Les derniers déploiements de Microsoft sur Windows 11 24H2 et Windows Server 2025 incluent l’arrivée du rappel et du hotpatching. Voici les paramètres de sécurité et les recommandations à noter.
Windows 11 24h2 et Server 2025 déploient de nouvelles fonctionnalités et améliorations – dont certaines visent à mieux vous aider à durcir votre réseau, tandis que d’autres devront être examinés pour s’assurer qu’ils ne sapent pas la sécurité de votre réseau.
Voici ce que les CISO devraient savoir sur les dernières mises à jour Windows 11 et Server 2025.
Le rappel apporte ses problèmes de confidentialité et de sécurité à Windows 11
Près d’un an après avoir annoncé le rappel, Microsoft commencera à déployer la fonctionnalité dans sa mise à jour de mai au matériel de qualification exécutant 24h2. Reçu sur l’annonce en tant que «cauchemar de confidentialité», le rappel a depuis été fait une fonction d’opt-in après les premières vagues de réaction de confidentialité et de sécurité.
Le rappel permet aux utilisateurs de prendre des instantanés des actions qu’ils entreprennent sur leurs machines. Pour utiliser le rappel, la machine des utilisateurs a besoin d’une unité de traitement neuronal turbocompressé (NPU) capable d’effectuer plus de 40 billions d’opérations par seconde (sommet). Les expéditions de machines Windows 11 avec la fonctionnalité sont marquées sous forme d’ordinateurs Copilot + et ont un logiciel Windows 11 expédié sur les machines. Cependant, le rappel est également pris en charge sur les systèmes exécutant Windows 11 Professional et Enterprise. Et bien que la fonctionnalité puisse être activée sur les machines de qualification, elle ne sera pas activée par défaut sur les machines de domaine.
Le principal tirage du rappel est que ses instantanés, qui sont traités localement à l’aide de l’IA et de la reconnaissance des caractères optiques (OCR), créent une archive consultable de l’activité de l’utilisateur, y compris les actions prises dans les applications et les documents, ainsi que sur les sites Web.
Les équipes de sécurité devraient envisager de définir des politiques pour bloquer l’installation du rappel dans les cas où son utilisation ne répond pas à vos politiques de confidentialité et de sécurité. De plus, vous devez considérer l’impact que les consultants et les employés indépendants ou temporaires peuvent avoir lors de l’accès à vos ressources.
La fonctionnalité n’est pas sans ses critiques. Les premières versions du rappel n’ont pas été cryptées. De plus, les instantanés étaient accessibles par d’autres utilisateurs du système et étaient simplement protégés par les autorisations NTLM.
Les conseils sont fournis par Microsoft sur la meilleure façon de gérer le service. Comme la société le note, «Par défaut, le rappel est supprimé sur les appareils gérés dans le commerce. Si vous souhaitez autoriser le rappel disponible pour les utilisateurs de votre organisation et leur permettre de choisir des instantanés, vous devez configurer à la fois le rappel Autoriser à activer et désactiver les instantanés pour les politiques de rappel.»
Windows Hotpatching pourrait secouer les politiques de mise à jour
Microsoft déploie également une nouvelle fonctionnalité qui permet aux équipes de sécurité de repousser les mises à jour du système d’exploitation sans nécessiter autant de redémarrages des systèmes Windows 11 ou Server 2025.
La fonction, appelée Windows Hotpatching, oblige les entreprises à exécuter Windows 11 Enterprise 24H2 (build 26100.2033 ou ultérieure). Vous devrez également gérer les systèmes avec Intune et être sous licence dans Windows Enterprise E3 / E5 ou Windows 365 Enterprise.
Notez que toutes les mise à jour ne seront pas disponibles en tant que hotpatch. Microsoft a publié un calendrier de mises à jour, notant les hotpatches qui ne nécessitent pas de redémarrage et de mises à jour «de base» qui nécessitent un redémarrage. Par exemple, la mise à jour d’avril (KB5055523) est considérée comme une mise à jour de base qui nécessite un redémarrage, tandis que la mise à jour de mai (KB5058497) est un hotpatch et ne nécessitera donc pas de redémarrage. Une fois que vous avez installé la ligne de base, vous devrez alors activer la stratégie de hotpatching dans Intune.
Les équipes de sécurité intéressées par le hotpatching doivent consulter vos politiques de sécurité et vos bases avant de déployer des postes de travail et des serveurs avec cette nouvelle fonctionnalité. Si vos systèmes ont besoin de redémarrages mensuels en raison de politiques organisationnelles établies ou d’autres logiciels de votre organisation obligent un redémarrage mensuel, vous devrez peut-être mettre à jour et évaluer vos politiques.
Actions de sécurité Windows 24H2 supplémentaires: ID ENTRA, rappel, copilote
En plus d’évaluer les politiques de correction, les équipes de sécurité devraient prendre le temps d’évaluer vos lignes de base de sécurité pour Windows 24H2 ainsi que Server 2025. Microsoft et le Center for Internet Security ont des conseils et de la documentation pour déployer des versions sécurisées de ces plates-formes.
Une considération consiste à définir «Bloquer tous les authentification des utilisateurs du compte Microsoft grand public» sur «Activé» (automatisé). Cela garantira que les utilisateurs ne peuvent utiliser que des connexions basés sur ID ENTRA et ne se verront pas offrir d’options de connexion à l’aide d’un compte Microsoft sur leurs systèmes.
Microsoft comprend également des paramètres pour contrôler le copilote, le rappel et d’autres technologies. Les équipes de sécurité devraient examiner ces options. Par exemple, vous pouvez contrôler de manière proactive le rappel en définissant les valeurs suivantes sous configuration de l’utilisateur> Modèles d’administration> Composants Windows> Windows AI:
Vous pouvez empêcher l’utilisation de rappel en éteignant la sauvegarde des instantanés et en désactivant également le clic à faire. Alternativement, si vous souhaitez activer le service, je recommande de définir une liste des applications que vous souhaitez filtrer ainsi qu’à l’exclusion d’une liste d’URL.
De plus, vous pouvez définir des politiques pour Copilot. Sous Configuration utilisateur> Modèles d’administration> Composants Windows> Copilot Windows, vous pouvez activer ou désactiver l’utilisation de copilote de manière proactive:
Windows Server 2025: recommandations et améliorations
Pour Server 2025, il est maintenant recommandé d’avoir des paramètres de sécurité supplémentaires pour protéger les comptes et les connexions. Par exemple, les équipes de sécurité doivent définir un seuil de verrouillage du compte de trois tentatives. Auparavant, la recommandation pour ce paramètre était de 10 tentatives avant de verrouiller un compte.
Microsoft a également ajouté une stratégie pour la crypto-agilité de cartes à puce située chez System KDC et System Kerberos, permettant aux utilisateurs de configurer l’algorithme de hachage utilisé dans les déploiements de cartes à puce.
Server 2025 a également amélioré les politiques de contrôle de la solution de mot de passe administrateur local. Ces politiques comprennent:
- Taille de l’historique des mots de passe cryptés permet aux administrateurs de définir le nombre de mots de passe chiffrés précédents stockés dans Active Directory. En gérant l’historique des mots de passe efficace, nous améliorons la sécurité en empêchant la réutilisation des anciens mots de passe.
- Actions post-authentification Spécifie les actions qui doivent être prises après une authentification par le compte géré. Les administrateurs peuvent choisir de réinitialiser le mot de passe, de déconnecter le compte géré, de redémarrer l’appareil ou de terminer les processus. Une période de grâce peut également être configurée avant l’exécution de ces actions, garantissant des mesures de sécurité robustes en place.
- Configurer la gestion automatique des comptes Configure des options pour la gestion automatique des comptes, permettant aux administrateurs de spécifier le compte cible, qu’il s’agisse du compte d’administration intégré ou d’un compte personnalisé. Les administrateurs peuvent définir le nom ou le préfixe du compte géré et décider si le compte géré doit être activé ou désactivé. De plus, il existe une option pour ajouter un suffixe numérique aléatoire au nom du compte géré, améliorant la sécurité par la complexité et l’unicité.
Ntlm dans la réticule
Microsoft fait une forte poussée pour désactiver le NTLM (Windows New Technology LAN Manager), considéré depuis longtemps comme un gouffre de sécurité, et a deux nouvelles politiques de sécurité spécifiquement pour durcir ou empêcher l’utilisation de NTLM:
- Bloquer NTLM Fournit aux administrateurs une option pour configurer SMB pour bloquer le NTLM. Lorsqu’il est activé, le client SMB n’utilisera pas NTLM pour l’authentification de la connexion distante, réduisant ainsi le risque d’attaque basée sur NTLM. Il n’est pas activé par défaut.
- Bloquer la liste des exceptions du serveur NTLM Permet aux administrateurs de spécifier des serveurs qui peuvent toujours utiliser NTLM pour l’authentification de la connexion distante, même si la stratégie NTLM Block est activée. Ce paramètre est utile pour maintenir la compatibilité avec les systèmes hérités qui nécessitent le NTLM tout en appliquant des mesures de sécurité plus strictes pour d’autres connexions.
De tous les nouveaux paramètres de sécurité du serveur 2025, les équipes de sécurité doivent examiner votre utilisation de NTLM. Commencez maintenant le processus pour le considérer.
Lorsque vous commencez à évaluer Windows 11 24h2 et Server 2025, vous devez également évaluer la façon dont vous vous authentifiez dans votre réseau. Prenez le temps de revoir si vous utilisez ou avez toujours besoin de processus d’authentification plus anciens tels que NTLM qui devraient être supprimés. Prenez le temps de réviser si vous pouvez éliminer ces paramètres hérités.
