S’applique à
Windows Server 2012 Windows Server 2012 R2 ESU Windows 10 Win 10 Ent LTSB 2016 Win 10 IoT Ent LTSB 2016 Windows Server 2016 Windows 10 Enterprise version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 DO_NOT_USE_Windows 11 IoT Enterprise, version 23H2

Date de publication d’origine : Avril 2023

ID de la base de connaissances : 5036534

Modifier la date

Description

8 avril 2025

  • Ajout d’informations sur les protections d’une vulnérabilité avec l’authentification Kerberos pour CVE-2025-26647.

19 février 2025

  • Révision du libellé de la section Introduction.

  • Suppression de la section « Renforcement des modifications en un coup d’œil » car les informations sont obsolètes.

  • Ajout de la section « Autres modifications clés dans Windows » pour les références aux fonctionnalités qui ne sont plus développées dans Windows.

30 janvier 2025

  • Ajout de l’entrée janvier 2026 ou ultérieure sous la section « Renforcement des modifications par mois ».

17 janvier 2025

  • Ajout des entrées d’avril 2024, janvier 2025 et avril 2025 sous la section « Renforcement des modifications par mois ».

10 mars 2024

  • Révision de la chronologie mensuelle ajoutant davantage de contenu lié au renforcement et suppression de l’entrée de février 2024 de la chronologie, car elle n’est pas liée au renforcement.

Introduction

Le renforcement est un élément clé de notre stratégie de sécurité continue pour vous aider à protéger votre patrimoine tout en vous concentrant sur votre travail. Les cybermenaces de plus en plus créatives ciblent les faiblesses partout où cela est possible, de la puce au cloud.

Cet article passe en revue les zones vulnérables qui subissent des modifications de renforcement implémentées via les mises à jour de sécurité Windows. Nous publions également des rappels sur le centre de messages Windows pour alerter les administrateurs informatiques sur le renforcement des dates de clé à mesure qu’ils approchent.  

Remarque : Cet article sera mis à jour au fil du temps pour fournir les dernières informations sur les modifications et les chronologies de renforcement. Reportez-vous à la section Journal des modifications pour suivre les dernières modifications.

Renforcement des modifications par mois

Consultez les détails des modifications de renforcement récentes et à venir par mois pour vous aider à planifier chaque phase et la mise en œuvre finale.

  • Modifications du protocole Netlogon KB5021130 | Phase 2 Phase d’application initiale. Supprime la possibilité de désactiver le scellement RPC en définissant la valeur 0 sur la sous-clé de Registre RequireSeal .

  • KB5014754 d’authentification basée sur les certificats | Phase 2 Supprime le mode Désactivé .

  • Protections de contournement du démarrage sécurisé KB5025885 | Phase 1 Phase de déploiement initiale. Windows Mises à jour publiée le ou après le 9 mai 2023 corrigent les vulnérabilités abordées dans CVE-2023-24932, les modifications apportées aux composants de démarrage Windows et deux fichiers de révocation qui peuvent être appliqués manuellement (une stratégie d’intégrité du code et une liste d’interdiction de démarrage sécurisé mise à jour (DBX)).

  • Modifications du protocole Netlogon KB5021130 | Phase 3 Mise en œuvre par défaut. La sous-clé RequireSeal est déplacée en mode d’application, sauf si vous la configurez explicitement pour qu’elle soit en mode de compatibilité.

  • Signatures PAC Kerberos KB5020805 | Phase 3 Troisième phase de déploiement. Supprime la possibilité de désactiver l’ajout de signature PAC en définissant la sous-clé KrbtgtFullPacSignature sur la valeur 0.

  • Modifications du protocole Netlogon KB5021130 | Phase 4 Mise en œuvre finale. Les mises à jour Windows publiées le 11 juillet 2023 suppriment la possibilité de définir la valeur 1 sur la sous-clé de registre RequireSeal. Cela active la phase de mise en application de CVE-2022-38023.

  • Signatures PAC Kerberos KB5020805 | Phase 4 Mode d’application initiale. Supprime la possibilité de définir la valeur 1 pour la sous-clé KrbtgtFullPacSignature et passe au mode d’application par défaut (KrbtgtFullPacSignature = 3), que vous pouvez remplacer par un paramètre Audit explicite. 

  • Protections de contournement du démarrage sécurisé KB5025885 | Phase 2 Deuxième phase de déploiement. Mises à jour pour Windows publiées le ou après le 11 juillet 2023 incluent le déploiement automatisé des fichiers de révocation, de nouveaux événements du journal des événements pour signaler si le déploiement de la révocation a réussi et le package de mise à jour dynamique SafeOS pour WinRE.

  • Signatures PAC Kerberos KB5020805 | Phase 5

    Phase d’application complète. Supprime la prise en charge de la sous-clé de Registre KrbtgtFullPacSignature, supprime la prise en charge du mode Audit , et tous les tickets de service sans les nouvelles signatures PAC se voient refuser l’authentification.

  • Mises à jour des autorisations Active Directory (AD) KB5008383 | Phase 5 Phase de déploiement finale. La phase de déploiement finale peut commencer une fois que vous avez terminé les étapes répertoriées dans la section « Agir » de KB5008383. Pour passer en mode d’application , suivez les instructions de la section « Guide de déploiement » pour définir les 28e et 29e bits sur l’attribut dSHeuristics . Ensuite, surveillez les événements 3044-3046. Ils signalent quand le mode d’application a bloqué une opération d’ajout ou de modification LDAP qui aurait pu être précédemment autorisée en mode Audit

  • Protections de contournement du démarrage sécurisé KB5025885 | Phase 3 Troisième phase de déploiement. Cette phase ajoutera des mesures d'atténuation supplémentaires pour le gestionnaire de démarrage. Cette phase ne démarrera pas avant le 9 avril 2024.

  • Modifications de validation PAC KB5037754 | Phase du mode de compatibilité

    La phase de déploiement initiale commence par les mises à jour publiées le 9 avril 2024. Cette mise à jour ajoute un nouveau comportement qui empêche les vulnérabilités d’élévation de privilège décrites dans CVE-2024-26248 et CVE-2024-29056, mais ne l’applique pas, sauf si les contrôleurs de domaine Windows et les clients Windows de l’environnement sont mis à jour.

    Pour activer le nouveau comportement et atténuer les vulnérabilités, vous devez vous assurer que l’ensemble de votre environnement Windows (y compris les contrôleurs de domaine et les clients) est mis à jour. Les événements d’audit seront enregistrés pour aider à identifier les appareils qui ne sont pas mis à jour.

  • Protections de contournement du démarrage sécurisé KB5025885 | Phase 3 Phase d’application obligatoire. Les révocations (stratégie de démarrage d'intégrité du code et liste d'interdiction de démarrage sécurisé) seront appliquées par programme après l'installation des mises à jour pour Windows sur tous les systèmes concernés sans option à désactiver.

  • Modifications de validation PAC KB5037754 | Phase d’application par défaut

    Mises à jour publiée en janvier 2025 ou après cette date déplace tous les contrôleurs de domaine Et clients Windows dans l’environnement vers le mode Appliqué. Ce mode applique le comportement sécurisé par défaut. Les paramètres de clé de Registre existants qui ont été définis précédemment remplacent ce changement de comportement par défaut.

    Les paramètres par défaut du mode appliqué peuvent être remplacés par un administrateur pour revenir au mode de compatibilité.

  • KB5014754 d’authentification basée sur les certificats | Phase 3 Mode d’application complète. Si un certificat ne peut pas être fortement mappé, l’authentification est refusée.

  • Modifications de la validation PAC KB5037754 | Phase d’application Les mises à jour de sécurité Windows publiées en avril 2025 ou ultérieures suppriment la prise en charge des sous-clés de Registre PacSignatureValidationLevel et CrossDomainFilteringLevel et appliquent le nouveau comportement sécurisé. Il n’y aura plus de prise en charge du mode de compatibilité après l’installation de la mise à jour d’avril 2025.

  • Protections de l’authentification Kerberos pour CVE-2025-26647 KB5057784 | Mode d’audit La phase de déploiement initiale commence par les mises à jour publiées le 8 avril 2025. Ces mises à jour ajoutent un nouveau comportement qui détecte la vulnérabilité d’élévation de privilège décrite dans CVE-2025-26647 , mais ne l’applique pas. Pour activer le nouveau comportement et être sécurisé contre la vulnérabilité, vous devez vous assurer que tous les contrôleurs de domaine Windows sont mis à jour et que le paramètre de clé de Registre AllowNtAuthPolicyBypass est défini sur 2.

  • Protections de l’authentification Kerberos pour CVE-2025-26647 KB5057784 | Appliqué par la phase par défaut Mises à jour publiée en juillet 2025 ou après, applique la case activée du Magasin NTAuth par défaut. Le paramètre de clé de Registre AllowNtAuthPolicyBypass permet toujours aux clients de revenir en mode Audit si nécessaire. Toutefois, la possibilité de désactiver complètement cette mise à jour de sécurité sera supprimée.

  • Protections de l’authentification Kerberos pour CVE-2025-26647 KB5057784 | Mode d’application ​​​​​​​Mises à jour publiée en octobre 2025 ou après, cessera de prendre en charge Microsoft pour la clé de Registre AllowNtAuthPolicyBypass. À ce stade, tous les certificats doivent être émis par les autorités qui font partie du magasin NTAuth.

  • Protections de contournement du démarrage sécurisé KB5025885 | Phase d’application La phase d’application ne commencera pas avant janvier 2026, et nous donnerons au moins six mois d’avertissement à l’avance dans cet article avant le début de cette phase. Lorsque des mises à jour sont publiées pour la phase d’application, elles incluent les éléments suivants :

    • Le certificat « Windows Production PCA 2011 » est automatiquement révoqué en étant ajouté à la liste DBX (Secure Boot UEFI Forbidden List) sur les appareils compatibles. Ces mises à jour seront appliquées par programme après l’installation des mises à jour pour Windows sur tous les systèmes affectés, sans option de désactivation.

Autres modifications clés dans Windows

Chaque version du client et Windows Server Windows ajoute de nouvelles fonctionnalités. Parfois, les nouvelles versions suppriment également des fonctionnalités et des fonctionnalités, souvent parce qu’une option plus récente existe. Consultez les articles suivants pour plus d’informations sur les fonctionnalités qui ne sont plus développées dans Windows.

Client

Serveur

Obtenir les dernières actualités

Veuillez ajouter un signet au centre de messages Windows pour trouver facilement les dernières mises à jour et rappels. Si vous êtes un administrateur informatique ayant accès au Centre d’administration Microsoft 365, configurez Email préférences sur le Centre d’administration Microsoft 365 pour recevoir des notifications et des mises à jour importantes.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité