Skip to content
Published 26 avril 2019

Microsoft est heureux d’annoncer la publication de la version provisoire des paramètres de base de configuration de la sécurité pour Windows 10 version 1903 (alias «19H1») et Windows Server version 1903. Évaluez les références proposées et envoyez-nous vos commentaires via les commentaires de blog ci-dessous.

Téléchargez le contenu ici: Windows-10-1903-Security-Baseline-DRAFT . Comme d’habitude, le contenu comprend des sauvegardes de GPO, des rapports de GPO, des scripts pour appliquer des paramètres à un GPO local, des fichiers de règles Policy Analyzer pour chaque référence et l’ensemble complet, ainsi que des feuilles de calcul documentant tous les GPO disponibles ainsi que nos nouveaux paramètres recommandés. Mise à jour des fonctionnalités et modifications par rapport aux références précédentes.

Notez que la version 1903 de Windows Server concerne uniquement Server Core et ne propose pas d’option d’installation du serveur (c’est-à-dire «complète»). Dans le passé, nous n’avions publié les références que pour les versions «complètes» du serveur – Windows Server 2016 et 2019. À partir de cette version, nous avons l’intention de publier également les références pour les versions Windows Server Core-only. Cependant, nous n’avons pas l’intention pour l’instant de distinguer les paramètres de la référence qui s’appliquent uniquement à Expérience utilisateur. Appliqués à Server Core, ces paramètres sont inertes pour toutes les intentions et tous les objectifs.

Cette nouvelle mise à jour de fonctionnalités Windows n’apporte que très peu de nouveaux paramètres de stratégie de groupe, que nous répertorions dans la documentation fournie. Le projet de base recommande de ne configurer que deux d’entre eux. Toutefois, nous avons apporté plusieurs modifications aux paramètres existants et envisageons d’autres modifications. Veuillez examiner attentivement les modifications et laissez-nous savoir ce que vous pensez.

Les modifications apportées aux lignes de base Windows 10 v1809 et Windows Server 2019 incluent:

  • L’activation de la nouvelle stratégie «Activer les options d’atténuation svchost.exe», qui applique une sécurité plus stricte sur les services Windows hébergés dans svchost.exe, stipule notamment que tous les fichiers binaires chargés par svchost.exe doivent être signés par Microsoft et que le code généré de manière dynamique n’est pas autorisé. Portez une attention particulière à celui-ci,car cela pourrait entraîner des problèmes de compatibilité avec du code tiers essayant d’utiliser le processus d’hébergement svchost.exe, y compris les plugins tiers de cartes à puce.
  • En configurant le nouveau paramètre de confidentialité des applications, «Laisser les applications Windows activer la voix lorsque le système est verrouillé», afin que les utilisateurs ne puissent pas interagir avec les applications utilisant la voix lorsque le système est verrouillé.
  • Désactivation de la résolution de nom de multidiffusion (LLMNR) pour atténuer les menaces d’usurpation de serveur.
  • Limiter le type de nœud NetBT au nœud P, interdire l’utilisation de la diffusion pour enregistrer ou résoudre les noms, ainsi que pour atténuer les menaces d’usurpation de serveur. Nous avons ajouté un paramètre à ADMX personnalisé «MS Security Guide» pour permettre la gestion de ce paramètre de configuration via la stratégie de groupe.
  • Correction d’un oubli dans la ligne de base du contrôleur de domaine en ajoutant les paramètres d’audit recommandés pour le service d’authentification Kerberos.
  • Suppression des stratégies d’expiration de mot de passe nécessitant des modifications périodiques du mot de passe. Ce changement est discuté plus en détail ci-dessous.
  • Suppression de la méthode de chiffrement spécifique du lecteur BitLocker et des paramètres de renforcement du chiffrement. La ligne de base a requis le cryptage BitLocker le plus puissant qui soit. Nous supprimons cet élément pour plusieurs raisons. Le cryptage par défaut est 128 bits et nos experts en cryptographie nous disent qu’il n’y a aucun risque connu de rupture dans un avenir prévisible. Sur certains matériels, il peut y avoir une dégradation notable des performances allant de 128 à 256 bits. Enfin, de nombreux périphériques, tels que ceux de la ligne Microsoft Surface, activent BitLocker par défaut et utilisent les algorithmes par défaut. La conversion de ceux-ci en 256 bits nécessite tout d’abord de déchiffrer les volumes, puis de les rechiffrer, ce qui crée une exposition temporaire à la sécurité ainsi que des répercussions sur l’utilisateur.
  • Suppression de l’explorateur de fichiers «Désactiver les paramètres de prévention de l’exécution des données pour l’explorateur» et «Désactiver l’arrêt du tas en cas de corruption», car ils ne font qu’appliquer le comportement par défaut, comme le décrit Raymond Chen ici .

En outre, bien que nous n’ayions pas encore modifié le projet de base, nous envisageons de mettre fin à l’application du comportement par défaut de désactivation des comptes administrateur et invité intégrés. La proposition est discutée plus en détail ci-dessous et nous aimerions beaucoup recevoir vos commentaires avant de procéder à tout changement.

ropping les politiques d’expiration du mot de passe.

Il ne fait aucun doute que l’état de la sécurité par mot de passe pose problème depuis longtemps. Lorsque les humains choisissent leurs propres mots de passe, ils sont trop souvent faciles à deviner ou à prédire. Lorsque des humains sont assignés ou forcés à créer des mots de passe difficiles à retenir, ils les écrivent trop souvent là où les autres peuvent les voir. Lorsque les humains sont obligés de changer leurs mots de passe, ils apportent trop souvent une petite modification prévisible à leurs mots de passe existants et / ou oublient leurs nouveaux mots de passe. En cas de vol de mots de passe ou de leurs hachages correspondants, il peut être difficile, au mieux, de détecter ou de restreindre leur utilisation non autorisée.

Des recherches scientifiques récentes remettent en question la valeur de nombreuses pratiques de sécurité des mots de passe établies de longue date, telles que les stratégies d’expiration des mots de passe, et mettent plutôt l’accent sur de meilleures solutions, telles que l’application de listes de mots de passe interdits (le bon exemple étant la protection par mot de passe Azure AD ) et les facteurs multi-facteurs. authentification. Bien que nous recommandions ces alternatives, elles ne peuvent pas être exprimées ou appliquées avec nos lignes de base de configuration de sécurité recommandées, qui sont basées sur les paramètres de stratégie de groupe intégrés de Windows et ne peuvent pas inclure de valeurs spécifiques au client.

Cela renforce un point important plus important concernant nos lignes de base: bien qu’elles constituent une base solide et devraient faire partie de votre stratégie de sécurité, elles ne constituent pas une stratégie de sécurité complète . Dans ce cas particulier, le petit ensemble de stratégies de mot de passe anciennes pouvant être appliquées à l’aide de modèles de sécurité Windows ne constitue pas et ne peut pas constituer une stratégie de sécurité complète pour la gestion des informations d’identification de l’utilisateur. Le fait de supprimer un paramètre de faible valeur de notre base et de ne pas compenser par un autre élément de la base ne signifie pas que nous abaissons les normes de sécurité. Cela ne fait que renforcer le fait que la sécurité ne peut être entièrement réalisée avec des lignes de base.

Pourquoi supprimons-nous les stratégies d’expiration du mot de passe?

Premièrement, pour éviter des malentendus inévitables, nous ne parlons ici que de la suppression des règles d’expiration des mots de passe – nous ne proposons pas de modification des exigences en matière de longueur, d’historique ou de complexité du mot de passe.

L’expiration périodique du mot de passe est un moyen de défense uniquement contre la probabilité qu’un mot de passe (ou un hachage) soit volé pendant son intervalle de validité et soit utilisé par une entité non autorisée. Si un mot de passe n’est jamais volé, il n’est pas nécessaire de le faire expirer. Et si vous avez la preuve qu’un mot de passe a été volé, vous agiriez probablement immédiatement plutôt que d’attendre l’expiration pour résoudre le problème.

S’il est évident qu’un mot de passe risque d’être volé, combien de jours est une durée de temps acceptable pour continuer à permettre au voleur d’utiliser ce mot de passe volé? La valeur par défaut de Windows est de 42 jours. Cela ne vous semble-t-il pas ridiculement long ? Eh bien, si, et pourtant notre base de référence actuelle dit 60 jours – et disait 90 jours – parce que forcer une expiration fréquente introduit ses propres problèmes. Et s’il n’est pas acquis que les mots de passe seront volés, vous n’acquerrez ces problèmes sans aucun avantage. En outre, si vos utilisateurs sont disposés à répondre aux enquêtes sur le parking qui échangent une barre chocolatée contre leurs mots de passe, aucune politique d’expiration du mot de passe ne vous aidera.

Nos lignes de base sont conçues pour pouvoir être utilisées avec une modification minimale, voire nulle, par la plupart des entreprises bien gérées et soucieuses de la sécurité. Ils sont également destinés à servir de guide aux auditeurs. Alors, quelle devrait être la période d’expiration recommandée? Si une organisation a implémenté avec succès des listes de mots de passe interdits, une authentification multifactorielle, la détection d’attaques de détection de mot de passe et la détection de tentatives de connexion anormales, a-t-elle besoin d’ une expiration périodique du mot de passe? Et s’ils n’ont pas mis en œuvre les mesures d’atténuation modernes, quelle protection bénéficieront-ils réellement de l’expiration du mot de passe?

Les résultats des analyses de conformité de base sont généralement mesurés en fonction du nombre de paramètres non conformes: « Quelle quantité de rouge avons-nous sur le graphique? » Il n’est pas rare que les organisations lors de l’audit considèrent les chiffres de conformité comme plus importants que la sécurité réelle. . Si une base de référence recommande 60 jours et qu’une organisation avec des protections avancées choisit 365 jours – ou aucune date d’expiration -, elle sera inutilement auditée et pourrait être obligée de se conformer à la recommandation de 60 jours.

L’expiration périodique du mot de passe est une mesure d’atténuation ancienne et obsolète de très faible valeur, et nous ne pensons pas qu’il soit utile que notre base de référence applique une valeur spécifique. En le retirant de notre base de référence plutôt que de recommander une valeur particulière ou l’absence d’expiration, les organisations peuvent choisir ce qui leur convient le mieux, sans contredire nos conseils. Dans le même temps, nous devons réitérer que nous recommandons vivement des protections supplémentaires, même si elles ne peuvent pas être exprimées dans nos lignes de base.

Proposition: Suppression de la désactivation forcée des comptes administrateur et invité intégrés

Pour que les lignes de base restent utiles et gérables, nous avons tendance à appliquer des valeurs par défaut sécurisées aux paramètres de stratégie uniquement lorsque 1) les utilisateurs non administrateurs peuvent remplacer ces valeurs par défaut ou 2) les administrateurs mal informés risquent par ailleurs de faire de mauvais choix concernant les paramètres. La proposition affirme qu’aucune de ces conditions n’est vraie en ce qui concerne l’application de la désactivation par défaut des comptes administrateur et invité. Notez que la suppression de ces paramètres de la ligne de base ne pas dire que nous recommandons que ces comptes soient activés, ni la suppression de ces paramètres ne signifie pas que les comptes seront activés. La suppression des paramètres des lignes de base signifierait simplement que les administrateurs pourraient désormais choisir d’activer ces comptes en fonction des besoins.

Le compte invité intégré. Le compte Invité (RID -501) est désactivé par défaut sous Windows 10 et Windows Server. Seul un administrateur peut activer le compte Invité, et un administrateur ne le ferait vraisemblablement que pour une raison valable, telle qu’un système de kiosque.

Le compte administrateur intégré.Le compte administrateur local (RID -500) est désactivé par défaut sous Windows 10, mais pas sous Windows Server. Lors de l’installation de Windows 10, le programme d’installation de Windows vous invite à créer un nouveau compte, qui devient le compte administratif principal de l’ordinateur. En revanche, la configuration de Windows Server vous invite à saisir un nouveau mot de passe pour le compte administrateur. Les principales différences entre le compte administrateur -500 intégré (lorsqu’il est activé) et un compte local administratif personnalisé sont les suivantes: 1) le compte -500 n’est pas soumis au verrouillage de compte, à l’expiration du compte, à l’expiration du mot de passe ou aux heures de connexion; 2) le compte -500 ne peut pas être supprimé du groupe Administrateurs; et 3) que par défaut, le compte -500 fonctionne toujours avec des droits d’administration complets sans invite UAC, y compris sur le réseau.

Les recommandations proposées pour les comptes locaux d’administration incluent:

  • Vous pouvez choisir de ne pas activer les comptes locaux d’administration et d’administrer les systèmes joints à un domaine uniquement avec des comptes de domaine.
  • Si vous choisissez d’utiliser des comptes locaux pour l’administration de l’ordinateur, vous ne devez activer qu’un seul compte local d’administration par ordinateur. Avec la modification proposée dans la base de référence, vous pouvez choisir d’utiliser le compte administrateur -500 ou un compte personnalisé, en fonction de vos besoins. (Notez que si vous utilisez le verrouillage de compte pour la défense contre les attaques par recherche de mot de passe, vous ne devez pas activer le compte -500.)
  • Le mot de passe du compte administratif local doit être fort et différent de celui du même compte sur tous les autres ordinateurs. Nous vous recommandons d’utiliser la solution LAPS (Local Administrator Password) ou un outil similaire pour vous assurer que les mots de passe sont aléatoires et forts. LAPS peut gérer le mot de passe du compte -500 ou d’un compte local nommé personnalisé. Notez également que l’application de l’expiration de mot de passe de LAPS est indépendante du mécanisme d’expiration de mot de passe de Windows et s’applique toujours à tout compte géré par LAPS.
  • Renommer le compte Administrateur est tout à fait correct, mais c’est «la sécurité par l’obscurité». Le changement de nom est facile à faire par le biais de la stratégie de groupe. Cela peut atténuer certaines menaces, mais il est moins rapide que d’autres.

Be First to Comment

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *