S’applique à
Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2025

Date de publication d’origine : 29 août 2025

ID de la base de connaissances : 5066470

Introduction

Cet article détaille les modifications récentes et à venir apportées à Windows 11, version 24H2 et Windows Server 2025, en se concentrant sur l’audit et l’application éventuelle du chiffrement dérivé de NTLMv1 bloquant. Ces modifications font partie de l’initiative plus large de Microsoft pour l’élimination progressive de NTLM.

Arrière-plan

Microsoft a supprimé le protocole NTLMv1 (voir Fonctionnalités supprimées) de Windows 11, version 24H2 et Windows Server 2025 et versions ultérieures. Toutefois, bien que le protocole NTLMv1 soit supprimé, des restes de chiffrement NTLMv1 sont toujours présents dans certains scénarios, par exemple lors de l’utilisation de MS-CHAPv2 dans un environnement joint à un domaine.

Credential Guard offre une protection complète du chiffrement hérité NTLMv1 et de nombreuses autres surfaces d’attaque. Par conséquent, Microsoft recommande vivement son déploiement et son activation si les exigences de Credential Guard sont remplies. Les modifications à venir affectent uniquement les appareils pour lesquels credential guard est désactivé ; si Windows Credential Guard est activé sur l’appareil, les modifications décrites dans cet article ne prennent pas effet.

Objectif

Avec la dépréciation de NTLM (voir Fonctionnalités déconseillées) et la suppression du protocole NTLMv1, Microsoft s’efforce de finaliser la désactivation de NTLMv1 en désactivant l’utilisation des informations d’identification dérivées de NTLMv1.

Modifications à venir

Deux nouvelles modifications, l’introduction d’une nouvelle clé de Registre et de nouveaux journaux des événements, sont incluses dans cette mise à jour. Pour obtenir une chronologie de ces modifications, consultez la section Déploiement des modifications.

Nouvelle clé de Registre

Une nouvelle clé de Registre est introduite, indiquant si les modifications sont en mode Audit ou En mode Appliquer.

Emplacement du Registre

HKEY_LOCAL_MACHINE\SYSTEM\currentcontrolset\control\lsa\msv1_0

Valeur

BlockNtlmv1SSO

Type (Type)

REG_DWORD

Data (Données)

  • 0 (valeur par défaut) : la demande de génération d’informations d’identification NTLMv1 pour un utilisateur connecté est auditée, mais autorisée à réussir. Les événements d’avertissement sont générés. Ce paramètre est également appelé mode Audit.

  • 1 – La demande de génération de NTLMv1-credentials pour un utilisateur connecté est bloquée. Des événements d’erreur sont générés. Ce paramètre est également appelé mode d’application.

Nouvelles fonctionnalités d’audit

  • Lors de l’utilisation des paramètres d’audit (par défaut)

    Journal des événements

    Microsoft-Windows-NTLM/Operational

    Type d’événement

    Avertissement

    Source de l’événement

    NTLM

    ID d’événement

    4024

    Texte de l’événement

    Audit d’une tentative d’utilisation des informations d’identification dérivées de NTLMv1 pour l’authentification unique Serveur cible : <domain_name> Utilisateur fourni : <user_name> Domaine fourni : <domain_name> PID du processus client : <process_identifier> Nom du processus client : <process_name> LUID du processus client : <locally_unique_identifier> Identité de l’utilisateur du processus client : <user_name> Nom de domaine de l’identité utilisateur du processus client : <domain_name> OID du mécanisme : <object_identifier> Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2321802.

  • Lors de l’utilisation des paramètres d’application

    Journal des événements

    Microsoft-Windows-NTLM/Operational

    Type d’événement

    Error

    Source de l’événement

    NTLM

    ID d’événement

    4025

    Texte de l’événement

    Une tentative d’utilisation des informations d’identification dérivées de NTLMv1 pour l'Sign-On unique a été bloquée en raison d’une stratégie.Serveur cible : <domain_name> Utilisateur fourni : <user_name> Domaine fourni : <domain_name> PID du processus client : <process_identifier> Nom du processus client : <process_name> LUID du processus client : <locally_unique_identifier> Identité de l’utilisateur du processus client : <user_name> Nom de domaine de l’identité utilisateur du processus client : <domain_name> OID du mécanisme : <object_identifier> Pour plus d’informations, consultez https://go.microsoft.com/fwlink/?linkid=2321802.

Pour plus d’informations sur les autres améliorations d’audit, consultez Vue d’ensemble des améliorations de l’audit NTLM dans Windows 11, version 24H2 et Windows Server 2025.

Déploiement des modifications

Dans les mises à jour de septembre 2025 et ultérieures, les modifications seront déployées sur Windows 11, version 24H2 et versions ultérieures du système d’exploitation client en mode Audit. Dans ce mode, l’ID d’événement : 4024 est journalisé chaque fois que des informations d’identification dérivées de NTLMv1 sont utilisées, mais l’authentification continue de fonctionner. Le déploiement atteindra Windows Server 2025 plus tard dans l’année.

En octobre 2026, Microsoft définit la valeur par défaut de la clé de Registre BlockNTLMv1SSO sur 1 (Appliquer) au lieu de 0 (Audit) si la clé de Registre BlockNTLMv1SSO n’a pas été déployée sur l’appareil.

Chronologie

Date

Modification

Fin août 2025

Journaux d’audit pour l’utilisation de NTLMv1 activée sur Windows 11, version 24H2 et les clients plus récents.

Novembre 2025

Commencez le déploiement des modifications apportées à Windows Server 2025.

Octobre 2026

La valeur par défaut de la clé de Registre BlockNtlmv1SSO passe du mode Audit (0) au mode Appliquer (1) via une prochaine mise à jour Windows, ce qui renforce les restrictions NTLMv1. Cette modification des valeurs par défaut prend effet uniquement si la clé de Registre BlockNtlmv1SSO n’a pas été déployée.

Remarque Ces dates sont provisoires et susceptibles d’être modifiées.

Foire aux questions (FAQ)

Microsoft utilise une méthode de déploiement progressif pour distribuer une mise à jour de mise en production sur une période donnée, plutôt que tout à la fois. Cela signifie que les utilisateurs reçoivent les mises à jour à différents moments et qu’elles peuvent ne pas être immédiatement disponibles pour tous les utilisateurs.

Les informations d’identification dérivées de NTLMv1 sont utilisées par certains protocoles de niveau supérieur à des fins de Sign-On unique ; Par exemple, les déploiements Wi-Fi, Ethernet et VPN utilisant l’authentification MS-CHAPv2. De même que lorsque Credential Guard est activé, les flux de Sign-On unique pour ces protocoles ne fonctionnent pas, mais l’entrée manuelle des informations d’identification continue de fonctionner même en mode Appliquer . Pour plus d’informations et les meilleures pratiques, consultez Considérations et problèmes connus lors de l’utilisation de Credential Guard.

La seule similarité entre cette mise à jour et Credential Guard est la protection des informations d’identification utilisateur du chiffrement dérivé de NTLMv1. Cette mise à jour ne fournit pas la protection étendue et robuste de Credential Guard . Microsoft recommande l’activation de Credential Guard sur toutes les plateformes prises en charge.

Facebook LinkedIn E-mail
ABONNER LES FLUX RSS

Besoin d’aide ?

Vous voulez plus d’options ?

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité