Sécurité du réseau

Windows 11 place la barre en matière de sécurité réseau, offrant une protection complète pour aider les personnes à travailler en toute confiance depuis presque n’importe où. Pour réduire la surface d’attaque d’un organization, la protection réseau dans Windows empêche les utilisateurs d’accéder à des adresses IP et des domaines dangereux susceptibles d’héberger des escroqueries, des attaques et d’autres contenus malveillants. À l’aide de services basés sur la réputation, la protection réseau bloque l’accès aux domaines et adresses IP potentiellement dangereux et à faible réputation.

Les nouvelles versions de protocole DNS et TLS renforcent les protections de bout en bout nécessaires pour les applications, les services web et les réseaux Confiance nulle. L’accès aux fichiers ajoute un scénario réseau non approuvé avec server Message Block sur QUIC, ainsi que de nouvelles fonctionnalités de chiffrement et de signature. Les progrès Wi-Fi et Bluetooth offrent également une plus grande confiance dans les connexions à d’autres appareils. En outre, les plateformes VPN et pare-feu Windows offrent de nouvelles façons de configurer et de déboguer facilement des logiciels.

Dans les environnements d’entreprise, la protection réseau fonctionne mieux avec Microsoft Defender pour point de terminaison, qui fournit des rapports détaillés sur les événements de protection dans le cadre de scénarios d’investigation plus larges.

Pour en savoir plus

• Comment protéger votre réseau

Transport Layer Security (TLS)

Tls (Transport Layer Security) est un protocole de sécurité qui chiffre les données en transit. Il permet de fournir un canal de communication sécurisé entre deux points de terminaison. Windows active les dernières versions de protocole et les suites de chiffrement fortes par défaut. Il offre une suite complète d’extensions, telles que l’authentification du client pour améliorer la sécurité du serveur et la reprise de session pour améliorer les performances de l’application. TLS 1.3 est la dernière version du protocole et est activé par défaut dans Windows. Cette version élimine les algorithmes de chiffrement obsolètes, améliore la sécurité par rapport aux versions antérieures et vise à chiffrer autant de négociations TLS que possible. La négociation est plus performante avec un aller-retour de moins par connexion en moyenne. Il prend uniquement en charge les suites de chiffrement fortes qui fournissent un secret avant parfait et moins de risques opérationnels. L’utilisation de TLS 1.3 offre plus de confidentialité et des latences inférieures pour les connexions en ligne chiffrées. Si l’application cliente ou serveur de part et d’autre de la connexion ne prend pas en charge TLS 1.3, la connexion revient à TLS 1.2. Windows utilise la dernière version de DTLS (Datagram Transport Layer Security) 1.2 pour les communications UDP.

Pour en savoir plus

• Vue d’ensemble de TLS/SSL (SSP Schannel)
• TLS 1.0 et TLS 1.1 bientôt désactivés dans Windows

Sécurité dns (Domain Name System)

Dans Windows 11, le client DNS Windows prend en charge DNS sur HTTPS et DNS sur TLS, deux protocoles DNS chiffrés. Celles-ci permettent aux administrateurs de s’assurer que leurs appareils protègent leurs requêtes de nom contre les attaquants sur le chemin d’accès, qu’il s’agisse d’observateurs passifs enregistrant le comportement de navigation ou d’attaquants actifs qui tentent de rediriger les clients vers des sites malveillants. Dans un modèle Confiance nulle où aucune approbation n’est placée dans une limite réseau, une connexion sécurisée à un programme de résolution de noms approuvé est requise.

Windows 11 fournit une stratégie de groupe et des contrôles programmatiques pour configurer le comportement DNS sur HTTPS. Par conséquent, les administrateurs informatiques peuvent étendre la sécurité existante pour adopter de nouveaux modèles tels que Confiance nulle. Les administrateurs informatiques peuvent imposer le protocole DNS sur HTTPS, ce qui garantit que les appareils qui utilisent un DNS non sécurisé ne parviennent pas à se connecter aux ressources réseau. Les administrateurs informatiques ont également la possibilité de ne pas utiliser DNS sur HTTPS ou DNS sur TLS pour les déploiements hérités où les appliances de périphérie réseau sont approuvées pour inspecter le trafic DNS en texte brut. Par défaut, Windows 11 s’en remet à l’administrateur local sur lequel les programmes de résolution doivent utiliser le DNS chiffré.

La prise en charge du chiffrement DNS s’intègre aux configurations DNS Windows existantes telles que la table de stratégie de résolution de noms (NRPT), le fichier hosts système et les programmes de résolution spécifiés par carte réseau ou profil réseau. L’intégration permet Windows 11 garantir que les avantages d’une sécurité DNS accrue ne régressent pas les mécanismes de contrôle DNS existants.

Zero Trust DNS (ZTDNS)

Zero Trust DNS (ZTDNS) est une fonctionnalité de sécurité Windows 11 qui applique des contrôles d’accès réseau basés sur le domaine au niveau du point de terminaison. Il applique Confiance nulle principes à la résolution DNS, en garantissant que les appareils se connectent uniquement aux destinations vérifiées par le biais de serveurs DNS approuvés. Cela réduit les risques tels que le détournement dns, les attaques de logiciels malveillants et l’exfiltration de données.

Fonctionnalités clés

• Application dns chiffrée : prend en charge DNS-over-HTTPS (DoH) et DNS-over-TLS (DoT) pour protéger les requêtes DNS contre l’interception et la falsification.
• Access Control basée sur des stratégies : bloque le trafic IP sortant, sauf si la destination est résolue par un serveur DNS approuvé par l’administrateur ou explicitement autorisée par la stratégie.
• Alignement Confiance nulle : implémente « ne jamais faire confiance, toujours vérifier » au niveau de la couche DNS, en complément des stratégies de mise en réseau Confiance nulle plus larges.

Avantages

• Améliore la protection contre les attaques dns sans interrompre le trafic DNS chiffré.
• Aide les organisations à respecter les mandats de conformité tels que l’ordre exécutif 14028 et L’OMB M-22-09 pour l’application dns chiffrée et dns de protection.
• Fournit un contrôle et un audit centralisés de la résolution DNS pour les environnements d’entreprise.

Pour en savoir plus

• Vue d’ensemble de ZTDNS

Protection Bluetooth

Le nombre d’appareils Bluetooth connectés à Windows 11 continue d’augmenter. Les utilisateurs Windows connectent leurs casques Bluetooth, souris, claviers et autres accessoires, et améliorent leur expérience PC quotidienne en profitant de la diffusion en continu, de la productivité et des jeux. Windows prend en charge tous les protocoles de couplage Bluetooth standard, y compris les connexions classiques et LE Secure, le couplage simple sécurisé et le jumelage hérité classique et LE. Windows implémente également la confidentialité LE basée sur l’hôte. Les mises à jour De Windows aident les utilisateurs à rester à jour avec les fonctionnalités de sécurité du système d’exploitation et du pilote conformément aux rapports de vulnérabilité de Standard et de groupe d’intérêt spécial Bluetooth, ainsi qu’à des problèmes qui dépassent ceux requis par les normes principales du secteur Bluetooth. Microsoft recommande vivement de maintenir à jour le microprogramme et les logiciels des accessoires Bluetooth.

Les environnements gérés par l’informatique ont un certain nombre de paramètres de stratégie disponibles via les fournisseurs de services de configuration, la stratégie de groupe et PowerShell. Vous pouvez gérer ces paramètres via des solutions de gestion des appareils comme Microsoft Intune^[3] . Vous pouvez configurer Windows pour utiliser la technologie Bluetooth tout en prenant en charge les besoins de sécurité de votre organization. Par exemple, vous pouvez autoriser l’entrée et l’audio tout en bloquant le transfert de fichiers, forcer les normes de chiffrement, limiter la détectabilité de Windows ou même désactiver le Bluetooth entièrement pour les environnements les plus sensibles.

Pour en savoir plus

• Fournisseur de services de configuration de stratégie - Bluetooth

Wi-Fi connexions

Windows Wi-Fi prend en charge les méthodes d’authentification et de chiffrement standard lors de la connexion à des réseaux Wi-Fi. WPA (Wi-Fi Protected Access) est une norme de sécurité définie par la Wi-Fi Alliance (WFA) pour fournir un chiffrement des données sophistiqué et une meilleure authentification utilisateur.

La norme de sécurité actuelle pour l’authentification Wi-Fi est WPA3, qui fournit une méthode de connexion plus sécurisée et fiable que wpa2 et les protocoles de sécurité plus anciens. Windows prend en charge trois modes WPA3 : WPA3 Personnel, WPA3 Entreprise et WPA3 Entreprise 192 bits Suite B.

Windows 11 inclut WPA3 Personnel avec le nouveau protocole H2E et WPA3 Enterprise 192 bits Suite B. Windows 11 prend également en charge WPA3 Enterprise, qui inclut la validation améliorée des certificats de serveur et TLS 1.3 pour l’authentification à l’aide de l’authentification EAP-TLS.

Le chiffrement sans fil opportuniste (OWE), une technologie qui permet aux appareils sans fil d’établir des connexions chiffrées aux points d’accès Wi-Fi publics, est également inclus.

Wi-Fi 7 : un Game-Changer pour les entreprises

À compter de septembre 2025, Windows 11 (version 24H2 et ultérieures) introduit une avancée majeure dans la mise en réseau sans fil avec la prise en charge de Wi-Fi 7. Les organisations peuvent désormais tirer parti de vitesses plus rapides, d’un débit plus élevé, d’une fiabilité améliorée et d’une sécurité renforcée , idéaux pour les environnements d’entreprise modernes équipés de Wi-Fi 7 points d’accès.

Wi-Fi 7 pour entreprise est conçu pour répondre aux besoins de sécurité en constante évolution tout en aidant à prendre en charge une connectivité fiable dans des scénarios à haute densité et à débit élevé.

Pourquoi Wi-Fi 7 est important pour les entreprises

• Authentification WPA3-Enterprise requise
• Améliorations de l’itinérance transparente et spécifiques à l’entreprise
• Avantages en matière de performances

La sécurité est une responsabilité partagée. Grâce à la collaboration entre les écosystèmes matériels et logiciels, nous pouvons créer des systèmes plus résilients, sécurisés par conception et par défaut, de Windows au cloud, ce qui permet une confiance à chaque couche de l’expérience numérique.

Wi-Fi 7 pour entreprise permet de s’assurer que tous les appareils qui se connectent à vos réseaux d’entreprise bénéficient de protocoles de chiffrement plus forts, d’une résistance aux attaques par force brute et d’une protection renforcée pour les données sensibles en transit. En appliquant WPA3-Enterprise, Wi-Fi 7 permet d’éliminer les vulnérabilités héritées et définit une nouvelle base de référence pour une connectivité sécurisée et hautes performances dans les environnements d’entreprise modernes. Découvrez comment importer des paramètres de Wi-Fi pour les appareils Windows dans Microsoft Intune.

Déverrouiller Wi-Fi 7 avantages pour votre organisation

Wi-Fi 7 pour la connectivité d’entreprise sur Windows est le résultat d’une collaboration approfondie au sein de l’écosystème. Wi-Fi fournisseurs de silicium et Wi-Fi fabricants de points d’accès d’entreprise permettent de s’assurer que Wi-Fi 7 est prêt pour des déploiements d’entreprise réels.

Conditions préalables à l’activation de Wi-Fi 7 :

• Version windows compatible Wi-Fi 7 : Les appareils doivent être sur Windows 11, version 24H2, mise à jour avec la préversion de septembre 2025 mise à jour non liée à la sécurité ou ultérieure.
• Ordinateurs portables d’entreprise Windows compatibles Wi-Fi 7 : Les appareils doivent être équipés de Wi-Fi 7 circuits.
• Prise en charge certifiée des pilotes Windows Wi-Fi 7 : Mettez à jour les pilotes d’entreprise Wi-Fi et validez-les pour les fonctionnalités d’entreprise Wi-Fi 7 dans Windows. Wi-Fi 7 pilotes sont disponibles par le biais de votre fabricant d’équipement d’origine (OEM) ou d’un fournisseur de matériel indépendant (IHV). Pour des dates de publication spécifiques, contactez directement le fabricant de votre puce OEM/Wi-Fi.
• Points d’accès Wi-Fi 7 Entreprise : Déployez Wi-Fi 7 points d’accès de niveau entreprise dans votre organization. Une fois ces composants en place, vous êtes prêt à activer la connectivité sans fil nouvelle génération dans vos environnements d’entreprise. Par conséquent, commencez à fournir des performances, une sécurité et une connectivité améliorées pour les utilisateurs et les charges de travail dès aujourd’hui.

Pour en savoir plus

• Des Wi-Fi plus rapides et plus sécurisées dans Windows
• Qu’est-ce que Wi-Fi 7 ? | Microsoft Surface

5G et eSIM

Les réseaux 5G utilisent un chiffrement plus fort et une meilleure segmentation du réseau par rapport aux générations précédentes de protocoles cellulaires. Contrairement au Wi-Fi, l’accès 5G utilise toujours l’authentification mutuelle. L’appareil incorpore physiquement une eSIM certifiée EAL4 qui stocke les informations d’identification d’accès, ce qui rend la falsification beaucoup plus difficile pour les attaquants. Ensemble, la 5G et l’eSIM fournissent une base solide pour la sécurité.

Pour en savoir plus

• Configuration eSIM d’un serveur de téléchargement

Pare-feu Windows

Le Pare-feu Windows est une partie importante d’un modèle de sécurité en couches. Il fournit un filtrage bidirectionnel du trafic réseau basé sur l’hôte, bloquant le trafic non autorisé entrant ou sortant de l’appareil local en fonction des types de réseaux auxquels l’appareil se connecte.

Le Pare-feu Windows offre les avantages suivants :

• Réduit le risque de menaces de sécurité réseau : le Pare-feu Windows réduit la surface d’attaque d’un appareil avec des règles qui limitent ou autorisent le trafic par de nombreuses propriétés, telles que les adresses IP, les ports ou les chemins d’accès de programme. Cette fonctionnalité augmente la facilité de gestion et réduit la probabilité d’une attaque réussie.
• Protège les données sensibles et la propriété intellectuelle : en s’intégrant à La sécurité du protocole Internet (IPSec), le Pare-feu Windows offre un moyen simple d’appliquer des communications réseau de bout en bout authentifiées. Il fournit un accès évolutif et étagé aux ressources réseau approuvées, ce qui permet d’appliquer l’intégrité des données et éventuellement de protéger la confidentialité des données.
• Étend la valeur des investissements existants : Étant donné que le Pare-feu Windows est un pare-feu basé sur l’hôte inclus avec le système d’exploitation, vous n’avez pas besoin de matériel ou de logiciel supplémentaire. Le Pare-feu Windows est également conçu pour compléter les solutions de sécurité réseau non Microsoft existantes via une interface de programmation d’applications (API) documentée.

Windows 11 facilite l’analyse et le débogage du Pare-feu Windows. Le comportement IPSec est intégré à Packet Monitor, un outil de diagnostic réseau intégré à composants pour Windows. En outre, les journaux des événements du Pare-feu Windows sont améliorés pour garantir qu’un audit peut identifier le filtre spécifique responsable d’un événement donné. Cette fonctionnalité permet d’analyser le comportement du pare-feu et la capture de paquets enrichie sans recourir à des outils tiers.

Les administrateurs peuvent configurer d’autres paramètres via les modèles de stratégie de pare-feu et de règle de pare-feu dans le nœud Sécurité des points de terminaison dans Microsoft Intune^[3] en utilisant la prise en charge de la plateforme par le fournisseur de services de configuration de pare-feu (CSP) et en appliquant ces paramètres aux points de terminaison Windows.

Le fournisseur de services de configuration de pare-feu (CSP) dans Windows applique une approche tout ou rien pour appliquer des règles de pare-feu dans chaque bloc atomique. Auparavant, si le fournisseur de solutions Cloud rencontrait un problème avec une règle dans un bloc, il arrêtait le traitement de cette règle et cessait de traiter les règles suivantes, laissant potentiellement une faille de sécurité avec des blocs de règles partiellement déployés. À présent, si une règle du bloc ne peut pas être appliquée avec succès, le csp arrête de traiter les règles suivantes et restaure toutes les règles de ce bloc atomique, éliminant ainsi l’ambiguïté des blocs de règles partiellement déployés.

Pour en savoir plus

• Vue d’ensemble du Pare-feu Windows
• Fournisseur de services de configuration Pare-feu

Réseaux privés virtuels (VPN)

Les organisations s’appuient sur Windows pour fournir des solutions de réseau privé virtuel (VPN) fiables, sécurisées et gérables. La plateforme cliente VPN Windows inclut des protocoles VPN intégrés, la prise en charge de la configuration, une interface utilisateur VPN commune et la prise en charge de la programmation pour les protocoles VPN personnalisés. Vous trouverez des applications VPN dans le Microsoft Store pour les VPN d’entreprise et grand public, y compris les applications pour les passerelles VPN d’entreprise les plus populaires.

Dans Windows 11, nous avons intégré les contrôles VPN les plus couramment utilisés directement dans le volet Actions rapides Windows 11. Dans le volet Actions rapides, les utilisateurs peuvent vérifier la status de leur VPN, démarrer et arrêter la connexion, et ouvrir facilement Paramètres pour d’autres contrôles.

La plateforme VPN Windows se connecte à Microsoft Entra ID^[3] et à l’accès conditionnel pour l’authentification unique, y compris l’authentification multifacteur (MFA) via Microsoft Entra ID. La plateforme VPN prend également en charge l’authentification classique jointe à un domaine. Microsoft Intune^\3] et d’autres solutions de gestion des appareils le prennent en charge. Le profil VPN flexible prend en charge les protocoles intégrés et les protocoles personnalisés. Il peut configurer plusieurs méthodes d’authentification et peut être démarré automatiquement en fonction des besoins ou manuellement par l’utilisateur final. Il prend également en charge le VPN à tunnel partagé et le VPN exclusif avec des exceptions pour les sites externes approuvés.

Avec les applications VPN plateforme Windows universelle (UWP), les utilisateurs finaux ne sont jamais bloqués sur une ancienne version de leur client VPN. Le magasin met automatiquement à jour les applications VPN en fonction des besoins. Naturellement, vos administrateurs informatiques contrôlent les mises à jour.

La plateforme VPN Windows est optimisée et renforcée pour les fournisseurs VPN basés sur le cloud tels que Azure VPN. Des fonctionnalités telles que l’authentification Microsoft Entra ID, l’intégration de l’interface utilisateur Windows, les sélecteurs de trafic IKE de plomberie et la prise en charge des serveurs sont toutes intégrées à la plateforme VPN Windows. L’intégration à la plateforme VPN Windows offre une expérience d’administrateur informatique plus simple. L’authentification utilisateur est plus cohérente, et les utilisateurs peuvent facilement trouver et contrôler leur VPN.

Pour en savoir plus

• Guide technique du VPN Windows

Services de fichiers de blocage de messages du serveur

Server Message Block (SMB) et les services de fichiers sont les charges de travail Windows les plus courantes dans l’écosystème commercial et public. Les utilisateurs et les applications s’appuient sur SMB pour accéder aux fichiers qui exécutent des organisations de toutes tailles.

Windows 11 introduit des mises à jour de sécurité importantes pour répondre aux menaces actuelles, notamment le chiffrement AES-256 SMB, la signature SMB accélérée, le chiffrement réseau RDMA (Remote Directory Memory Access) et SMB sur QUIC pour les réseaux non approuvés.

Les options de sécurité récentes incluent la signature SMB obligatoire par défaut, le blocage NTLM, la limitation du taux d’authentification et plusieurs autres améliorations.

Pour en savoir plus

• Modifications du protocole SMB (Server Message Block) dans Windows 11, version 24H2
• Partage de fichiers à l’aide du protocole SMB 3