v1.0.30

Signed-off-by: Harvester57 <[email protected]>

AdditionalHardening.admx

@@ -1,8 +1,8 @@
 <?xml version="1.0" encoding="utf-8"?>
 <!--  
   Author: Florian Stosse <[email protected]>
-  Version: 1.0.29
-  Date: 2023-03-14
+  Version: 1.0.30
+  Date: 2023-11-26
 -->
 <policyDefinitions xmlns:xsd="http://www.w3.org/2001/XMLSchema"
   xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" revision="1.0" schemaVersion="1.0"
@@ -187,11 +187,11 @@
         <decimal value="0" />
       </disabledValue>
     </policy>
-    <policy name="MSCHAPv2_Iteration" class="Machine" displayName="$(string.MSCHAPv2_Iteration)" explainText="$(string.MSCHAPv2_Iteration_Explain)" presentation="$(presentation.MSCHAPv2_Iteration)" key="SECURITY\Cache">
+    <policy name="MSCacheV2_Iteration" class="Machine" displayName="$(string.MSCacheV2_Iteration)" explainText="$(string.MSCacheV2_Iteration_Explain)" presentation="$(presentation.MSCacheV2_Iteration)" key="SECURITY\Cache">
       <parentCategory ref="System" />
       <supportedOn ref="windows:SUPPORTED_Windows7" />
       <elements>
-        <decimal id="MSCHAPv2_Iteration_count" valueName="NL$IterationCount" minValue="1" maxValue="200000000" />
+        <decimal id="MSCacheV2_Iteration_count" valueName="NL$IterationCount" minValue="1" maxValue="200000000" />
       </elements>
     </policy>
     <policy name="AdminShare_Wks" class="Machine" displayName="$(string.AdminShare_Wks)" explainText="$(string.AdminShare_Wks_Explain)" key="SYSTEM\CurrentControlSet\Services\LanManServer\Parameters" valueName="AutoShareWks">

CHANGELOG.md

@@ -3,6 +3,11 @@ All notable changes to this project will be documented in this file.
 
 The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.0.0/).
 
+## [v1.0.30] - 2023-11-26
+### Fixed
+- Typo in the MsCacheV2 hardening policy description : MSCHAPv2 -> MsCacheV2
+- Improved the overall wording of the description
+
 ## [v1.0.29] - 2023-03-14
 ### Added
 - Added the new policy "Enable support for TLS 1.2 only" for WinHTTP (https://github.com/Harvester57/Security-ADMX/issues/16)

en-US/AdditionalHardening.adml

@@ -146,15 +146,17 @@ This modification is necessary to fully fix an ASLR bypass vulnerability (CVE-20
       <string id="Info_Disclosure_Explain">Enable this policy to change the registry value FEATURE_ENABLE_PRINT_INFO_DISCLOSURE_FIX to 1.
 
 This modification is necessary to fully fix an information disclosure vulnerability in Microsoft browsers (CVE-2017-8529). For more informations, refer to the related security update guide (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8529).</string>
-      <string id="MSCHAPv2_Iteration">Number of PBKDF2 iterations for cached logons credentials hashing</string>
-      <string id="MSCHAPv2_Iteration_Explain">For domains logons, if credentials caching is enabled, credentials are stored as MSCHAPv2 hashes. The number of iterations for the PBKDF2-SHA1 algorithm used for hashing operations can be controlled with this parameter, with the following logic:
+      <string id="MSCacheV2_Iteration">Number of PBKDF2 iterations for cached logons credentials hashing</string>
+      <string id="MSCacheV2_Iteration_Explain">For domains logons, if credentials caching is enabled, credentials are stored as MSCacheV2 hashes, dervided using the PBKDF2-SHA1 hashing algorithm.
 
-- For a value inferior or equal to 10240, the setting acts as a 1024-mutiplier (for example, setting it to 20 will result in 20480 iterations).
-- For a value superior to 10240, the setting acts as a raw value (modulo 1024).
+The number of iterations for the PBKDF2-SHA1 algorithm used for hashing operations can be controlled with this policy, with the following logic:
+
+- For a value lower than or equal to 10240, the setting acts as a 1024-mutiplier (for example, setting it to 20 will result in 20480 iterations).
+- For a value greater than 10240, the setting acts as the chosen value (modulo 1024).
 
-The recommended value depends on the target environment, the CPU power available and the performance hit you are willing to tolerate (a high value can incur a net performance penalty for the logon process).
+The recommended value depends on the target environment, the CPU power available and the performance hit you are willing to tolerate at logon (a high value can incur a net performance penalty for the logon process).
 
-When the policy is enabled, the default value configured is 1954 (2 000 896 rounds). This is the recommended value (at the time of December 2022) for the PBKDF2-HMAC-SHA1 algorithm, considering the compute power of a RTX 4090 GPU.
+When the policy is enabled, the default value configured is 1954 (2 000 896 rounds). This is the recommended value (at the time of December 2022) for the PBKDF2-HMAC-SHA1 algorithm, considering the compute power of a RTX 4090 GPU in a offline bruteforce attack model.
 
 More informations:
 - https://tobtu.com/minimum-password-settings/
@@ -696,8 +698,8 @@ The only restriction is that the assembly must be fully trusted because its zone
                       noSort="true"
                       defaultItem="2">Select a version:</dropdownList>
       </presentation>
-      <presentation id="MSCHAPv2_Iteration">
-        <decimalTextBox refId="MSCHAPv2_Iteration_count"
+      <presentation id="MSCacheV2_Iteration">
+        <decimalTextBox refId="MSCacheV2_Iteration_count"
                         defaultValue="1954">Number of PBKDF2 rounds:</decimalTextBox>
       </presentation>
       <presentation id="DisableIPSourceRouting">

fr-FR/AdditionalHardening.adml

@@ -140,15 +140,17 @@ Désactiver cette stratégie positionne la valeur de registre à 0.</string>
 Cela permet de corriger complètement la vulnérabilité CVE-2017-8529 de divulgation d'information dans les navigateurs Microsoft. Pour plus d'informations, se référer au guide des mises à jour de sécurité associé à la CVE (https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2017-8529).
 
 Désactiver cette stratégie positionne la valeur de registre à 0.</string>
-			<string id="MSCHAPv2_Iteration">Modifier le nombre d'itérations du condensat MSCHAPv2 du mot de passe de domaine en cache</string>
-			<string id="MSCHAPv2_Iteration_Explain">Lors d'une connexion à un domaine, le mot de passe est stocké localement sous la forme d'un condensat MSCHAPv2. Par défaut, le nombre d'itérations de l'algorithme PBKDF2-SHA1 est fixé à 10240. Activer ce paramètre permet de modifier ce nombre d'itérations, en suivant la logique suivante :
+			<string id="MSCacheV2_Iteration">Modifier le nombre d'itérations du condensat MSCacheV2 du mot de passe de domaine en cache</string>
+			<string id="MSCacheV2_Iteration_Explain">Lors d'une connexion à un domaine, le mot de passe est stocké localement sous la forme d'un condensat MSCacheV2, dérivé en utilisant l'algorithme de hachage PBKDF2-SHA1.
+
+Par défaut, le nombre d'itérations de l'algorithme PBKDF2-SHA1 est fixé à 10240. Activer ce paramètre permet de modifier ce nombre d'itérations, en suivant la logique suivante :
 
 - Pour une valeur inférieure ou égale à 10240, le nombre d'itérations est mutiplié par 1024 (par exemple, une valeur de 20 donne 20480 itérations).
-- Pour une valeur supérieure à 10240,  il s'agit du nombre d'itérations (arrondi à 1024).
+- Pour une valeur supérieure à 10240, il s'agit du nombre d'itérations (arrondi à 1024).
 
 La valeur recommandée dépend de votre environnement et de la puissance CPU disponible, un grand nombre d'itérations pouvant engendrer un ralentissement important du processus de connexion au système.
 
-Par défaut, lorsque l'option est activée, la valeur est fixée à 1954 (2 000 896 itérations). C'est la valeur recommandée au 29 décembre 2022 pour l'algorithme PBKDF2-HMAC-SHA1, en prenant en compte une puissance GPU équivalente à une RTX 4090.
+Lorsque l'option est activée, la valeur est fixée à 1954 (2 000 896 itérations). C'est la valeur recommandée au 29 décembre 2022 pour l'algorithme PBKDF2-HMAC-SHA1, en prenant en compte une puissance GPU équivalente à une RTX 4090 dans un modèle d'attaque par force brute hors ligne.
 
 Plus d'informations:
 - https://tobtu.com/minimum-password-settings/
@@ -659,8 +661,8 @@ La seule restriction est que l'assembly doit être entièrement fiable, car sa z
 			<presentation id="MinSMB2Dialect">
 				<dropdownList refId="MinSMB2Dialect_Enum" noSort="true" defaultItem="2">Sélectionner une version :</dropdownList>
 			</presentation>
-			<presentation id="MSCHAPv2_Iteration">
-				<decimalTextBox refId="MSCHAPv2_Iteration_count" defaultValue="1954">Nombre d'itérations MSCHAPv2 :</decimalTextBox>
+			<presentation id="MSCacheV2_Iteration">
+				<decimalTextBox refId="MSCacheV2_Iteration_count" defaultValue="1954">Nombre d'itérations PBKDF2 :</decimalTextBox>
 			</presentation>
 			<presentation id="DisableIPSourceRouting">
 				<dropdownList refId="DisableIPSourceRouting" noSort="true" defaultItem="1">Sélectionner un niveau de routage :</dropdownList>