├── .github
├── linters
│ └── .powershell-psscriptanalyzer.psd1
└── workflows
│ └── linting.yml
├── AdditionalDebugPolicies.admx
├── AdditionalDefenderPolicies.admx
├── AdditionalHardening.admx
├── AdditionalHardeningFromMicrosoft.admx
├── AdditionalLegacyHardening.admx
├── AdditionalNetworkHardening.admx
├── AdditionalSystemHardening.admx
├── CHANGELOG.md
├── LICENSE
├── PoliciesTemplate.md
├── README.md
├── en-US
├── AdditionalDebugPolicies.adml
├── AdditionalDefenderPolicies.adml
├── AdditionalHardening.adml
├── AdditionalHardeningFromMicrosoft.adml
├── AdditionalLegacyHardening.adml
├── AdditionalNetworkHardening.adml
└── AdditionalSystemHardening.adml
├── fr-FR
├── AdditionalDebugPolicies.adml
├── AdditionalDefenderPolicies.adml
├── AdditionalHardening.adml
├── AdditionalHardeningFromMicrosoft.adml
├── AdditionalLegacyHardening.adml
├── AdditionalNetworkHardening.adml
└── AdditionalSystemHardening.adml
└── install.ps1
/.github/linters/.powershell-psscriptanalyzer.psd1:
--------------------------------------------------------------------------------
1 | @{
2 | ExcludeRules = @('PSPlaceCloseBrace')
3 | }
--------------------------------------------------------------------------------
/.github/workflows/linting.yml:
--------------------------------------------------------------------------------
1 | name: Linting
2 | on:
3 | push:
4 | branches: [ main ]
5 | jobs:
6 | linting-main:
7 | runs-on: ubuntu-latest
8 | container:
9 | image: fstossesds/admx-lint
10 | steps:
11 | -
12 | name: Checkout
13 | uses: actions/checkout@v4.2.2
14 | -
15 | name: Lint ADMX files
16 | run: admx-lint --input_file AdditionalHardening.admx
17 | linting-debug:
18 | runs-on: ubuntu-latest
19 | container:
20 | image: fstossesds/admx-lint
21 | steps:
22 | -
23 | name: Checkout
24 | uses: actions/checkout@v4.2.2
25 | -
26 | name: Lint ADMX files
27 | run: admx-lint --input_file AdditionalDebugPolicies.admx
28 | linting-defender:
29 | runs-on: ubuntu-latest
30 | container:
31 | image: fstossesds/admx-lint
32 | steps:
33 | -
34 | name: Checkout
35 | uses: actions/checkout@v4.2.2
36 | -
37 | name: Lint ADMX files
38 | run: admx-lint --input_file AdditionalDefenderPolicies.admx
39 | linting-MSFT:
40 | runs-on: ubuntu-latest
41 | container:
42 | image: fstossesds/admx-lint
43 | steps:
44 | -
45 | name: Checkout
46 | uses: actions/checkout@v4.2.2
47 | -
48 | name: Lint ADMX files
49 | run: admx-lint --input_file AdditionalHardeningFromMicrosoft.admx
50 | linting-legacy:
51 | runs-on: ubuntu-latest
52 | container:
53 | image: fstossesds/admx-lint
54 | steps:
55 | -
56 | name: Checkout
57 | uses: actions/checkout@v4.2.2
58 | -
59 | name: Lint ADMX files
60 | run: admx-lint --input_file AdditionalLegacyHardening.admx
61 | linting-network:
62 | runs-on: ubuntu-latest
63 | container:
64 | image: fstossesds/admx-lint
65 | steps:
66 | -
67 | name: Checkout
68 | uses: actions/checkout@v4.2.2
69 | -
70 | name: Lint ADMX files
71 | run: admx-lint --input_file AdditionalNetworkHardening.admx
72 | linting-system:
73 | runs-on: ubuntu-latest
74 | container:
75 | image: fstossesds/admx-lint
76 | steps:
77 | -
78 | name: Checkout
79 | uses: actions/checkout@v4.2.2
80 | -
81 | name: Lint ADMX files
82 | run: admx-lint --input_file AdditionalSystemHardening.admx
83 | linting-script:
84 | runs-on: ubuntu-latest
85 | steps:
86 | -
87 | name: Checkout code
88 | uses: actions/checkout@v4.2.2
89 |
90 | -
91 | name: Invoke PSScriptAnalyzer
92 | uses: PSModule/Invoke-ScriptAnalyzer@v3.0.0
93 | with:
94 | Settings: Custom
95 | Output_CIFormat: GithubActions
96 | CodeCoverage_Enabled: false
97 |
--------------------------------------------------------------------------------
/AdditionalDebugPolicies.admx:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
25 |
26 |
27 |
28 |
29 |
30 |
31 |
32 |
33 |
34 |
--------------------------------------------------------------------------------
/AdditionalDefenderPolicies.admx:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
25 | 1
26 |
27 |
28 | 0
29 |
30 |
31 |
32 |
33 |
34 |
35 |
36 |
37 | -
38 |
39 | 0
40 |
41 |
42 | -
43 |
44 | 2
45 |
46 |
47 | -
48 |
49 | 6
50 |
51 |
52 | -
53 |
54 | 1
55 |
56 |
57 |
58 |
59 |
60 |
61 |
62 |
63 |
64 |
65 |
66 | -
67 |
68 | 0
69 |
70 |
71 | -
72 |
73 | 2
74 |
75 |
76 | -
77 |
78 | 6
79 |
80 |
81 | -
82 |
83 | 1
84 |
85 |
86 |
87 |
88 |
89 |
90 |
91 |
92 |
93 |
94 |
95 | -
96 |
97 | 0
98 |
99 |
100 | -
101 |
102 | 2
103 |
104 |
105 | -
106 |
107 | 6
108 |
109 |
110 | -
111 |
112 | 1
113 |
114 |
115 |
116 |
117 |
118 |
119 |
120 |
121 |
122 |
123 |
124 | -
125 |
126 | 0
127 |
128 |
129 | -
130 |
131 | 2
132 |
133 |
134 |
135 | -
136 |
137 | 1
138 |
139 |
140 |
141 |
142 |
143 |
144 |
145 |
146 |
147 |
148 |
149 | -
150 |
151 | 0
152 |
153 |
154 | -
155 |
156 | 2
157 |
158 |
159 | -
160 |
161 | 6
162 |
163 |
164 | -
165 |
166 | 1
167 |
168 |
169 |
170 |
171 |
172 |
173 |
174 |
175 |
176 |
177 |
178 | -
179 |
180 | 0
181 |
182 |
183 | -
184 |
185 | 2
186 |
187 |
188 | -
189 |
190 | 6
191 |
192 |
193 | -
194 |
195 | 1
196 |
197 |
198 |
199 |
200 |
201 |
202 |
203 |
204 |
205 |
206 |
207 | -
208 |
209 | 0
210 |
211 |
212 | -
213 |
214 | 2
215 |
216 |
217 | -
218 |
219 | 6
220 |
221 |
222 | -
223 |
224 | 1
225 |
226 |
227 |
228 |
229 |
230 |
231 |
232 |
233 |
234 |
235 |
236 | -
237 |
238 | 0
239 |
240 |
241 | -
242 |
243 | 2
244 |
245 |
246 | -
247 |
248 | 6
249 |
250 |
251 | -
252 |
253 | 1
254 |
255 |
256 |
257 |
258 |
259 |
260 |
261 |
262 |
263 |
264 |
265 | -
266 |
267 | 0
268 |
269 |
270 | -
271 |
272 | 2
273 |
274 |
275 | -
276 |
277 | 6
278 |
279 |
280 | -
281 |
282 | 1
283 |
284 |
285 |
286 |
287 |
288 |
289 |
290 |
291 |
292 |
293 |
294 | -
295 |
296 | 0
297 |
298 |
299 | -
300 |
301 | 2
302 |
303 |
304 |
305 | -
306 |
307 | 1
308 |
309 |
310 |
311 |
312 |
313 |
314 |
315 |
316 |
317 |
318 |
319 | -
320 |
321 | 0
322 |
323 |
324 | -
325 |
326 | 2
327 |
328 |
329 | -
330 |
331 | 6
332 |
333 |
334 | -
335 |
336 | 1
337 |
338 |
339 |
340 |
341 |
342 |
343 |
344 |
345 |
346 |
347 |
348 | -
349 |
350 | 0
351 |
352 |
353 | -
354 |
355 | 2
356 |
357 |
358 | -
359 |
360 | 6
361 |
362 |
363 | -
364 |
365 | 1
366 |
367 |
368 |
369 |
370 |
371 |
372 |
373 |
374 |
375 |
376 |
377 | -
378 |
379 | 0
380 |
381 |
382 | -
383 |
384 | 2
385 |
386 |
387 | -
388 |
389 | 6
390 |
391 |
392 | -
393 |
394 | 1
395 |
396 |
397 |
398 |
399 |
400 |
401 |
402 |
403 |
404 |
405 |
406 | -
407 |
408 | 0
409 |
410 |
411 | -
412 |
413 | 2
414 |
415 |
416 | -
417 |
418 | 6
419 |
420 |
421 | -
422 |
423 | 1
424 |
425 |
426 |
427 |
428 |
429 |
430 |
431 |
432 |
433 |
434 |
435 | -
436 |
437 | 0
438 |
439 |
440 | -
441 |
442 | 2
443 |
444 |
445 | -
446 |
447 | 6
448 |
449 |
450 | -
451 |
452 | 1
453 |
454 |
455 |
456 |
457 |
458 |
459 |
460 |
461 |
462 |
463 |
464 | -
465 |
466 | 0
467 |
468 |
469 | -
470 |
471 | 2
472 |
473 |
474 | -
475 |
476 | 6
477 |
478 |
479 | -
480 |
481 | 1
482 |
483 |
484 |
485 |
486 |
487 |
488 |
489 |
490 |
491 |
492 |
493 | -
494 |
495 | 0
496 |
497 |
498 | -
499 |
500 | 2
501 |
502 |
503 | -
504 |
505 | 6
506 |
507 |
508 | -
509 |
510 | 1
511 |
512 |
513 |
514 |
515 |
516 |
517 |
518 |
519 |
520 |
521 |
522 | -
523 |
524 | 0
525 |
526 |
527 | -
528 |
529 | 2
530 |
531 |
532 | -
533 |
534 | 6
535 |
536 |
537 | -
538 |
539 | 1
540 |
541 |
542 |
543 |
544 |
545 |
546 |
547 |
548 |
549 |
550 |
551 | -
552 |
553 | 0
554 |
555 |
556 | -
557 |
558 | 2
559 |
560 |
561 | -
562 |
563 | 6
564 |
565 |
566 | -
567 |
568 | 1
569 |
570 |
571 |
572 |
573 |
574 |
575 |
--------------------------------------------------------------------------------
/AdditionalHardening.admx:
--------------------------------------------------------------------------------
1 |
2 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
--------------------------------------------------------------------------------
/AdditionalLegacyHardening.admx:
--------------------------------------------------------------------------------
1 |
2 |
5 |
6 |
7 |
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 | 1
18 |
19 |
20 | 0
21 |
22 |
23 |
24 |
25 |
26 |
27 |
28 |
29 |
30 |
31 |
32 |
33 |
34 |
35 |
36 |
37 |
38 |
39 |
40 |
41 |
42 |
43 |
44 |
45 |
46 |
47 |
48 |
49 |
50 |
51 |
52 |
53 |
54 |
55 |
56 |
57 |
58 |
59 |
60 |
61 |
62 |
63 |
64 |
65 |
66 |
67 |
68 |
69 |
70 |
71 |
72 |
73 |
74 |
75 |
76 |
77 |
78 |
79 |
80 |
81 |
82 |
83 |
84 |
85 |
86 |
87 |
88 |
89 |
90 |
91 |
92 |
93 |
94 |
95 |
96 |
97 |
98 |
99 |
100 |
101 |
102 |
103 |
104 |
105 |
106 |
107 |
108 |
109 |
110 |
111 |
112 |
113 |
114 |
115 |
116 |
117 |
118 |
119 |
120 |
121 |
122 |
123 |
124 |
125 |
126 |
127 |
128 |
129 |
130 |
131 |
132 |
133 |
134 |
135 |
136 |
137 |
138 |
139 |
140 |
141 |
142 | -
143 | -
144 | -
145 | -
146 |
147 |
148 |
149 |
150 |
151 |
152 |
153 |
154 |
155 | -
156 | -
157 | -
158 | -
159 | -
160 | -
161 | -
162 |
163 |
164 |
165 |
166 |
167 |
168 |
169 |
170 |
171 | -
172 | -
173 | -
174 | -
175 |
176 |
177 |
178 |
179 |
180 |
181 |
182 |
183 |
184 | -
185 | -
186 |
187 |
188 |
189 |
190 |
191 |
192 |
193 |
194 |
195 | -
196 | -
197 | -
198 | -
199 |
200 |
201 |
202 |
203 |
204 |
205 |
206 |
207 |
208 | -
209 | -
210 | -
211 | -
212 | -
213 |
214 |
215 |
216 |
217 |
218 |
--------------------------------------------------------------------------------
/CHANGELOG.md:
--------------------------------------------------------------------------------
1 | # Changelog
2 |
3 | All notable changes to this project will be documented in this file.
4 |
5 | The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.0.0/).
6 |
7 | ## [v1.2.0] - 2025-05-13
8 |
9 | ### Added
10 |
11 | - Policy to enable or disable detailed BSODs
12 | - Policies to control Attack Surface Reduction rules in Windows Defender
13 | - Credits to @MichaelGrafnetter and his project: https://github.com/MichaelGrafnetter/defender-asr-admx
14 | - Policy to enable or disable remote DCOM traffic
15 |
16 | ### Changed
17 |
18 | - Updated translations, wording and descriptions for consistency in en-US and fr-FR
19 | - Fixed a typo in Microsoft's SecGuide template
20 |
21 | ## [v1.1.1] - 2024-12-08
22 |
23 | ### Added
24 |
25 | - New policy to enable or disable the Windows Defender sandbox
26 |
27 | ### Fixed
28 |
29 | - Indentation value for REG_SZ-based policies
30 |
31 | ## [v1.1] - 2024-12-08
32 |
33 | ### Changed
34 |
35 | - Major refactoring of the codebase
36 | - Better consistency of indentation and formatting
37 | - Split in several file for network, system and debugging categories
38 |
39 | ### Added
40 |
41 | - Additional settings from the Microsoft Security Guide and the legacy MSS settings
42 | - Not translated to fr-FR for now
43 | - Settings were removed if already present in the main ADMX files
44 |
45 | ## [v1.0.37] - 2024-11-12
46 |
47 | ### Added
48 |
49 | - New policy to enable or disable the support for KASAN
50 |
51 | ### Fixed
52 |
53 | - Fix the Registry path for the Mandatory VBS flag introduced in v1.0.36
54 |
55 | ## [v1.0.36] - 2024-11-03
56 |
57 | ### Added
58 |
59 | - New policy to configure the Mandatory mode for Virtualization-Based Security
60 |
61 | ## [v1.0.35] - 2024-10-18
62 |
63 | ### Added
64 |
65 | - New policy to configure the behavior of the Sudo command, introduced in Windows 11 24H2
66 | - Cf. @mobilejon blog post about the command:
67 | - New policy to control the state of the generative AI features in Acrobat and Acrobat Reader products
68 |
69 | ## [v1.0.34] - 2024-09-27
70 |
71 | ### Added
72 |
73 | - Added all the steps required to update the bootloader against the BlackLotus vulnerability CVE-2023-24932
74 | - Cf. Microsoft documentation at
75 |
76 | ## [v1.0.33] - 2024-01-05
77 |
78 | ### Fixed
79 |
80 | - `supportedOn` value for the DTLS 1.3 policy
81 |
82 | ## [v1.0.32] - 2023-12-03
83 |
84 | ### Added
85 |
86 | - Dropdown selection list for Schannel verbosity levels
87 | - Mitigation for the BlackLotus vulnerability CVE-2023-24932
88 |
89 | ## [v1.0.31] - 2023-11-26
90 |
91 | ### Added
92 |
93 | - Support for DTLS 1.3 in Schannel section
94 |
95 | ## [v1.0.30] - 2023-11-26
96 |
97 | ### Fixed
98 |
99 | - Typo in the MsCacheV2 hardening policy description : MSCHAPv2 -> MsCacheV2
100 | - Improved the overall wording of the description
101 |
102 | ## [v1.0.29] - 2023-03-14
103 |
104 | ### Added
105 |
106 | - Added the new policy "Enable support for TLS 1.2 only" for WinHTTP ()
107 | - Thanks @Deas-h for the suggestion :)
108 |
109 | ## [v1.0.28] - 2023-01-28
110 |
111 | ### Changed
112 |
113 | - Updated the default value for PBKDF2-HMAC-SHA1 rounds and the associated policy description
114 |
115 | ## [v1.0.27] - 2023-01-08
116 |
117 | ### Added
118 |
119 | - Added "Prevent standard users to install root certificates" policy
120 | - Added a new category of policies, for Domain Controllers specific parameters
121 | - This is empty for now, will soon be populated...
122 |
123 | ## [v1.0.26] - 2022-12-03
124 |
125 | ### Added
126 |
127 | - Added "Configure the maximum/minimum SMB2 client dialect supported" policies
128 | - Added a NOTE to the "Enable PowerShell Constrained Language Mode" policy
129 |
130 | ### Changed
131 |
132 | - Updated the "Available Settings" pages
133 |
134 | ### Fixed
135 |
136 | - Typos and wording, both for en-US and fr-FR templates
137 |
138 | ## [v1.0.25] - 2022-11-19
139 |
140 | ### Added
141 |
142 | - Configuration profiles for Schannel TLS cipher suites
143 | - Loosely based on [Mozilla recommendations](https://wiki.mozilla.org/Security/Server_Side_TLS), [ANSSI recommendations](https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-tls/) and best practices
144 |
145 | ## [v1.0.24] - 2022-11-17
146 |
147 | ### Fixed
148 |
149 | - Apply "EnableCertPaddingCheck" as REG_SZ, not DWORD
150 | - Improve Schannel-related descriptions
151 |
152 | ## [v1.0.23] - 2022-10-17
153 |
154 | ### Added
155 |
156 | - "Disable the strong-name bypass feature" policy for .NET Framework
157 | - More infos in the .NET documentation:
158 | - "Disable the SAM server TCP listener"
159 | - More details in this Twitter thread:
160 | - Credits to @tyranid for the registry key
161 |
162 | ## [v1.0.22] - 2022-08-29
163 |
164 | ### Added
165 |
166 | - "Disable Time-Travel Debugging" policy ()
167 | - "Remove current working directory from DLL search" policy ()
168 |
169 | ### Fixed
170 |
171 | - Typo in the fr-FR description of the "Number of PBKDF2 iterations for cached logons credentials hashing" policy
172 |
173 | ## [v1.0.21] - 2022-08-12
174 |
175 | ### Fixed
176 |
177 | - Typo in the "Disabled list of the NET 2 Strong Crypto" policy ()
178 |
179 | ## [v1.0.20] - 2022-07-23
180 |
181 | ### Added
182 |
183 | - "Disable the WPBT functionnality" policy ()
184 |
185 | ## [v1.0.19] - 2022-05-23
186 |
187 | ### Added
188 |
189 | - New policy to enable/disable kCET support on 21H2+ systems
190 | - Thanks to Yarden Shafir (@yarden_shafir) and Connor McGarr (@33y0re)
191 | - Cf. (#Conclusion)
192 |
193 | ## [v1.0.18] - 2022-02-07
194 |
195 | ### Added
196 |
197 | - "Disable standard user in safe boot mode" policy ()
198 |
199 | ## [v1.0.17] - 2022-01-09
200 |
201 | ### Added
202 |
203 | - Strict Authenticode signatures verification ()
204 |
205 | ## [v1.0.16] - 2021-12-30
206 |
207 | ### Changed
208 |
209 | - Changed the default value for the MSCHAPv2 hashing algorithm required rounds to 1 048 576 (`NL$IterationCount = 1024`)
210 |
211 | ### Fixed
212 |
213 | - Fixed a typo in fr-FR
214 |
215 | ### Removed
216 |
217 | - Remove support for Diffie-Hellman and PKCS 1024 bit modulus
218 |
219 | ## [v1.0.15] - 2021-12-28
220 |
221 | ### Changed
222 |
223 | - Reworked the MSCHAPv2 hashing algorithm description, and changed the minimum value allowed for the `NL$IterationCount` key
224 |
--------------------------------------------------------------------------------
/LICENSE:
--------------------------------------------------------------------------------
1 | MIT License
2 |
3 | Copyright (c) 2025 Florian Stosse
4 |
5 | Permission is hereby granted, free of charge, to any person obtaining a copy
6 | of this software and associated documentation files (the "Software"), to deal
7 | in the Software without restriction, including without limitation the rights
8 | to use, copy, modify, merge, publish, distribute, sublicense, and/or sell
9 | copies of the Software, and to permit persons to whom the Software is
10 | furnished to do so, subject to the following conditions:
11 |
12 | The above copyright notice and this permission notice shall be included in all
13 | copies or substantial portions of the Software.
14 |
15 | THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND, EXPRESS OR
16 | IMPLIED, INCLUDING BUT NOT LIMITED TO THE WARRANTIES OF MERCHANTABILITY,
17 | FITNESS FOR A PARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL THE
18 | AUTHORS OR COPYRIGHT HOLDERS BE LIABLE FOR ANY CLAIM, DAMAGES OR OTHER
19 | LIABILITY, WHETHER IN AN ACTION OF CONTRACT, TORT OR OTHERWISE, ARISING FROM,
20 | OUT OF OR IN CONNECTION WITH THE SOFTWARE OR THE USE OR OTHER DEALINGS IN THE
21 | SOFTWARE.
22 |
--------------------------------------------------------------------------------
/PoliciesTemplate.md:
--------------------------------------------------------------------------------
1 | ### CATEGORY
2 |
3 | #### POLICY TITLE
4 |
5 | - **Registry path(s):**
6 | - **Registry key(s):**
7 | - **Values:**
8 | - **Description:**
9 |
--------------------------------------------------------------------------------
/en-US/AdditionalDebugPolicies.adml:
--------------------------------------------------------------------------------
1 |
2 |
5 |
6 | Additional system debugging policies
7 |
8 |
9 | Additional system debugging policies
10 |
11 |
12 |
13 | Enable Kernel Address Sanitizer
14 | The Kernel Address Sanitizer (KASAN) is a bug detection technology supported on Windows kernel drivers that enables you to detect several classes of illegal memory accesses, such as buffer overflows and use-after-free events.
15 |
16 | It requires you to enable KASAN on your system and recompile your kernel driver with a specific MSVC compiler flag.
17 |
18 | This policy controls KASAN support in the kernel. Enabling this policy enables KASAN support. Disabling this policy disables KASAN support.
19 | Enable detailed Blue Screens of Death (BSOD)
20 | This policy controls whether detailed information is displayed during a Blue Screen of Death (BSOD):
21 |
22 | - If this policy is disabled, Windows will not display detailed stop error information on the blue screen (default).
23 | - If this policy is enabled, Windows will display detailed information, similar to older versions of Windows, which can be useful for troubleshooting the cause of the BSOD.
24 |
25 |
26 |
--------------------------------------------------------------------------------
/en-US/AdditionalDefenderPolicies.adml:
--------------------------------------------------------------------------------
1 |
2 |
5 |
6 | Additional hardening policies for Defender
7 |
8 |
9 | Additional hardening policies for Defender
10 |
11 |
12 |
13 |
14 | Additional Windows Defender hardening settings
15 | ASR rules configuration
16 |
17 | Enable Windows Defender sandbox
18 | This policy enables the sandbox (content process) for the main process of Windows Defender.
19 |
20 | The new content processes, which run with low privileges, aggressively leverage all available mitigation policies to reduce the attack surface. They enable and prevent runtime changes for modern exploit mitigation techniques such as Data Execution Prevention (DEP), Address space layout randomization (ASLR), and Control Flow Guard (CFG). They also disable Win32K system calls and all extensibility points, as well as enforce that only signed and trusted code is loaded.
21 |
22 | More information: https://www.microsoft.com/en-us/security/blog/2018/10/26/windows-defender-antivirus-can-now-run-in-a-sandbox/
23 | Block credential stealing from the Windows local security authority subsystem (lsass.exe)
24 | This rule helps prevent credential stealing by blocking code injection attempts targeting lsass.exe.
25 | Enabling this rule doesn't provide additional protection if you have LSA protection enabled since the ASR rule and LSA protection work similarly. However, when LSA protection cannot be enabled, this rule can be configured to provide equivalent protection against malware that target lsass.exe.
26 | Block abuse of exploited vulnerable signed drivers
27 | This rule prevents an application from writing a vulnerable signed driver to disk.
28 | Block Adobe Reader from creating child processes
29 | This rule prevents attacks by blocking Adobe Reader from creating processes.
30 | Block all Office applications from creating child processes
31 | This rule blocks Office apps from creating child processes. Office apps include Word, Excel, PowerPoint, OneNote, and Access.
32 | Block executable content from email client and webmail
33 | This rule blocks email opened within the Microsoft Outlook application, or Outlook.com and other popular webmail providers from propagating the following file types:
34 | - Executable files (such as .exe, .dll, or .scr)
35 | - Script files (such as a PowerShell .ps1, Visual Basic .vbs, or JavaScript .js file)
36 | Block executable files from running unless they meet a prevalence, age, or trusted list criterion
37 | This rule blocks executable files, such as .exe, .dll, or .scr, from launching. Thus, launching untrusted or unknown executable files can be risky, as it might not be initially clear if the files are malicious.
38 |
39 | You must enable cloud-delivered protection to use this rule.
40 | Block execution of potentially obfuscated scripts
41 | This rule blocks scripts that appear to be obfuscated to hide malicious content.
42 |
43 | You must enable cloud-delivered protection to use this rule.
44 | Block JavaScript or VBScript from launching downloaded executable content
45 | This rule prevents scripts from launching potentially malicious downloaded content. Malware written in JavaScript or VBScript often acts as a downloader to fetch and launch other malware from the Internet. Although not common, line-of-business applications sometimes use scripts to download and launch installers.
46 | Block Office applications from creating executable content
47 | This rule prevents Office apps, including Word, Excel, and PowerPoint, from creating potentially malicious executable content, by blocking malicious code from being written to disk.
48 | Block Office applications from injecting code into other processes
49 | This rule blocks code injection attempts from Office apps into other processes. This rule applies to Word, Excel, OneNote, and PowerPoint.
50 | Block Office communication application from creating child processes
51 | This rule prevents Outlook from creating child processes, while still allowing legitimate Outlook functions. This rule applies to Outlook and Outlook.com only.
52 | Block persistence through WMI event subscription
53 | This rule prevents malware from abusing WMI to attain persistence on a device.
54 | Block process creations originating from PSExec and WMI commands
55 | This rule blocks processes created through PsExec and WMI from running.
56 | Block rebooting machine in Safe Mode (preview)
57 | his rule prevents the execution of commands to restart machines in Safe Mode.
58 | Block untrusted and unsigned processes that run from USB
59 | With this rule, admins can prevent unsigned or untrusted executable files from running from USB removable drives, including SD cards. Blocked file types include executable files (such as .exe, .dll, or .scr).
60 | Block use of copied or impersonated system tools (preview)
61 | This rule blocks the use of executable files that are identified as copies of Windows system tools. These files are either duplicates or impostors of the original system tools.
62 | Block Webshell creation for Servers
63 | This rule blocks web shell script creation on Microsoft Server, Exchange Role.
64 | Block Win32 API calls from Office macros
65 | This rule prevents VBA macros from calling Win32 APIs. Most organizations don't rely on the ability to call Win32 APIs in their day-to-day functioning, even if they use macros in other ways.
66 | Use advanced protection against ransomware
67 | This rule provides an extra layer of protection against ransomware. It uses both client and cloud heuristics to determine whether a file resembles ransomware. This rule doesn't block files that have one or more of the following characteristics:
68 | - The file has already been found to be unharmful in the Microsoft cloud.
69 | - The file is a valid signed file.
70 | - The file is prevalent enough to not be considered as ransomware.
71 |
72 | You must enable cloud-delivered protection to use this rule.
73 | Audit
74 | Warn
75 | Block
76 | Disabled
77 |
78 |
79 |
80 | Mode:
81 | ASR rule modes:
82 | Not configured or Disable: The state in which the ASR rule isn't enabled.
83 | Block: The state in which the ASR rule is enabled.
84 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
85 |
86 | Note: The Block credential stealing from the Windows local security authority subsystem ASR rule doesn't support WARN mode.
87 |
88 |
89 | Mode:
90 | ASR rule modes:
91 | Not configured or Disable: The state in which the ASR rule isn't enabled.
92 | Block: The state in which the ASR rule is enabled.
93 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
94 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
95 |
96 |
97 | Mode:
98 | ASR rule modes:
99 | Not configured or Disable: The state in which the ASR rule isn't enabled.
100 | Block: The state in which the ASR rule is enabled.
101 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
102 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
103 |
104 |
105 | Mode:
106 | ASR rule modes:
107 | Not configured or Disable: The state in which the ASR rule isn't enabled.
108 | Block: The state in which the ASR rule is enabled.
109 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
110 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
111 |
112 |
113 | Mode:
114 | ASR rule modes:
115 | Not configured or Disable: The state in which the ASR rule isn't enabled.
116 | Block: The state in which the ASR rule is enabled.
117 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
118 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
119 |
120 |
121 | Mode:
122 | ASR rule modes:
123 | Not configured or Disable: The state in which the ASR rule isn't enabled.
124 | Block: The state in which the ASR rule is enabled.
125 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
126 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
127 |
128 |
129 | Mode:
130 | ASR rule modes:
131 | Not configured or Disable: The state in which the ASR rule isn't enabled.
132 | Block: The state in which the ASR rule is enabled.
133 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
134 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
135 |
136 |
137 | Mode:
138 | ASR rule modes:
139 | Not configured or Disable: The state in which the ASR rule isn't enabled.
140 | Block: The state in which the ASR rule is enabled.
141 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
142 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
143 |
144 |
145 | Mode:
146 | ASR rule modes:
147 | Not configured or Disable: The state in which the ASR rule isn't enabled.
148 | Block: The state in which the ASR rule is enabled.
149 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
150 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
151 |
152 |
153 | Mode:
154 | ASR rule modes:
155 | Not configured or Disable: The state in which the ASR rule isn't enabled.
156 | Block: The state in which the ASR rule is enabled.
157 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
158 |
159 | Note: The Block applications from injecting code into other processes ASR rule doesn't support WARN mode.
160 |
161 |
162 | Mode:
163 | ASR rule modes:
164 | Not configured or Disable: The state in which the ASR rule isn't enabled.
165 | Block: The state in which the ASR rule is enabled.
166 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
167 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
168 |
169 |
170 | Mode:
171 | ASR rule modes:
172 | Not configured or Disable: The state in which the ASR rule isn't enabled.
173 | Block: The state in which the ASR rule is enabled.
174 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
175 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
176 |
177 |
178 | Mode:
179 | ASR rule modes:
180 | Not configured or Disable: The state in which the ASR rule isn't enabled.
181 | Block: The state in which the ASR rule is enabled.
182 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
183 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
184 |
185 |
186 | Mode:
187 | ASR rule modes:
188 | Not configured or Disable: The state in which the ASR rule isn't enabled.
189 | Block: The state in which the ASR rule is enabled.
190 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
191 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
192 |
193 |
194 | Mode:
195 | ASR rule modes:
196 | Not configured or Disable: The state in which the ASR rule isn't enabled.
197 | Block: The state in which the ASR rule is enabled.
198 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
199 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
200 |
201 |
202 | Mode:
203 | ASR rule modes:
204 | Not configured or Disable: The state in which the ASR rule isn't enabled.
205 | Block: The state in which the ASR rule is enabled.
206 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
207 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
208 |
209 |
210 | Mode:
211 | ASR rule modes:
212 | Not configured or Disable: The state in which the ASR rule isn't enabled.
213 | Block: The state in which the ASR rule is enabled.
214 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
215 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
216 |
217 |
218 | Mode:
219 | ASR rule modes:
220 | Not configured or Disable: The state in which the ASR rule isn't enabled.
221 | Block: The state in which the ASR rule is enabled.
222 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
223 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
224 |
225 |
226 | Mode:
227 | ASR rule modes:
228 | Not configured or Disable: The state in which the ASR rule isn't enabled.
229 | Block: The state in which the ASR rule is enabled.
230 | Audit: The state in which the ASR rule is evaluated for the effect it would have on the organization or environment if enabled (set to block or warn).
231 | Warn: The state in which the ASR rule is enabled and presents a notification to the end-user, but permits the end-user to bypass the block.
232 |
233 |
234 |
235 |
--------------------------------------------------------------------------------
/en-US/AdditionalHardening.adml:
--------------------------------------------------------------------------------
1 |
2 |
5 |
6 | Additional hardening policies
7 |
8 |
9 | Additional hardening policies
10 |
11 |
12 |
13 |
14 | Additional hardening settings
15 | Additional debug-related settings
16 | Additional hardening settings from Microsoft Security Guide
17 | Additional legacy settings from MSS
18 |
19 |
20 |
--------------------------------------------------------------------------------
/en-US/AdditionalHardeningFromMicrosoft.adml:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 |
5 | Microsoft Security Guide
6 |
7 |
8 | Microsoft Security Guide mitigations
9 |
10 |
11 |
12 | Windows Server 2008 and newer
13 | Apply UAC restrictions to local accounts on network logons
14 | This setting controls whether local accounts can be used for remote administration via network logon (e.g., NET USE, connecting to C$, etc.). Local accounts are at high risk for credential theft when the same account and password is configured on multiple systems. Enabling this policy significantly reduces that risk.
15 |
16 | Enabled (recommended): Applies UAC token-filtering to local accounts on network logons. Membership in powerful groups such as Administrators is disabled and powerful privileges are removed from the resulting access token. This configures the LocalAccountTokenFilterPolicy registry value to 0. This is the default behavior for Windows.
17 |
18 | Disabled: Allows local accounts to have full administrative rights when authenticating via network logon, by configuring the LocalAccountTokenFilterPolicy registry value to 1.
19 |
20 | For more information about local accounts and credential theft, see "Mitigating Pass-the-Hash (PtH) Attacks and Other Credential Theft Techniques": http://www.microsoft.com/en-us/download/details.aspx?id=36036.
21 |
22 | For more information about LocalAccountTokenFilterPolicy, see http://support.microsoft.com/kb/951016.
23 | WDigest Authentication (disabling may require KB2871997)
24 | When WDigest authentication is enabled, Lsass.exe retains a copy of the user's plaintext password in memory, where it can be at risk of theft. Microsoft recommends disabling WDigest authentication unless it is needed.
25 |
26 | If this setting is not configured, WDigest authentication is disabled in Windows 8.1 and in Windows Server 2012 R2; it is enabled by default in earlier versions of Windows and Windows Server.
27 |
28 | Update KB2871997 must first be installed to disable WDigest authentication using this setting in Windows 7, Windows 8, Windows Server 2008 R2, and Windows Server 2012.
29 |
30 | Enabled: Enables WDigest authentication.
31 |
32 | Disabled (recommended): Disables WDigest authentication. For this setting to work on Windows 7, Windows 8, Windows Server 2008 R2, or Windows Server 2012, KB2871997 must first be installed.
33 |
34 | For more information, see http://support.microsoft.com/kb/2871997 and http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx.
35 | Lsass.exe audit mode
36 | Enable auditing of Lsass.exe to evaluate feasibility of enabling LSA protection. For more information, see http://technet.microsoft.com/en-us/library/dn408187.aspx
37 | LSA Protection
38 | For Windows 11, version 22H2 and beyond, a new setting is used to configure this. It can be located at 'System\Local Security Authority\Configures LSASS to run as a protected process', which provides additional configuration options.
39 |
40 | Enable LSA protection.
41 |
42 | For more information, see http://technet.microsoft.com/en-us/library/dn408187.aspx
43 | Remove "Run As Different User" from context menus
44 | This setting controls whether "Run As Different User" appears on the Shift+right-click context menu for .bat, .cmd, .exe, and .msc files.
45 |
46 | Enabled (recommended): Keeps "Run As Different User" from appearing in the context menu when the user holds Shift while right-clicking on a .bat, .cmd, .exe, or .msc file in Explorer.
47 |
48 | Disabled: Restores the Windows default behavior for "Run As Different User."
49 | Enable Structured Exception Handling Overwrite Protection (SEHOP)
50 | If this setting is enabled, SEHOP is enforced. For more information, see https://support.microsoft.com/en-us/help/956607/how-to-enable-structured-exception-handling-overwrite-protection-sehop-in-windows-operating-systems.
51 |
52 | If this setting is disabled or not configured, SEHOP is not enforced for 32-bit processes.
53 | Configure SMBv1 server
54 | Disabling this setting disables server-side processing of the SMBv1 protocol. (Recommended.)
55 |
56 | Enabling this setting enables server-side processing of the SMBv1 protocol. (Default.)
57 |
58 | Changes to this setting require a reboot to take effect.
59 |
60 | For more information, see https://support.microsoft.com/kb/2696547
61 | Configure SMBv1 client driver
62 | Configures the SMBv1 client driver's start type.
63 |
64 | To disable client-side processing of the SMBv1 protocol, select the "Enabled" radio button, then select "Disable driver" from the dropdown.
65 | WARNING: DO NOT SELECT THE "DISABLED" RADIO BUTTON UNDER ANY CIRCUMSTANCES!
66 |
67 | For Windows 7 and Windows Server 2008, Windows Server 2008 R2, and Windows Server 2012, you must also configure the "Configure SMBv1 client (extra setting needed for pre-Win8.1/2012R2)" setting.
68 |
69 | To restore default SMBv1 client-side behavior, select "Enabled" and choose the correct default from the dropdown:
70 | * "Manual start" for Windows 7 and Windows Server 2008, Windows Server 2008 R2, and Windows Server 2012;
71 | * "Automatic start" for Windows 8.1 and Windows Server 2012 R2 and newer.
72 |
73 | Changes to this setting require a reboot to take effect.
74 |
75 | For more information, see https://support.microsoft.com/kb/2696547
76 | Disable driver (recommended)
77 | Manual start (default for Windows 7/Server 2008/Server 2008 R2/Server 2012)
78 | Automatic start (default for Windows 8.1/Server 2012 R2/newer)
79 |
80 | NetBT NodeType configuration
81 | The NetBT NodeType setting determines what methods NetBT uses to register and resolve names:
82 | * A B-node computer uses broadcasts.
83 | * A P-node computer uses only point-to-point name queries to a name server (WINS).
84 | * An M-node computer broadcasts first, and then queries the name server.
85 | * An H-node computer queries the name server first, and then broadcasts.
86 | Resolution through LMHOSTS or DNS follows these methods. If the NodeType value is present, it overrides any DhcpNodeType value.
87 | If neither NodeType nor DhcpNodeType is present, the computer uses B-node if there are no WINS servers configured for the network, or H-node if there is at least one WINS server configured.
88 | B-node
89 | P-node (recommended)
90 | M-node
91 | H-node
92 | Block Flash activation in Office documents
93 | This policy setting controls whether the Adobe Flash control can be activated by Office documents. Note that activation blocking applies only within Office processes.
94 |
95 | If you enable this policy setting, you can choose from three options to control whether and how Flash is blocked from activation:
96 |
97 | 1. "Block all activation" prevents the Flash control from being loaded, whether directly referenced by the document or indirectly by another embedded object.
98 |
99 | 2. "Block embedding/linking, allow other activation" prevents the Flash control from being loaded when directly referenced by the document, but does not prevent activation through another object.
100 |
101 | 3. "Allow all activation" restores Office's default behavior, allowing the Flash control to be activated.
102 |
103 | Because this setting is not a true Group Policy setting and "tattoos" the registry, enabling the "Allow all activation" option is the only way to restore default behavior after either of the "Block" options has been applied. We do not recommend configuring this setting to "Disabled," nor to "Not Configured" after it has been enabled.
104 | Block all activation
105 | Block embedding/linking, allow other activation
106 | Allow all activation
107 | Restrict legacy JScript execution for Office
108 | This policy setting controls JScript execution per Security Zone within Internet Explorer and WebBrowser Control (WebOC) for Office applications.
109 |
110 | It's important to determine whether legacy JScript is being used to provide business-critical functionality before you enable this setting.
111 |
112 | If enabled, Office applications will not execute legacy JScript for the Internet or Restricted Sites zones, and users aren't notified by the application that legacy JScript execution is restricted. Modern JScript9 will continue to function for all zones.
113 |
114 | If disabled or not configured, legacy JScript will function without any restrictions.
115 |
116 | The values are set in hexadecimal and should be converted prior to changing the setting value. To learn more about Internet Explorer Feature Control Key and the Restrict JScript process-level policy for Windows, please refer to: https://docs.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/general-info/ee330734(v=vs.85)#restrict-jscript-at-a-process-level
117 | Configure RPC packet level privacy setting for incoming connections
118 | This policy setting controls whether packet level privacy is enabled for RPC for incoming connections.
119 |
120 | By default, packet level privacy is enabled for RPC for incoming connections.
121 |
122 | If you enable or do not configure this policy setting, packet level privacy is enabled for RPC for incoming connections.
123 |
124 |
125 |
126 | Configure MrxSmb10 driver:
127 |
128 |
129 | Configure LanmanWorkstation dependencies
130 |
131 |
132 | Configure NetBT NodeType
133 |
134 |
135 | Configure LdapEnforceChannelBinding
136 |
137 |
138 | Block Flash Player in Office:
139 |
140 |
141 | Excel:
142 | Publisher:
143 | PowerPoint:
144 | OneNote:
145 | Visio:
146 | Project:
147 | Word:
148 | Outlook:
149 | Access:
150 |
151 |
152 | Select the method by which Queue-specific files will be processed.
153 | Manage processing of Queue-specific files:
154 |
155 |
156 |
157 |
--------------------------------------------------------------------------------
/en-US/AdditionalLegacyHardening.adml:
--------------------------------------------------------------------------------
1 |
2 | MSS (Legacy)
3 | The legacy "MSS" settings that had been exposed in Secpol, Security Options, using LocalGPO.wsf /ConfigSCE.
4 |
5 |
6 | MSS (Legacy)
7 |
8 | MSS: (AutoReboot) Allow Windows to automatically restart after a system crash
9 | MSS: (AutoReboot) Allow Windows to automatically restart after a system crash
10 | MSS: (AutoAdminLogon) Enable Automatic Logon
11 | MSS: (AutoAdminLogon) Enable Automatic Logon
12 | MSS: (DisableSavePassword) Prevent the dial-up password from being saved
13 | MSS: (DisableSavePassword) Prevent the dial-up password from being saved
14 | MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways
15 | MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways
16 | MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes
17 | MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes
18 | MSS: (Hidden) Hide Computer From the Browse List
19 | MSS: (Hidden) Hide Computer From the Browse List
20 | MSS: (KeepAliveTime) How often keep-alive packets are sent (in milliseconds)
21 | MSS: (KeepAliveTime) How often keep-alive packets are sent (in milliseconds)
22 | 150000 or 2.5 minutes
23 | 300000 or 5 minutes (recommended)
24 | 600000 or 10 minutes
25 | 1200000 or 20 minutes
26 | 2400000 or 40 minutes
27 | 3600000 or 1 hour
28 | 7200000 or 2 hours (default value)
29 | MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic.
30 | MSS: (NoDefaultExempt) Configure IPSec exemptions for various types of network traffic.
31 | Allow all exemptions (least secure).
32 | Multicast, broadcast, and ISAKMP exempt.
33 | RSVP, Kerberos, and ISAKMP are exempt.
34 | Only ISAKMP is exempt.
35 | MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers
36 | MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from WINS servers
37 | MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames
38 | MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames
39 | Enable 8dot3 creation on all volumes.
40 | Disable 8dot3 creation on all volumes.
41 | Set 8dot3 name creation per volume using FSUTIL.
42 | Disable 8dot3 creation on all volumes except the system volume.
43 | MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses
44 | MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default Gateway addresses
45 | MSS: (SafeDllSearchMode) Enable Safe DLL search mode
46 | MSS: (SafeDllSearchMode) Enable Safe DLL search mode
47 | MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires
48 | MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires
49 | MSS: (SynAttackProtect) SYN attack protection level
50 | MSS: (SynAttackProtect) SYN attack protection level
51 | No additional protection; use default settings.
52 | Connections time out sooner if a SYN attack is detected.
53 | MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged
54 | MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged
55 | No retransmission; half-open connections dropped after 3 seconds.
56 | 3 seconds; half-open connections dropped after 9 seconds.
57 | 3 and 6 seconds; half-open connections dropped after 21 seconds.
58 | 3, 6, and 9 seconds; half-open connections dropped after 45 seconds.
59 | MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted
60 | MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted
61 | MSS: (TcpMaxDataRetransmissions IPv6) How many times unacknowledged data is retransmitted
62 | MSS: (TcpMaxDataRetransmissions IPv6) How many times unacknowledged data is retransmitted
63 | MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
64 | MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
65 | 50%
66 | 60%
67 | 70%
68 | 80%
69 | 90%
70 |
71 |
72 |
73 |
74 |
75 | DisableIPSourceRouting
76 |
77 |
78 | DisableIPSourceRoutingIPv6
79 |
80 |
81 | KeepAliveTime
82 |
83 |
84 | NoDefaultExempt
85 |
86 |
87 | NtfsDisable8dot3NameCreation
88 |
89 |
90 | ScreenSaverGracePeriod
91 |
92 |
93 | SynAttackProtect
94 |
95 |
96 | TcpMaxConnectResponseRetransmissions
97 |
98 |
99 | TcpMaxDataRetransmissions
100 |
101 |
102 | WarningLevel
103 |
104 |
105 |
106 |
107 |
108 |
156 |
--------------------------------------------------------------------------------
/en-US/AdditionalSystemHardening.adml:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 | Additional system hardening policies
5 |
6 |
7 | Additional system hardening policies
8 |
9 |
10 |
11 |
12 | Additional system hardening settings
13 | Additional Adobe Acrobat settings
14 |
15 |
16 | Block remote DCOM connections
17 | If you enable this policy, no remote clients may launch servers or connect to objects on this computer. Local clients cannot access remote DCOM servers; all DCOM traffic is blocked.
18 |
19 | If you disable this policy, launching of servers and connecting to objects by remote clients is allowed on a per-class basis according to the value and access permissions of the class's LaunchPermission registry value and the global DefaultLaunchPermission registry value.
20 | Enable additional LSA process hardening
21 | Enable this option to allow the LSA process to run as a PPL (Protected Process Light), in order to disallow its debugging.
22 | Disable the SAM server TCP listener
23 | By default, the SAM server (lsass.exe) is constantly listening on a random TCP port, bound to all network interfaces.
24 |
25 | Enabling this policy disables the TCP listener.
26 | Disable standard users in Safe Mode
27 | An adversary with standard user credentials who can boot into Microsoft Windows using Safe Mode, Safe Mode with Networking, or Safe Mode with Command Prompt options may be able to bypass system protections and security functionality. To reduce this risk, users with standard credentials should be prevented from using Safe Mode options to log in.
28 |
29 | Enabling this policy will prevent standard users from opening a session in Safe Mode.
30 |
31 | Disabling this policy will allow standard users to open a session in Safe Mode.
32 | Enable the strict Authenticode signature verification mechanism
33 | The strict Authenticode signature verification mechanism disallows adding extraneous information to the WIN_CERTIFICATE structure.
34 | Allow custom DLL loading list for application processes
35 | The list is located in the registry key HKLM:\Software\Microsoft\Windows NT\CurrentVersion\WindowsAppInit_DLLs
36 | Enable Spectre and Meltdown mitigations
37 | The FeatureSettingsOverride registry key in Windows, typically found under SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management and often managed alongside FeatureSettingsOverrideMask, provides administrators with granular control over software-based mitigations for CPU speculative execution vulnerabilities like Spectre and Meltdown.
38 |
39 | These vulnerabilities can potentially allow unauthorized access to sensitive data. Windows implements various mitigations to counter these threats, but they can sometimes introduce performance overhead. The FeatureSettingsOverride key allows for a tailored approach, enabling administrators to selectively enable or disable specific mitigations—such as those for different variants of Spectre (like v2 or Speculative Store Bypass - SSB) and Meltdown—or even to disable all of them if the performance impact is deemed too high for a particular environment, or to apply specific configurations like disabling Hyper-Threading on Intel CPUs in conjunction with these mitigations.
40 | Intel and AMD: enable all mitigations
41 | Intel: enable all mitigations (with Hyper-Threading disabled)
42 | Intel: enable mitigations for Spectre v2, Meltdown, and SSB
43 | Intel: enable mitigations for Spectre v2 and Meltdown
44 | Intel: enable mitigations for Meltdown only
45 | AMD and ARM: enable mitigations for Spectre v2
46 | Disable all mitigations
47 | Enable kernel-level shadow stacks
48 | This policy enables kernel-level shadow stacks, also known as Intel CET (Control-flow Enforcement Technology) or AMD Shadow Stack.
49 |
50 | Please note that this security function requires specific hardware support (AMD Zen 3 or Intel 11th Gen processors) and OS support (Windows 21H2 or newer).
51 | Disable the WPBT functionality
52 | This policy disables the Windows Platform Binary Table (WPBT) functionality, which can be used for persistence through a UEFI implant.
53 | Disable Time-Travel Debugging
54 | This policy disables the Time-Travel Debugging (TTD) functionality, which can be used to dump sensitive process memory content and to launch third-party executables.
55 | Remove current working directory from DLL search
56 | The CWDIllegalInDllSearch registry entry is used to remove the current working directory (CWD) from the DLL search order.
57 | Enable Structured Exception Handling Overwrite Protection (SEHOP)
58 | SEHOP blocks exploits that use the Structured Exception Handling overwrite technique, a common buffer overflow attack.
59 |
60 | This policy is only effective on 32-bit systems.
61 | Enable Network Level Authentication (NLA) for RDP connections
62 | This policy enables Network Level Authentication for RDP connections, with the following settings:
63 |
64 | - TLS is required for server authentication and link encryption.
65 | - High level of encryption (128-bit) for the data link.
66 | - User authentication is required at connection time.
67 |
68 | Disabling this policy does nothing.
69 | Harden network logons and authentication security
70 | Enable this policy to disable LM and NTLM authentication modes and enable the use of NTLMv2 only.
71 |
72 | Disable this policy to restore LM and NTLMv1 capabilities, in addition to NTLMv2.
73 | Disable WDigest protocol
74 | Enabling this policy will disable the WDigest protocol, now considered obsolete.
75 |
76 | Keeping WDigest enabled could allow an attacker to retrieve plain-text passwords stored in the LSA service with a tool such as Mimikatz, and it is therefore recommended to enable this policy.
77 | Domain credential caching hardening
78 | Enabling this policy modifies two settings related to how the local system handles domain-related credentials:
79 |
80 | - Reduce the caching count (2 cached credentials) of domain-related credentials for offline authentication if no domain controller is available
81 | - The delay before the credentials are cleared from memory after a logoff is set to 30 seconds.
82 |
83 | These settings reduce the exposure time of credentials to attack tools such as Mimikatz.
84 |
85 | NOTE: These settings can prevent a new session opening if the network is not available or if a domain controller is not reachable.
86 | Force the randomization of relocatable images (ASLR)
87 | Enabling this policy will enable ASLR even for relocatable images that do not explicitly expose this capability.
88 |
89 | Disabling this policy will explicitly disable the ASLR mechanism.
90 | Additional registry fix for CVE-2015-6161
91 | Enable this policy to change the registry value FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING to 1.
92 |
93 | This modification is necessary to fully fix an ASLR bypass vulnerability (CVE-2015-6161). For more information, refer to the MS15-124 security bulletin (https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2015/ms15-124).
94 | Additional registry fix for CVE-2017-8529
95 | Enable this policy to change the registry value FEATURE_ENABLE_PRINT_INFO_DISCLOSURE_FIX to 1.
96 |
97 | This modification is necessary to fully fix an information disclosure vulnerability in Microsoft browsers (CVE-2017-8529). For more information, refer to the related security update guide (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8529).
98 | Number of PBKDF2 iterations for cached logon credential hashing
99 | For domain logons, if credential caching is enabled, credentials are stored as MSCacheV2 hashes, derived using the PBKDF2-SHA1 hashing algorithm.
100 |
101 | The number of iterations for the PBKDF2-SHA1 algorithm used for hashing operations can be controlled with this policy, with the following logic:
102 |
103 | - For a value lower than or equal to 10240, the setting acts as a 1024-multiplier (for example, setting it to 20 will result in 20480 iterations).
104 | - For a value greater than 10240, the setting acts as the chosen value (modulo 1024).
105 |
106 | The recommended value depends on the target environment, the CPU power available, and the performance hit you are willing to tolerate at logon (a high value can incur a net performance penalty for the logon process).
107 |
108 | When the policy is enabled, the default value configured is 1954 (2,000,896 rounds). This is the recommended value (as of December 2022) for the PBKDF2-HMAC-SHA1 algorithm, considering the compute power of an RTX 4090 GPU in an offline brute-force attack model.
109 |
110 | More information:
111 | - https://tobtu.com/minimum-password-settings/
112 | - https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html#pbkdf2
113 | Enable PowerShell Constrained Language Mode
114 | Enable the Constrained Language Mode for PowerShell. This mode disallows several language elements that can be leveraged by attackers to perform sensitive API calls.
115 |
116 | NOTE: Since this policy only rewrites the __PSLockdownPolicy environment variable, this is not a secure way to enable CLM and is intended for defense-in-depth only. CLM can only be securely enforced by AppLocker and/or WDAC.
117 | Disable administrative shares for workstations
118 | Not recommended, except for highly secure environments.
119 | Disable administrative shares for servers
120 | Not recommended, except for highly secure environments.
121 | Limits print driver installation to Administrators
122 | Determines whether users who are not Administrators can install print drivers on this computer.
123 |
124 | By default, users who are not Administrators cannot install print drivers on this computer.
125 |
126 | If you enable this setting or do not configure it, print driver installation will be limited to Administrators on this computer.
127 |
128 | If you disable this setting, users who are not Administrators will also be able to install print drivers on this computer.
129 |
130 | Additional information: https://support.microsoft.com/en-us/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7
131 | Prevent standard users from installing root certificates
132 | This policy prevents standard (non-administrator) users from installing root certificate authorities to their user-specific trust store.
133 |
134 | Enabling this policy can help prevent code signing certificate cloning attacks. It is recommended to enable this policy.
135 | Enable Generative AI features in Acrobat and Acrobat Reader
136 | The generative AI features in Acrobat and Acrobat Reader are turned on by default. This policy controls the state of the feature.
137 |
138 | Enabling this policy will enable the Generative AI feature.
139 |
140 | Disabling this policy will disable the Generative AI feature. For privacy purposes, it is recommended to set this policy to Disabled.
141 | Enable Secure Boot and Code Integrity mitigations for BlackLotus (CVE-2023-24932)
142 | This policy sets the registry keys needed to apply the updated Secure Boot denylist (DBX), the new signing certificate in the allowlist (DB), the anti-rollback mechanism (SVN), and the Code Integrity Boot Policy, to prevent untrusted/vulnerable Windows boot managers from loading when Secure Boot is turned on.
143 |
144 | IMPORTANT: Carefully read the Microsoft documentation associated with this protection, as it can render your device unable to boot if you do not follow the required preliminary steps:
145 |
146 | - https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
147 | - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
148 |
149 | In particular, you should read all the step descriptions present in the list and the associated manual operations you need to perform (reboots, additional checks, etc.) for each of them in the documentation section:
150 |
151 | - https://support.microsoft.com/en-us/topic/kb5025885-how-to-manage-the-windows-boot-manager-revocations-for-secure-boot-changes-associated-with-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#bkmk_mitigation_guidelines
152 | Step 1: add the "Windows UEFI CA 2023" certificate to the DB
153 | Step 2: update the boot manager of the device
154 | Step 3: add the "Windows Production CA 2011" certificate to the revocation list (DBX)
155 | Step 4: apply the SVN update to the firmware
156 | Configure the Windows Sudo command behavior
157 | This policy configures the behavior of the Sudo command introduced in Windows 11 24H2.
158 |
159 | Possible choices are:
160 |
161 | - Force a new elevated window to open (default behavior)
162 | - Disable inputs to the elevated process
163 | - Run in the current window
164 | - Disable the functionality
165 |
166 | It is recommended to use the default behavior and let the Sudo command open a new elevated window.
167 | Force a new elevated window
168 | Disable inputs
169 | Run in the current window
170 | Disable the functionality
171 | Enable Virtualization-Based Security in Mandatory mode
172 | This policy enables the Virtualization-Based Security (VBS) function in Mandatory mode.
173 |
174 | Mandatory mode is a new functionality introduced to prevent the Windows Downdate attack (and other related downgrading attacks) by forcing the verification of the components of the Secure Kernel and the hypervisor at boot time. Consequently, enabling this functionality can lead to boot failure (and a denial of service) in case of a modification of a core component of the Secure Kernel, hypervisor, or a related dependent module.
175 |
176 | NOTE: if you already have Virtualization-Based Security enabled with UEFI Lock, this setting will not do anything, as the VBS configuration is already written and locked in a UEFI variable. This variable needs to be deleted using the bcdedit.exe tool before deploying the Mandatory flag and the UEFI Lock. Guidance and more information about this procedure are available here:
177 |
178 | https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/configure?tabs=reg#disable-virtualization-based-security
179 |
180 | Enabling this policy will set the Mandatory flag and force the verification of the VBS components at boot time.
181 |
182 | Enabling this policy with UEFI Lock already enabled will do nothing.
183 |
184 | Disabling this policy will disable the verification of the components, only if the UEFI Lock is not enabled. Otherwise, disabling this policy will do nothing.
185 | Block driver co-installers
186 | A co-installer is a user-mode Win32 DLL that typically writes additional configuration information to the registry or performs other installation tasks that require information not available when an INF is written.
187 |
188 | If you enable this setting, co-installer execution will be prevented, and additional configuration software for specific devices (mouse devices, gaming keyboards, etc.) must be downloaded and manually installed from the manufacturer's website.
189 |
190 | If you disable this setting, co-installer execution will be permitted, which is a significant security risk (potentially dangerous code execution).
191 |
192 |
193 |
194 | Number of PBKDF2 rounds:
195 |
196 |
197 | Select an option:
198 | Enable Hyper-V mitigations for virtual machines below version 8.0
199 |
200 |
201 | Select a step:
202 |
203 |
204 | Select an option:
205 |
206 |
207 |
208 |
--------------------------------------------------------------------------------
/fr-FR/AdditionalDebugPolicies.adml:
--------------------------------------------------------------------------------
1 |
2 |
5 |
6 | Paramètres de débogage supplémentaires
7 |
8 |
9 | Paramètres de débogage supplémentaires
10 |
11 |
12 |
13 | Activer l'assainisseur d'adresses du noyau (KASAN)
14 | L'assainisseur d'adresses du noyau (KASAN) est une technologie de détection de bogues prise en charge pour les pilotes du noyau Windows qui vous permet de détecter plusieurs classes d'accès à la mémoire illégaux, telles que les dépassements de mémoire tampon et les utilisations après libération (use-after-free).
15 |
16 | Cela nécessite d'activer KASAN sur votre système et de recompiler votre pilote de noyau avec un paramètre de compilation MSVC spécifique.
17 |
18 | Cette politique contrôle le support de KASAN au niveau du noyau. Activer cette politique activera le support de KASAN. Désactiver cette politique désactivera le support de KASAN.
19 | Activer les écrans bleus de la mort (BSOD) détaillés
20 | Cette politique contrôle si des informations détaillées sont affichées lors d'un écran bleu de la mort (BSOD) :
21 |
22 | - Si cette politique est désactivée, Windows n'affichera pas d'informations d'erreur d'arrêt détaillées sur l'écran bleu (par défaut).
23 | - Si cette politique est activée, Windows affichera des informations détaillées, similaires aux anciennes versions de Windows, ce qui peut être utile pour dépanner la cause du BSOD.
24 |
25 |
26 |
--------------------------------------------------------------------------------
/fr-FR/AdditionalDefenderPolicies.adml:
--------------------------------------------------------------------------------
1 |
2 |
5 |
6 | Paramètres de durcissement supplémentaires pour Defender
7 |
8 |
9 | Paramètres de durcissement supplémentaires pour Defender
10 |
11 |
12 |
13 |
14 | Paramètres de durcissement pour Windows Defender
15 | Règles de réduction de la surface d'attaque (ASR)
16 |
17 | Activer le bac à sable de Windows Defender
18 | Cette politique permet d'activer le bac à sable pour le processus principal de Windows Defender, permettant à celui-ci d'appliquer des durcissements modernes au processus (ALSR, CFG, DEP, signature du code chargé, ...)
19 |
20 | Plus d'informations : https://www.microsoft.com/en-us/security/blog/2018/10/26/windows-defender-antivirus-can-now-run-in-a-sandbox/
21 | Bloquer le vol d'informations d'identification du sous-système de l'autorité de sécurité locale Windows (lsass.exe)
22 | Cette règle aide à prévenir le vol d'informations d'identification en bloquant les tentatives d'injection de code ciblant lsass.exe.
23 |
24 | L'activation de cette règle ne fournit pas de protection supplémentaire si la protection LSA est activée, car la règle ASR et la protection LSA fonctionnent de manière similaire. Cependant, lorsque la protection LSA ne peut pas être activée, cette règle peut être configurée pour fournir une protection équivalente contre les logiciels malveillants qui ciblent lsass.exe.
25 | Bloquer l'abus de pilotes signés vulnérables exploités
26 | Cette règle empêche une application d'écrire un pilote signé vulnérable sur le disque.
27 | Empêcher Adobe Reader de créer des processus enfants
28 | Cette règle prévient les attaques en empêchant Adobe Reader de créer des processus.
29 | Empêcher toutes les applications Office de créer des processus enfants
30 | Cette règle empêche les applications Office de créer des processus enfants. Les applications Office incluent Word, Excel, PowerPoint, OneNote et Access.
31 | Bloquer le contenu exécutable du client de messagerie et du webmail
32 | Cette règle empêche les e-mails ouverts dans l'application Microsoft Outlook, ou Outlook.com et d'autres fournisseurs de webmail populaires, de propager les types de fichiers suivants :
33 |
34 | - Fichiers exécutables (fichiers avec l'extension .exe, .dll, ou .scr)
35 | - Fichiers de script (fichiers PowerShell .ps1, Visual Basic .vbs, ou JavaScript .js)
36 | Bloquer l'exécution des fichiers exécutables sauf s'ils répondent à un critère de prévalence, d'âge ou de liste de confiance
37 | Cette règle empêche le lancement de fichiers exécutables, tels que .exe, .dll ou .scr. Ainsi, le lancement de fichiers exécutables non approuvés ou inconnus peut être risqué, car il n'est pas toujours clair au départ si les fichiers sont malveillants.
38 |
39 | Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
40 | Bloquer l'exécution de scripts potentiellement obfusqués
41 | Cette règle bloque les scripts qui semblent être obfusqués pour masquer un contenu malveillant.
42 |
43 | Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
44 | Empêcher JavaScript ou VBScript de lancer du contenu exécutable téléchargé
45 | Cette règle empêche les scripts de lancer du contenu téléchargé potentiellement malveillant. Les logiciels malveillants écrits en JavaScript ou VBScript agissent souvent comme des téléchargeurs pour récupérer et lancer d'autres logiciels malveillants depuis Internet. Bien que peu courant, les applications métier utilisent parfois des scripts pour télécharger et lancer des programmes d'installation.
46 | Empêcher les applications Office de créer du contenu exécutable
47 | Cette règle empêche les applications Office, y compris Word, Excel et PowerPoint, de créer du contenu exécutable potentiellement malveillant, en bloquant l'écriture de code malveillant sur le disque.
48 | Empêcher les applications Office d'injecter du code dans d'autres processus
49 | Cette règle bloque les tentatives d'injection de code des applications Office dans d'autres processus. Cette règle s'applique à Word, Excel, OneNote et PowerPoint.
50 | Empêcher l'application de communication Office de créer des processus enfants
51 | Cette règle empêche Outlook de créer des processus enfants, tout en autorisant les fonctions légitimes d'Outlook. Cette règle s'applique uniquement à Outlook et Outlook.com.
52 | Bloquer la persistance via l'abonnement aux événements WMI
53 | Cette règle empêche les logiciels malveillants d'abuser de WMI pour atteindre la persistance sur un appareil.
54 | Bloquer les créations de processus issues des commandes PSExec et WMI
55 | Cette règle bloque l'exécution des processus créés via PsExec et WMI.
56 | Bloquer le redémarrage de l'ordinateur en Mode sans échec (aperçu)
57 | Cette règle empêche l'exécution de commandes pour redémarrer les ordinateurs en Mode sans échec.
58 | Bloquer les processus non approuvés et non signés exécutés depuis une clé USB
59 | Avec cette règle, les administrateurs peuvent empêcher les fichiers exécutables non signés ou non approuvés de s'exécuter à partir de lecteurs amovibles USB, y compris les cartes SD. Les types de fichiers bloqués incluent les fichiers exécutables (tels que .exe, .dll ou .scr).
60 | Bloquer l'utilisation d'outils système copiés ou usurpés (aperçu)
61 | Cette règle bloque l'utilisation de fichiers exécutables identifiés comme des copies d'outils système Windows. Ces fichiers sont soit des doublons, soit des imposteurs des outils système d'origine.
62 | Bloquer la création de Webshell pour les serveurs
63 | Cette règle bloque la création de scripts web shell sur Microsoft Server, rôle Exchange.
64 | Bloquer les appels d'API Win32 à partir des macros Office
65 | Cette règle empêche les macros VBA d'appeler les API Win32. La plupart des organisations ne comptent pas sur la capacité d'appeler les API Win32 dans leur fonctionnement quotidien, même si elles utilisent des macros d'autres manières.
66 | Utiliser la protection avancée contre les rançongiciels
67 | Cette règle fournit une couche supplémentaire de protection contre les rançongiciels. Elle utilise des heuristiques client et cloud pour déterminer si un fichier ressemble à un rançongiciel. Cette règle ne bloque pas les fichiers qui présentent une ou plusieurs des caractéristiques suivantes :
68 |
69 | - Le fichier a déjà été jugé comme sûr par le cloud Microsoft.
70 | - Le fichier est un fichier signé valide.
71 | - Le fichier est assez répandu pour ne pas être considéré comme un rançongiciel.
72 |
73 | Vous devez activer la protection fournie par le cloud pour utiliser cette règle.
74 | Mode audit
75 | Mode avertissement
76 | Mode blocage
77 | Désactivé
78 |
79 |
80 |
81 | Mode:
82 | Modes des règles ASR :
83 |
84 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
85 | Mode blocage : État dans lequel la règle ASR est activée.
86 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
87 |
88 | Remarque : La règle ASR « Bloquer le vol d'informations d'identification du sous-système de l'autorité de sécurité locale Windows (lsass.exe) » ne prend pas en charge le mode AVERTISSEMENT.
89 |
90 |
91 | Mode:
92 | Modes des règles ASR :
93 |
94 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
95 | Mode blocage : État dans lequel la règle ASR est activée.
96 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
97 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
98 |
99 |
100 | Mode:
101 | Modes des règles ASR :
102 |
103 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
104 | Mode blocage : État dans lequel la règle ASR est activée.
105 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
106 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
107 |
108 |
109 | Mode:
110 | Modes des règles ASR :
111 |
112 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
113 | Mode blocage : État dans lequel la règle ASR est activée.
114 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
115 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
116 |
117 |
118 | Mode:
119 | Modes des règles ASR :
120 |
121 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
122 | Mode blocage : État dans lequel la règle ASR est activée.
123 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
124 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
125 |
126 |
127 | Mode:
128 | Modes des règles ASR :
129 |
130 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
131 | Mode blocage : État dans lequel la règle ASR est activée.
132 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
133 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
134 |
135 |
136 | Mode:
137 | Modes des règles ASR :
138 |
139 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
140 | Mode blocage : État dans lequel la règle ASR est activée.
141 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
142 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
143 |
144 |
145 | Mode:
146 | Modes des règles ASR :
147 |
148 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
149 | Mode blocage : État dans lequel la règle ASR est activée.
150 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
151 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
152 |
153 |
154 | Mode:
155 | Modes des règles ASR :
156 |
157 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
158 | Mode blocage : État dans lequel la règle ASR est activée.
159 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
160 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
161 |
162 |
163 | Mode:
164 | Modes des règles ASR :
165 |
166 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
167 | Mode blocage : État dans lequel la règle ASR est activée.
168 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
169 |
170 | Remarque : La règle ASR « Empêcher les applications Office d'injecter du code dans d'autres processus » ne prend pas en charge le mode AVERTISSEMENT.
171 |
172 |
173 | Mode:
174 | Modes des règles ASR :
175 |
176 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
177 | Mode blocage : État dans lequel la règle ASR est activée.
178 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
179 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
180 |
181 |
182 | Mode:
183 | Modes des règles ASR :
184 |
185 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
186 | Mode blocage : État dans lequel la règle ASR est activée.
187 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
188 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
189 |
190 |
191 | Mode:
192 | Modes des règles ASR :
193 |
194 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
195 | Mode blocage : État dans lequel la règle ASR est activée.
196 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
197 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
198 |
199 |
200 | Mode:
201 | Modes des règles ASR :
202 |
203 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
204 | Mode blocage : État dans lequel la règle ASR est activée.
205 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
206 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
207 |
208 |
209 | Mode:
210 | Modes des règles ASR :
211 |
212 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
213 | Mode blocage : État dans lequel la règle ASR est activée.
214 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
215 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
216 |
217 |
218 | Mode:
219 | Modes des règles ASR :
220 |
221 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
222 | Mode blocage : État dans lequel la règle ASR est activée.
223 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
224 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
225 |
226 |
227 | Mode:
228 | Modes des règles ASR :
229 |
230 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
231 | Mode blocage : État dans lequel la règle ASR est activée.
232 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
233 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
234 |
235 |
236 | Mode:
237 | Modes des règles ASR :
238 |
239 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
240 | Mode blocage : État dans lequel la règle ASR est activée.
241 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
242 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
243 |
244 |
245 | Mode:
246 | Modes des règles ASR :
247 |
248 | Non configuré ou Désactivé : État dans lequel la règle ASR n'est pas activée.
249 | Mode blocage : État dans lequel la règle ASR est activée.
250 | Mode audit : État dans lequel la règle ASR est évaluée pour l'effet qu'elle aurait sur l'organisation ou l'environnement si elle était activée (définie sur Mode blocage ou Mode avertissement).
251 | Mode avertissement : État dans lequel la règle ASR est activée et présente une notification à l'utilisateur final, mais permet à l'utilisateur final de contourner le blocage.
252 |
253 |
254 |
255 |
--------------------------------------------------------------------------------
/fr-FR/AdditionalHardening.adml:
--------------------------------------------------------------------------------
1 |
2 |
5 |
6 | Paramètres de durcissement supplémentaires
7 |
8 |
9 | Paramètres de durcissement supplémentaires
10 |
11 |
12 |
13 |
14 | Paramètres de durcissement supplémentaires
15 | Paramètres de débogage supplémentaires
16 | Paramètres de durcissement du Microsoft Security Guide
17 | Paramètres de durcissement hérités MSS
18 |
19 |
20 |
--------------------------------------------------------------------------------
/fr-FR/AdditionalHardeningFromMicrosoft.adml:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 |
5 | Guide de sécurité Microsoft
6 |
7 |
8 | Mesures d'atténuation du Guide de sécurité Microsoft
9 |
10 |
11 |
12 | Windows Server 2008 et versions ultérieures
13 | Appliquer les restrictions UAC aux comptes locaux lors des ouvertures de session réseau
14 | Ce paramètre contrôle si les comptes locaux peuvent être utilisés pour l'administration à distance via une ouverture de session réseau (par exemple, NET USE, connexion à C$, etc.). Les comptes locaux présentent un risque élevé de vol d'identifiants lorsque le même compte et le même mot de passe sont configurés sur plusieurs systèmes. L'activation de cette stratégie réduit considérablement ce risque.
15 |
16 | Activé (recommandé) : Applique le filtrage des jetons UAC aux comptes locaux lors des ouvertures de session réseau. L'appartenance à des groupes privilégiés tels que les Administrateurs est désactivée et les privilèges élevés sont supprimés du jeton d'accès résultant. Cela configure la valeur de Registre LocalAccountTokenFilterPolicy à 0. C'est le comportement par défaut pour Windows.
17 |
18 | Désactivé : Permet aux comptes locaux d'avoir des droits administratifs complets lors de l'authentification via une ouverture de session réseau, en configurant la valeur de Registre LocalAccountTokenFilterPolicy à 1.
19 |
20 | Pour plus d'informations sur les comptes locaux et le vol d'identifiants, consultez « Atténuation des attaques Pass-the-Hash (PtH) et autres techniques de vol d'identifiants » : http://www.microsoft.com/en-us/download/details.aspx?id=36036.
21 |
22 | Pour plus d'informations sur LocalAccountTokenFilterPolicy, consultez http://support.microsoft.com/kb/951016.
23 | Authentification WDigest (nécessite KB2871997)
24 | Lorsque l'authentification WDigest est activée, Lsass.exe conserve une copie du mot de passe de l'utilisateur en texte clair en mémoire, où il peut être exposé au vol. Microsoft recommande de désactiver l'authentification WDigest sauf si elle est nécessaire.
25 |
26 | Si ce paramètre n'est pas configuré, l'authentification WDigest est désactivée dans Windows 8.1 et Windows Server 2012 R2 ; elle est activée par défaut dans les versions antérieures de Windows et Windows Server.
27 |
28 | La mise à jour KB2871997 doit d'abord être installée pour désactiver l'authentification WDigest à l'aide de ce paramètre dans Windows 7, Windows 8, Windows Server 2008 R2 et Windows Server 2012.
29 |
30 | Activé : Active l'authentification WDigest.
31 |
32 | Désactivé (recommandé) : Désactive l'authentification WDigest. Pour que ce paramètre fonctionne sur Windows 7, Windows 8, Windows Server 2008 R2 ou Windows Server 2012, KB2871997 doit d'abord être installé.
33 |
34 | Pour plus d'informations, consultez http://support.microsoft.com/kb/2871997 et http://blogs.technet.com/b/srd/archive/2014/06/05/an-overview-of-kb2871997.aspx .
35 | Mode audit de Lsass.exe
36 | Activer l'audit de Lsass.exe pour évaluer la faisabilité de l'activation de la protection LSA. Pour plus d'informations, consultez http://technet.microsoft.com/en-us/library/dn408187.aspx
37 | Protection LSA
38 | Pour Windows 11, version 22H2 et ultérieures, un nouveau paramètre est utilisé pour configurer cela. Il se trouve sous 'Système\Autorité de sécurité locale\Configurer LSASS pour s'exécuter en tant que processus protégé', qui offre des options de configuration supplémentaires.
39 |
40 | Activer la protection LSA.
41 |
42 | Pour plus d'informations, consultez http://technet.microsoft.com/en-us/library/dn408187.aspx
43 | Supprimer « Exécuter en tant qu'utilisateur différent » des menus contextuels
44 | Ce paramètre contrôle si « Exécuter en tant qu'utilisateur différent » apparaît dans le menu contextuel Maj+Clic droit pour les fichiers .bat, .cmd, .exe et .msc.
45 |
46 | Activé (recommandé) : Empêche « Exécuter en tant qu'utilisateur différent » d'apparaître dans le menu contextuel lorsque l'utilisateur maintient la touche Maj enfoncée tout en cliquant avec le bouton droit sur un fichier .bat, .cmd, .exe ou .msc dans l'Explorateur.
47 |
48 | Désactivé : Restaure le comportement par défaut de Windows pour « Exécuter en tant qu'utilisateur différent ».
49 | Activer la protection contre le remplacement de la gestion structurée des exceptions (SEHOP)
50 | Si ce paramètre est activé, SEHOP est appliqué. Pour plus d'informations, consultez https://support.microsoft.com/en-us/help/956607/how-to-enable-structured-exception-handling-overwrite-protection-sehop-in-windows-operating-systems.
51 |
52 | Si ce paramètre est désactivé ou non configuré, SEHOP n'est pas appliqué pour les processus 32 bits.
53 | Configurer le serveur SMB v1
54 | La désactivation de ce paramètre désactive le traitement côté serveur du protocole SMBv1. (Recommandé.)
55 |
56 | L'activation de ce paramètre active le traitement côté serveur du protocole SMBv1. (Par défaut.)
57 |
58 | Les modifications apportées à ce paramètre nécessitent un redémarrage pour prendre effet.
59 |
60 | Pour plus d'informations, consultez https://support.microsoft.com/kb/2696547
61 | Configurer le client SMB v1
62 | Configure le type de démarrage du client SMB v1.
63 |
64 | Pour désactiver le traitement côté client du protocole SMBv1, activez cette politique, puis sélectionnez « Désactiver le pilote » dans la liste déroulante.
65 |
66 | AVERTISSEMENT : NE SÉLECTIONNEZ EN AUCUN CAS LE BOUTON RADIO « DÉSACTIVÉ » !
67 |
68 | Pour Windows 7 et les versions Server 2008, 2008R2 et 2012, vous devez également configurer le paramètre « Configurer le client SMB v1 (paramètre supplémentaire requis pour les versions antérieures à Win8.1/2012R2) ».
69 |
70 | Pour restaurer le comportement par défaut côté client de SMBv1, sélectionnez « Activé » et choisissez la valeur par défaut correcte dans la liste déroulante :
71 | * « Démarrage manuel » pour Windows 7 et Windows Server 2008, 2008R2 et 2012 ;
72 | * « Démarrage automatique » pour Windows 8.1 et Windows Server 2012R2 et versions ultérieures.
73 |
74 | Les modifications apportées à ce paramètre nécessitent un redémarrage pour prendre effet.
75 |
76 | Pour plus d'informations, consultez https://support.microsoft.com/kb/2696547
77 | Désactiver le service (recommandé)
78 | Démarrage manuel (par défaut pour Win7/2008/2008R2/2012)
79 | Démarrage automatique (par défaut pour Win8.1/2012R2/ultérieur)
80 |
81 | Configuration du NodeType NetBT
82 | Le paramètre NodeType NetBT détermine les méthodes utilisées par NetBT pour enregistrer et résoudre les noms :
83 |
84 | * Un ordinateur de type B utilise les diffusions.
85 | * Un ordinateur de type P utilise uniquement des requêtes de nom point à point vers un serveur de noms (WINS).
86 | * Un ordinateur de type M diffuse d'abord, puis interroge le serveur de noms.
87 | * Un ordinateur de type H interroge d'abord le serveur de noms, puis diffuse.
88 |
89 | La résolution via LMHOSTS ou DNS suit ces méthodes. Si la valeur NodeType est présente, elle remplace toute valeur DhcpNodeType.
90 | Si ni NodeType ni DhcpNodeType ne sont présents, l'ordinateur utilise le type B s'il n'y a pas de serveurs WINS configurés pour le réseau, ou le type H s'il y a au moins un serveur WINS configuré.
91 | Type B
92 | Type P (recommandé)
93 | Type M
94 | Type H
95 | Bloquer l'activation de Flash dans les documents Office
96 | Ce paramètre de stratégie contrôle si le contrôle Adobe Flash peut être activé dans les documents Office. Notez que le blocage de l'activation s'applique uniquement au sein des processus Office.
97 |
98 | Si vous activez ce paramètre de stratégie, vous pouvez choisir parmi trois options pour contrôler si et comment Flash est bloqué à l'activation :
99 |
100 | 1. « Bloquer toute activation » empêche le chargement du contrôle Flash, qu'il soit directement référencé par le document ou indirectement par un autre objet incorporé.
101 |
102 | 2. « Bloquer l'incorporation/liaison, autoriser autre activation » empêche le chargement du contrôle Flash lorsqu'il est directement référencé par le document, mais n'empêche pas l'activation via un autre objet.
103 |
104 | 3. « Autoriser toute activation » restaure le comportement par défaut d'Office, permettant l'activation du contrôle Flash.
105 |
106 | Comme ce paramètre n'est pas un véritable paramètre de stratégie de groupe et qu'il « tatoue » le Registre, l'activation de l'option « Autoriser toute activation » est le seul moyen de restaurer le comportement par défaut après l'application de l'une des options « Bloquer ». Nous ne recommandons pas de configurer ce paramètre sur « Désactivé », ni sur « Non configuré » après son activation.
107 | Bloquer toute activation
108 | Bloquer l'incorporation/liaison, autoriser autre activation
109 | Autoriser toute activation
110 | Restreindre l'exécution de JScript hérité pour Office
111 | Ce paramètre de stratégie contrôle l'exécution de JScript par zone de sécurité dans Internet Explorer et le contrôle WebBrowser (WebOC) pour les applications Office.
112 |
113 | Il est important de déterminer si JScript hérité est utilisé pour fournir des fonctionnalités critiques pour l'entreprise avant d'activer ce paramètre.
114 |
115 | Si activé, les applications Office n'exécuteront pas JScript hérité pour les zones Internet ou Sites sensibles et les utilisateurs ne sont pas informés par l'application que l'exécution de JScript hérité est restreinte. JScript9 moderne continuera de fonctionner pour toutes les zones.
116 |
117 | Si désactivé ou non configuré, JScript fonctionnera sans aucune restriction.
118 |
119 | Les valeurs sont définies en hexadécimal et doivent être converties avant de modifier la valeur du paramètre. Pour en savoir plus sur la clé de contrôle des fonctionnalités d'Internet Explorer et la stratégie de restriction de JScript au niveau du processus pour Windows, veuillez consulter : https://docs.microsoft.com/en-us/previous-versions/windows/internet-explorer/ie-developer/general-info/ee330734(v=vs.85)#restrict-jscript-at-a-process-level
120 | Configurer le paramètre de confidentialité au niveau des paquets RPC pour les connexions entrantes
121 | Ce paramètre de stratégie contrôle si la confidentialité au niveau des paquets est activée pour RPC pour les connexions entrantes.
122 |
123 | Par défaut, la confidentialité au niveau des paquets est activée pour RPC pour les connexions entrantes.
124 |
125 | Si vous activez ou ne configurez pas ce paramètre de stratégie, la confidentialité au niveau des paquets est activée pour RPC pour les connexions entrantes.
126 |
127 |
128 |
129 | Configurer le pilote MrxSmb10
130 |
131 |
132 | Configurer les dépendances de LanmanWorkstation
133 |
134 |
135 | Configurer le NodeType NetBT
136 |
137 |
138 | Configurer LdapEnforceChannelBinding
139 |
140 |
141 | Bloquer le lecteur Flash dans Office
142 |
143 |
144 | Excel :
145 | Publisher :
146 | PowerPoint :
147 | OneNote :
148 | Visio :
149 | Project :
150 | Word :
151 | Outlook :
152 | Access :
153 |
154 |
155 | Sélectionnez la méthode par laquelle les fichiers spécifiques à la file d'attente seront traités.
156 | Gérer le traitement des fichiers spécifiques à la file d'attente :
157 |
158 |
159 |
160 |
--------------------------------------------------------------------------------
/fr-FR/AdditionalLegacyHardening.adml:
--------------------------------------------------------------------------------
1 |
2 | MSS (Hérité)
3 | Les paramètres "MSS" hérités qui étaient exposés dans Secpol, Options de sécurité, en utilisant LocalGPO.wsf /ConfigSCE.
4 |
5 |
6 | MSS (Hérité)
7 |
8 | MSS : (AutoReboot) Autoriser Windows à redémarrer automatiquement après un crash système
9 | MSS : (AutoReboot) Autoriser Windows à redémarrer automatiquement après un crash système
10 | MSS : (AutoAdminLogon) Activer l'ouverture de session automatique
11 | MSS : (AutoAdminLogon) Activer l'ouverture de session automatique
12 | MSS : (DisableSavePassword) Empêcher l'enregistrement du mot de passe de connexion commutée
13 | MSS : (DisableSavePassword) Empêcher l'enregistrement du mot de passe de connexion commutée
14 | MSS : (EnableDeadGWDetect) Autoriser la détection automatique des passerelles réseau inactives
15 | MSS : (EnableDeadGWDetect) Autoriser la détection automatique des passerelles réseau inactives
16 | MSS : (EnableICMPRedirect) Autoriser les redirections ICMP à remplacer les routes générées par OSPF
17 | MSS : (EnableICMPRedirect) Autoriser les redirections ICMP à remplacer les routes générées par OSPF
18 | MSS : (Hidden) Masquer l'ordinateur de la liste de navigation
19 | MSS : (Hidden) Masquer l'ordinateur de la liste de navigation
20 | MSS : (KeepAliveTime) Fréquence d'envoi des paquets keep-alive en millisecondes
21 | MSS : (KeepAliveTime) Fréquence d'envoi des paquets keep-alive en millisecondes
22 | 150000 ou 2,5 minutes
23 | 300000 ou 5 minutes (recommandé)
24 | 600000 ou 10 minutes
25 | 1200000 ou 20 minutes
26 | 2400000 ou 40 minutes
27 | 3600000 ou 1 heure
28 | 7200000 ou 2 heures (valeur par défaut)
29 | MSS : (NoDefaultExempt) Configurer les exemptions IPSec pour divers types de trafic réseau.
30 | MSS : (NoDefaultExempt) Configurer les exemptions IPSec pour divers types de trafic réseau.
31 | Autoriser toutes les exemptions.
32 | Multidiffusion, diffusion générale et ISAKMP exemptés.
33 | RSVP, Kerberos et ISAKMP sont exemptés.
34 | Seul ISAKMP est exempté.
35 | MSS : (NoNameReleaseOnDemand) Autoriser l'ordinateur à ignorer les demandes de libération de nom NetBIOS sauf celles des serveurs WINS
36 | MSS : (NoNameReleaseOnDemand) Autoriser l'ordinateur à ignorer les demandes de libération de nom NetBIOS sauf celles des serveurs WINS
37 | MSS : (NtfsDisable8dot3NameCreation) Permettre à l'ordinateur de cesser de générer des noms de fichiers de style 8.3
38 | MSS : (NtfsDisable8dot3NameCreation) Permettre à l'ordinateur de cesser de générer des noms de fichiers de style 8.3
39 | Activer la création 8Dot3 sur tous les volumes
40 | Désactiver la création 8Dot3 sur tous les volumes
41 | Définir la création de noms 8dot3 par volume en utilisant FSUTIL
42 | Désactiver la création de noms 8Dot3 sur tous les volumes sauf le volume système
43 | MSS : (PerformRouterDiscovery) Autoriser IRDP à détecter et configurer les adresses de passerelle par défaut
44 | MSS : (PerformRouterDiscovery) Autoriser IRDP à détecter et configurer les adresses de passerelle par défaut
45 | MSS : (SafeDllSearchMode) Activer le mode de recherche sécurisé des DLL
46 | MSS : (SafeDllSearchMode) Activer le mode de recherche sécurisé des DLL
47 | MSS : (ScreenSaverGracePeriod) Le délai en secondes avant l'expiration du délai de grâce de l'économiseur d'écran
48 | MSS : (ScreenSaverGracePeriod) Le délai en secondes avant l'expiration du délai de grâce de l'économiseur d'écran
49 | MSS : (SynAttackProtect) Niveau de protection contre les attaques SYN
50 | MSS : (SynAttackProtect) Niveau de protection contre les attaques SYN
51 | Aucune protection supplémentaire, utiliser les paramètres par défaut
52 | Les connexions expirent plus tôt si une attaque SYN est détectée
53 | MSS : (TcpMaxConnectResponseRetransmissions) Rétransmissions SYN-ACK lorsqu'une demande de connexion n'est pas acquittée
54 | MSS : (TcpMaxConnectResponseRetransmissions) Rétransmissions SYN-ACK lorsqu'une demande de connexion n'est pas acquittée
55 | Pas de retransmission, connexions semi-ouvertes abandonnées après 3 secondes
56 | 3 secondes, connexions semi-ouvertes abandonnées après 9 secondes
57 | 3 et 6 secondes, connexions semi-ouvertes abandonnées après 21 secondes
58 | 3, 6 et 9 secondes, connexions semi-ouvertes abandonnées après 45 secondes
59 | MSS : (TcpMaxDataRetransmissions) Nombre de fois où les données non acquittées sont retransmises
60 | MSS : (TcpMaxDataRetransmissions) Nombre de fois où les données non acquittées sont retransmises
61 | MSS : (TcpMaxDataRetransmissions IPv6) Nombre de fois où les données non acquittées sont retransmises
62 | MSS : (TcpMaxDataRetransmissions IPv6) Nombre de fois où les données non acquittées sont retransmises
63 | MSS : (WarningLevel) Seuil en pourcentage pour le journal des événements de sécurité à partir duquel le système générera un avertissement
64 | MSS : (WarningLevel) Seuil en pourcentage pour le journal des événements de sécurité à partir duquel le système générera un avertissement
65 | 50%
66 | 60%
67 | 70%
68 | 80%
69 | 90%
70 |
71 |
72 |
73 |
74 |
75 | DisableIPSourceRouting
76 |
77 |
78 | DisableIPSourceRoutingIPv6
79 |
80 |
81 | KeepAliveTime
82 |
83 |
84 | NoDefaultExempt
85 |
86 |
87 | NtfsDisable8dot3NameCreation
88 |
89 |
90 | ScreenSaverGracePeriod
91 |
92 |
93 | SynAttackProtect
94 |
95 |
96 | TcpMaxConnectResponseRetransmissions
97 |
98 |
99 | TcpMaxDataRetransmissions
100 |
101 |
102 | WarningLevel
103 |
104 |
105 |
106 |
107 |
108 |
156 |
--------------------------------------------------------------------------------
/fr-FR/AdditionalSystemHardening.adml:
--------------------------------------------------------------------------------
1 |
2 |
3 |
4 | Paramètres de durcissement système additionnels
5 |
6 |
7 | Paramètres de durcissement système additionnels
8 |
9 |
10 |
11 |
12 | Paramètres de durcissement système
13 | Paramètres de durcissement pour Adobe Acrobat
14 |
15 |
16 | Bloquer les connexions DCOM distantes
17 | Si vous activez cette stratégie, aucun client distant ne peut lancer de serveurs ou se connecter à des objets sur cet ordinateur. Les clients locaux ne peuvent pas accéder aux serveurs DCOM distants; tout le trafic DCOM est bloqué.
18 |
19 | Si vous désactivez cette stratégie, le lancement de serveurs et la connexion à des objets par des clients distants sont autorisés par classe en fonction de la valeur et des autorisations d'accès de la valeur de Registre LaunchPermission et de la valeur de Registre globale DefaultLaunchPermission.
20 | Activer le durcissement additionnel du processus LSA
21 | Activer cette stratégie pour permettre au processus LSA de se lancer en tant que PPL (Protected Process Light), interdisant son débogage.
22 | Désactiver l'écoute TCP du serveur SAM
23 | Par défaut, le serveur SAM (lsass.exe) écoute en permanence sur un port TCP aléatoire, et sur toutes les interfaces réseau.
24 |
25 | Activer ce paramètre désactivera l'écoute TCP du serveur lsass.exe.
26 | Désactiver les utilisateurs standards en mode sans échec
27 | Activer cette stratégie désactivera le support des utilisateurs standards en mode sans échec, pour éviter les contournements des politiques de sécurité. Seuls les administrateurs pourront ouvrir une session dans ce mode.
28 |
29 | Désactiver cette politique autorisera les utilisateurs standards à ouvrir une session dans ce mode.
30 | Activer la vérification stricte des signatures Authenticode
31 | Le support strict des signatures Authenticode empêche l'ajout de données supplémentaires dans la structure de données WIN_CERTIFICATE.
32 | Autoriser le chargement d'une liste de DLL au démarrage de tout processus
33 | Permet d'autoriser le chargement d'une liste de DLL au démarrage de tout processus. Cette liste se trouve dans la clé HKLM:\Software\Microsoft\Windows NT\CurrentVersion\WindowsAppInit_DLLs.
34 | Activer les durcissements contre Spectre et Meltdown
35 | La clé de Registre FeatureSettingsOverride sous Windows, généralement située sous SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management et souvent gérée conjointement avec FeatureSettingsOverrideMask, offre aux administrateurs un contrôle granulaire sur les atténuations logicielles pour les vulnérabilités d'exécution spéculative des processeurs (CPU) telles que Spectre et Meltdown.
36 |
37 | Ces vulnérabilités peuvent potentiellement permettre un accès non autorisé à des données sensibles. Windows met en œuvre diverses atténuations pour contrer ces menaces, mais celles-ci peuvent parfois entraîner une dégradation des performances. La clé FeatureSettingsOverride permet une approche personnalisée, offrant la possibilité aux administrateurs d'activer ou de désactiver sélectivement des atténuations spécifiques — comme celles pour différentes variantes de Spectre (par exemple, v2 ou Speculative Store Bypass - SSB) et Meltdown — voire de les désactiver toutes si l'impact sur les performances est jugé trop important pour un environnement donné, ou encore d'appliquer des configurations particulières comme la désactivation de l'Hyper-Threading sur les processeurs Intel en conjonction avec ces atténuations. Cela constitue un moyen d'équilibrer la posture de sécurité par rapport aux performances du système, en fonction des besoins spécifiques et de l'évaluation des risques.
38 | Intel et AMD : activer tous les durcissements
39 | Intel : activer tous les durcissements (avec Hyper-Threading désactivé)
40 | Intel : activer les durcissements contre Spectre v2, Meltdown et SSB
41 | Intel : activer les durcissements contre Spectre v2 et Meltdown
42 | Intel : activer les durcissements contre Meltdown seulement
43 | AMD et ARM : activer les durcissements contre Spectre v2
44 | Désactiver tous les durcissements
45 | Activer le support des piles fantômes au niveau noyau
46 | Ce paramètre active le support des piles fantômes au niveau du noyau, aussi appelées Intel CET (Control-flow Enforcement Technology) ou AMD Shadow Stack.
47 |
48 | Veuillez noter que cette fonctionnalité dépend d'un support matériel (architecture CPU AMD Zen 3 ou 11ème Génération d'Intel minimum) et d'un système d'exploitation (Windows 21H2 ou supérieur) récent.
49 | Désactiver la fonctionnalité WPBT
50 | Ce paramètre désactive la fonctionnalité WPBT (Windows Platform Binary Table), qui peut être utilisée comme mécanisme de persistance via l'UEFI.
51 | Désactiver la fonctionnalité TTD
52 | Ce paramètre désactive la fonctionnalité TTD (Time-Travel Debugging), qui peut être utilisée pour lancer des exécutables tiers, ou créer une image mémoire de processus sensibles (ex. lsass.exe).
53 | Supprimer le répertoire courant de la liste de chargement des DLLs
54 | Ce paramètre désactive la recherche et le chargement de DLLs à partir du répertoire courant.
55 | Activer la prévention des réécritures de SEH (SEHOP)
56 | SEHOP prévient certaines attaques par débordement de tampon en empêchant la réécriture des structures SEH.
57 |
58 | Ce paramètre n'affecte que les versions 32 bits de Windows.
59 | Activer l'Authentification de Niveau Réseau (NLA) pour les connexions RDP
60 | Cette stratégie active le NLA avec le paramétrage suivant :
61 |
62 | - TLS est obligatoire pour l'authentification du serveur et le chiffrement du lien de communication.
63 | - Un haut niveau de chiffrement (128 bits) est requis pour le lien de communication.
64 | - L'authentification de l'utilisateur est exigée lors de la connexion.
65 |
66 | Désactiver cette stratégie n'a pas d'effet.
67 | Durcissement du processus d'authentification par le réseau
68 | Activer cette option désactivera LM et NTLMv1 pour les authentifications de connexions réseau, et n'autorisera que NTLMv2.
69 | Désactiver WDigest
70 | Activer cette stratégie désactivera le protocole d'authentification WDigest, considéré comme obsolète.
71 |
72 | Il est recommandé d'activer cette stratégie de sécurité.
73 | Durcissement du cache des sessions liées à un domaine
74 | Activer cette stratégie modifie deux paramètres liés au stockage en cache des identifiants d'utilisateurs de domaine :
75 |
76 | - Réduction de la taille du cache d'identifiants sauvegardés (2 identifiants, défaut 10) en cas de non-disponiblité du contrôleur de domaine;
77 | - Le délai de conservation en mémoire vive des identifants d'une session déconnectée est réduit à 30 secondes;
78 |
79 | Ces paramètres permettent de réduire la durée d'exposition à un vol d'identifant par un outil tel que Mimikatz.
80 |
81 | NOTE : ces paramètres peuvent empêcher l'ouverture d'une session liée au domaine si aucun contrôleur de domaine n'est joignable, ou si le réseau est indisponible.
82 | Forcer la randomisation de l'espace mémoire des images relocalisables (ASLR)
83 | Activer cette stratégie force l'utilisation de la randomisation de l'espace mémoire des images relocalisables, même si elles n'exposent pas cette possibilité explicitement.
84 |
85 | Désactiver cette stratégie désactivera également l'utilisation forcée de l'ASLR.
86 | Correctif registre additionnel pour CVE-2015-6161
87 | Activer cette stratégie positionne la valeur de registre FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING à 1.
88 |
89 | Cela permet de corriger complètement la vulnérabilité CVE-2015-6161 de contournement de l'ASLR dans Internet Explorer. Pour plus d'informations, se référer au bulletin de sécurité MS15-124 (https://docs.microsoft.com/fr-fr/security-updates/SecurityBulletins/2015/ms15-124).
90 |
91 | Désactiver cette stratégie positionne la valeur de registre à 0.
92 | Correctif registre additionnel pour CVE-2017-8529
93 | Activer cette stratégie positionne la valeur de registre FEATURE_ENABLE_PRINT_INFO_DISCLOSURE_FIX à 1.
94 |
95 | Cela permet de corriger complètement la vulnérabilité CVE-2017-8529 de divulgation d'information dans les navigateurs Microsoft. Pour plus d'informations, se référer au guide des mises à jour de sécurité associé à la CVE (https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2017-8529).
96 |
97 | Désactiver cette stratégie positionne la valeur de registre à 0.
98 | Modifier le nombre d'itérations du condensat MSCacheV2 du mot de passe de domaine en cache
99 | Lors d'une connexion à un domaine, le mot de passe est stocké localement sous la forme d'un condensat MSCacheV2, dérivé en utilisant l'algorithme de hachage PBKDF2-SHA1.
100 |
101 | Par défaut, le nombre d'itérations de l'algorithme PBKDF2-SHA1 est fixé à 10240. Activer ce paramètre permet de modifier ce nombre d'itérations, en suivant la logique suivante :
102 |
103 | - Pour une valeur inférieure ou égale à 10240, le nombre d'itérations est multiplié par 1024 (par exemple, une valeur de 20 donne 20480 itérations).
104 | - Pour une valeur supérieure à 10240, il s'agit du nombre d'itérations (arrondi à 1024).
105 |
106 | La valeur recommandée dépend de votre environnement et de la puissance CPU disponible, un grand nombre d'itérations pouvant engendrer un ralentissement important du processus d'ouverture de session.
107 |
108 | Lorsque l'option est activée, la valeur est fixée à 1954 (2 000 896 itérations). C'est la valeur recommandée au 29 décembre 2022 pour l'algorithme PBKDF2-HMAC-SHA1, en prenant en compte une puissance GPU équivalente à une RTX 4090 dans un modèle d'attaque par force brute hors ligne.
109 |
110 | Plus d'informations :
111 | - https://tobtu.com/minimum-password-settings/
112 | - https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html#pbkdf2
113 | Activer le mode Contraint du langage PowerShell
114 | Le langage PowerShell, depuis la version 5, peut s'exécuter en plusieurs modes, configurables au moyen de la variable d'environnement __PSLockdownPolicy. Cette variable permet de contraindre le langage en limitant les actions faisables avec le langage, et notamment en restreignant les usages inconsidérés des API Win32.
115 |
116 | NOTE : cette stratégie n'est pas une façon robuste d'activer le mode Contraint, une variable d'environnement peut facilement être réécrite par un attaquant. Le mode Contraint est activé de façon robuste lorsque AppLocker et/ou WDAC sont utilisés.
117 | Désactiver les partages administratifs sur les stations de travail
118 | Les partages administratifs sont des partages créés par défaut à l'installation du système. Ils permettent notamment aux administrateurs d'accéder à distance aux périphériques disque en mode bloc, aux périphériques IPC et aux imprimantes réseau. Ces partages dépendant du service Station de Travail, ils ne sont plus accessibles si celui-ci a été désactivé.
119 | Désactiver les partages administratifs sur serveurs
120 | Les partages administratifs sont des partages créés par défaut à l'installation du système. Ils permettent notamment aux administrateurs d'accéder à distance aux périphériques disque en mode bloc, aux périphériques IPC et aux imprimantes réseau. Ces partages dépendant du service Serveur, ils ne sont plus accessibles si celui-ci a été désactivé.
121 | Limiter l'installation des pilotes d'impression aux Administrateurs
122 | Détermine si les utilisateurs non privilégiés peuvent installer des pilotes d'impression.
123 |
124 | Par défaut, les utilisateurs standards ne peuvent pas installer de pilotes d'impression.
125 |
126 | Si vous activez ce paramètre, ou ne le configurez pas, le système limitera l'installation des pilotes d'impression aux Administrateurs.
127 |
128 | Si vous désactivez ce paramètre, les utilisateurs standards pourront installer des pilotes d'impression.
129 |
130 | Informations complémentaires : https://support.microsoft.com/fr-fr/topic/kb5005010-restricting-installation-of-new-printer-drivers-after-applying-the-july-6-2021-updates-31b91c02-05bc-4ada-a7ea-183b129578a7
131 | Limiter l'installation des certificats racine aux Administrateurs
132 | Cette politique permet d'interdire aux utilisateurs non privilégiés d'installer des certificats racine dans leur magasin personnel de certificats.
133 |
134 | Activer cette politique permet de limiter les attaques par clonage de certificats de signature de code. Il est recommandé d'activer cette politique.
135 | Activer les fonctionnalités d'IA génératives dans Acrobat et Acrobat Reader
136 | Les fonctionnalités d'IA génératives sont activées par défaut dans Acrobat et Acrobat Reader. Cette politique permet de contrôler le statut de ces fonctionnalités.
137 |
138 | Activer cette politique activera les fonctionnalités d'IA génératives.
139 |
140 | Désactiver cette politique désactivera ces fonctionnalités. Il est recommandé de désactiver cette politique.
141 | Activer les protections additionnelles contre BlackLotus (CVE-2023-24932)
142 | Cette politique déploie les clefs de Registre nécessaires à l'installation de la nouvelle liste noire de démarrage sécurisé (Secure Boot DBX), l'installation du nouveau certificat de signature dans la liste blanche (DB), le mécanisme d'anti-retour arrière (SVN) et la nouvelle stratégie de démarrage du mécanisme d'intégrité du code de Windows.
143 |
144 | Ces stratégies permettent de se prémunir de la CVE-2023-24932, aussi connue sous le nom de BlackLotus, et plus généralement des vulnérabilités récentes liées au chargeur d'amorçage.
145 |
146 | IMPORTANT : veuillez lire attentivement la documentation de Microsoft au sujet de ces correctifs, ainsi que les étapes préliminaires et postliminaires à appliquer en plus de cette clef de Registre, autrement vous pourriez rendre votre système non-démarrable :
147 |
148 | - https://support.microsoft.com/fr-fr/topic/kb5025885-comment-g%C3%A9rer-les-r%C3%A9vocations-du-gestionnaire-de-d%C3%A9marrage-windows-pour-les-modifications-de-d%C3%A9marrage-s%C3%A9curis%C3%A9-associ%C3%A9es-%C3%A0-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d
149 | - https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-24932
150 |
151 | En particulier, vous devriez lire les étapes de déploiement associées à chaque étape présente dans la liste de cette politique, et les actions manuelles associées (redémarrages intermédiaires, vérifications additionnelles, ...). Ces informations sont présentes dans la documentation Microsoft :
152 |
153 | - https://support.microsoft.com/fr-fr/topic/kb5025885-comment-g%C3%A9rer-les-r%C3%A9vocations-du-gestionnaire-de-d%C3%A9marrage-windows-pour-les-modifications-de-d%C3%A9marrage-s%C3%A9curis%C3%A9-associ%C3%A9es-%C3%A0-cve-2023-24932-41a975df-beb2-40c1-99a3-b3ff139f832d#bkmk_mitigation_guidelines
154 | Étape 1 : ajout du certificat "Windows UEFI CA 2023" à la liste blanche d'amorçage (DB)
155 | Étape 2 : mise à jour du chargeur d'amorçage du système d'exploitation
156 | Étape 3 : ajout du certificat "Windows Production CA 2011" à la liste noire d'amorçage (DBX)
157 | Étape 4 : application du mécanisme d'anti-retour arrière (SVN)
158 | Configurer le comportement de la commande Sudo
159 | Cette politique configure le comportement de la commande Sudo, introduite dans la version 24H2 de Windows 11.
160 |
161 | Les options possibles sont :
162 |
163 | - Forcer l'ouverture d'une nouvelle fenêtre avec droits élevés (comportement par défaut)
164 | - Désactiver les entrées/sorties du processus appelé
165 | - Exécuter dans la fenêtre courante
166 | - Désactiver la fonctionnalité
167 |
168 | Il est recommandé d'utiliser le comportement par défaut d'ouverture dans une nouvelle fenêtre.
169 | Forcer l'ouverture d'une nouvelle fenêtre
170 | Désactiver les entrées/sorties du nouveau processus
171 | Exécuter dans la fenêtre courante
172 | Désactiver la fonctionnalité
173 | Activer la sécurité basée sur la virtualisation en mode Obligatoire
174 | Cette politique contrôle l'activation du mode Obligatoire pour la sécurité basée sur la virtualisation (VBS).
175 |
176 | Le mode Obligatoire est une nouvelle fonctionnalité introduite pour prévenir les attaques par rétrogradation (Windows Downdate notamment) affectant les composants liés à la sécurité basée sur la virtualisation, comme le Secure Kernel et les composants de l'hyperviseur. Ce mode force la vérification en intégrité et en version lors du démarrage de ces composants, ce qui peut également conduire à un déni de service au démarrage du système si une violation est détectée.
177 |
178 | NOTE : si la sécurité basée sur la virtualisation est déjà activée avec un verrouillage par l'UEFI, cette politique est sans effet, car la politique de sécurité de la fonction VBS est inscrite dans une variable UEFI non modifiable par le système. Cette variable doit être effacée à l'aide de l'utilitaire bcedit.exe avant d'activer le mode Obligatoire et de re-activer le verrouillage par UEFI de la nouvelle politique. La procédure de désactivation est documentée par Microsoft :
179 |
180 | https://learn.microsoft.com/fr-fr/windows/security/identity-protection/credential-guard/configure?tabs=reg#disable-virtualization-based-security
181 |
182 | Activer cette politique activera le mode Obligatoire et forcera la vérification des composants liés à la VBS au démarrage.
183 |
184 | Activer cette politique si le verrouillage UEFI est actif est sans effet.
185 |
186 | Désactiver cette politique désactivera le mode Obligatoire, seulement si le verrouillage UEFI n'est pas activé. Autrement, désactiver cette politique est sans effet.
187 | Bloquer l'installation des co-installeurs des pilotes matériels
188 | Un co-installeur est une bibliothèque Win32 en espace utilisateur qui complète l'installation d'un driver en effectuant des tâches de configuration annexes (écriture Registre, installation d'application additionnelle, etc) non disponibles dans un fichier INF standard.
189 |
190 | Si vous activez ce paramètre, l'exécution des co-installeurs sera bloquée. Pour certains périphériques spécifiques (claviers paramétrables, cartes graphiques, etc), il sera nécessaire d'installer manuellement le logiciel de contrôle à partir du site du fabricant.
191 |
192 | Si vous désactivez ce paramètre, l'exécution des co-installeurs sera autorisée, ce qui pose un risque de sécurité important (exécution de code non maîtrisé sur le système).
193 |
194 |
195 |
196 | Nombre d'itérations PBKDF2 :
197 |
198 |
199 | Sélectionner une option :
200 | Activer le durcissement pour les machines virtuelles Hyper-V (version 8.0 et versions inférieures)
201 |
202 |
203 | Sélectionner une étape :
204 |
205 |
206 | Sélectionner une option :
207 |
208 |
209 |
210 |
--------------------------------------------------------------------------------
/install.ps1:
--------------------------------------------------------------------------------
1 | #Requires -RunAsAdministrator
2 | Set-StrictMode -Version Latest
3 | $ErrorActionPreference = 'Stop' # Stop on non-terminating errors to ensure they are caught by try/catch
4 |
5 | # Script Information
6 | Write-Output "Starting ADMX/ADML installation script..."
7 |
8 | # Source folder (where this script is located)
9 | $SourceDirectory = Split-Path -Parent $MyInvocation.MyCommand.Path
10 | Write-Output "Source directory: $SourceDirectory"
11 |
12 | # Destination folder (Central Store for Group Policy definitions)
13 | $DestinationDirectory = Join-Path -Path $Env:Windir -ChildPath "PolicyDefinitions"
14 | Write-Output "Target destination directory: $DestinationDirectory"
15 |
16 | try {
17 | # Check if the destination directory exists, create if not
18 | if (-not (Test-Path -Path $DestinationDirectory -PathType Container)) {
19 | Write-Output "Destination directory '$DestinationDirectory' does not exist. Creating it..."
20 | New-Item -Path $DestinationDirectory -ItemType Directory -Force | Out-Null
21 | Write-Output "Destination directory created."
22 | }
23 |
24 | # Files and folders to exclude from the copy operation
25 | $Exclusions = @(
26 | '.git', # Git repository folder
27 | '*.md', # Markdown files
28 | '*.ps1', # PowerShell script files (including this one)
29 | '.vscode', # VS Code workspace settings
30 | '.github', # GitHub workflow files and configuration
31 | 'LICENSE'
32 | )
33 |
34 | Write-Output "Copying ADMX and ADML files from '$SourceDirectory' to '$DestinationDirectory'..."
35 | Write-Output "Excluding: $($Exclusions -join ', ')"
36 |
37 | # Copy all items from source to destination, excluding specified items
38 | Copy-Item -Path "$SourceDirectory\*" -Destination $DestinationDirectory -Exclude $Exclusions -Force -Recurse
39 |
40 | Write-Output "ADMX/ADML files copied successfully to '$DestinationDirectory'!"
41 | }
42 | catch {
43 | Write-Error "Failed to copy ADMX/ADML files."
44 | Write-Error "Error Details: $($_.Exception.Message)"
45 | Write-Error "Occurred at: Line $($_.InvocationInfo.ScriptLineNumber) in $($_.InvocationInfo.ScriptName)"
46 | Pause
47 | exit 1 # Exit with a non-zero code to indicate failure
48 | }
--------------------------------------------------------------------------------