Le Validateur d’intégrité de la sécurité Windows (WSHV, Windows Security Health Validator) fournit des paramètres que vous pouvez configurer en fonction des besoins de votre déploiement.

Paramètres WSHV

Vous pouvez configurer les paramètres WSHV suivants pour votre stratégie.

Pare-feu

Pour utiliser le paramètre Un pare-feu est activé pour toutes les connexions réseau, le logiciel pare-feu exécuté sur l’ordinateur client doit être le logiciel du Pare-feu Windows ou tout autre logiciel pare-feu compatible avec le Centre de sécurité Windows.

Un logiciel pare-feu qui n’est pas compatible avec le Centre de sécurité Windows ne peut être ni détecté, ni géré par l’Agent d’intégrité système de la sécurité Windows (WSHA, Windows Security Health Agent) sur l’ordinateur client.

Si vous activez la case à cocher Un pare-feu est activé pour toutes les connexions réseau, l’agent WSHA sur l’ordinateur client vérifie si un logiciel pare-feu s’exécute sur l’ordinateur client, puis effectue les actions suivantes :

  • Si l’ordinateur client n’exécute pas de logiciel pare-feu, il est confiné dans un réseau de mise à jour le temps nécessaire pour installer et démarrer un logiciel pare-feu.

  • Si le seul logiciel pare-feu exécuté sur l’ordinateur client n’est pas compatible avec le Centre de sécurité Windows, l’agent WSHA indique au validateur WSHV qu’aucun pare-feu n’est activé, et l’ordinateur client est limité à un réseau de mise à jour.

Important

Si vous activez la case à cocher Un pare-feu est activé pour toutes les connexions réseau, les ordinateurs clients qui n’exécutent ni le Pare-feu Windows ni un autre logiciel pare-feu compatible avec le Centre de sécurité Windows ne peuvent pas se connecter à votre réseau.

Si vous n’activez pas la case à cocher Un pare-feu est activé pour toutes les connexions réseau, l’agent WSHA sur l’ordinateur client n’effectue aucune vérification, et les ordinateurs clients qui n’exécutent pas de logiciel pare-feu peuvent se connecter à votre réseau.

Mise à jour automatique NAP

Si vous activez la case à cocher Un pare-feu est activé pour toutes les connexions réseau, que vous activez la mise à jour automatique NAP et que l’agent WSHA sur l’ordinateur client signale qu’aucun pare-feu n’est exécuté, le Validateur d’intégrité de la sécurité Windows indique à l’agent WSHA de l’ordinateur client d’activer le Pare-feu Windows.

Important

Lorsque la mise à jour automatique est activée et que l’ordinateur client exécute un logiciel pare-feu incompatible avec le Centre de sécurité Windows, il se peut que l’agent WSHA ne détecte pas ce pare-feu. Dans ce cas, l’agent WSHA sur l’ordinateur client démarre le Pare-feu Windows, si bien que l’ordinateur client exécute deux pare-feu différents en même temps. Les exceptions configurées sur le pare-feu non conforme qui ne sont pas configurées dans le Pare-feu Windows peuvent entraîner une perte de fonctionnalités sur l’ordinateur client. Pour cette raison, il n’est pas recommandé pour les ordinateurs clients d’exécuter deux pare-feu différents simultanément.

Protection antivirus

Si vous activez la case à cocher Un antivirus est activé, l’agent WSHA sur l’ordinateur client vérifie qu’un antivirus est exécuté sur l’ordinateur client. S’il n’exécute pas de logiciel antivirus, l’ordinateur client est confiné dans un réseau de mise à jour le temps nécessaire pour installer et démarrer un antivirus.

L’antivirus exécuté sur l’ordinateur client doit être compatible avec le Centre de sécurité Windows. Un antivirus qui n’est pas compatible avec le Centre de sécurité Windows ne peut être ni détecté, ni géré par l’agent WSHA sur l’ordinateur client. Si le seul antivirus exécuté sur l’ordinateur client n’est pas compatible avec le Centre de sécurité Windows, l’agent WSHA indique au validateur WSHV qu’aucun antivirus n’est activé, et l’ordinateur client est limité à un réseau de mise à jour.

Si vous activez la case à cocher L’antivirus est à jour, l’agent WSHA sur l’ordinateur client vérifie que l’antivirus est à jour et possède les définitions antivirus les plus récentes.

Pour vérifier qu’un antivirus s’exécute et dispose des définitions antivirus les plus récentes, vous devez activer Un antivirus est activé et L’antivirus est à jour.

Si vous n’activez pas la case à cocher Un logiciel antivirus est activé, l’agent WSHA sur l’ordinateur client n’effectue aucune vérification, et les ordinateurs client qui n’exécutent pas de logiciel antivirus peuvent se connecter à votre réseau.

Si vous n’activez pas les cases à cocher Un logiciel antivirus est activé et L’antivirus est à jour, l’agent WSHA sur l’ordinateur client n’effectue aucune vérification, et les ordinateurs client qui n’exécutent pas de logiciel antivirus ou qui exécutent un antivirus dont les définitions sont obsolètes peuvent se connecter à votre réseau.

Protection contre le logiciel espion

Si vous activez la case à cocher Un logiciel anti-espion est activé, l’agent WSHA sur l’ordinateur client vérifie qu’un logiciel anti-espion est exécuté sur l’ordinateur client. S’il n’exécute pas de logiciel anti-espion, l’ordinateur client est confiné dans un réseau de mise à jour le temps nécessaire pour installer et démarrer un logiciel anti-espion.

Le logiciel anti-espion exécuté sur l’ordinateur client doit être Windows Defender ou un logiciel anti-espion compatible avec le Centre de sécurité Windows.

Un logiciel anti-espion qui n’est pas compatible avec le Centre de sécurité Windows ne peut être ni détecté, ni géré par l’agent WSHA sur l’ordinateur client. Si le seul logiciel anti-espion exécuté sur l’ordinateur client n’est pas compatible avec le Centre de sécurité Windows, l’agent WSHA indique au validateur WSHV qu’aucun logiciel anti-espion n’est activé, et l’ordinateur client est limité à un réseau de mise à jour.

Si vous activez la case à cocher Le logiciel anti-espion est à jour, l’agent WSHA sur l’ordinateur client vérifie que le logiciel anti-espion est à jour et possède les définitions anti-espion les plus récentes.

Pour vérifier qu’un logiciel anti-espion s’exécute et dispose des définitions anti-espion les plus récentes, vous devez activer Un logiciel anti-espion est activé et Le logiciel anti-espion est à jour.

Si vous n’activez pas la case à cocher Un logiciel anti-espion est activé, l’agent WSHA sur l’ordinateur client n’effectue aucune vérification, et les ordinateurs client qui n’exécutent pas de logiciel anti-espion peuvent se connecter à votre réseau.

Si vous n’activez pas les cases à cocher Un logiciel anti-espion est activé et Le logiciel anti-espion est à jour, l’agent WSHA sur l’ordinateur client n’effectue aucune vérification, et les ordinateurs client qui n’exécutent pas de logiciel anti-espion ou qui exécutent un anti-espion dont les définitions sont obsolètes peuvent se connecter à votre réseau.

Mise à jour automatique NAP

Si vous activez la case à cocher Un logiciel anti-espion est activé, que vous activez la mise à jour automatique NAP et que l’agent WSHA sur l’ordinateur client signale qu’aucun logiciel anti-espion n’est exécuté, le Validateur d’intégrité de la sécurité Windows indique à l’agent WSHA de l’ordinateur client d’activer Windows Defender.

Important

Lorsque la mise à jour automatique NAP est activée et que l’ordinateur client exécute un logiciel anti-espion incompatible avec le Centre de sécurité Windows, il se peut que l’agent WSHA ne détecte pas ce pare-feu. Dans ce cas, l’agent WSHA sur l’ordinateur client démarre Windows Defender, si bien que l’ordinateur client exécute deux logiciels anti-espion différents en même temps.

Remarques

Vous pouvez configurer la mise à jour automatique à l’aide du composant logiciel enfichable Gestion des clients NAP de la console MMC.

Mises à jour automatiques

Si vous activez la case à cocher La mise à jour automatique est activée alors que les services Microsoft Update ne sont pas activés sur l’ordinateur client, l’agent WSHA confine l’ordinateur client dans un réseau de mise à jour le temps nécessaire pour activer Microsoft Update.

Les services Microsoft Update sont activés lorsque l’une des options suivantes est sélectionnée sur l’ordinateur client :

  • Installer les mises à jour automatiquement (recommandé)

  • Télécharger des mises à jour mais me laisser choisir s’il convient de les installer.

  • Rechercher des mises à jour mais me laisser choisir s’il convient de les télécharger et de les installer.

Mise à jour automatique NAP

Si vous activez les mises à jour automatiques, vous mettez en service la mise à jour automatique NAP. Dans ce cas, si l’agent WSHA sur l’ordinateur client indique au validateur WSHV que les services Microsoft Update ne sont pas activés, ce dernier lui commande d’activer les services Microsoft Update et de les configurer pour télécharger et installer automatiquement les mises à jour.

Remarques

Vous pouvez configurer la mise à jour automatique NAP à l’aide du composant logiciel enfichable Gestion des clients NAP de la console MMC.

Protection par mise à jour de sécurité

Ne configurez pas la Protection par mise à jour de sécurité dans votre stratégie WSHV, sauf si les ordinateurs clients de votre réseau exécutent l’Agent de mise à jour automatique Windows Update. De plus, les ordinateurs clients qui exécutent l’Agent de mise à jour automatique Windows Update doivent être inscrits auprès d’un serveur exécutant WSUS (Windows Server Update Service).

Important

Si vous configurez la Protection par mise à jour de sécurité dans votre stratégie WSHV alors que ces conditions ne sont pas remplies, la stratégie ne peut pas être appliquée par l’agent WSHA sur l’ordinateur client. L’agent WSHA confine les ordinateurs clients à un réseau de mise à jour et les clients ne peuvent pas se connecter à votre réseau.

Si les ordinateurs clients exécutent l’Agent de mise à jour automatique Windows Update et sont inscrits auprès d’un serveur WSUS, vous pouvez configurer la Protection par mise à jour de sécurité dans votre stratégie WSHV.

Dans ce cas, si vous sélectionnez l’option permettant d’appliquer la quarantaine pour les mises à jour de sécurité manquantes alors que les dernières mises à jour de sécurité ne sont pas installées, l’agent WSHA confine l’ordinateur client dans un réseau de mise à jour le temps nécessaire pour installer les dernières mises à jour de sécurité.

Vous pouvez configurer la Protection par mise à jour de sécurité avec plusieurs valeurs différentes qui correspondent aux niveaux de gravité définis en matière de sécurité par le centre MSRC (Microsoft Security Response Center). Ces valeurs sont les suivantes :

  • Critique uniquement. Si cette valeur est sélectionnée, les ordinateurs clients doivent avoir toutes les mises à jour de sécurité dont le niveau de gravité MSRC est Critique. Si un ordinateur client n’a pas ces mises à jour, il est confiné dans un réseau de mise à jour le temps nécessaire pour télécharger et installer les mises à jour.

  • Important et au-delà. Il s’agit du paramètre par défaut. Si cette valeur est sélectionnée, les ordinateurs clients doivent avoir toutes les mises à jour de sécurité dont le niveau de gravité MSRC est Important ou Critique. Si un ordinateur client n’a pas ces mises à jour, il est confiné dans un réseau de mise à jour le temps nécessaire pour télécharger et installer les mises à jour.

  • Modéré et au-delà. Si cette valeur est sélectionnée, les ordinateurs clients doivent avoir toutes les mises à jour de sécurité dont le niveau de gravité MSRC est Modéré, Important ou Critique. Si un ordinateur client n’a pas ces mises à jour, il est confiné dans un réseau de mise à jour le temps nécessaire pour télécharger et installer les mises à jour.

  • Bas et en deçà. Si cette valeur est sélectionnée, les ordinateurs clients doivent avoir toutes les mises à jour de sécurité dont le niveau de gravité MSRC est Bas, Modéré, Important ou Critique. Si un ordinateur client n’a pas ces mises à jour, il est confiné dans un réseau de mise à jour le temps nécessaire pour télécharger et installer les mises à jour.

  • Tous. Si cette valeur est sélectionnée, les ordinateurs clients doivent avoir toutes les mises à jour de sécurité quel que soit leur niveau de gravité MSRC. Si un ordinateur client n’a pas les mises à jour les plus récentes, il est confiné dans un réseau de mise à jour le temps nécessaire pour télécharger et installer les mises à jour.

Après avoir configuré le niveau de gravité des mises à jour de sécurité requises, vous pouvez spécifier le nombre minimal d’heures autorisé depuis que le client a vérifié si de nouvelles mises à jour de sécurité étaient disponibles sur le serveur WSUS. La valeur par défaut de la durée de synchronisation minimale est de 22 heures.

Quand un ordinateur client tente pour la première fois de se connecter à un réseau où la protection d’accès réseau NAP est activée et le paramètre Protection par mise à jour de sécurité est configuré dans la stratégie WSHV, l’agent WSHA détermine s’il faut confiner l’ordinateur client dans un réseau de mise à jour en fonction du moment où l’ordinateur client a vérifié pour la dernière fois si le serveur WSUS proposait de nouvelles mises à jour de sécurité. L’agent WSHA détermine s’il faut confiner le client dans un réseau de mise à jour de la façon suivante :

  • Si la recherche de mises à jour par le client a eu lieu à un intervalle supérieur au nombre minimal d’heures que la stratégie WSHV configurée autorise entre les recherches, l’ordinateur client est confiné dans un réseau de mise à jour. Après avoir recherché, téléchargé et installé les mises à jour récentes, le client est autorisé à accéder au réseau sans restrictions.

  • Si la recherche de mises à jour par le client a eu lieu à un intervalle égal ou inférieur au nombre minimal d’heures que la stratégie WSHV configurée autorise entre les recherches, l’ordinateur client n’est pas limité à un réseau de mise à jour.

Remarques

L’agent WSHA sur l’ordinateur client n’effectue cette vérification que lorsque l’ordinateur client tente de se connecter au réseau. Si l’ordinateur client reste connecté au réseau pendant une période de temps plus longue que la durée de synchronisation minimale configurée, l’agent WSHA n’intervient pas.

Mise à jour automatique NAP

Pour que la mise à jour automatique NAP fonctionne lorsque le paramètre Protection par mise à jour de sécurité est activé et configuré dans votre stratégie WSHV, les conditions suivantes doivent être remplies :

  • Les ordinateurs clients de votre réseau exécutent l’Agent de mise à jour automatique Windows Update.

  • Les ordinateurs clients qui exécutent l’Agent de mise à jour automatique Windows Update sont inscrits auprès d’un serveur WSUS.

  • La mise à jour automatique NAP est configurée et activée.

Si ces conditions sont remplies, l’agent WSHA sur l’ordinateur client recherche sur le serveur WSUS les dernières mises à jour de sécurité. S’il découvre que les dernières mises à jour de sécurité du niveau de gravité MSRC configuré ne sont pas installées sur l’ordinateur client, l’agent WSHA télécharge et installe les dernières mises à jour de sécurité.


Table des matières