Sécurité du réseau

• S’applique à:

  Windows 11

Windows 11 place la barre en matière de sécurité réseau, offrant une protection complète pour aider les personnes à travailler en toute confiance depuis presque n’importe où. Pour réduire la surface d’attaque d’un organization, la protection réseau dans Windows empêche les utilisateurs d’accéder à des adresses IP et des domaines dangereux susceptibles d’héberger des escroqueries, des attaques et d’autres contenus malveillants. À l’aide de services basés sur la réputation, la protection réseau bloque l’accès aux domaines et adresses IP potentiellement dangereux et à faible réputation.

Les nouvelles versions de protocole DNS et TLS renforcent les protections de bout en bout nécessaires pour les applications, les services web et les réseaux Confiance nulle. L’accès aux fichiers ajoute un scénario réseau non approuvé avec server Message Block sur QUIC, ainsi que de nouvelles fonctionnalités de chiffrement et de signature. Les progrès Wi-Fi et Bluetooth offrent également une plus grande confiance dans les connexions à d’autres appareils. En outre, les plateformes VPN et pare-feu Windows offrent de nouvelles façons de configurer et de déboguer facilement des logiciels.

Dans les environnements d’entreprise, la protection réseau fonctionne mieux avec Microsoft Defender pour point de terminaison, qui fournit des rapports détaillés sur les événements de protection dans le cadre de scénarios d’investigation plus larges.

Pour en savoir plus

• Comment protéger votre réseau

Transport Layer Security (TLS)

Tls (Transport Layer Security) est un protocole de sécurité populaire, qui chiffre les données en transit pour fournir un canal de communication plus sécurisé entre deux points de terminaison. Windows active les dernières versions de protocole et les suites de chiffrement fortes par défaut et offre une suite complète d’extensions telles que l’authentification du client pour améliorer la sécurité du serveur ou la reprise de session pour améliorer les performances de l’application. TLS 1.3 est la dernière version du protocole et est activé par défaut dans Windows. Cette version permet d’éliminer les algorithmes de chiffrement obsolètes, d’améliorer la sécurité par rapport aux versions antérieures et de chiffrer autant que possible la négociation TLS. L’établissement d’une liaison est plus performant avec un aller-retour par connexion en moyenne en moins et ne prend en charge que des suites de chiffrement fortes qui fournissent un secret avant parfait et moins de risques opérationnels. L’utilisation de TLS 1.3 offre plus de confidentialité et des latences inférieures pour les connexions en ligne chiffrées. Si l’application cliente ou serveur de part et d’autre de la connexion ne prend pas en charge TLS 1.3, la connexion revient à TLS 1.2. Windows utilise la dernière version de DTLS (Datagram Transport Layer Security) 1.2 pour les communications UDP.

Pour en savoir plus

• Vue d’ensemble de TLS/SSL (SSP Schannel)
• TLS 1.0 et TLS 1.1 bientôt désactivés dans Windows

Sécurité dns (Domain Name System)

Dans Windows 11, le client DNS Windows prend en charge DNS sur HTTPS et DNS sur TLS, deux protocoles DNS chiffrés. Celles-ci permettent aux administrateurs de s’assurer que leurs appareils protègent leurs requêtes de nom contre les attaquants sur le chemin d’accès, qu’il s’agisse d’observateurs passifs enregistrant le comportement de navigation ou d’attaquants actifs qui tentent de rediriger les clients vers des sites malveillants. Dans un modèle Confiance nulle où aucune approbation n’est placée dans une limite réseau, une connexion sécurisée à un programme de résolution de noms approuvé est requise.

Windows 11 fournit une stratégie de groupe et des contrôles programmatiques pour configurer le comportement DNS sur HTTPS. Par conséquent, les administrateurs informatiques peuvent étendre la sécurité existante pour adopter de nouveaux modèles tels que Confiance nulle. Les administrateurs informatiques peuvent imposer le protocole DNS sur HTTPS, ce qui garantit que les appareils qui utilisent un DNS non sécurisé ne parviennent pas à se connecter aux ressources réseau. Les administrateurs informatiques ont également la possibilité de ne pas utiliser DNS sur HTTPS ou DNS sur TLS pour les déploiements hérités où les appliances de périphérie réseau sont approuvées pour inspecter le trafic DNS en texte brut. Par défaut, Windows 11 s’en remet à l’administrateur local sur lequel les programmes de résolution doivent utiliser le DNS chiffré.

La prise en charge du chiffrement DNS s’intègre aux configurations DNS Windows existantes telles que la table de stratégie de résolution de noms (NRPT), le fichier hosts système et les programmes de résolution spécifiés par carte réseau ou profil réseau. L’intégration permet Windows 11 garantir que les avantages d’une sécurité DNS accrue ne régressent pas les mécanismes de contrôle DNS existants.

Protection Bluetooth

Le nombre d’appareils Bluetooth connectés à Windows 11 continue d’augmenter. Les utilisateurs Windows connectent leurs casques Bluetooth, souris, claviers et autres accessoires, et améliorent leur expérience PC quotidienne en profitant de la diffusion en continu, de la productivité et des jeux. Windows prend en charge tous les protocoles de couplage Bluetooth standard, y compris les connexions classiques et LE Secure, le couplage simple sécurisé et le jumelage hérité classique et LE. Windows implémente également la confidentialité LE basée sur l’hôte. Les mises à jour De Windows aident les utilisateurs à rester à jour avec les fonctionnalités de sécurité du système d’exploitation et du pilote conformément aux rapports de vulnérabilité de Standard et de groupe d’intérêt spécial Bluetooth, ainsi qu’à des problèmes qui dépassent ceux requis par les normes principales du secteur Bluetooth. Microsoft recommande vivement que le microprogramme et les logiciels des accessoires Bluetooth soient tenus à jour.

Les environnements gérés par le service informatique ont des paramètres de stratégie de nombre disponibles via les fournisseurs de services de configuration, la stratégie de groupe et PowerShell. Ces paramètres peuvent être gérés via des solutions de gestion des appareils telles que Microsoft Intune^[4]. Vous pouvez configurer Windows pour utiliser la technologie Bluetooth tout en prenant en charge les besoins de sécurité de votre organization. Par exemple, vous pouvez autoriser l’entrée et l’audio tout en bloquant le transfert de fichiers, forcer les normes de chiffrement, limiter la détectabilité de Windows ou même désactiver le Bluetooth entièrement pour les environnements les plus sensibles.

Pour en savoir plus

• Fournisseur de services de configuration de stratégie - Bluetooth

Wi-Fi connexions

Windows Wi-Fi prend en charge les méthodes d’authentification et de chiffrement standard lors de la connexion à des réseaux Wi-Fi. WPA (Wi-Fi Protected Access) est une norme de sécurité définie par la Wi-Fi Alliance (WFA) pour fournir un chiffrement des données sophistiqué et une meilleure authentification utilisateur.

La norme de sécurité actuelle pour l’authentification Wi-Fi est WPA3, qui fournit une méthode de connexion plus sécurisée et fiable par rapport aux protocoles de sécurité WPA2 et plus anciens. Windows prend en charge trois modes WPA3 : WPA3 Personnel, WPA3 Entreprise et WPA3 Entreprise 192 bits Suite B.

Windows 11 inclut WPA3 Personnel avec le nouveau protocole H2E et WPA3 Enterprise 192 bits Suite B. Windows 11 prend également en charge WPA3 Enterprise, qui inclut la validation améliorée du certificat de serveur et TLS 1.3 pour l’authentification à l’aide de l’authentification EAP-TLS.

Le chiffrement sans fil opportuniste (OWE), une technologie qui permet aux appareils sans fil d’établir des connexions chiffrées aux points d’accès Wi-Fi publics, est également inclus.

5G et eSIM

Les réseaux 5G utilisent un chiffrement plus fort et une meilleure segmentation du réseau par rapport aux générations précédentes de protocoles cellulaires. Contrairement au Wi-Fi, l’accès 5G est toujours mutuellement authentifié. Les informations d’identification d’accès sont stockées dans une eSIM certifiée EAL4 qui est physiquement incorporée dans l’appareil, ce qui rend la falsification beaucoup plus difficile pour les attaquants. Ensemble, la 5G et l’eSIM fournissent une base solide pour la sécurité.

Pour en savoir plus

• Configuration eSIM d’un serveur de téléchargement

Pare-feu Windows

Le Pare-feu Windows est une partie importante d’un modèle de sécurité en couches. Il fournit un filtrage bidirectionnel du trafic réseau basé sur l’hôte, bloquant le trafic non autorisé entrant ou sortant de l’appareil local en fonction des types de réseaux auxquels l’appareil est connecté.

Le Pare-feu Windows offre les avantages suivants :

• Réduit le risque de menaces de sécurité réseau : le Pare-feu Windows réduit la surface d’attaque d’un appareil avec des règles qui limitent ou autorisent le trafic par de nombreuses propriétés, telles que les adresses IP, les ports ou les chemins d’accès de programme. Cette fonctionnalité augmente la facilité de gestion et diminue la probabilité d’une attaque réussie
• Protège les données sensibles et la propriété intellectuelle : en s’intégrant à La sécurité du protocole Internet (IPSec), le Pare-feu Windows offre un moyen simple d’appliquer des communications réseau de bout en bout authentifiées. Il fournit un accès évolutif et hiérarchisé aux ressources réseau approuvées, ce qui permet d’assurer l’intégrité des données et, éventuellement, de protéger la confidentialité des données
• Étend la valeur des investissements existants : Étant donné que le Pare-feu Windows est un pare-feu basé sur l’hôte inclus dans le système d’exploitation, aucun matériel ou logiciel supplémentaire n’est nécessaire. Le Pare-feu Windows est également conçu pour compléter les solutions de sécurité réseau non-Microsoft existantes par le biais d’une interface de programmation d’applications (API) documentée.

Windows 11 facilite l’analyse et le débogage du Pare-feu Windows. Le comportement IPSec est intégré à Packet Monitor, un outil de diagnostic réseau intégré à composants pour Windows. En outre, les journaux des événements du Pare-feu Windows sont améliorés pour garantir qu’un audit peut identifier le filtre spécifique responsable d’un événement donné. Cela permet d’analyser le comportement du pare-feu et la capture de paquets enrichie sans recourir à des outils tiers.

Les administrateurs peuvent configurer davantage de paramètres via les modèles de stratégie de pare-feu et de règle de pare-feu dans le nœud Sécurité des points de terminaison dans Microsoft Intune^[4], en utilisant la prise en charge de la plateforme du fournisseur de services de configuration de pare-feu (CSP) et en appliquant ces paramètres aux points de terminaison Windows.

Nouveautés de Windows 11, version 24H2

Le fournisseur de services de configuration de pare-feu (CSP) dans Windows applique désormais une approche tout ou rien pour appliquer des règles de pare-feu dans chaque bloc atomique. Auparavant, si le fournisseur de solutions Cloud rencontrait un problème avec une règle dans un bloc, il arrêtait non seulement le traitement de cette règle, mais il cessait également le traitement des règles suivantes, ce qui laissait potentiellement une faille de sécurité avec des blocs de règles partiellement déployés. À présent, si une règle du bloc ne peut pas être appliquée avec succès, le csp arrête de traiter les règles suivantes et restaure toutes les règles de ce bloc atomique, éliminant ainsi l’ambiguïté des blocs de règles partiellement déployés.

Pour en savoir plus

• Vue d’ensemble du Pare-feu Windows
• Fournisseur de services de configuration Pare-feu

Réseaux privés virtuels (VPN)

Les organisations s’appuient depuis longtemps sur Windows pour fournir des solutions de réseau privé virtuel (VPN) fiables, sécurisées et gérables. La plateforme cliente VPN Windows inclut des protocoles VPN intégrés, la prise en charge de la configuration, une interface utilisateur VPN commune et la prise en charge de la programmation pour les protocoles VPN personnalisés. Les applications VPN sont disponibles dans le Microsoft Store pour les VPN d’entreprise et de consommateur, y compris les applications pour les passerelles VPN d’entreprise les plus populaires.

Dans Windows 11, nous avons intégré les contrôles VPN les plus couramment utilisés directement dans le volet Actions rapides Windows 11. Dans le volet Actions rapides, les utilisateurs peuvent vérifier la status de leur VPN, démarrer et arrêter la connexion, et ouvrir facilement Paramètres pour d’autres contrôles.

La plateforme VPN Windows se connecte à Microsoft Entra ID^[4] et à l’accès conditionnel pour l’authentification unique, y compris l’authentification multifacteur (MFA) via Microsoft Entra ID. La plateforme VPN prend également en charge l’authentification classique jointe à un domaine. Il est pris en charge par Microsoft Intune^[4] et d’autres solutions de gestion des appareils. Le profil VPN flexible prend en charge les protocoles intégrés et les protocoles personnalisés. Il peut configurer plusieurs méthodes d’authentification et peut être démarré automatiquement en fonction des besoins ou manuellement par l’utilisateur final. Il prend également en charge le VPN à tunnel partagé et le VPN exclusif avec des exceptions pour les sites externes approuvés.

Avec les applications VPN plateforme Windows universelle (UWP), les utilisateurs finaux ne sont jamais bloqués sur une ancienne version de leur client VPN. Les applications VPN du Store sont automatiquement mises à jour en fonction des besoins. Naturellement, les mises à jour sont sous le contrôle de vos administrateurs informatiques.

La plateforme VPN Windows est paramétrée et renforcée pour les fournisseurs VPN cloud tels que VPN Azure. Des fonctionnalités telles que l’authentification Microsoft Entra ID, l’intégration de l’interface utilisateur Windows, les sélecteurs de trafic IKE de plomberie et la prise en charge des serveurs sont toutes intégrées à la plateforme VPN Windows. L’intégration à la plateforme VPN Windows offre une expérience d’administrateur informatique plus simple. L’authentification utilisateur est plus cohérente, et les utilisateurs peuvent facilement trouver et contrôler leur VPN.

Pour en savoir plus

• Guide technique du VPN Windows

Services de fichiers de blocage de messages du serveur

Server Message Block (SMB) et les services de fichiers sont les charges de travail Windows les plus courantes dans l’écosystème commercial et public. Les utilisateurs et les applications s’appuient sur SMB pour accéder aux fichiers qui exécutent des organisations de toutes tailles.

Windows 11 introduit des mises à jour de sécurité importantes pour répondre aux menaces actuelles, notamment le chiffrement AES-256 SMB, la signature SMB accélérée, le chiffrement réseau RDMA (Remote Directory Memory Access) et SMB sur QUIC pour les réseaux non approuvés.

Nouveautés de Windows 11, version 24H2

Les nouvelles options de sécurité incluent la signature SMB obligatoire par défaut, le blocage NTLM, la limitation du taux d’authentification et plusieurs autres améliorations.

Pour en savoir plus

• Modifications du protocole SMB (Server Message Block) dans Windows 11, version 24H2
• Partage de fichiers à l’aide du protocole SMB 3