramtres de stratgie suivants : Client rseau Microsoft : communications signes numriquement (toujours) - Contrle si le composant SMB ct client ncessite ou non la signature des paquets. Client rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct client est active ou non. Serveur rseau Microsoft : communications signes numriquement (toujours) - Contrle si le composant SMB ct serveur ncessite ou non la signature des paquets. Serveur rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct serveur est active ou non. Si la signature SMB ct serveur est requise, un client ne peut pas tablir de session avec ce serveur moins que la signature SMB ct client soit active. Par dfaut, la signature SMB ct client est active sur les stations de travail, les serveurs et les contrleurs de domaine. De mme, si la signature SMB ct client est requise, ce client ne peut pas tablir de session avec les serveurs sur lesquels la signature des paquets n est pas active. Par dfaut, la signature SMB ct serveur est active seulement sur les contrleurs de domaine. Si la signature SMB ct serveur est active, la signature des paquets SMB est ngocie avec les clients pour lesquels la signature SMB ct client est active. L'utilisation de la signature des paquets SMB peut entraner un gain de performances pouvant aller jusqu 15 pour cent sur les transactions des services de fichiers. Important Pour que cette stratgie prenne effet sur les ordinateurs excutant Windows 2000, la signature des paquets ct client doit galement tre active. Pour activer la signature des paquets SMB ct client, dfinissez la stratgie suivante : Client rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte) Pour que les serveurs Windows 2000 ngocient la signature avec des clients Windows NT 4.0, la valeur de Registre suivante doit tre dfinie 1 sur le serveur Windows 2000 : HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Les ordinateurs sur lesquels cette stratgie est dfinie ne communiqueront pas avec les ordinateurs pour lesquels la signature des paquets ct serveur n est pas active. La signature des paquets ct client peut tre active sur les ordinateurs excutant Windows 2000 et versions ultrieures en dfinissant la stratgie suivante : Serveur rseau Microsoft: communications signes numriquement (lorsque le client l accepte) Ce paramtre de scurit dtermine si le serveur SMB ngocie la signature des paquets SMB avec les clients qui la demandent. Le protocole SMB (Server Message Block) reprsente la base sur laquelle s appuient le partage des fichiers et des imprimantes Microsoft ainsi que beaucoup d autres oprations de gestion de rseau, telles que l administration distance de Windows. Pour empcher les attaques par un intermdiaire, susceptibles de modifier les paquets SMB en transit, le protocole SMB prend en charge la signature numrique des paquets SMB. Ce paramtre de stratgie dtermine si le serveur SMB ngocie la signature des paquets SMB lorsqu un client SMB la demande. Si ce paramtre est activ, le serveur rseau Microsoft ngocie la signature des paquets SMB conformment la demande du client. Ainsi, si la signature des paquets est active sur le client, elle est ngocie. Si cette stratgie est dsactive, le client SMB ne ngocie jamais la signature des paquets SMB. Valeur par dfaut: active sur les contrleurs de domaine uniquement. Important Pour que les serveurs Windows 2000 ngocient la signature avec les clients Windows NT 4.0, la valeur de registre ci-dessous doit tre dfinie 1 sur le serveur excutant Windows 2000: HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\enableW9xsecuritysignature Remarques Tous les systmes d exploitation Windows prennent en charge un composant SMB ct client et un composant SMB ct serveur. Afin de bnficier de la signature des paquets SMB, le composant SMB ct client et le composant SMB ct serveur impliqus dans une communication doivent avoir la signature de paquets SMB active ou requise. Sous Windows 2000 ou version ultrieure, l activation et la demande de la signature des paquets pour les composants SMB ct client et ct serveur sont contrles par les quatre paramtres de stratgie suivants: Client rseau Microsoft: communications signes numriquement (toujours) - Contrle si le composant SMB ct client requiert ou non la signature des paquets. Client rseau Microsoft: communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct client est active ou non. Serveur rseau Microsoft: communications signes numriquement (toujours) - Contrle si le composant SMB ct serveur requiert ou non la signature des paquets. Serveur rseau Microsoft: communications signes numriquement (lorsque le serveur l accepte) - Contrle si la signature des paquets pour le composant SMB ct serveur est active ou non. Si la signature SMB ct serveur est requise, un client ne peut pas tablir de session avec ce serveur, moins que la signature SMB ct client soit active. Par dfaut, la signature SMB ct client est active sur les stations de travail, les serveurs et les contrleurs de domaine. De mme, si la signature SMB ct client est requise, ce client ne peut pas tablir de session avec les serveurs sur lesquels la signature des paquets n est pas active. Par dfaut, la signature SMB ct serveur est active seulement sur les contrleurs de domaine. Si la signature SMB ct serveur est active, la signature des paquets SMB est ngocie avec les clients pour lesquels la signature SMB ct client est active. L utilisation de la signature des paquets SMB peut entraner un gain de performances pouvant aller jusqu 15 pour cent sur les transactions des services de fichiers. Serveur rseau Microsoft : dconnecter les clients l expiration du dlai de la dure de session Ce paramtre de scurit dtermine s il faut dconnecter les utilisateurs qui sont connects l ordinateur local en dehors des heures d ouverture de session valides du compte de l utilisateur. Ce paramtre concerne le composant SMB (Server Message Block). Quand cette stratgie est active, les sessions client du service SMB sont dconnectes d office quand les horaires de connexion du client arrivent expiration. Si cette stratgie est dsactive, une session client en cours est autorise tre maintenue aprs l expiration des horaires de connexion du client. Valeur par dfaut sur Windows Vista et versions ultrieures : activ. Valeur par dfaut sur Windows XP : dsactiv Accs rseau: permet la traduction de noms/SID anonymes Ce paramtre de stratgie dtermine si un utilisateur anonyme peut demander les attributs SID d un autre utilisateur. Si cette stratgie est active, un utilisateur anonyme peut demander l attribut SID d un autre utilisateur. Un utilisateur anonyme connaissant le SID d un administrateur pourra contacter un ordinateur sur lequel cette stratgie est active et utiliser le SID pour obtenir le nom de l administrateur. Ce paramtre affecte la traduction SID-nom et la traduction nom-SID. Si ce paramtre de stratgie est dsactiv, un utilisateur anonyme ne peut pas demander l attribut SID pour un autre utilisateur. Valeur par dfaut sur les stations de travail et les serveurs membres: Dsactiv. Valeur par dfaut sur les contrleurs de domaine excutant Windows Server 2008 ou version ultrieure: Dsactiv. Valeur par dfaut sur les contrleurs de domaine excutant Windows Server2003R2 ou version antrieure: Activ.HAccs rseau: ne pas autoriser l numration anonyme des comptes SAM Ce paramtre de scurit dtermine quelles autorisations supplmentaires sont octroyes aux connexions anonymes l ordinateur. Windows autorise les utilisateurs anonymes effectuer certaines activits, comme l numration des noms des comptes de domaine et des partages rseau. Cette possibilit est pratique, par exemple lorsqu un administrateur veut accorder aux utilisateurs l accs dans un domaine approuv ne conservant pas une approbation rciproque. Cette option de scurit permet d imposer aux connexions anonymes les restrictions supplmentaires suivantes: Activ: Ne pas autoriser l numration des comptes SAM. Cette option remplace Tout le monde par Utilisateurs authentifis dans les autorisations de scurit pour les ressources. Dsactiv: Aucune autre restriction. Correspond aux permissions par dfaut. Valeur par dfaut sur les stations de travail: Activ. Valeur par dfaut sur le serveur: Activ. Important Cette stratgie n a aucun impact sur les contrleurs de domaine. Accs rseau : ne pas autoriser l numration anonyme des comptes et partages SAM Ce paramtre de scurit dtermine si l numration anonyme des comptes et des partages SAM est autorise. Windows autorise les utilisateurs anonymes effectuer certaines activits, comme l numration des noms des comptes de domaine et des partages rseau. Cette possibilit est pratique, par exemple lorsqu un administrateur veut accorder aux utilisateurs l accs dans un domaine approuv ne conservant pas une approbation rciproque. Si vous ne voulez pas autoriser l numration anonyme des comptes et partages SAM, activez cette stratgie. Valeur par dfaut : Dsactiv. Accs rseau: ne pas autoriser le stockage de mots de passe et d informations d identification pour l authentification du rseau. Ce paramtre de scurit dtermine si le Gestionnaire d informations d identification permet d enregistrer les mots de passe ou les informations d identification pour une utilisation ultrieure aprs obtention de l authentification du domaine. Si vous activez ce paramtre, le Gestionnaire d informations d identification n enregistre pas les mots de passe et les informations d identification sur l ordinateur. Si vous dsactivez ou ne configurez pas ce paramtre, le Gestionnaire d informations d identification enregistre les mots de passe et les informations d identification sur cet ordinateur pour une utilisation ultrieure des fins d authentification du domaine. Remarque: lors de la configuration de ce paramtre de scurit, vous devez redmarrer Windows pour que les modifications puissent tre effectives. Valeur par dfaut: Dsactiv. Accs rseau : les autorisations Tout le monde s appliquent aux utilisateurs anonymes Ce paramtre de scurit dtermine quelles autorisations supplmentaires sont accordes pour les connexions anonymes l ordinateur. Windows autorise les utilisateurs anonymes effectuer certaines activits, comme l numration des noms des comptes de domaine et des partages rseau. Cette possibilit est pratique, par exemple lorsqu un administrateur veut accorder aux utilisateurs l accs dans un domaine approuv ne conservant pas une approbation rciproque. Par dfaut, le jeton cr pour les connexions anonymes n inclut pas le SID de Tout le monde. Par consquent, les autorisations accordes au groupe Tout le monde ne s appliquent pas aux utilisateurs anonymes. Si cette option est active, les utilisateurs anonymes ne peuvent accder qu aux ressources pour lesquelles ils ont reu explicitement un droit d accs. Si cette stratgie est active, le SID de Tout le monde est ajout au jeton cr pour les connexions anonymes. Dans ce cas, les utilisateurs anonymes peuvent accder n importe quelle ressource pour laquelle le groupe Tout le monde a reu un droit d accs. Valeur par dfaut : Dsactiv. Accs rseau : les canaux nomms qui sont accessibles de manire anonyme Ce paramtre de scurit dtermine quelles sessions de communication (ou canaux) disposeront d attributs et d autorisations permettant un accs anonyme. Valeur par dfaut : Aucun. &Accs rseau: chemins de Registre accessibles distance Ce paramtre de scurit dtermine quelles cls de Registre sont accessibles sur le rseau, quels que soient les utilisateurs ou groupes rpertoris dans la liste de contrle d accs de la cl de Registre winreg. Valeur par dfaut: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersion Attention Une modification incorrecte du Registre peut endommager gravement votre systme. Avant de modifier le Registre, sauvegardez toutes les donnes importantes de votre ordinateur. Remarque: ce paramtre de scurit n est pas disponible dans les versions antrieures de Windows. Le paramtre de scurit figurant sur les ordinateurs excutant Windows XP, Accs rseau: chemins de Registre accessibles distance correspond l option de scurit Accs rseau: chemins et sous-chemins de Registre accessibles distance sur les membres de la famille Windows Server 2003. Pour plus d informations, voir Accs rseau: chemins et sous-chemins de Registre accessibles distance. Valeur par dfaut: System\CurrentControlSet\Control\ProductOptions System\CurrentControlSet\Control\Server Applications Software\Microsoft\Windows NT\CurrentVersionAccs rseau : chemins et sous-chemins de Registre accessibles distance Ce paramtre de scurit dtermine quels sont les chemins et sous-chemins de Registre accessibles sur le rseau, quels que soient les utilisateurs ou groupes rpertoris dans la liste de contrle d accs de la cl de Registre winreg. Valeur par dfaut : System\CurrentControlSet\Control\Print\Printers System\CurrentControlSet\Services\Eventlog Software\Microsoft\OLAP Server Software\Microsoft\Windows NT\CurrentVersion\Print Software\Microsoft\Windows NT\CurrentVersion\Windows System\CurrentControlSet\Control\ContentIndex System\CurrentControlSet\Control\Terminal Server System\CurrentControlSet\Control\Terminal Server\UserConfig System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration Software\Microsoft\Windows NT\CurrentVersion\Perflib System\CurrentControlSet\Services\SysmonLog System\CurrentControlSet\Services\CertSvc System\CurrentControlSet\Services\Wins Attention Une modification incorrecte du Registre peut endommager gravement votre systme. Avant de modifier le Registre, sauvegardez toutes les donnes importantes de votre ordinateur. Remarque : sous Windows XP, ce paramtre de scurit se nommait " Accs rseau : les chemins de Registre accessibles distance ". Si vous configurez ce paramtre sur un membre de la famille Windows Server 2003 qui est li un domaine, il sera hrit par les ordinateurs excutant Windows XP, mais il figurera sous le nom " Accs rseau : les chemins de Registre accessibles distance ". Pour plus d informations, voir Accs rseau : les chemins et sous-chemins de Registre accessibles distance. {Accs rseau : restreindre l accs anonyme aux canaux nomms et aux partages Lorsqu il est activ, ce paramtre de scurit restreint l accs anonyme aux partages et aux canaux pour les paramtres : Accs rseau : les canaux nomms qui sont accessibles de manire anonyme Accs rseau : les partages qui sont accessibles de manire anonyme Valeur par dfaut : Activ. Accs rseau : les partages qui sont accessibles de manire anonyme Ce paramtre de scurit dtermine les partages rseau accessibles aux utilisateurs anonymes. Valeur par dfaut : non dfinie. Accs rseau: modle de partage et de scurit pour les comptes locaux Ce paramtre de scurit dtermine le mode d authentification des ouvertures de session rseau qui utilisent des comptes locaux. Si ce paramtre a la valeur Classique, les ouvertures de session sur le rseau qui utilisent les informations d identification du compte local s authentifient grce celles-ci. Le modle Classique permet de contrler prcisment l accs aux ressources. Il permet d accorder diffrents utilisateurs diffrents types d accs une mme ressource. Si ce paramtre a la valeur Invit seul, les ouvertures de session sur le rseau qui utilisent les comptes locaux sont automatiquement mappes sur le compte Invit. Avec le modle Invit, tous les utilisateurs sont traits de la mme faon. Tous les utilisateurs s authentifient comme Invit et ils reoivent tous le mme niveau d accs une ressource donne, soit Lecture seule ou Modification. Valeur par dfaut sur les ordinateurs lis un domaine: Classique. Valeur par dfaut sur les ordinateurs autonomes: Invit seul Important Avec le modle Invit seul, tous les utilisateurs susceptibles d accder votre ordinateur sur le rseau (y compris les utilisateurs anonymes sur Internet) peuvent accder vos ressources partages. Vous devez utiliser le Pare-feu Windows ou un autre priphrique similaire pour protger votre ordinateur des accs non autoriss. De mme, avec le modle Classique, les comptes locaux doivent tre protgs par un mot de passe, sinon ces comptes d utilisateurs pourront tre utiliss par n importe qui pour accder aux ressources systme partages. Remarque: Ce paramtre n a aucune incidence sur les ouvertures de session interactives effectues distance via des services comme Telnet ou les services Bureau distance Les services Bureau distance taient appels services Terminal Server dans les versions prcdentes de Windows Server. Cette stratgie n a aucune incidence sur les ordinateurs excutant Windows2000. Lorsque l ordinateur n est pas li un domaine, ce paramtre modifie galement les onglets Partage et Scurit de l Explorateur de fichiers afin qu ils correspondent au modle de partage et de scurit utilis. Scurit rseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe Ce paramtre de scurit dtermine si, lors de la prochaine modification de mot de passe, LAN Manager ne peut pas stocker de valeurs de hachage pour le nouveau mot de passe. Le hachage LAN Manager est relativement faible et vulnrable aux attaques, en comparaison du hachage Windows NT dont le niveau de chiffrement est plus puissant. Dans la mesure o le hachage LAN Manager est stock sur l ordinateur local dans la base de donnes de scurit, la scurit des mots de passe peut tre compromise en cas d attaque de la base de donnes de scurit. Valeur par dfaut sur Windows Vista et versions ultrieures : activ Valeur par dfaut sur Windows XP : dsactiv. Important Windows 2000 Service Pack 2 (SP2) et les versions ultrieures sont compatibles avec l authentification des prcdentes versions de Windows, comme Microsoft Windows NT 4.0. Ce paramtre peut affecter la capacit des ordinateurs excutant Windows 2000 Server, Windows 2000 Professionnel, Windows XP et la famille Windows Server 2003 communiquer avec des ordinateurs excutant Windows 95 et Windows 98. Scurit rseau : forcer la fermeture de session quand les horaires de connexion expirent Ce paramtre de scurit dtermine s il convient de dconnecter les utilisateurs de l ordinateur local hors des heures d ouvertures de session valides figurant dans le compte d utilisateur. Ce paramtre affecte le composant SMB (Server Message Block). Si vous activez ce paramtre, les sessions client tablies avec le serveur SMB sont forces de se dconnecter l expiration de la dure de session des clients. Si vous le dsactivez, elles sont maintenues aprs l expiration de la dure de session des clients. Valeur par dfaut : Activ. Remarque : ce paramtre de scurit se comporte comme une stratgie de compte. Les comptes de domaine ne peuvent avoir qu une seule stratgie de compte. Celle-ci doit tre dfinie dans la stratgie de domaine par dfaut ; elle est applique par les contrleurs de domaine qui constituent le domaine. Un contrleur de domaine rcupre toujours la stratgie de compte de l objet de stratgie de groupe de la stratgie de domaine par dfaut, mme si une autre stratgie de compte est applique l unit d organisation contenant le contrleur de domaine. Par dfaut, les stations de travail et les serveurs lis un domaine (par exemple, des ordinateurs membres) reoivent galement la mme stratgie de compte pour leurs comptes locaux. Toutefois, les stratgies de compte locaux des ordinateurs membres peuvent tre diffrentes de la stratgie de compte de domaine si vous dfinissez une stratgie de compte pour l unit d organisation qui contient les ordinateurs membres. Les paramtres Kerberos ne sont pas appliqus aux ordinateurs membres. J Scurit rseau: niveau d authentification LAN Manager Ce paramtre de scurit dtermine quel est le protocole d authentification de stimulation/rponse des ouvertures de session rseau utilis. Ce choix a une incidence sur le niveau du protocole d authentification qu utilisent les clients, le niveau de scurit de session que ngocient les systmes et le niveau d authentification qu acceptent les serveurs, de la faon suivante: Envoyer les rponses LM et NTLM: les clients utilisent l authentification LM et NTLM et n ont jamais recours la scurit de session NTLMv2; les contrleurs de domaine acceptent l authentification LM, NTLM et NTLMv2. Envoyer LM et NTLM - utiliser la scurit de session NTLM version 2 si ngocie: les clients utilisent l authentification LM et NTLM ainsi que la scurit de session NTLMv2 si le serveur la prend en charge. Les contrleurs de domaine acceptent l authentification LM, NTLM et NTLMv2. Envoyer uniquement les rponses NTLM: les clients utilisent l authentification NTLM uniquement, ainsi que la scurit de session NTLMv2 si le serveur la prend en charge. Les contrleurs de domaine acceptent l authentification LM, NTLM et NTLMv2. Envoyer uniquement les rponses NTLMv2: les clients utilisent l authentification NTLMv2 uniquement, ainsi que la scurit de session NTLMv2 si le serveur la prend en charge. Les contrleurs de domaine acceptent l authentification LM, NTLM et NTLMv2. Envoyer uniquement les rponses NTLMv2\Refuser LM: les clients utilisent l authentification NTLMv2 uniquement, ainsi que la scurit de session NTLMv2 si le serveur la prend en charge. Les contrleurs de domaine refusent l authentification LM (acceptent uniquement l authentification NTLM et NTLMv2). Envoyer des rponses NTLM version 2 uniquement\Refuser LM et NTLM: les clients utilisent l authentification NTLMv2 uniquement, ainsi que la scurit de session NTLMv2 si le serveur la prend en charge. Les contrleurs de domaine refusent l authentification LM et NTLM(acceptent uniquement l authentification NTLMv2). Important Ce paramtre peut altrer la capacit des ordinateurs excutant Windows 2000 Server, Windows 2000 Professionnel, Windows XP Professionnel et la famille Windows Server 2003 communiquer avec des ordinateurs excutant Windows NT 4.0 et versions antrieures sur le rseau. Par exemple, la date de publication de ce texte, les ordinateurs excutant Windows NT 4.0 SP4 et les versions antrieures ne prennent pas en charge NTLMv2. Les ordinateurs excutant Windows 95 et Windows 98 ne prennent pas en charge NTLM. Valeur par dfaut: Windows 2000 et Windows XP: Envoyer les rponses LM et NTLM sur le serveur Windows Server 2003: Envoyer uniquement les rponses NTLM Windows Vista, Windows Server 2008, Windows 7 et Windows Server 2008 R2: Envoyer uniquement les rponses NTLMv2 Scurit rseau : conditions requises pour la signature de client LDAP Ce paramtre de scurit dtermine le niveau de signature des donnes qui est demand pour le compte des clients mettant des requtes LDAP BIND, comme indiqu ci-aprs : Aucune : la requte LDAP BIND est mise avec les options spcifies par l appelant. Ngociation des signatures : si TLS\SSL (Transport Layer Security/Secure Sockets Layer) n a pas t dmarr, la requte LDAP BIND est initie avec l option de signature des donnes LDAP dfinie en plus des options spcifies par l appelant. Si TLS\SSL a dmarr, la requte LDAP BIND est initie avec les options spcifies par l appelant. Ncessite la signature : cette valeur est identique Ngociation des signatures. Toutefois, si la rponse saslBindInProgress intermdiaire du serveur LDAP n indique pas que la signature du trafic LDAP est ncessaire, l appelant reoit un message lui apprenant l chec de la requte de commande LDAP BIND. Attention Si vous dfinissez le serveur de sorte qu il exige des signatures LDAP, vous devez galement dfinir le client. Si vous ne dfinissez pas le client, celui-ci ne pourra plus communiquer avec le serveur. Remarque : ce paramtre n a aucune incidence sur ldap_simple_bind ou ldap_simple_bind_s. Aucun des clients Microsoft LDAP inclus avec Windows XP Professionnel n utilise ldap_simple_bind ou ldap_simple_bind_s pour communiquer avec un contrleur de domaine. Valeur par dfaut : Ngociation des signatures. PA;Scurit rseau: scurit de session minimale pour les clients bass sur NTLM SSP (y compris RPC scuris) Ce paramtre de scurit permet un client de demander la ngociation du chiffrement 128 bits, et/ou la scurit de session NTLM version 2 (NTLMv2). Ces valeurs dpendent de la valeur du paramtre de scurit Niveau d authentification LAN Manager. Les options sont: Ncessite une scurit de session NTLMv2. La connexion choue si le protocole NTLMv2 n est pas ngoci. Ncessite le chiffrement 128 bits. La connexion choue si le chiffrement fort (128 bits) n est pas ngoci. Valeur par dfaut: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 et Windows Server 2008: aucune condition requise. Windows 7 et Windows Server 2008 R2: exiger un niveau de chiffrement 128bits =Scurit rseau: scurit de session minimale pour les serveurs bass sur NTLM SSP (y compris RPC scuris) Ce paramtre de scurit permet un serveur de demander la ngociation du chiffrement 128 bits, et/ou la scurit de session NTLM version 2 (NTLMv2). Ces valeurs dpendent de la valeur du paramtre de scurit Niveau d authentification LAN Manager. Les options sont: Ncessite une scurit de session NTLMv2. La connexion choue si le protocole NTLMv2 n est pas ngoci. Ncessite le chiffrement 128 bits. La connexion choue si le chiffrement fort (128 bits) n est pas ngoci. Valeur par dfaut: Windows XP, Windows Vista, Windows 2000 Server, Windows Server 2003 et Windows Server 2008: aucune condition requise. Windows 7 et Windows Server 2008 R2: exiger un niveau de chiffrement 128-bits Console de rcupration : autoriser l ouverture de session d administration automatique Ce paramtre de scurit dtermine si le mot de passe du compte Administrateur doit tre donn avant que l accs au systme soit accord. L'activation de ce paramtre ouvre automatiquement une session sur le systme sans qu un mot de passe soit demand la console de rcupration. Valeur par dfaut : cette stratgie n est pas dfinie et l ouverture de session Administrateur automatique n est pas autorise. Console de rcupration : autoriser la copie de disquettes et l accs tous les lecteurs et dossiers L'activation de cette option de scurit rend disponible la commande SET de la console de rcupration, ce qui vous permet de dfinir les variables d environnement suivantes : AllowWildCards : permet la prise en charge des caractres gnriques pour certaines commandes (comme la commande SUPPR). AllowAllPaths : permet d accder tous les fichiers et dossiers de l ordinateur. AllowRemovableMedia : autorise la copie des fichiers sur un mdia amovible, comme une disquette. NoCopyPrompt : ne pas avertir du remplacement d un fichier existant. Valeur par dfaut : cette stratgie n est pas dfinie et la commande SET de la console de rcupration n est pas disponible. Arrt : permet au systme d tre arrt sans avoir se connecter Ce paramtre de scurit dtermine si un ordinateur peut tre arrt sans avoir se connecter Windows. L'activation de cette stratgie permet d afficher la commande Arrter dans l cran de connexion Windows. La dsactivation de cette commande supprime l option d arrt de l ordinateur partir de l cran d ouverture de session Windows. Dans ce cas, les utilisateurs doivent pouvoir ouvrir avec succs une session sur l ordinateur et disposer du droit d utilisateur Arrter le systme avant d excuter un arrt du systme. Valeur par dfaut sur les stations de travail : activ. Valeur par dfaut sur les serveurs : dsactiv. Arrt: effacer le fichier d change de mmoire virtuelle Ce paramtre de scurit dtermine si le fichier d change de mmoire virtuelle est effac l arrt du systme. Le support de la mmoire virtuelle utilise un fichier d change systme pour changer des pages de la mmoire vers le disque lorsqu elles ne sont pas utilises. Sur un systme en cours d excution, ce fichier est ouvert exclusivement par le systme d exploitation et est bien protg. Toutefois, il est possible que les systmes configurs pour autoriser le dmarrage sur d autres systmes d exploitation doivent s assurer que le fichier d change systme est nettoy l arrt de ce systme. Cette opration garantit que les informations confidentielles provenant de la mmoire des processus et risquant d tre prsentes dans le fichier d change ne sont pas accessibles un utilisateur non autoris parvenant accder directement ce fichier. Lorsque cette stratgie est active, le fichier d change systme est vid lors d un arrt normal. Si vous activez cette option de scurit, le systme remet zro le fichier de mise en veille prolonge (hiberfil.sys) lorsque la mise en veille prolonge est dsactive. Valeur par dfaut: Dsactiv. Chiffrement systme : force une protection forte des cls utilisateur enregistres sur l ordinateur Ce paramtre de scurit dtermine si l utilisation des cls prives des utilisateurs est assujettie l emploi d un mot de passe. Les options sont les suivantes : L'utilisateur n a pas besoin d entrer de mot de passe lorsque de nouvelles cls sont enregistres et utilises L'utilisateur doit entrer un mot de passe la premire utilisation de la cl L'utilisateur doit entrer un mot de passe chaque utilisation de la cl Pour plus d informations, voir Infrastructure cl publique. Valeur par dfaut : cette stratgie n est pas dfinie. Chiffrement systme: utiliser des algorithmes de chiffrement compatibles FIPS140, notamment des algorithmes de chiffrement, de hachage et de signature Pour le fournisseur SSP (Schannel Security Service Provider), ce paramtre de scurit dsactive les protocoles SSL (Secure Sockets Layer) les plus faibles et prend uniquement en charge les protocoles TLS (Transport Layer Security) en tant que client et en tant que serveur (le cas chant). Si ce paramtre est activ, le fournisseur de scurit TLS/SSL (Transport Layer Security/Secure Sockets Layer) utilise uniquement les algorithmes de chiffrement FIPS140 approuvs: 3DES et AES pour le chiffrement, le chiffrement cl publique RSA ou ECC pour l change de cls et l authentification TLS, et uniquement l algorithme de hachage scuris (SHA1, SHA256, SHA384, et SHA512) pour les exigences de hachage TLS. Pour le service EFS (Encrypting File System Service), il prend en charge les algorithmes de chiffrement Triple DES (Data Encryption Standard) et AES (Advanced Encryption Standard) pour le chiffrement des donnes de fichiers pris en charge par le systme de fichiers NTFS. Par dfaut, EFS utilise l algorithme AES (Advanced Encryption Standard) avec une cl sur 256bits dans Windows Server2003 et la famille Windows Vista, et l algorithme DESX sous WindowsXP pour le chiffrement des donnes de fichiers. Pour plus d informations sur EFS, voir Chiffrement du systme de fichiers. Pour les services Bureau distance, il prend uniquement en charge l algorithme de chiffrement Triple DES pour le chiffrement de la communication avec le rseau des services Bureau distance. Remarque: les services Bureau distance taient appels services Terminal Server dans les versions prcdentes de Windows Server. Pour BitLocker, cette stratgie doit tre active avant la gnration d une cl de chiffrement. Les mots de passe de rcupration crs lorsque cette stratgie est active sont incompatibles avec BitLocker sur Windows 8, Windows Server 2012 et les systmes d exploitation antrieurs. Si cette stratgie est applique des ordinateurs excutant des systmes d exploitation antrieurs Windows 8.1 et Windows Server 2012 R2, BitLocker empche la cration ou l utilisation de mots de passe de rcupration; des cls de rcupration doivent tre employes la place pour ces ordinateurs. Valeur par dfaut: Dsactiv. Remarque: FIPS (Federal Information Processing Standard)140 est une implmentation de scurit conue pour certifier du logiciel de chiffrement. Des logiciels valids par FIPS140 sont requis par l administration amricaine et par d autres institutions importantes. ~Objets systme: propritaire par dfaut pour les objets crs par les membres du groupe Administrateurs Description Ce paramtre de scurit dtermine quel principal de scurit (SID) est affect au PROPRITAIRE des objets lorsque l objet est cr par un membre du groupe Administrateurs. Valeur par dfaut: Windows XP: SID utilisateur Windows 2003: Groupe AdministrateursHObjets systme : les diffrences entre majuscules et minuscules ne doivent pas tre prises en compte pour les sous-systmes autres que Windows Ce paramtre de scurit dtermine si le non-respect de la casse s applique tous les sous-systmes. Le sous-systme Win32 ne fait pas la distinction entre les majuscules et les minuscules. Toutefois, le noyau prend en charge le respect des majuscules/minuscules pour les autres sous-systmes, comme POSIX (Portable Operating System Interface for UNIX). Si ce paramtre est activ, le non-respect de la casse est mis en vigueur pour tous les objets d annuaire, les liens symboliques, les objets E/S, y compris les objets fichier. Si ce paramtre est dsactiv, le sous-systme Win32 ne peut pas effectuer la distinction entre les majuscules et minuscules. Valeur par dfaut : Activ. eObjets systme : renforcer les autorisations par dfaut des objets systme internes (comme les liens de symboles) Ce paramtre de scurit dtermine la force de la liste de contrle d accs discrtionnaire des objets. Active Directory conserve la liste globale des ressources systme partages, comme les noms des priphriques DOS, les mutex et les smaphores. Les objets peuvent tre ainsi localiss et partags entre processus. Chaque type d objet est cr avec une liste de contrle d accs discrtionnaire par dfaut qui spcifie l identit des personnes susceptibles d accder l objet avec ses droits. L'activation de ce paramtre renforce la DACL par dfaut, en permettant aux utilisateurs qui ne sont pas administrateurs de lire les objets partags, sans pouvoir modifier les objets partags qu ils n ont pas crs. Valeur par dfaut : Activ. qParamtres systme: sous-systmes optionnels Ce paramtre de scurit dtermine quels sous-systmes peuvent ventuellement tre dmarrs pour prendre en charge vos applications. Avec ce paramtre de scurit, vous pouvez spcifier autant de sous-systmes que l exige la prise en charge de vos applications dans votre environnement. Valeur par dfaut: POSIX. `Paramtres systme : utiliser les rgles de certificat des excutables Windows pour les stratgies de restriction logicielle Ce paramtre de scurit dtermine si des certificats numriques sont traits lorsqu un utilisateur ou un processus tente d excuter des logiciels ayant une extension de nom de fichier .exe. Ce paramtre de scurit active ou dsactive les rgles de certificat (un type de rgle de stratgies de restriction logicielle). Grce aux stratgies de restriction logicielle, vous pouvez crer une rgle de certificat qui autorise ou non l excution de logiciels signs par la technologie Authenticode, en fonction du certificat numrique qui leur est associ. Pour que les rgles de certificat prennent effet, vous devez activer ce paramtre de scurit. Lorsque les rgles de certificat sont actives, les stratgies de restriction logicielle vrifient, en examinant une liste de rvocation des certificats (CRL), que le certificat et la signature du logiciel sont valables. Cette vrification peut avoir une incidence ngative sur les performances, au dmarrage des programmes signs. Vous pouvez dsactiver cette fonction. Dans la bote de dialogue Proprits des diteurs approuvs, dsactivez les cases cocher diteur et Horodateur. Pour plus d informations, voir Dfinir les options des diteurs approuvs Valeur par dfaut : Dsactiv. lTaille maximale du journal des applications Ce paramtre de scurit spcifie la taille maximale du journal des vnements des applications, dont la valeur maximale thorique est de 4Go. En pratique, la limite est infrieure (environ 300Mo). Remarques La taille des fichiers journaux doit tre un multiple de 64 Ko. Si vous entrez une valeur autre qu un multiple de 64 Ko, l Observateur d vnements arrondit la taille du fichier journal un multiple de 64 Ko. Ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. La taille et le dpassement de taille du journal des vnements doivent tre dfinis de faon correspondre aux exigences mtier et de scurit que vous avez dtermines lors de l laboration du plan de scurit de votre entreprise. Envisagez d implmenter ces paramtres du journal des vnements au niveau du site, du domaine ou de l unit d organisation afin de bnficier des paramtres de la stratgie de groupe. Valeur par dfaut: pour la famille Windows Server 2003, 16 Mo ; pour Windows XP Professionnel Service Pack 1, 8 Mo ; pour Windows XP Professionnel, 512 Ko. \Taille maximale du journal de scurit Ce paramtre de scurit spcifie la taille maximale du journal des vnements de scurit, dont la valeur maximale thorique est de 4 Go. En pratique, la limite est infrieure (environ 300Mo). Remarques La taille des fichiers journaux doit tre un multiple de 64 Ko. Si vous entrez une valeur autre qu un multiple de 64 Ko, l Observateur d vnements arrondit la taille du fichier journal un multiple de 64 Ko. Ce paramtre n apparat pas dans l objet Stratgie de l ordinateur local. La taille et le dpassement de taille du journal des vnements doivent tre dfinis de faon correspondre aux exigences mtier et de scurit que vous avez dtermines lors de l laboration du plan de scurit de votre entreprise. Envisagez d implmenter ces paramtres du journal des vnements au niveau du site, du domaine ou de l unit d organisation pour bnficier des paramtres de la stratgie de groupe. Valeur par dfaut: pour la famille Windows Server 2003, 16 Mo ; pour Windows XP Professionnel Service Pack 1, 8 Mo ; pour Windows XP Professionnel, 512 Ko. PTaille maximale du journal systme Ce paramtre de scurit spcifie la taille maximale du journal des vnements du systme, dont la valeur maximale est de 4 Go. En pratique, la limite est infrieure (environ 300Mo). Remarques La taille des fichiers journaux doit tre un multiple de 64 Ko. Si vous entrez une valeur autre qu un multiple de 64 Ko, l Observateur d vnements arrondit la taille du fichier journal un multiple de 64 Ko. Ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. La taille et le dpassement de taille du journal des vnements doivent tre dfinis de faon correspondre aux exigences mtier et de scurit que vous avez dtermines lors de l laboration du plan de scurit de votre entreprise. Envisagez d implmenter ces paramtres du journal des vnements au niveau du site, du domaine ou de l unit d organisation pour bnficier des paramtres de la stratgie de groupe. Valeur par dfaut: pour la famille Windows Server 2003, 16 Mo ; pour Windows XP Professionnel Service Pack 1, 8 Mo ; pour Windows XP Professionnel, 512 Ko. Interdire au groupe local Invit et aux utilisateurs avec OUVERTURE DE SESSION ANONYME l accs au journal des applications Ce paramtre de scurit dtermine si les invits sont autoriss ou non accder au journal des vnements des applications. Remarques Ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Ce paramtre de scurit n affecte que les ordinateurs excutant Windows 2000 et Windows XP. Valeur par dfaut: Activ pour Windows XP, Dsactiv pour Windows 2000Interdire au groupe local Invit et aux utilisateurs avec OUVERTURE DE SESSION ANONYME l accs au journal de scurit Ce paramtre de scurit dtermine si les invits sont autoriss ou non accder au journal des vnements des applications. Remarques Ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Ce paramtre de scurit n affecte que les ordinateurs excutant Windows 2000 et Windows XP. Valeur par dfaut: Activ pour Windows XP, Dsactiv pour Windows 2000 Interdire au groupe local Invit et aux utilisateurs avec OUVERTURE DE SESSION ANONYME l accs au journal systme Ce paramtre de scurit dtermine si les invits sont autoriss ou non accder au journal des vnements des applications. Remarques Ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Ce paramtre de scurit n affecte que les ordinateurs excutant Windows 2000 et Windows XP. Valeur par dfaut: Activ pour Windows XP, Dsactiv pour Windows 2000 1Dure de stockage du journal des applications Ce paramtre de scurit dtermine le nombre de jours d vnements conserver dans le journal des applications si la mthode de conservation de ce journal est Par jours. Dfinissez cette valeur seulement si vous archivez le journal intervalles planifis et si vous vous assurez que la Taille maximale du journal des applications est suffisamment leve pour convenir l intervalle. Remarque: ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Valeur par dfaut: aucune. Dure de stockage du journal de scurit Ce paramtre de scurit dtermine le nombre de jours d vnements conserver dans le journal de scurit si la mthode de conservation de ce journal est Par jours. Dfinissez cette valeur seulement si vous archivez le journal intervalles planifis et si vous vous assurez que la Taille maximale du journal de scurit est suffisamment leve pour convenir l intervalle. Remarques Ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Un utilisateur doit disposer du droit utilisateur Grer le journal d audit et de scurit pour accder au journal de scurit Valeur par dfaut: aucune. Dure de stockage du journal systme Ce paramtre de scurit dtermine le nombre de jours d vnements conserver dans le journal systme si la mthode de conservation de ce journal est Par jours. Dfinissez cette valeur seulement si vous archivez le journal intervalles planifis et si vous vous assurez que la Taille maximale du journal systme est suffisamment leve pour convenir l intervalle. Remarque : ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Valeur par dfaut : Aucune. `Mthode de conservation du journal des applications Ce paramtre de scurit dtermine la mthode de " dpassement de taille " du journal des applications. Si vous n archivez pas le journal des applications, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie, puis cliquez sur Remplacer les vnements si ncessaire. Si vous archivez le journal intervalles planifis, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie, puis cliquez sur Remplacer les vnements par jours et spcifiez le nombre de jours appropri pour le paramtre Dure de stockage du journal des applications. Assurez-vous que la Taille maximale du journal des applications est suffisamment leve pour convenir l intervalle. Si vous devez conserver tous les vnements dans le journal, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie, puis cliquez sur Ne pas remplacer les vnements (nettoyage manuel du journal). Cette option requiert un effacement manuel du journal. Dans ce cas, quand la taille maximale du journal est atteinte, les nouveaux vnements sont perdus. Remarque : ce paramtre n apparat pas dans l objet Stratgie de l ordinateur local. Valeur par dfaut : Aucune. Mthode de conservation du journal de scurit Ce paramtre de scurit dtermine la mthode de dpassement de taille du journal de scurit. Si vous n archivez pas le journal de scurit, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie puis cliquez sur Remplacer les vnements si ncessaire. Si vous archivez le journal intervalles planifis, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie puis cliquez sur Remplacer les vnements par jour et spcifiez le nombre de jours appropris pour le paramtre de conservation du journal de scurit. Assurez-vous que la Taille maximale du journal de scurit est suffisamment leve pour convenir l intervalle. Si vous devez conserver tous les vnements dans le journal, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie, puis cliquez sur Ne pas remplacer les vnements (nettoyage manuel du journal). Cette option requiert un effacement manuel du journal. Dans ce cas, quand la taille maximale du journal est atteinte, les nouveaux vnements sont perdus. Remarques Ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Un utilisateur doit disposer du droit utilisateur Grer le journal d audit et de scurit pour accder au journal de scurit Valeur par dfaut: aucune.2Mthode de conservation du journal systme Ce paramtre de scurit dtermine la mthode de dpassement de taille du journal systme. Si vous n archivez pas le journal systme, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie, puis cliquez sur Remplacer les vnements si ncessaire. Si vous archivez le journal intervalles planifis, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie puis cliquez sur Remplacer les vnements par jours et spcifiez le nombre de jours appropris dans le paramtre Dure de stockage du journal systme. Assurez-vous que la Taille maximale du journal systme est suffisamment leve pour convenir l intervalle. Si vous devez conserver tous les vnements dans le journal, dans la bote de dialogue Proprits de cette stratgie, activez la case cocher Dfinir ce paramtre de stratgie, puis cliquez sur Ne pas remplacer les vnements (nettoyage manuel du journal). Cette option requiert un effacement manuel du journal. Dans ce cas, quand la taille maximale du journal est atteinte, les nouveaux vnements sont perdus. Remarque: ce paramtre n apparat pas dans l objet de stratgie de l ordinateur local. Valeur par dfaut: aucune. Groupes restreints Ce paramtre de scurit permet un administrateur de dfinir deux proprits pour les groupes o la scurit est un facteur sensible (groupes " restreints "). Les deux proprits sont Membres et Membre de. La liste Membres dfinit qui appartient et qui n appartient pas au groupe restreint. La liste Membres de spcifie les autres groupes auxquels le groupe restreint appartient. Quand une stratgie de groupes restreints est applique, tous les membres qui font partie d un groupe restreint qui ne figure pas dans la liste Membres sont supprims. Tous les utilisateurs de la liste Membres qui ne sont pas actuellement membres du groupe restreint sont ajouts. La stratgie Groupes restreints permet de contrler l appartenance un groupe. Vous pouvez l utiliser pour spcifier quels sont les membres d un groupe. Tous les membres non spcifis dans la stratgie sont supprims au cours de la configuration ou de l actualisation. Par ailleurs, l option de configuration de l appartenance inverse garantit que chaque groupe restreint est uniquement membre des groupes qui sont spcifis dans la colonne Membre de. Vous pouvez, par exemple, crer une stratgie Groupes restreints qui autorise uniquement les utilisateurs spcifis (disons, Alice et Jean) appartenir au groupe Administrateurs. Lors de l actualisation de cette stratgie, seuls Alice et Jean resteront membres du groupe Administrateurs. Pour appliquer la stratgie Groupes restreints, vous avez le choix entre deux mthodes : dfinir la stratgie dans un modle de scurit, qui sera appliqu lors de la configuration sur votre ordinateur local ; dfinir le paramtre directement dans un objet de stratgie de groupe (GPO) et, dans ce cas, la stratgie prendra effet chaque actualisation. Les paramtres de scurit sont actualiss toutes les 90 minutes sur un poste de travail ou sur un serveur, et toutes les 5 minutes sur un contrleur de domaine. Ces paramtres font galement l objet d une actualisation toutes les 16 heures, mme si aucune modification n est intervenue. Valeur par dfaut : aucune spcifie. Attention Si une stratgie Groupes restreints est dfinie et que la Stratgie de groupe est actualise, tous les membres existants qui ne font pas partie de la liste des membres de la stratgie Groupes restreints seront supprims. Ceci est valable pour les membres par dfaut, tels que les administrateurs. Remarques Les Groupes restreints doivent tre principalement utiliss pour configurer l appartenance de groupes locaux sur des stations de travail ou des serveurs membres. Une liste Membres vide signifie que le groupe restreint n a pas de membres ; une liste Membre de vide signifie que les groupes auxquels appartient le groupe restreint ne sont pas spcifis. Paramtres de scurit des services systme Permet un administrateur de dfinir le mode de dmarrage (manuel, automatique ou dsactiv), ainsi que les autorisations d accs (Dmarrer, Arrter ou Suspendre) pour tous les services systme. Valeur par dfaut : Non dfini. Remarques Ce paramtre n apparat pas dans l objet Stratgie de l ordinateur local. Si vous dcidez de rgler le dmarrage des services systme sur Automatique, effectuez les tests appropris pour vrifier que les services peuvent dmarrer sans aucune intervention de l utilisateur. Pour optimiser les performances, paramtrez les services superflus ou inutiliss sur Manuel. Paramtres de scurit du Registre Permet un administrateur de dfinir des autorisations d accs (sur des listes de contrle d accs discrtionnaire (DACL, Discretionary Access Control List)) et des paramtres d audit (sur des listes de contrle d accs systme (SACL, System Access Control List)) pour les cls de Registre l aide du Gestionnaire de configuration de scurit. Valeur par dfaut : Non dfini. Remarque : ce paramtre n apparat pas dans l objet Stratgie de l ordinateur local. Paramtres de scurit du systme de fichiers Permet un administrateur de dfinir des autorisations d accs (sur des listes de contrle d accs discrtionnaire (DACL, Discretionary Access Control List)) et des paramtres d audit (sur des listes de contrle d accs systme (SACL, System Access Control List)) pour les objets du systme de fichiers l aide du Gestionnaire de configuration de scurit. Valeur par dfaut : Non dfini. Remarque : ce paramtre n apparat pas dans l objet Stratgie de l ordinateur local. Audit : forcer les paramtres de sous-catgorie de stratgie d audit (Windows Vista ou version ultrieure) se substituer aux paramtres de catgorie de stratgie d audit. Windows Vista et les versions ultrieures de Windows permettent une gestion prcise de la stratgie d audit l aide de sous-catgories. La dfinition d une stratgie d audit au niveau de la catgorie crase la nouvelle fonctionnalit de stratgie d audit au niveau de la sous-catgorie. La stratgie de groupe permet la dfinition de la stratgie d audit au niveau de la catgorie, et la stratgie de groupe existante peut remplacer les paramtres de la sous-catgorie de nouveaux ordinateurs lorsqu ils rejoignent le domaine ou lors d une mise niveau vers Windows Vista ou vers des versions ultrieures. Pour qu une stratgie d audit puisse tre gre l aide de sous-catgories sans ncessiter la modification de la stratgie de groupe, il existe une nouvelle valeur dans le Registre de Windows Vista et les versions ultrieures, appele SCENoApplyLegacyAuditPolicy, qui empche l application de la stratgie d audit au niveau de la catgorie partir de la stratgie de groupe et de l outil d administration Stratgie de scurit locale. Si la stratgie d audit au niveau de la catgorie dfinie ici n est pas cohrente avec les vnements en cours de gnration, la raison peut en tre que cette cl de Registre est dfinie. Valeur par dfaut: activxContrle de compte d utilisateur: utiliser le mode Approbation administrateur pour le compte Administrateur intgr Ce paramtre de stratgie dtermine le comportement du mode Approbation administrateur pour le compte Administrateur intgr. Les options sont: Activ: le compte Administrateur intgr utilise le mode Approbation administrateur. Par dfaut, toutes les oprations qui requirent une lvation de privilge inviteront l utilisateur approuver l opration. Dsactiv(par dfaut): le compte Administrateur intgr excute toutes les applications avec des privilges d administration complets. DCOM: Restrictions d accs un ordinateur au format du langage SDDL (Security Descriptor Definition Language) Ce paramtre de stratgie dtermine les utilisateurs ou les groupes qui peuvent accder une application DCOM distance ou localement. Ce paramtre est utilis pour contrler la surface expose aux attaques de l ordinateur pour les applications DCOM. Vous pouvez utiliser ce paramtre de stratgie pour spcifier des autorisations d accs tous les ordinateurs, des utilisateurs spcifiques, pour les applications DCOM de l entreprise. Quand vous spcifiez les utilisateurs ou les groupes auxquels les autorisations doivent tre accordes, le champ du descripteur de scurit est rempli avec la reprsentation SDDL de ces groupes et de ces privilges. Si le descripteur de scurit est laiss vide, le paramtre de stratgie est dfini dans le modle, mais il n est pas appliqu. Les utilisateurs et les groupes peuvent recevoir des privilges Autoriser ou Refuser explicites la fois sur l accs local et sur l accs distance. Les paramtres du Registre qui sont crs suite l activation du paramtre de stratgie DCOM: Restrictions d accs ordinateur au format du langage SDDL (Security Descriptor Definition Language) ont priorit (sont d une priorit plus leve) sur les paramtres antrieurs du Registre dans cette zone. Les services d appel de procdure distante (RPCS, Remote Procedure Call Services) vrifient les nouvelles cls de Registre dans la section Policies pour les restrictions de l ordinateur, et ces entres de Registre ont priorit sur les cls de Registre existant sous OLE. Cela signifie que les paramtres du Registre existant prcdemment ne sont plus effectifs et que si vous apportez des modifications aux paramtres existants, les autorisations d accs de l ordinateur pour les utilisateurs ne sont pas modifies. Agissez avec prcaution quand vous configurez leur liste d utilisateurs et de groupes. Les valeurs possibles pour ce paramtre de stratgie sont: Vide: cette valeur reprsente pour la stratgie de scurit locale le moyen de supprimer la cl d application de la stratgie. Elle supprime la stratgie, puis la place dans l tat Non dfinie. La valeur Vide est dfinie l aide de l diteur ACL, en vidant la liste, puis en cliquant sur OK. SDDL: il s agit de la reprsentation SDDL des groupes et des privilges que vous spcifiez lorsque vous activez cette stratgie. Non dfinie: il s agit de la valeur par dfaut. Remarque Si l autorisation d accder aux applications DCOM est refuse l administrateur en raison des modifications apportes DCOM dans Windows, l administrateur peut utiliser le paramtre de stratgie DCOM: Restrictions d accs ordinateur au format du langage SDDL (Security Descriptor Definition Language) pour grer l accs DCOM l ordinateur. L administrateur peut spcifier les utilisateurs et les groupes qui peuvent accder l application DCOM sur l ordinateur, la fois localement et distance, l aide de ce paramtre. Ceci rtablira le contrle de l application DCOM l administrateur et aux utilisateurs. Pour cela, ouvrez le paramtre DCOM: Restrictions d accs ordinateur au format du langage SDDL (Security Descriptor Definition Language) et cliquez sur Modifier la scurit. Spcifiez les groupes que vous voulez inclure et les autorisations d accs l ordinateur pour ces groupes. Ceci dfinit le paramtre et configure la valeur SDDL approprie. 9 DCOM: Restrictions de dmarrage d ordinateur au format du langage SDDL (Security Descriptor Definition Language) Ce paramtre de stratgie dtermine les utilisateurs ou les groupes qui peuvent lancer ou activer des applications DCOM distance ou localement. Ce paramtre est utilis pour contrler la surface expose aux attaques de l ordinateur pour les applications DCOM. Vous pouvez utiliser ce paramtre pour accorder l accs tous les ordinateurs pour les utilisateurs d applications DCOM. Quand vous dfinissez ce paramtre et que vous spcifiez les utilisateurs ou les groupes auxquels les autorisations doivent tre accordes, le champ du descripteur de scurit est rempli avec la reprsentation SDDL de ces groupes et de ces privilges. Si le descripteur de scurit est laiss vide, le paramtre de stratgie est dfini dans le modle, mais il n est pas appliqu. Les utilisateurs et les groupes peuvent recevoir des privilges Autoriser ou Refuser explicites sur le lancement local, le lancement distant, l activation locale et l activation distante. Les paramtres du Registre crs en consquence de cette stratgie ont priorit sur les paramtres de Registre antrieurs de cette zone. Les services d appel de procdure distante (RPCS, Remote Procedure Call Services) vrifient les nouvelles cls de Registre dans la section Policies pour les restrictions de l ordinateur ; ces entres de Registre ont priorit sur les cls de Registre existant sous OLE. Les valeurs possibles pour le paramtre de stratgie de groupe sont: Vide: cette valeur reprsente pour la stratgie de scurit locale le moyen de supprimer la cl d application de la stratgie. Elle supprime la stratgie, puis la place dans l tat Non dfinie. La valeur Vide est dfinie l aide de l diteur ACL, en vidant la liste, puis en cliquant sur OK. SDDL: il s agit de la reprsentation SDDL des groupes et des privilges que vous spcifiez lorsque vous activez cette stratgie. Non dfinie: il s agit de la valeur par dfaut. Remarque Si l autorisation d activer et de lancer des applications DCOM est refuse l administrateur en raison des modifications apportes DCOM dans cette version de Windows, ce paramtre de stratgie peut tre utilis pour le contrle de l activation et du lancement de DCOM sur l ordinateur. L administrateur peut spcifier les utilisateurs et les groupes qui peuvent lancer et activer des applications DCOM sur l ordinateur, la fois localement et distance, l aide du paramtre de stratgie DCOM: Restrictions de dmarrage d ordinateur au format du langage SDDL (Security Descriptor Definition Language). Cela rtablit le contrle de l application DCOM l administrateur et aux utilisateurs spcifis. Pour cela, ouvrez le paramtre DCOM: Restrictions de dmarrage d ordinateur au format du langage SDDL (Security Descriptor Definition Language), puis cliquez sur Modifier la scurit. Spcifiez les groupes que vous voulez inclure et les autorisations de lancement de l ordinateur pour ces groupes. Ceci dfinit le paramtre et configure la valeur SDDL approprie. Contrle de compte d utilisateur: comportement de l invite d lvation pour les administrateurs en mode d approbation Administrateur Ce paramtre de stratgie contrle le comportement de l invite d lvation pour les administrateurs. Les options sont: lever les privilges sans invite utilisateur: permet aux comptes privilgis d effectuer une opration qui ncessite une lvation sans demander un consentement ou des informations d identification. Remarque: utilisez cette option uniquement dans les environnements les plus contraints. Demande d informations d identification sur le bureau scuris: lorsqu une opration ncessite une lvation de privilge, l utilisateur est invit sur le bureau scuris entrer un nom d utilisateur privilgi et un mot de passe. Si l utilisateur entre des informations d identification valides, l opration continue avec les privilges les plus levs disponibles de l utilisateur. Demande de consentement sur le bureau scuris: lorsqu une opration ncessite une lvation de privilge, l utilisateur est invit sur le bureau scuris slectionner Autoriser ou Refuser. Si l utilisateur slectionne Autoriser, l opration continue avec les privilges les plus levs disponibles de l utilisateur. Demande d informations d identification: lorsqu une opration ncessite une lvation de privilge, l utilisateur est invit entrer un nom d utilisateur et un mot de passe d administration. Si l utilisateur entre des informations d identification valides, l opration continue avec les privilges applicables. Demande de consentement: lorsqu une opration requiert une lvation de privilge, l utilisateur est invit choisir entre Autoriser et Refuser. Si l utilisateur slectionne Autoriser, l opration continue avec les privilges les plus levs disponibles de l utilisateur. Demande de consentement pour les binaires non Windows: (par dfaut) lorsqu une opration pour une application non Microsoft ncessite une lvation de privilge, l utilisateur est invit sur le bureau scuris slectionner Autoriser ou Refuser. Si l utilisateur slectionne Autoriser, l opration continue avec les privilges les plus levs disponibles de l utilisateur. Contrle de compte d utilisateur: comportement de l invite d lvation pour les utilisateurs standard Ce paramtre de stratgie contrle le comportement de l invite d lvation pour les utilisateurs standard Les options sont: Demande d informations d identification (par dfaut): lorsqu une opration ncessite une lvation de privilge, l utilisateur est invit entrer un nom d utilisateur et un mot de passe d administrateur. Si l utilisateur entre des informations d identification valides, l opration continue avec les privilges applicables. Refuser automatiquement les demandes d lvation de privilges: lorsqu une opration ncessite une lvation de privilge, un message d erreur d accs configurable refus s affiche. Une entreprise qui utilise des ordinateurs de bureau en tant qu utilisateur standard peut choisir ce paramtre pour rduire les appels au support technique. Demande d informations d identification sur le bureau scuris: lorsqu une opration ncessite une lvation de privilge, l utilisateur est invit sur le bureau scuris entrer un autre nom d utilisateur et un mot de passe. Si l utilisateur entre des informations d identification valides, l opration continue avec les privilges applicables. Contrle de compte d utilisateur: dtecter les installations d applications et demander l lvation Ce paramtre de stratgie contrle le comportement de la dtection d installation d application pour l ordinateur. Les options sont: Activ: (par dfaut) lorsqu un package d installation d application ncessitant une lvation de privilge est dtect, l utilisateur est invit entrer un nom d utilisateur et un mot de base d administration. Si l utilisateur entre des informations d identification valides, l opration continue avec les privilges applicables. Dsactiv: les packages d installation d application ne sont pas dtects et invits pour une lvation. Les entreprises qui utilisent des ordinateurs de bureau pour utilisateur standard et ont recours des technologies d installation dlgue telles que GPSI (Group Policy Software Install) ou SMS (Systems Management Server) doivent dsactiver ce paramtre de stratgie. Dans ce cas, la dtection d un programme d installation n est pas ncessaire. Contrle de compte d utilisateur: lever uniquement les excutables signs et valids Ce paramtre de stratgie applique des vrifications de signature PKI sur toutes les applications interactives qui requirent une lvation de privilge. Les administrateurs d entreprise peuvent contrler les applications autorises s excuter en ajoutant des certificats dans le magasin de certificats des diteurs approuvs sur les ordinateurs locaux. Les options sont: Activ: applique la validation du chemin de certification PKI pour un fichier excutable donn avant qu il soit autoris s excuter. Dsactiv: (par dfaut) n applique pas de validation de chemin de certificat PKI avant qu un fichier excutable donn soit autoris s excuter. ~Contrle de compte d utilisateur: lever uniquement les applications UIAccess installes des emplacements scuriss Ce paramtre de stratgie contrle si les applications qui requirent une excution avec un niveau d intgrit UIAccess (User Interface Accessibility) doivent rsider un emplacement scuris dans le systme de fichiers. Les emplacements scuriss sont limits aux rpertoires suivants: - \Program Files\, y compris ses sous-rpertoires - \Windows\system32\ - \Program Files (x86)\, y compris ses sous-rpertoires pour les versions 64 bits de Windows Remarque: Windows applique une vrification de signature PKI toutes les applications interactives qui requirent une excution avec un niveau d intgrit UIAccess, quel que soit l tat de ce paramtre de scurit. Les options sont: Activ: (par dfaut) si une application rside un emplacement scuris dans le systme de fichiers, elle s excute uniquement avec l intgrit UIAccess. Dsactiv: une application s excute avec l intgrit UIAccess mme si elle ne rside pas un emplacement scuris dans le systme de fichiers. Contrle de compte d utilisateur: activer le mode Approbation administrateur Ce paramtre de stratgie contrle le comportement de tous les paramtres de stratgie UAC (User Account Control) pour l ordinateur. Si vous modifiez ce paramtre de stratgie, vous devez redmarrer l ordinateur. Les options sont: Activ: (par dfaut) le mode Approbation administrateur est activ. Cette stratgie doit tre active et les paramtres de stratgie UAC associs doivent galement tre dfinis en consquence pour permettre au compte Administrateur intgr et tous les autres utilisateurs membres du groupe Administrateur de s excuter en mode Approbation administrateur. Dsactiv: le mode Approbation administrateur et tous les paramtres de stratgie UAC associs sont dsactivs. Remarque: si ce paramtre de stratgie est dsactiv, le Centre de scurit vous avertit que la scurit globale du systme d exploitation a t rduite. Contrle de compte d utilisateur: passer au Bureau scuris lors d une demande d lvation Ce paramtre de stratgie contrle si l invite de demande d lvation s affiche sur le bureau interactif de l utilisateur ou le bureau scuris. Les options sont: Activ: (par dfaut) toutes les demandes d lvation passent au bureau scuris quels que soient les paramtres de stratgie de comportement d invite pour les administrateurs et les utilisateurs standard. Dsactiv: toutes les demandes d lvation passent au bureau interactif de l utilisateur. Les paramtres de stratgie de comportement d invite pour les administrateurs et les utilisateurs standard sont employs. QContrle de compte d utilisateur: virtualiser les checs d critures de fichiers et de Registre dans des emplacements dfinis par utilisateur Ce paramtre de stratgie contrle si des checs d criture d application sont redirigs dans des emplacements dfinis du Registre et du systme de fichiers. Ce paramtre de stratgie rduit les applications qui s excutent en tant qu administrateur et crivent des donnes d application au moment de l excution dans %ProgramFiles%, %Windir%, %Windir%\system32 ou HKLM\Software. Les options sont: Activ: (par dfaut) les checs d criture d application sont redirigs au moment de l excution vers des emplacements dfinis par l utilisateur pour le systme de fichiers et le Registre. Dsactiv: les applications qui crivent des donnes dans des emplacements protgs chouent. 7Crer des liens symboliques Ce privilge dtermine si l utilisateur peut crer un lien symbolique partir de l ordinateur o il a ouvert une session. Valeur par dfaut: Administrateur AVERTISSEMENT: ce privilge doit tre accord seulement des utilisateurs approuvs. Les liens symboliques peuvent exposer des vulnrabilits de scurit dans les applications qui ne sont pas conues pour les traiter. Remarque Ce paramtre peut tre utilis en combinaison avec un paramtre de systme de fichiers de lien symbolique qui peut tre manipul avec l utilitaire en ligne de commande pour contrler les types de liens symboliques qui sont autoriss sur la machine. Entrez fsutil behavior set symlinkevaluation /? sur la ligne de commande pour obtenir plus d informations sur fsutil et les liens symboliques.Modifier un nom d objet Ce privilge dtermine les comptes d utilisateurs qui peuvent modifier le nom d intgrit d objets, tels que des fichiers, des cls de Registre ou des processus appartenant d autres utilisateurs. Les processus s excutant sous un compte d utilisateur peuvent modifier le nom d un objet appartenant cet utilisateur vers un niveau infrieur sans ce privilge. Valeur par dfaut: aucuneContrle de compte d utilisateur: autoriser les applications UIAccess demander l lvation sans utiliser le bureau scuris. Ce paramtre de scurit dtermine si les programmes User Interface Accessibility (UIAccess ou UIA) peuvent automatiquement dsactiver le bureau scuris pour les demandes d lvation utilises par un utilisateur standard. Activ: les programmes UIA, notamment Assistance distance Windows, dsactivent automatiquement le bureau scuris pour les invites d lvation. Si vous ne dsactivez pas le paramtre de stratgie Contrle de compte d utilisateur: passer au Bureau scuris lors d une demande d lvation, les invites apparaissent sur le bureau interactif de l utilisateur et non sur le bureau scuris. Dsactiv: (par dfaut) le bureau scuris peut tre dsactiv uniquement par l utilisateur du bureau interactif ou en dsactivant le paramtre de stratgie Contrle de compte d utilisateur: passer au Bureau scuris lors d une demande d lvation. TCe paramtre est utilis par le gestionnaire d informations d identification pendant la sauvegarde/restauration. Aucun compte ne doit avoir ce privilge, car il est uniquement affect Winlogon. Les informations d identification enregistres par les utilisateurs risquent d tre compromises si ce privilge est attribu d autres entits.AChanger le fuseau horaire Ce droit utilisateur dtermine quels utilisateurs et quels groupes peuvent changer le fuseau horaire utilis par l ordinateur pour afficher l heure locale, qui est l heure systme plus le dcalage du fuseau horaire. L heure systme est absolue et n est pas affecte par un changement de fuseau horaire. Ce droit utilisateur est dfini dans l objet de stratgie de groupe (GPO) Contrleur de domaine par dfaut et dans la stratgie de scurit locale des stations de travail et des serveurs. Valeur par dfaut: Administrateurs, UtilisateursAugmenter une plage de travail de processus Ce privilge dtermine quels comptes d utilisateurs peuvent augmenter ou diminuer la taille d une plage de travail d un processus. Valeur par dfaut: Utilisateurs La plage de travail d un processus correspond l ensemble de pages mmoire actuellement visibles par le processus dans la mmoire vive physique. Ces pages sont utilisables par une application sans dclencher de dfaut de page. Les tailles minimale et maximale de plage de travail affectent le comportement de la pagination de mmoire virtuelle d un processus. Avertissement: l augmentation de la taille d une plage de travail d un processus diminue la quantit de mmoire physique disponible pour le reste du systme.Scurit rseau: Restreindre NTLM: Trafic NTLM sortant vers des serveurs distants Ce paramtre de stratgie vous permet de refuser ou d auditer le trafic NTLM sortant, provenant de cet ordinateur Windows 7 ou Windows Server 2008 R2, vers des serveurs distants. Si vous slectionnez Autoriser tout ou si vous ne configurez pas ce paramtre de stratgie, l ordinateur client peut authentifier des identits sur un serveur distant l aide de l authentification NTLM. Si vous slectionnez Auditer tout, l ordinateur client enregistre un vnement pour chaque demande d authentification NTLM sur un serveur distant. Cela vous permet d identifier les serveurs recevant des demandes d authentification NTLM de l ordinateur client. Si vous slectionnez Refuser tout, l ordinateur client ne peut pas authentifier des identits sur un serveur distant l aide de l authentification NTLM. Vous pouvez utiliser le paramtre de stratgie Scurit rseau: Restreindre NTLM: Ajouter des exceptions de serveurs distants pour l authentification NTLM pour dfinir une liste de serveurs distants sur lesquels les clients sont autoriss d utiliser l authentification NTLM. Cette stratgie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. Remarque: les vnements d audit et de blocage sont enregistrs sur cet ordinateur dans le journal Oprationnel situ sous Journaux des applications et des services/Microsoft/Windows/NTLM. PAScurit rseau: Restreindre NTLM: Trafic NTLM entrant Ce paramtre de stratgie vous permet de refuser ou d autoriser le trafic NTLM entrant. Si vous slectionnez Autoriser tout ou si vous ne configurez pas ce paramtre de stratgie, le serveur autorise toutes les demandes d authentification NTLM. Si vous slectionnez Refuser tous les comptes de domaines, le serveur refuse toutes les demandes d authentification NTLM pour les demandes d ouverture de session de domaine et affiche une erreur de NTLM bloqu, mais autorise une ouverture de session de compte local. Si vous slectionnez Refuser tous les comptes, le serveur refuse les demandes d authentification NTLM provenant du trafic entrant et affiche une erreur de NTLM bloqu. Cette stratgie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. Remarque: les vnements de blocage sont enregistrs sur cet ordinateur dans le journal Oprationnel situ sous Journaux des applications et des services/Microsoft/Windows/NTLM.  Scurit rseau: Restreindre NTLM: Authentification NTLM dans ce domaine Ce paramtre de stratgie vous permet de refuser ou d autoriser l authentification NTLM dans un domaine partir de ce contrleur de domaine. Cette stratgie n affecte pas l ouverture de session interactive sur ce contrleur de domaine. Si vous slectionnez Dsactiv ou si vous ne configurez pas ce paramtre de stratgie, le contrleur de domaine autorise toutes les demandes d authentification par ngociation directe dans le domaine. Si vous slectionnez Refuser pour les comptes de domaine vers des serveurs de domaine, le contrleur de domaine refuse toutes les tentatives d ouverture de session par authentification NTLM sur tous les serveurs dans le domaine qui utilisent des comptes de domaine et renvoie une erreur NTLM bloqu sauf si le nom du serveur figure sur la liste d exceptions dans le paramtre de stratgie Scurit rseau: Restreindre NTLM: Ajouter les exceptions de serveurs pour l authentification NTLM dans ce domaine. Si vous slectionnez Refuser pour un compte de domaine, le contrleur de domaine refuse toutes les tentatives d ouverture de session par authentification NTLM provenant de comptes de domaine et renvoie une erreur NTLM bloqu sauf si le nom du serveur figure sur la liste d exceptions dans le paramtre de stratgie Scurit rseau: Restreindre NTLM: Ajouter les exceptions de serveurs pour l authentification NTLM dans ce domaine. Si vous slectionnez Refuser pour les serveurs de domaine, le contrleur de domaine refuse les demandes d authentification NTLM tous les serveurs dans le domaine et renvoie une erreur NTLM bloqu sauf si le nom du serveur figure dans la liste d exceptions Scurit rseau: Restreindre NTLM: Ajouter les exceptions de serveurs pour l authentification NTLM dans ce domaine. Si vous slectionnez Refuser tout, le contrleur de domaine refuse toutes les demandes d authentification par ngociation directe depuis ses serveurs et pour ses comptes, et renvoie une erreur NTLM bloqu sauf si le nom du serveur figure dans la liste d exceptions dans le paramtre de stratgie Scurit rseau: Restreindre NTLM: Ajouter des exceptions de serveurs pour l authentification NTLM dans ce domaine. Cette stratgie est prise en charge sur au moins Windows Server 2008 R2. Remarque: les vnements de blocage sont enregistrs sur cet ordinateur dans le journal Oprationnel situ sous Journaux des applications et des services/Microsoft/Windows/NTLM. Scurit rseau: Restreindre NTLM: Ajouter des exceptions de serveurs distants pour l authentification NTLM Ce paramtre de stratgie vous permet de crer la liste d exceptions de serveurs distants sur lesquels les clients sont autoriss utiliser l authentification NTLM si le paramtre de stratgie Scurit rseau: Restreindre NTLM: Trafic NTLM sortant vers des serveurs distants est configur. Si vous configurez ce paramtre de stratgie, vous pouvez dfinir la liste des serveurs distants sur lesquels les clients sont autoriss utiliser l authentification NTLM. Si vous ne configurez pas ce paramtre de stratgie, aucune exception ne sera applique. Le format de nom des serveurs indiqus dans cette liste d exceptions correspond au nom de domaine complet (FQDN) ou au nom de serveur NetBIOS utilis par l application, chacun tant rpertori sur une ligne. Pour garantir des exceptions, le nom utilis par toutes les applications doit figurer dans la liste et pour garantir la prcision d une exception, le nom du serveur doit tre rpertori dans les deux formats de noms. Un astrisque (*) peut tre utilis n importe o dans la chane comme caractre gnrique. Scurit rseau: Restreindre NTLM: Ajouter des exceptions de serveurs dans ce domaine Ce paramtre de stratgie vous permet de crer la liste d exceptions de serveurs dans ce domaine sur lesquels les clients sont autoriss utiliser l authentification directe NTLM si le paramtre de stratgie Scurit rseau: Restreindre NTLM: Refuser l authentification NTLM dans ce domaine est dfini. Si vous configurez ce paramtre de stratgie, vous pouvez dfinir la liste des serveurs de ce domaine sur lesquels les clients sont autoriss utiliser l authentification NTLM. Si vous ne configurez pas ce paramtre de stratgie, aucune exception ne sera applique. Le format de nom des serveurs indiqus dans cette liste d exceptions correspond au nom de domaine complet (FQDN) ou au nom de serveur NetBIOS utilis par l application appelante, chacun tant rpertori sur une ligne. Un seul astrisque (*) peut tre utilis au dbut ou la fin de la chane en tant que caractre gnrique. Scurit rseau: Autoriser le retour des sessions NULL avec SystmeLocal Autoriser NTLM revenir une session NULL lors d une utilisation avec SystmeLocal. La valeur par dfaut est TRUE jusqu Windows Vista et FALSE dans Windows 7. Scurit rseau: Configurer les types de chiffrement autoriss pour Kerberos Ce paramtre de stratgie vous permet de dfinir les types de chiffrement que Kerberos est autoris utiliser. Si le type de chiffrement n est pas slectionn, il n est pas autoris. Ce paramtre peut avoir des rpercussions en termes de compatibilit avec les ordinateurs clients ou les services et applications. Plusieurs slections sont possibles. Cette stratgie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. >Scurit rseau: autoriser les demandes d authentification PKU2U auprs de cet ordinateur pour utiliser les identits en ligne. Cette stratgie est dsactive par dfaut sur les ordinateurs appartenant un domaine. Cela empche les identits en ligne de s authentifier sur l ordinateur appartenant au domaine. Scurit rseau: Restreindre NTLM: Auditer le trafic NTLM entrant Ce paramtre de stratgie vous permet d auditer le trafic NTLM entrant. Si vous slectionnez Dsactiver, ou si vous ne configurez pas ce paramtre de stratgie, le serveur n enregistre pas les vnements pour le trafic NTLM entrant. Si vous slectionnez Activer l audit pour les comptes de domaine, le serveur enregistre les vnements pour les demandes d authentification NTLM par ngociation directe qui seraient bloques lorsque le paramtre de stratgie Scurit rseau: Restreindre NTLM: Trafic NTLM entrant est rgl l option Refuser tous les comptes de domaine. Si vous slectionnez Activer l audit pour tous les comptes, le serveur enregistre des vnements pour toutes les demandes d authentification NTLM qui seraient bloques lorsque le paramtre de stratgie Scurit rseau: Restreindre NTLM: Trafic NTLM entrant est rgl l option Refuser tous les comptes. Cette stratgie est prise en charge sur au moins Windows 7 ou Windows Server 2008 R2. Remarque: les vnements d audit sont enregistrs sur cet ordinateur dans le journal Oprationnel situ sous Journaux des applications et des services/Microsoft/Windows/NTLM. Scurit rseau: Restreindre NTLM: Auditer l authentification NTLM dans ce domaine Ce paramtre de stratgie vous permet d auditer l authentification NTLM dans un domaine partir de ce contrleur de domaine. Si vous slectionnez Dsactiver ou si vous ne configurez pas ce paramtre de stratgie, le contrleur de domaine n enregistre pas les vnements pour l authentification NTLM dans ce domaine. Si vous slectionnez Activer pour les comptes de domaine vers des serveurs de domaine, le contrleur de domaine enregistre les vnements pour les tentatives d ouverture de session par authentication NTLM pour les comptes de domaine vers des serveurs de domaine lorsque l authentification NTLM serait refuse parce que Refuser pour les comptes de domaine vers des serveurs de domaine est slectionn dans le paramtre de stratgie Scurit rseau: Restreindre NTLM: Authentification NTLM dans ce domaine. Si vous slectionnez Activer pour les comptes de domaine, le contrleur de domaine enregistre les vnements pour les tentatives d ouverture de session par authentification NTLM qui utilisent des comptes de domaine lorsque l authentification NTLM serait refuse parce que Refuser pour les comptes de domaine est slectionn dans le paramtre de stratgie Scurit rseau: Restreindre NTLM: Authentification NTLM dans ce domaine. Si vous slectionnez Activer pour les serveurs de domaine, le contrleur de domaine enregistre les vnements pour les demandes d authentification NTLM adresses tous les serveurs dans le domaine lorsque l authentification NTLM serait refuse parce que Refuser pour les serveurs de domaine est slectionn dans le paramtre de stratgie Scurit rseau: Restreindre NTLM: Authentification NTLM dans ce domaine. Si vous slectionnez Activer tout, le contrleur de domaine enregistre les vnements pour les demandes d authentification NTLM par ngociation directe provenant de ses serveurs et pour tous ses comptes qui seraient refuses parce que Refuser tout est slectionn dans le paramtre de stratgie Scurit rseau: Restreindre NTLM: Authentification NTLM dans ce domaine. Cette stratgie est prise en charge sur au moins Windows Server 2008 R2. Remarque: les vnements d audit sont enregistrs sur cet ordinateur dans le journal Oprationnel situ sous Journaux des applications et des services/Microsoft/Windows/NTLM. Scurit rseau: autoriser Systme local utiliser l identit de l ordinateur pour NTLM Ce paramtre de stratgie permet aux services Systme local qui emploient l option Negotiate d utiliser l identit de l ordinateur lors du retour l authentification NTLM. Si vous activez ce paramtre de stratgie, les services fonctionnant comme Systme local qui emploient l option Negotiate utiliseront l identit de l ordinateur. Cela pourrait entraner l chec de certaines demandes d authentication entre des systmes d exploitation Windows et consigner une erreur. Si vous ne configurez pas ce paramtre de stratgie, les services fonctionnant comme Systme local qui utilisent l option Negotiate lors du retour l authentification NTLM vont s authentifier de faon anonyme. C tait le comportement de versions prcdentes de Windows. Cette stratgie est prise en charge au moins sur Windows 7 ou Windows Server 2008 R2. Serveur rseau Microsoft : niveau de validation de nom cible de SPN du serveur Ce paramtre de stratgie contrle le niveau de validation qu'un ordinateur avec des dossiers ou des imprimantes partags (le serveur) utilise sur le nom de principal du service (SPN) fourni par l'ordinateur client lors de l'tablissement d'une session avec le protocole SMB. Ce protocole de bloc de message serveur (SMB) procure la base du partage de fichiers et d'imprimantes et d'autres oprations de rseau, telles que l'administration Windows distance. Le protocole SMB prend en charge le nom de principal du service (SPN) du serveur SMB au sein du blob d'authentification fourni par un client SMB pour empcher une catgorie d'attaques contre les serveurs SMB, dites attaques par relais SMB. Ce paramtre affecte la fois SMB1 et SMB2. Ce paramtre de scurit dtermine le niveau de validation qu'un serveur SMB utilise sur le nom de principal du service (SPN) fourni par le client SMB lors d'une tentative d'tablissement d'une session sur un serveur SMBr. Les options sont : Dsactiv - le SPN n'est pas obligatoire ni valid par le serveur SMB partir d'un client SMB. Accepter si fourni par le client - le serveur SMB accepte et valide le SPN fourni par le client SMB et autorise l'tablissement d'une session si elle correspond la liste de SPN du serveur SMB. Si le SPN ne correspond PAS, la demande de session pour ce client SMB est rejete. Demand au client - le client SMB DOIT envoyer un nom SPN dans la configuration de la session et le nom SPN fourni DOIT correspondre au serveur SMB demand pour tablir une connexion. Si le client ne fournit pas de SPN, ou si le SPN fourni ne correspond pas, la session est rejete. Par dfaut : Dsactiv Tous les systmes d'exploitation Windows prennent en charge la fois un composant SMB ct client et un composant SMB ct serveur. Ce paramtre affecte le comportement du serveur SMB et son implmentation doit tre soigneusement value et teste pour viter des problmes au niveau des fonctions de fichiers et d'impression. Des informations complmentaires sur l'implmentation et l'utilisation de ce paramtre pour scuriser vos serveurs SMB sont disponibles sur le site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=144505).Serveur rseau Microsoft: tentative de S4U2Self d obtenir des informations relatives aux revendications Ce paramtre de scurit doit prendre en charge les clients excutant une version de Windows antrieure Windows8 et qui essaient d accder un partage de fichiers ncessitant des revendications d utilisateurs. Ce paramtre dtermine si le serveur de fichiers local doit tenter d utiliser la fonctionnalit S4U2Self (Kerberos Service-For-User-To-Self) pour obtenir les revendications d un principal de client rseau partir du domaine de comptes du client. Ce paramtre ne doit avoir la valeur Activ que si le serveur de fichiers utilise des revendications d utilisateurs pour contrler l accs aux fichiers et uniquement s il doit prendre en charge les principaux de clients dont les comptes peuvent se trouver dans un domaine comportant des ordinateurs clients et des contrleurs de domaine qui excutent une version de Windows antrieure Windows8. Ce paramtre doit avoir la valeur Automatique (par dfaut) pour permettre au serveur de fichiers de dterminer automatiquement si des revendications sont ncessaires l utilisateur. Un administrateur n affecte explicitement la valeur Activ ce paramtre que s il existe des stratgies d accs aux fichiers locales qui incluent des revendications d utilisateurs. Une fois activ, ce paramtre de scurit oblige le serveur de fichiers Windows examiner le jeton d accs d un principal de client rseau authentifi afin de dterminer la prsence ou non d informations relatives aux revendications. En l absence de revendications, le serveur de fichiers utilise la fonctionnalit Kerberos S4U2Self pour tenter de contacter un contrleur de domaine Windows Server 2012 dans le domaine de comptes du client et obtenir un jeton d accs prenant en charge les revendications pour le principal du client. Un jeton prenant en charge les revendications peut s avrer ncessaire pour accder aux fichiers ou dossiers auxquels une stratgie de contrle d accs base de revendications est applique. Si ce paramtre est dsactiv, le serveur de fichiers Windows ne tente pas d obtenir un jeton d accs prenant en charge les revendications pour le principal du client. Valeur par dfaut: Automatique.\Comptes: bloquer les comptes Microsoft Ce paramtre de stratgie empche les utilisateurs d ajouter de nouveaux comptes Microsoft sur cet ordinateur. Si vous slectionnez l option Les utilisateurs ne peuvent pas ajouter de comptes Microsoft, les utilisateurs n ont pas la possibilit de crer des comptes Microsoft sur cet ordinateur, de passer d un compte local un compte Microsoft ou de connecter un compte de domaine un compte Microsoft. Il s agit de l option la plus approprie, si vous devez limiter l utilisation de comptes Microsoft dans votre entreprise. Si vous slectionnez l option Les utilisateurs ne peuvent pas ajouter de comptes Microsoft, ni se connecter avec ces derniers, les utilisateurs de comptes Microsoft existants n ont pas la possibilit d ouvrir une session Windows. En slectionnant cette option, vous pouvez quasiment empcher un administrateur existant sur l ordinateur d ouvrir une session et de grer le systme. Si vous dsactivez ou si vous ne configurez pas cette stratgie (recommand), les utilisateurs peuvent se servir de comptes Microsoft avec Windows.oOuverture de session interactive: seuil du compte d ordinateur. La stratgie de verrouillage d ordinateur est applique uniquement sur les ordinateurs sur lesquels BitLocker est activ pour protger les volumes du systme d exploitation. Assurez-vous que les stratgies appropries de sauvegarde de mot de passe de rcupration sont actives. Ce paramtre de scurit dtermine le nombre d checs d ouverture de session autoriss avant le verrouillage de l ordinateur. Pour rcuprer un ordinateur verrouill, vous devez imprativement fournir la cl de rcupration au niveau de la console. Vous pouvez dfinir le nombre d checs d ouverture de session autoriss entre 1et999. Si vous affectez la valeur0 au paramtre, l ordinateur ne sera jamais verrouill. Les valeurs comprises entre 1et3 sont interprtes comme tant gales 4. Les checs d entre de mot de passe sur des stations de travail ou des serveurs membres ayant t verrouills par Ctrl+Alt+Suppr ou par un cran de veille protg par mot de passe sont compts comme des checs d ouverture de session. La stratgie de verrouillage d ordinateur est applique uniquement sur les ordinateurs sur lesquels BitLocker est activ pour protger les volumes du systme d exploitation. Assurez-vous que les stratgies appropries de sauvegarde de mot de passe de rcupration sont actives. Valeur par dfaut: 0./Ouverture de session interactive: limite d inactivit de l ordinateur. Windows a identifi une session ouverte inactive. Si le dlai d inactivit dpasse la limite d inactivit dfinie, l cran de veille s excute, ce qui entrane le verrouillage de la session. Valeur par dfaut: non applique.PA>Contrleur de domaine: configuration requise pour le jeton de liaison du canal du serveur LDAP Ce paramtre de scurit dtermine si le serveur LDAP applique la validation des jetons de liaison de canal reus dans les demandes de liaison LDAP envoyes au moyen de connexions LDAPS, comme suit: Jamais: aucune validation de liaison de canal n est effectue. Il s agit du comportement de tous les serveurs qui n ont pas t mis jour. Si prise en charge: les clients qui annoncent la prise en charge des jetons de liaison de canal doivent fournir le jeton correct lors de l authentification sur des connexions TLS/SSL; les clients qui n annoncent pas ce type de support et/ou n utilisent pas de connexions TLS/SSL ne sont pas affects. Il s agit d une option intermdiaire qui permet la compatibilit des applications. Toujours: tous les clients doivent fournir des informations de liaison de canal par LDAPS. Le serveur rejette les demandes d authentification LDAPs des clients qui ne le font pas. Valeur par dfaut: cette stratgie n est pas dfinie, ce qui a le mme effet que Si prise en charge. Pour plus de dtails et d informations sur ce paramtre de configuration, consultez https://go.microsoft.com/fwlink/?linkid=2102405. Remarques: l option Si prise en charge protge uniquement les clients qui prennent en charge la protection tendue pour l authentification; les clients qui ne sont pas toujours vulnrables tant qu ils n ont pas t corrigs et/ou configurs. Lorsque cette stratgie est dfinie sur Toujours, les systmes XP/2k3/Vista/Server2008 ne peuvent pas s authentifier par des connexions TLS/SSL par dfaut tant que la protection tendue pour l authentification n est pas active en fonction des lments suivants: https://docs.microsoft.com/en-us/security-updates/securityadvisories/2009/973811 CContrleur de domaine: autoriser les connexions de canal scuris Netlogon vulnrables Ce paramtre de scurit dtermine si le contrleur de domaine ignore les connexions RPC scurises pour les connexions de canaux scuriss Netlogon pour les comptes d ordinateurs spcifis. Cette stratgie doit tre applique tous les contrleurs de domaine d une fort en activant la stratgie sur l unit d organisation des contrleurs de domaine. Lorsque la liste Cration de connexions vulnrables (liste verte) est configure: Compte tenu de la liste verte, le contrleur de domaine autorise les comptes utiliser un canal scuris Netlogon sans RPC scuris. Compte tenu du refus d autorisation, le contrleur de domaine exige des comptes qu ils utilisent un canal scuris Netlogon sans RPC scuris qui est le mme que celui par dfaut (qui n est pas ncessaire). AVERTISSEMENT! L activation de cette stratgie expose vos appareils joints un domaine et peut exposer votre fort Active Directory des risques. Cette stratgie doit tre utilise comme mesure temporaire pour les appareils tiers lorsque vous dployez des mises jour. Une fois qu un appareil tiers est mis jour pour prendre en charge l utilisation de RPC scuris avec des canaux scuriss Netlogon, le compte doit tre supprim de la liste Cration de connexions vulnrables. Pour mieux comprendre le risque de configuration de comptes autoriss utiliser des connexions vulnrables de canal scuris Netlogon, veuillez visiter https://go.microsoft.com/fwlink/?linkid=2133485. Valeur par dfaut: cette stratgie n est pas configure, aucun ordinateur ou compte de confiance n est explicitement exempt de scurit RPC avec application des connexions au canal scuris Netlogon. Cette stratgie est prise en charge sur au moins Windows Server2008R2. Autoriser le verrouillage du compte Administrateur Ce paramtre de scurit dtermine si le compte Administrateur intgr est soumis une stratgie de verrouillage de compte.PAVous tes sur le point de modifier les paramtres de scurit de ce service. La modification de la scurit par dfaut du service peut poser des problmes d incohrence en matire de configuration entre ce service et les autres services qui en dpendent. Voulez-vous continuer?PAModles de scuritVous vous apprtez importer de nouvelles informations de modle dans la stratgie de l ordinateur local pour cet ordinateur. Ceci modifiera les paramtres actuels de scurit de l ordinateur. Voulez-vous continuer ?,Configuration de la scurit de l ordinateur^Base de donnes de configuration de scurit actuelle : base de donnes de stratgie locale %sQBase de donnes de configuration de scurit actuelle : base de donnes prive %s%Gnration des informations d analysechec de l importationSous-lments dfinisNon disponibleNouveau serviceConfiguration en cours :UAjouter un &fichier... Ajoute un nouveau fichier ou un nouveau dossier dans ce modle,Ajouter ce fichier ou ce dossier au modle :PA Ajouter un fichier ou un dossierMicrosoft Corporation6.3L'diteur de modle de scurit est un composant logiciel enfichable MMC qui fournit des fonctionnalits d dition pour les fichiers de modle de scurit.Configuration et analyse de la scurit est un composant logiciel enfichable MMC qui permet la configuration et l analyse de scurit sur les ordinateurs Windows qui utilisent les fichiers de modle de scurit.Le composant logiciel enfichable Extension des paramtres de scurit tend le composant logiciel enfichable Stratgie de groupe et vous aide dfinir les stratgies de scurit pour les ordinateurs de votre domaine.QI&mporter une stratgie... Importe un fichier de modle dans cet objet Stratgie.]Exporter &une stratgie... Exporte le modle partir de cet objet Stratgie vers un fichier.5Le fichier %s existe dj. Voulez-vous le remplacer ?Russitechec Pas d audit1Windows ne peut pas mettre jour les stratgies.%Windows ne peut pas copier la section!Slectionner le fichier ajouterOuvrir une base de donnesPACrer une base de donnesExporter la stratgie vers!Importer la stratgie partir deModle d importationExporter le modle versParamtre de scuritBWindows ne peut pas ouvrir la base de donnes de stratgie locale.#Base de donnes de stratgie localeLa base de donnes de paramtres de scurit locale ne peut pas tre modifie partir du composant logiciel enfichable Configuration et analyse de la scurit. Utilisez le composant logiciel enfichable Stratgie de groupe pour modifier les paramtres de scurit locale..\help\75393cf0-f17a-453d-98a9-592b009289c2.chm.\help\1da6be45-e97d-4584-bbf9-356d319f20c2.chm.\help\941b4573-563f-45fd-8a2f-0b8a197a5d2c.chm@\help\sceconcepts.chm::/75393cf0-f17a-453d-98a9-592b009289c2.htm@\help\scmconcepts.chm::/1da6be45-e97d-4584-bbf9-356d319f20c2.htmC\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htmIl y a de nouveaux paramtres de stratgie sur votre ordinateur. Voulez-vous mettre jour votre affichage de la stratgie relle ? Paramtre de l ordinateur sur %sCette base de donnes n a pas pu tre cre car aucun fichier de modle n a t slectionn. <H4>Pour ouvrir une base de donnes existante</H4><OL><LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_1">Cliquez avec le bouton droit de la souris sur l lment d tendue <I>Configuration et analyse de la scurit</I>. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_2">Choisissez <B>Ouvrir une base de donnes</B> <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_3"> Choisissez une base de donnes et cliquez sur OUVRIR</OL> <H4>Pour crer une nouvelle base de donnes</H4><OL> <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_4">Cliquez avec le bouton droit de la souris sur l lment d tendue <I>Configuration et analyse de la scurit</I>. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_5"> Choisissez <B>Ouvrir une base de donnes</B>. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_6"> Entrez le nom d une nouvelle base de donnes et cliquez sur OUVRIR. <LI ALIGN="LEFT" ID="NO_TEMPLATE_GIVEN_7">Choisissez un fichier de configuration de scurit importer et cliquez sur OUVRIR.</OL>m&Remplacer les autorisations existantes pour toutes les sous-cls par des autorisations pouvant tre hritesH&Propager les autorisations pouvant tre hrites toutes les sous-clsA&Empcher que les autorisations de cette cl ne soient remplaces!Configurer l appartenance pour %sLe ticket expire dans :Le ticket n expire jamais.)Le renouvellement du ticket expire dans :*Le renouvellement du ticket est dsactiv.Tolrance maximale :Tolrance maximale :Non applicablePA)<Ce groupe ne doit contenir aucun membre>H<Les groupes auxquels ce groupe appartient ne doivent pas tre modifis>!Noms d utilisateurs et de groupes#Ajouter un utilisateur ou un groupe Ne pas dconnecter les clients :3Dconnecter quand la priode d inactivit dpasse :2Ne pas mettre en cache les ouvertures de session :Cache :SCommencer l indication de ceci plusieurs jours avant que le mot de passe n expire :SCommencer l indication de ceci plusieurs jours avant que le mot de passe n expire :&Configurer cette cl puis?Impossible d enregistrer la description de l emplacement global8Impossible d enregistrer la description de l emplacement,Recharger Recharger la stratgie de scuritAEnregistrer les modifications apportes %1 avant la recharger ?Paramtres de scurit locaux*Classe des paramtres de scurit WSecEdit1Classe des paramtres locaux de scurit WSecEditC\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htmC\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htmtLe composant logiciel enfichable Paramtres de scurit locale vous aide dfinir la scurit sur le systme local.C\help\secsetconcepts.chm::/941b4573-563f-45fd-8a2f-0b8a197a5d2c.htm/Classe des paramtres de scurit WSecEdit RSOPLe composant logiciel enfichable d extension des paramtres de scurit RSOP tend le composant logiciel enfichable RSOP et vous aide afficher les stratgies de scurit rsultante pour les ordinateurs dans votre domaine. &Appliquer`Les paramtres de scurit de la stratgie de groupe applicable sur cet ordinateur n ont pas pu tre dtermins. L erreur a t renvoye alors que la rcupration de ces paramtres dans la base de donnes de stratgie de scurit locale (%%windir%%\security\database\secedit.sdb) tait: %s Tous les paramtres de scurit vont tre affichs, mais aucune indication de sera donne prcisant si un paramtre de scurit est dfini ou non par la stratgie de groupe. Tout paramtre de scurit locale modifi par cette interface utilisateur sera par consquent remplac par les stratgies au niveau du domaine.Les paramtres de stratgie de scurit de groupe s appliquant cet ordinateur ne peuvent pas tre dtermins. L erreur reue lors de la tentative d extraction de ces paramtres dans la base de donnes de stratgies locales (%%windir%%\security\database\secedit.sdb) a t: %s Tous les paramtres de scurit locale seront affichs, mais aucune indication sur l existence de paramtre de scurit dfini par la stratgie de groupe ne sera donne.Fichier journal : Nom de la stratgiePA Paramtre-La stratgie %1 a t correctement applique.Une erreur s est produite lors de la configuration d un enfant de cet objet, ou le moteur de stratgies a tent sans succs de configurer l enfant d un paramtre de stratgie spcifique. Pour plus de dtails, voir %windir%\security\logs\winlogon.logLa stratgie %1 a gnr l erreur suivante %2. Pour plus de dtails, voir %windir%\security\logs\winlogon.log sur l ordinateur cible.La stratgie %1 a gnr un tat non valide et a t enregistre. Pour plus de dtails, voir %%windir%%\security\logs\winlogon.log sur l ordinateur cible.Le moteur de stratgies n a pas tent de configurer le paramtre. Pour plus de dtails, voir %windir%\security\logs\winlogon.log sur l ordinateur cible.&Afficher la scurit...EImpossible d exporter le modle vers %1. L'erreur renvoye tait : %2MVoulez-vous enregistrer les modifications de la base de donnes de scurit ?CInterdire l ouverture de session par les services Bureau distanceCAutoriser l ouverture de session par les services Bureau distance?Impossible d ajouter le chemin d accs de recherche des modles\Security\Logs^La partie scurit de cette stratgie de groupe ne peut tre modifie que sur l mulateur PDC. Ce paramtre est incompatible avec les ordinateurs excutant le Service Pack 1 de Windows 2000 ou une version antrieure. N'appliquez les objets Stratgie de groupe contenant ce paramtre qu aux ordinateurs excutant une version ultrieure du systme d exploitation.FVous devez fermer toutes les pages de proprits avant de supprimer %1+La valeur doit tre comprise entre %d et %d8Accs rseau : Permet la traduction de noms/SID anonymesKLes administrateurs doivent avoir le droit d ouvrir une session localement.fVous ne pouvez pas refuser tous les utilisateurs ou administrateurs d ouvrir une session localement..Certains comptes ne peuvent pas tre traduits.lPour appliquer vos modifications ou fermer cette page de proprits, fermez toutes les fentres secondaires.hLa fentre ne peut pas tre ouverte. Windows ne peut pas crer une thread UI pour la page de proprits.@\help\lpeconcepts.chm::/29a1325e-50b4-4963-a36e-979caa9ea094.htmQu'est-ce que c'est ?sct.\help\29a1325e-50b4-4963-a36e-979caa9ea094.chm0La valeur doit tre comprise entre %d et %d ou 0]Ce paramtre affecte uniquement les systmes d exploitation antrieurs Windows Server 2003.uLa modification de ce paramtre peut affecter la compatibilit avec les clients, les services et les applications. %1EPour obtenir davantage d informations, consultez <A>%1</A>. (Q%2!lu!)PAVous vous apprtez changer ce paramtre pour une valeur qui peut affecter la compatibilit avec les clients, les services et les applications. %1 Voulez-vous continuer la modification ?}Le privilge " Prendre l identit d un client aprs l authentification " doit tre accord aux administrateurs et au SERVICE.Il est possible que ce paramtre ne soit pas appliqu si une autre stratgie est configure pour avoir la priorit sur la stratgie d audit au niveau de la catgorie. %1uPour plus d informations, consultez <A>%1</A> dans le document de rfrence technique sur les stratgies de scurit.,Aucun texte d explication pour cette action.'L ordinateur doit tre verrouill aprsPAnGrer les stratgies d accs centralises... Ajouter/Supprimer des stratgies d accs centralises ce modleBCette stratgie d accs inclut les rgles de stratgie suivantes:tatQTlchargement des stratgies d accs centralises partir d Active Directory...FErreur: impossible de tlcharger les stratgies d accs centralisesPrt...Stratgie inconnue!Cette stratgie d accs centralise est introuvable. Elle a peut-tre t supprime d Active Directory ou dispose de paramtres non valides. Restaurez cette stratgie dans le Centre d administration Active Directory (ADAC) ou supprimez-la de la configuration.oComptes : restreindre l utilisation de mots de passe vides par le compte local l ouverture de session console2Audit : auditer l accs des objets systme globauxMAudit : auditer l utilisation des privilges de sauvegarde et de restaurationgAudit : arrter immdiatement le systme s il n est pas possible de se connecter aux audits de scuritNPriphriques : empcher les utilisateurs d installer des pilotes d imprimantePAHPriphriques : autoriser le retrait sans ouverture de session pralableSContrleur de domaine : permettre aux oprateurs du serveur de planifier des tchesVContrleur de domaine : refuser les modifications de mot de passe du compte ordinateurMContrleur de domaine : conditions requises pour la signature de serveur LDAPAucunExiger la signatureTMembre de domaine : dsactive les modifications de mot de passe du compte ordinateurLMembre de domaine : anciennet maximale du mot de passe du compte ordinateur`Membre de domaine : chiffrer ou signer numriquement les donnes des canaux scuriss (toujours)gMembre de domaine : chiffrer numriquement les donnes des canaux scuriss (lorsque cela est possible)eMembre de domaine : signer numriquement les donnes des canaux scuriss (lorsque cela est possible)RMembre de domaine : ncessite une cl de session forte (Windows 2000 ou ultrieur)\Ouverture de session interactive : ne pas demander la combinaison de touches Ctrl+Alt+Suppr.OOuverture de session interactive : ne pas afficher le dernier nom d utilisateurPAnConnexion interactive : afficher les informations relatives l utilisateur lorsque la session est verrouille>Nom d utilisateur complet, nom de domaine et nom d utilisateur$Nom d utilisateur complet uniquement6N'afficher aucune information relative l utilisateurdOuverture de session interactive : contenu du message pour les utilisateurs essayant de se connecterbOuverture de session interactive : titre du message pour les utilisateurs essayant de se connecterOuvertures de sessions interactives : nombre d ouvertures de sessions prcdentes ralises en utilisant le cache (lorsqu aucun contrleur de domaine n est disponible)rOuverture de session interactive : prvenir l utilisateur qu il doit changer son mot de passe avant qu il n expireOuverture de session interactive : ncessite l authentification par le contrleur de domaine pour le dverrouillage de la station de travail.:Ouverture de session interactive : carte puce ncessaireSOuverture de session interactive : comportement lorsque la carte puce est retire Aucune action!Verrouiller la station de travailForcer la fermeture de session<Dconnecter en cas de session des services Bureau distanceIClient rseau Microsoft : communications signes numriquement (toujours)]Client rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte)\Client rseau Microsoft : envoyer un mot de passe non chiffr aux serveurs SMB tierce partieOServeur rseau Microsoft : dure d inactivit avant la suspension d une sessionJServeur rseau Microsoft : communications signes numriquement (toujours)^Serveur rseau Microsoft : communications signes numriquement (lorsque le serveur l accepte)aServeur rseau Microsoft : dconnecter les clients l expiration du dlai de la dure de sessionAccs rseau: ne pas autoriser le stockage de mots de passe et d informations d identification pour l authentification du rseauEAccs rseau : ne pas autoriser l numration anonyme des comptes SAMQAccs rseau : ne pas autoriser l numration anonyme des comptes et partages SAMAccs rseau : les autorisations spcifiques des utilisateurs appartenant au groupe Tout le monde s appliquent aux utilisateurs anonymesLAccs rseau : restreindre l accs anonyme aux canaux nomms et aux partagesHAccs rseau : les canaux nomms qui sont accessibles de manire anonymeCAccs rseau : les partages qui sont accessibles de manire anonymeIAccs rseau : chemins et sous-chemins de Registre accessibles distance=Accs rseau : les chemins de Registre accessibles distanceGAccs rseau : modle de partage et de scurit pour les comptes locaux=Classique - les utilisateurs locaux s authentifient eux-mmesHInvit seul - les utilisateurs locaux s authentifient en tant qu invitszScurit rseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe7Scurit rseau : niveau d authentification LAN ManagerEnvoyer les rponses LM et NTLMFEnvoyer LM et NTLM - utiliser la scurit de session NTLM2 si ngocie$Envoyer uniquement les rponses NTLM)Envoyer uniquement les rponses NTLM v. 22Envoyer uniquement les rponses NTLMv2. Refuser LMAEnvoyer uniquement une rponse NTLM version 2. Refuser LM et NTLMkScurit rseau : scurit de session minimale pour les clients bass sur NTLM SSP (y compris RPC scuris)lScurit rseau : scurit de session minimale pour les serveurs bass sur NTLM SSP (y compris RPC scuris)$Exiger la scurit de session NTLMv2*Exiger un niveau de chiffrement 128 bitsFScurit rseau : conditions requises pour la signature de client LDAPAucunNgociation des signaturesExiger la signatureWConsole de rcupration : autoriser l ouverture de session d administration automatiqueeConsole de rcupration : autoriser la copie de disquettes et l accs tous les lecteurs et dossiersAArrt : permet au systme d tre arrt sans avoir se connecter9Arrt : effacer le fichier d change de mmoire virtuelleqObjets systme : renforcer les autorisations par dfaut des objets systme internes (comme les liens de symboles)hObjets systme : propritaire par dfaut pour les objets crs par les membres du groupe AdministrateursGroupe AdministrateursCrateur d objetObjets systme : les diffrences entre majuscules et minuscules ne doivent pas tre prises en compte pour les sous-systmes autres que WindowsoChiffrement systme : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signatureeCryptographie systme : force une protection forte des cls utilisateur enregistres sur l ordinateurnL'utilisateur n a pas besoin d entrer de mot de passe lorsque de nouvelles cls sont enregistres et utilisesPAML'utilisateur doit entrer un mot de passe la premire utilisation de la clHL'utilisateur doit entrer un mot de passe chaque utilisation de la clParamtres systme : utiliser les rgles de certificat avec les excutables Windows pour les stratgies de restriction logicielle-Paramtres systme : Sous-systmes optionnelsOuvertures de sessionjoursminutessecondesqDCOM : Restrictions de dmarrage d ordinateur au format du langage SDDL (Security Descriptor Definition Language)oDCOM : Restrictions d accs un ordinateur au format du langage SDDL (Security Descriptor Definition Language)kPriphriques : autoriser l accs au CD-ROM uniquement aux utilisateurs ayant ouvert une session localementIPriphriques : permettre le formatage et l jection des mdias amoviblesAdministrateurs,Administrateurs et Utilisateurs avec pouvoir+Administrateurs et Utilisateurs interactifs\Priphriques : ne permettre l accs aux disquettes qu aux utilisateurs connects localementAudit : force les paramtres de sous-catgorie de stratgie d audit (Windows Vista ou version ultrieure) se substituer aux paramtres de catgorie de stratgie d auditSScurit rseau: Restreindre NTLM: Trafic NTLM sortant vers des serveurs distantsAutoriser tout Refuser tout8Scurit rseau: Restreindre NTLM: Trafic NTLM entrantAutoriser tout#Refuser tous les comptes de domaineRefuser tous les comptesJScurit rseau: Restreindre NTLM: Authentification NTLM dans ce domaine Dsactiver@Refuser pour les comptes de domaine vers des serveurs de domaine#Refuser pour les comptes de domaine$Refuser pour les serveurs de domaine Refuser toutmScurit rseau: Restreindre NTLM: Ajouter des exceptions de serveurs distants pour l authentification NTLMWScurit rseau: Restreindre NTLM: Ajouter des exceptions de serveurs dans ce domainePAKScurit rseau: Autoriser le retour des sessions NULL avec SystmeLocalMScurit rseau: Configurer les types de chiffrement autoriss pour Kerberos DES_CBC_CRC DES_CBC_MD5 RC4_HMAC_MD5AES128_HMAC_SHA1AES256_HMAC_SHA1Futurs types de chiffrementScurit rseau: autoriser les demandes d authentification PKU2U auprs de cet ordinateur pour utiliser les identits en ligne. Auditer toutCScurit rseau: Restreindre NTLM: Auditer le trafic NTLM entrantTScurit rseau: Restreindre NTLM: Auditer l authentification NTLM dans ce domaineYScurit rseau: Autoriser Systme local utiliser l identit de l ordinateur pour NTLM Dsactiver+Activer l audit pour les comptes de domaine%Activer l audit pour tous les comptes Dsactiver@Activer pour les comptes de domaine vers des serveurs de domaine#Activer pour les comptes de domaine$Activer pour les serveurs de domaine Activer toutQServeur rseau Microsoft: niveau de validation du nom de la cible de serveur SPN Dsactiv Accepter si fourni par le clientDemand au clienthServeur rseau Microsoft: tentative de S4U2Self d obtenir des informations relatives aux revendications Par dfautActiv Dsactiv'Comptes: bloquer les comptes MicrosoftCette stratgie est dsactivePA=Les utilisateurs ne peuvent pas ajouter de comptes Microsoft.`Les utilisateurs ne peuvent pas ajouter de comptes Microsoft, ni se connecter avec ces derniers.OOuverture de session interactive: seuil de verrouillage du compte d ordinateurFOuverture de session interactive: limite d inactivit de l ordinateur-tentatives d ouverture de session non valides_Contrleur de domaine: configuration requise pour le jeton de liaison du canal du serveur LDAPJamaisLorsqu il est pris en chargeToujoursYContrleur de domaine: autoriser les connexions de canaux scuriss Netlogon vulnrablesPA4VS_VERSION_INFOP%P%?fStringFileInfoB040C04B0LCompanyNameMicrosoft Corporation:FileDescriptionModule interface utilisateur de configuration de scurit1FileVersion6.3.9600.20622 (winblue_ltsb_escrow.220926-1736)2 InternalNameWSECEDIT/LegalCopyright Microsoft Corporation. Tous droits rservs.JOriginalFilenameWSecEdit.dll.muiv+ProductNameSystme d exploitation Microsoft WindowsBProductVersion6.3.9600.20622DVarFileInfo$Translation PADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGXXPADDINGPADDINGX