Nouveautés de Windows 10 Entreprise, version 2015 LTSC
S’applique à
- Windows 10 Entreprise LTSC 2015
Cet article répertorie les fonctionnalités et le contenu nouveaux et mis à jour qui intéressent les professionnels de l’informatique pour Windows 10 Entreprise LTSC 2015 (LTSB). Pour obtenir une brève description du canal de maintenance LTSC, consultez Windows 10 Entreprise LTSC.
Déploiement
Approvisionnement d’appareil à l’aide du Concepteur de configuration et d’acquisition d’images (ICD) Windows
Avec Windows 10, vous pouvez créer des packages d'approvisionnement qui vous permettent de configurer rapidement et efficacement un appareil sans avoir à installer une nouvelle image. Un administrateur informatique qui utilise l’approvisionnement Windows peut facilement spécifier la configuration et les paramètres requis pour inscrire des appareils dans la gestion à l’aide d’une interface utilisateur pilotée par l’Assistant, puis appliquer cette configuration aux appareils cibles en quelques minutes. Cette méthode constitue la solution idéale pour les petites et moyennes entreprises dont les déploiements comprennent de quelques dizaines à plusieurs centaines d’ordinateurs.
En savoir plus sur l’approvisionnement dans Windows 10
Sécurité
AppLocker
AppLocker était disponible pour Windows 8.1 et a été amélioré avec Windows 10. Consultez Configuration requise pour utiliser AppLocker pour obtenir la liste des configurations requises pour le système d’exploitation.
Les améliorations apportées à AppLocker dans Windows 10 incluent :
- Un nouveau paramètre ajouté à l’applet de commande Windows PowerShell New-AppLockerPolicy vous permet de choisir si le fichier exécutable et les regroupements de règles DLL concernent les processus non interactifs. Pour activer ce paramètre, définissez ServiceEnforcement sur Activé.
- Un nouveau fournisseur de services de configuration AppLocker a été ajouté pour vous permettre d’activer des règles AppLocker à l’aide d’un serveur GPM.
Découvrez comment gérer AppLocker au sein de votre organisation.
BitLocker
Les améliorations apportées à AppLocker dans Windows 10 incluent :
- Chiffrer et récupérer votre appareil avec Azure Active Directory. Outre l’utilisation d’un compte Microsoft, le chiffrement d’appareil automatique permet désormais de chiffrer vos appareils associés à un domaine Azure Active Directory. Lorsque l’appareil est chiffré, la clé de récupération BitLocker est automatiquement effacée dans Azure Active Directory. Vous pouvez ainsi récupérer plus facilement votre clé BitLocker en ligne.
- Protection de port DMA. Vous pouvez utiliser la stratégie GPM DataProtection/AllowDirectMemoryAccess pour bloquer les ports DMA au démarrage de l’appareil. En outre, lorsqu’un appareil est verrouillé, tous les ports DMA non utilisés sont désactivés, mais tous les appareils déjà connectés à un port DMA continueront à fonctionner. Lorsque l’appareil est déverrouillé, tous les ports DMA sont réactivés.
- Nouvelle stratégie de groupe pour configurer la récupération préalable au démarrage. Vous pouvez maintenant configurer le message de récupération préalable au démarrage et récupérer des URL qui apparaissent sur l’écran de récupération préalable au démarrage. Pour plus d’informations, voir la section Configurer le message de récupération préalable au démarrage et l’URL de la rubrique « Paramètres de stratégie de groupe BitLocker ».
Découvrez comment déployer et gérer BitLocker au sein de votre organisation.
Gestion des certificats
Pour les appareils Windows 10, vous pouvez utiliser votre serveur GPM pour déployer directement les certificats d’authentification de client à l’aide de l’échange d’informations personnelles, en plus de l’inscription à l’aide du protocole d’inscription du certificat simple, y compris les certificats pour activer Microsoft Hello Entreprise dans votre entreprise. Vous serez en mesure d’utiliser GPM pour inscrire, renouveler et supprimer des certificats.
Microsoft Passport
Sur Windows 10, Microsoft Passport remplace les mots de passe par une authentification forte à deux facteurs se composant d’un appareil inscrit et d’un Windows Hello (biométrique) ou d’un code confidentiel.
Microsoft Passport permet aux utilisateurs de s’authentifier auprès d’un compte Microsoft, un compte Active Directory, un compte Microsoft Azure Active Directory (AD) ou un service non-Microsoft qui prend en charge l’authentification FIDO. Après une vérification initiale en deux étapes lors de l’inscription, Microsoft Passport est configuré sur l’appareil de l’utilisateur et ce dernier définit un mouvement, qui peut être un Windows Hello ou un code confidentiel. L’utilisateur indique le mouvement qu’il souhaite utiliser pour procéder à la vérification d’identité. Windows utilise ensuite Microsoft Passport pour authentifier les utilisateurs et leur permet d’accéder aux ressources et aux services protégés.
Audit de sécurité
Dans Windows 10, l’audit de sécurité a ajouté certaines améliorations :
Nouvelles sous-catégories d’audit
Dans Windows 10, deux nouvelles sous-catégories d’audit ont été ajoutées à la configuration de stratégie d’audit avancée pour fournir un plus grand niveau de précision sur les événements d’audit :
- Auditer l’appartenance à un groupe Cette sous-catégorie, intégrée à la catégorie d’audit Ouverture/Fermeture de session, vous permet d’auditer les informations d’appartenance à un groupe dans le jeton d’ouverture de session d’un utilisateur. Des événements sont générés de cette sous-catégorie lorsque les appartenances aux groupes sont énumérées ou interrogées sur le PC où la session de connexion a été créée. Pour une ouverture de session interactive, l’événement d’audit de sécurité est généré sur le PC auquel l’utilisateur est connecté. Pour une ouverture de session réseau, telle que l’accès à un dossier partagé sur le réseau, l’événement d’audit de sécurité est généré sur le PC qui héberge la ressource. Lorsque ce paramètre est configuré, un ou plusieurs événements d’audit de sécurité sont générés pour chaque connexion réussie. Vous devez également activer le paramètre Auditer l’ouverture de session sous Configuration avancée de la stratégie d’audit\Stratégies d’audit système\Ouverture de session/Fermeture de session. Plusieurs événements sont générés si les informations d’appartenance au groupe ne peuvent pas tenir dans un seul événement d’audit de sécurité.
- Auditer l’activité Plug-and-Play Cette sous-catégorie de la catégorie Suivi détaillé vous permet de surveiller la détection d’un appareil externe par la fonctionnalité Plug-and-Play. Seuls les audits réussis sont enregistrés pour cette catégorie. Si vous ne configurez pas ce paramètre de stratégie, aucun événement d’audit n’est généré lorsqu’un appareil externe est détecté par Plug-and-Play. Un événement d’audit Plug-and-Play permet d’effectuer le suivi des modifications apportées au matériel du système et est enregistré sur le PC sur lequel le changement est intervenu. Une liste d’ID de fournisseur de matériel est incluse dans l’événement.
Plus d’informations ajoutées aux événements d’audit existants
Avec Windows 10, version 1507, nous avons ajouté des informations supplémentaires sur les événements d’audit existants afin de simplifier la création d’un journal d’audit complet et la fourniture immédiate des informations dont vous avez besoin pour protéger votre entreprise. Des améliorations ont été apportées aux événements d’audit suivants :
- Modification de la stratégie d’audit par défaut du noyau
- Ajout d’une SACL de processus par défaut à LSASS.exe
- Ajout de nouveaux champs à l’événement d’ouverture de session
- Ajout de nouveaux champs à l’événement de création de processus
- Ajout de nouveaux événements de Gestionnaire des comptes de sécurité
- Ajout de nouveaux événements BCD
- Ajout de nouveaux événements Plug-and-Play
Modification de la stratégie d’audit par défaut du noyau
Dans les versions précédentes, le noyau dépendait de l’autorité de sécurité locale (LSA) pour récupérer des informations dans certains de ses événements. Dans Windows 10, la stratégie d’audit des événements de création de processus est automatiquement activée jusqu’à ce qu’une stratégie d’audit réelle soit reçue de l’autorité de sécurité locale. Ce paramètre permet d’améliorer les résultats d’audit des services pouvant démarrer avec l’autorité de sécurité locale.
Ajout d’une SACL de processus par défaut à LSASS.exe
Dans Windows 10, une SACL de processus par défaut a été ajoutée à LSASS.exe afin de consigner les processus tentant d’accéder à LSASS.exe. La liste de contrôle d’accès système est L"S:(AU;SAFA;0x0010;;;WD)"
. Vous pouvez activer ce processus sous Advanced Audit Policy Configuration\Object Access\Audit Kernel Object.
Ce processus, lorsqu’il est activé, peut aider à identifier les attaques qui volent des informations d’identification dans la mémoire d’un processus.
Nouveaux champs dans l’événement de connexion
L’ID d’événement de connexion 4624 a été mis à jour pour inclure des informations plus détaillées afin de faciliter leur analyse. Les champs suivants ont été ajoutés à l’événement 4624 :
- MachineLogon Chaîne : oui ou non Si le compte qui s’est connecté au PC est un compte d’ordinateur, ce champ est oui. Sinon, le champ est non.
- ElevatedToken Chaîne : oui ou non Si un compte s’est connecté au PC via la méthode « connexion administrative », ce champ est oui. Sinon, le champ est non. En outre, si ce champ fait partie d’un jeton fractionné, l’ID de connexion lié (LSAP_LOGON_SESSION) s’affiche également.
- Chaîne TargetOutboundUserName Chaîne TargetOutboundUserDomain Le nom d’utilisateur et le domaine de l’identité créée par la méthode LogonUser pour le trafic sortant.
- Chaîne VirtualAccount : oui ou non. Si le compte connecté au PC est un compte virtuel, ce champ sera oui. Sinon, le champ est non.
- Chaîne GroupMembership Une liste de tous les groupes dans le jeton de l’utilisateur.
- Chaîne RestrictedAdminMode : oui ou non. Si l’utilisateur ouvre une session sur le PC en mode administrateur restreint avec Bureau à distance, ce champ sera oui. Pour plus d’informations sur le mode administrateur restreint, voir Mode administrateur restreint pour RDP.
Nouveaux champs dans l’événement de création de processus
L’ID d’événement de connexion 4688 a été mis à jour pour inclure des informations plus détaillées afin de faciliter leur analyse. Les champs suivants ont été ajoutés à l’événement 4688 :
- Chaîne TargetUserSid Le SID du principal cible.
- Chaîne TargetUserName Le nom du compte de l’utilisateur cible.
- Targetdomainname String Le domaine de l’utilisateur cible.
- Chaîne TargetLogonId L’ID de connexion de l’utilisateur cible.
- Chaîne ParentProcessName Le nom du processus créateur.
- Chaîne ParentProcessId Un pointeur vers le processus parent réel s’il est différent du processus créateur.
Nouveaux événements de Gestionnaire des comptes de sécurité
Dans Windows 10, des nouveaux événements SAM ont été ajoutés pour couvrir les API SAM effectuant des opérations de lecture/requête. Dans les versions précédentes de Windows, seules les opérations d’écriture étaient auditées. Les nouveaux événements sont l’ID d’événement 4798 et l’ID d’événement 4799. Les API suivantes sont désormais auditées :
- SamrEnumerateGroupsInDomain
- SamrEnumerateUsersInDomain
- SamrEnumerateAliasesInDomain
- SamrGetAliasMembership
- SamrLookupNamesInDomain
- SamrLookupIdsInDomain
- SamrQueryInformationUser
- SamrQueryInformationGroup
- SamrQueryInformationUserAlias
- SamrGetMembersInGroup
- SamrGetMembersInAlias
- SamrGetUserDomainPasswordInformation
Nouveaux événements BCD
L’ID d’événement 4826 a été ajouté pour suivre les modifications suivantes apportées à la base de données de configuration de démarrage (BCD) :
- Paramètres DEP/NEX
- Signature de test
- Simulation PCAT SB
- Débogage
- Débogage de démarrage
- Services d’intégrité
- Désactiver le menu de débogage winload
Nouveaux événements Plug-and-Play
L’ID d’événement 6416 a été ajouté pour déterminer lorsqu’un appareil externe est détecté via la fonctionnalité Plug-and-Play. Un scénario important est le suivant : si un appareil externe contenant des programmes malveillants est inséré dans un ordinateur à valeur élevée qui ne s’attend pas que ce type d’action, un contrôleur de domaine par exemple.
Découvrez comment gérer vos stratégies d’audit de sécurité au sein de votre organization
Module de plateforme sécurisée
Nouvelles fonctionnalités du module de plateforme sécurisée (TPM) dans Windows 10
Les sections suivantes décrivent les nouvelles fonctionnalités et les fonctionnalités modifiées dans le module de plateforme sécurisée (TPM) pour Windows 10 :
- Attestation d’intégrité des appareils
- Prise en charge de Microsoft Passport
- Prise en charge de Device Guard
- Prise en charge de Credential Guard
Attestation d’intégrité des appareils
L’attestation d’intégrité des appareils permet aux entreprises d’être parfaitement confiantes dans les composants matériels et logiciels des appareils gérés. Avec l’attestation d’intégrité des appareils, vous pouvez configurer un serveur GPM pour interroger un service d’attestation d’intégrité qui autorisera ou refusera l’accès d’un appareil géré à une ressource sécurisée. Les points que vous pouvez vérifier sur l’appareil sont notamment les suivants :
- La prévention de l’exécution des données est-elle pris en charge et activée ?
- Le chiffrement du lecteur BitLocker est-il pris en charge et activé ?
- SecureBoot est-il pris en charge et activé ?
Remarque
L’appareil doit exécuter Windows 10 et prendre en charge au minimum le TPM 2.0.
Contrôle de compte d’utilisateur
Le contrôle de compte d’utilisateur (UAC) empêche les programmes malveillants d’endommager un ordinateur et aide les organisations à déployer des environnements de travail mieux gérés.
Vous ne devez pas désactiver le contrôle de compte d’utilisateur, car un tel paramètre ne prend pas en charge les appareils exécutant Windows 10. Si vous désactivez le contrôle de compte d’utilisateur, toutes les applications de plateforme Windows universelle cessent de fonctionner. Vous devez toujours définir la valeur de Registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA sur 1. Si vous devez fournir une élévation automatique pour l’accès ou l’installation par programmation, vous pouvez définir la valeur de Registre HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ConsentPromptBehaviorAdmin sur 0, ce qui est identique à la définition du curseur UAC Never Notify. Ce paramètre n’est pas recommandé pour les appareils exécutant Windows 10.
Pour plus d’informations sur la gestion du contrôle de compte d’utilisateur, consultez Paramètres stratégie de groupe UAC et Paramètres de clé de Registre.
Dans Windows 10, le contrôle de compte d’utilisateur a ajouté quelques améliorations :
- Intégration avec l’interface d’analyse de logiciel anti-programmes malveillants (AMSI). L’ AMSI analyse toutes les demandes d’élévation de contrôle de compte d’utilisateur (UAC) à la recherche de programmes malveillants. Si un logiciel malveillant est détecté, le privilège d’administrateur est bloqué.
Découvrez comment gérer le contrôle de compte d’utilisateur au sein de votre organisation.
Options de profil VPN
Windows 10 fournit un ensemble de fonctionnalités VPN qui améliorent la sécurité d’entreprise et fournissent une expérience utilisateur améliorée, notamment :
- Comportement de connexion automatique toujours actif
- VPN déclenché par l’application
- Filtres de trafic VPN
- Verrouillage VPN
- Intégration avec Microsoft Passport for Work
En savoir plus sur les options VPN dans Windows 10.
Gestion
Windows 10 fournit des fonctionnalités GPM pour les PC, les ordinateurs portables, les tablettes et les téléphones qui permettent une gestion au niveau de l’entreprise des appareils professionnels et personnels.
Prise en charge GPM
Les stratégies GPM de Windows 10 s’alignent sur les stratégies prises en charge par Windows 8.1 et ont été développées pour répondre à un nombre plus important de scénarios d’entreprise, tels que la gestion de plusieurs utilisateurs disposant de comptes Microsoft Azure Active Directory (Azure AD), le contrôle total du Microsoft Store, la configuration VPN, etc.
La prise en charge de GPM dans Windows 10 est basée sur la spécification du protocole 1.2.1 Gestion des périphériques (DM) OMA (Open Mobile Alliance).
Les appareils appartenant à l’entreprise peuvent être inscrits automatiquement pour les entreprises utilisant Azure AD. Référence pour la gestion des appareils mobiles pour Windows 10
Suppression de l’inscription
Lorsqu’une personne quitte votre organisation et que vous supprimez de la gestion le compte d’utilisateur ou l’appareil, les configurations et les applications contrôlées par l’entreprise sont supprimées de cet appareil. Vous pouvez supprimer l’inscription de l’appareil à distance, ou cette personne peut effectuer cette suppression manuellement en supprimant le compte de l’appareil.
Lorsque vous supprimez l’inscription d’un appareil personnel, les données et les applications de l’utilisateur restent inchangées, mais les informations relatives à l’entreprise, telles que les certificats, les profils VPN et les applications d’entreprise sont supprimées.
Infrastructure
Les entreprises disposent des options de gestion et d’identité suivantes.
Domaine | Choix |
---|---|
Identité | Active Directory ; Azure AD |
Regroupement | Jonction de domaine ; groupe de travail ; jonction Azure AD |
Gestion des périphériques | stratégie de groupe; Microsoft Configuration Manager ; Microsoft Intune ; autres solutions GPM ; Exchange ActiveSync; Windows PowerShell; Windows Management Instrumentation (WMI) |
Remarque
Avec la sortie de Windows Server 2012 R2, la protection d’accès réseau (NAP) est désormais déconseillée et le client NAP a été supprimé dans Windows 10. Pour plus d’informations sur les politiques de support, consultez Politique de support Microsoft.
Verrouillage de l’appareil
Avez-vous besoin d’un ordinateur qui ne puisse effectuer qu’une seule chose ? Par exemple :
- Un appareil dans le hall d’entrée que les clients peuvent utiliser pour consulter votre catalogue de produits.
- Un appareil mobile que les conducteurs peuvent utiliser pour vérifier un itinéraire sur une carte.
- Un appareil qu’un intérimaire utilise pour entrer des données.
Vous pouvez configurer un état verrouillé persistant pour créer un appareil de type kiosque. Lorsque le compte verrouillé est connecté, l’appareil affiche uniquement l’application que vous sélectionnez.
Vous pouvez également configurer un état de verrouillage qui prend effet lorsqu’un compte d’utilisateur se connecte. Le verrouillage permet d’accéder uniquement aux applications spécifiées.
Les paramètres de verrouillage peuvent également être configurés pour l’apparence de l’appareil, par exemple un thème ou une disposition personnalisée sur l’écran de démarrage.
Disposition de l’écran de démarrage
Une configuration standard de l’écran de démarrage peut être utile sur des appareils communs à plusieurs utilisateurs, qui sont verrouillés dans des buts spécifiques. À compter de Windows 10, version 1511, les administrateurs peuvent configurer une disposition partielle de l’écran d’accueil qui s’applique aux groupes de vignettes spécifiés, tout en permettant aux utilisateurs de créer et de personnaliser leurs propres groupes de vignettes. Apprenez comment personnaliser et exporter la disposition de l’écran de démarrage.
Les administrateurs peuvent également utiliser la Gestion des périphériques mobiles (GPM) ou une stratégie de groupe pour désactiver l’utilisation de Windows à la une sur l’écran de verrouillage.
Mises à jour
Windows Update for Business permet aux administrateurs informatiques de garder les appareils Windows 10 de leur organisation constamment à jour grâce aux dernières défenses de sécurité et aux fonctionnalités Windows en connectant directement ces systèmes au service Windows Update de Microsoft.
Utilisant les objets de stratégie de groupe, Windows Update pour Entreprise est un système facile à installer et à mettre en œuvre qui permet aux entreprises et aux administrateurs d’exercer un contrôle sur la façon dont leurs appareils Windows 10 sont mise à jour grâce aux éléments suivants ::
Groupes de déploiement et de validation: groupes dans lesquels les administrateurs peuvent spécifier les appareils à mettre à jour en priorité et ceux qui le seront ultérieurement (afin de répondre aux exigences qualité).
Les options pair à pair, que les administrateurs peuvent activer pour optimiser le déploiement de mises à jour aux filiales et aux sites distants avec une bande passante limitée.
Utilisez avec des outils existants tels que Microsoft Intune et Enterprise Mobility Suite.
Ensemble, ces fonctionnalités Windows Update pour Entreprise aident à réduire les coûts de gestion de l’appareil, fournissent des contrôles sur le déploiement de la mise à jour, offrent un accès plus rapide aux mises à jour de sécurité et donnent également accès aux dernières innovations de Microsoft de manière régulière. Windows Update entreprise est un service gratuit pour toutes les éditions Windows 10 Professionnel, Entreprise et Éducation. Il peut être utilisé indépendamment ou conjointement avec les solutions de gestion des appareils existantes telles que Windows Server Update Services (WSUS) et Microsoft Configuration Manager.
Pour en savoir plus Windows Update for Business, voir cette rubrique.
Pour plus d’informations sur la mise à jour de Windows 10, voir la rubrique Options de maintenance de Windows 10 pour les mises à jour et les mises à niveau.
Microsoft Edge
Le nouveau Microsoft Edge basé sur chromium n’est pas inclus dans la version LTSC de Windows 10. Toutefois, vous pouvez le télécharger et l’installer séparément ici.
Articles associés
Windows 10 Entreprise LTSC : description du canal de maintenance LTSC avec des liens vers des informations sur chaque version.