Restrictions relatives à l’inscription et à l’installation d’un package de sécurité
La suppression, le remplacement ou l’habillage des packages de sécurité de boîte de réception (par exemple, Kerberos ou NTLM) n’est pas une action prise en charge dans Windows et, depuis le 10 janvier 2017, elle est empêchée. Des packages de sécurité tiers (SSP/APs) peuvent être ajoutés ; Toutefois, Windows ne prend pas en charge la suppression des SSP/APs préconfigurés. Plus précisément, la modification du paramètre de registre HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages n’a jamais été prise en charge.
À partir de Windows 8.1, les clients qui souhaitent fournir des fonctionnalités supplémentaires peuvent ajouter leurs packages de sécurité à l’aide du paramètre de Registre HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages (inscription de DLL SSP/AP) et du paramètre de Registre associé SecurityProviders (écriture et installation d’un fournisseur de support de sécurité), le cas échéant. En outre, l’objectif des packages de sécurité est d’implémenter de nouveaux protocoles de sécurité qui peuvent être sous la forme d’un fournisseur de support de sécurité (SSP) ou d’un package d’authentification (AP). L’objectif d’un fournisseur de services partagés est de fournir des services de connexion authentifiés, d’intégrité des messages et de chiffrement des messages qui ne sont pas déjà pris en charge dans le système, tandis qu’un point d’accès est utilisé pour ajouter une nouvelle logique d’authentification utilisée pour déterminer s’il faut autoriser un utilisateur à se connecter.
Microsoft investit dans la sécurité des clients et tente de s’assurer que les processus critiques tels que les fournisseurs de services de sécurité et les fournisseurs d’accès ne sont pas facilement amovibles du système. Par conséquent, le paramètre de Registre HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages a été restreint à partir de Windows 8.1 afin d’empêcher toute modification. Afin de faciliter les packages de sécurité tiers, HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages a été défini comme paramètre désigné pour les SSP/APs personnalisés. Il est également recommandé de supprimer de ces SSP/APs personnalisés toutes les fonctionnalités des SSP/APs personnalisés qui se trouvent en dehors de l’étendue des packages de sécurité définis par Microsoft, et que les packages de sécurité de boîte de réception ne sont supprimés par aucun produit.