Applies ToWindows Server 2008 Datacenter ESU Windows Server 2008 Standard ESU Windows Server 2008 Enterprise ESU Windows 7 Enterprise ESU Windows 7 Professional ESU Windows 7 Ultimate ESU Windows Server 2008 R2 Enterprise ESU Windows Server 2008 R2 Standard ESU Windows Server 2008 R2 Datacenter ESU Windows Server 2012 Windows 8.1 Windows RT 8.1 Windows Server 2012 R2 Windows 10 Windows 10 Pro Education, version 1607 Windows 10 Professional Education version 1607 Windows 10 Professional version 1607 Windows Server 2016 Windows 10 Home and Pro, version 20H2 Windows 10 Enterprise and Education, version 20H2 Windows 10 IoT Enterprise, version 20H2 Windows 10 Home and Pro, version 21H1 Windows 10 Enterprise and Education, version 21H1 Windows 10 IoT Enterprise, version 21H1 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows Server 2022 Azure Local, version 22H2 Windows 11 SE, version 21H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 SE, version 22H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2

Introduction

Microsoft annonce la disponibilité d’une nouvelle fonctionnalité, la protection étendue pour l’authentification (EPA), sur la plateforme Windows. Cette fonctionnalité améliore la protection et la gestion des informations d’identification lors de l’authentification des connexions réseau à l’aide de l’authentification Windows intégrée (IWA). La mise à jour elle-même ne fournit pas directement de protection contre des attaques spécifiques telles que le transfert d’informations d’identification, mais permet aux applications de choisir l’EPA. Cet avis informe les développeurs et les administrateurs système de cette nouvelle fonctionnalité et des façons de la déployer pour protéger les informations d’authentification. Pour plus d’informations, consultez L’avis de sécurité Microsoft 973811.

Informations supplémentaires

Cette mise à jour de sécurité modifie l’interface SSPI (Security Support Provider Interface) pour améliorer la façon dont l’authentification Windows fonctionne afin que les informations d’identification ne soient pas facilement transférées lorsque l’IWA est activée. Lorsque l’EPA est activé, les demandes d’authentification sont liées à la fois aux noms de principal de service (SPN) du serveur auquel le client tente de se connecter, et au canal du protocole TLS (Transport Layer Security) externe sur lequel l’authentification IWA se produit.

La mise à jour ajoute une nouvelle entrée de registre pour gérer la protection étendue :

  • Définissez la valeur SuppressExtendedProtection du registre.

    Clé de Registre

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

    Valeur

    SuppressExtendedProtection

    Type

    REG_DWORD

    Données

    0 Active la technologie de protection.1 La protection étendue est désactivée.3 La protection étendue est désactivée et les liaisons de canal envoyées par Kerberos sont également désactivées, même si l’application les fournit.

    Valeur par défaut : 0x0

    Remarque Un problème qui se produit lorsque l’EPA est activé par défaut est décrit dans la rubrique Échec d’authentification à partir de serveurs Non-Windows NTLM ou Kerberos sur le site web Microsoft.

  • Définissez la valeur LmCompatibilityLevel du registre.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel sur 3. Il s’agit d’une clé existante qui active l’authentification NTLMv2. L’EPA s’applique uniquement aux protocoles d’authentification NTLMv2, Kerberos, digest et de négociation et ne s’applique pas à NTLMv1.

Remarque Vous devez redémarrer l’ordinateur après avoir défini les valeurs SuppressExtendedProtection et LmCompatibilityLevel du registre sur un ordinateur Windows.

Activer la protection étendue

Remarque Par défaut, la protection étendue et NTLMv2 sont toutes deux activées dans toutes les versions prises en charge de Windows. Vous pouvez utiliser ce guide pour vérifier que c’est le cas.

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la procédure de sauvegarde et de restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

  • KB322756 Comment sauvegarder et restaurer le registre dans Windows

Pour activer la protection étendue vous-même après avoir téléchargé et installé la mise à jour de sécurité pour votre plateforme, procédez ainsi :

  1. Démarrez l’Éditeur du Registre. Cliquez sur Démarrer, Exécuter, entrez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante, puis cliquez dessus :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA

  3. Vérifiez que les valeurs SuppressExtendedProtection et LmCompatibilityLevel du registre sont présentes. Si les valeurs du registre sont absentes, procédez ainsi pour les créer :

    1. Avec la sous-clé de registre sélectionnée et répertoriée à l’étape 2, dans le menu Modifier, pointez Nouveau, puis cliquez sur Valeur DWORD.

    2. Entrez SuppressExtendedProtection, puis appuyez sur Entrée.

    3. Avec la sous-clé de registre sélectionnée et répertoriée à l’étape 2, dans le menu Modifier, pointez Nouveau, puis cliquez sur Valeur DWORD.

    4. Entrez LmCompatibilityLevel, puis appuyez sur Entrée.

  4. Cliquez pour sélectionner la valeur SuppressExtendedProtection du registre.

  5. Dans le menu Edition, cliquez sur Modifier.

  6. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.

  7. Cliquez pour sélectionner la valeur LmCompatibilityLevel du registre.

  8. Dans le menu Edition, cliquez sur Modifier.Remarque Cette étape modifie les exigences d’authentification NTLM. Consultez l’article suivant dans la base de connaissances Microsoft pour vous assurer que ce comportement vous est familier.

    KB239869 Comment activer l’authentification NTLM 2

  9. Dans la zone Données de la valeur, entrez 3, puis cliquez sur OK.

  10. Fermez l’Éditeur du Registre.

  11. Si vous apportez ces modifications sur un ordinateur Windows, vous devez redémarrer l’ordinateur pour que les modifications prennent effet.

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.