diff --git a/AdditionalHardening.admx b/AdditionalHardening.admx
index 4e0103f..9331e49 100644
--- a/AdditionalHardening.admx
+++ b/AdditionalHardening.admx
@@ -1,8 +1,8 @@
-
+
-
+
diff --git a/CHANGELOG.md b/CHANGELOG.md
index b91fb42..4905adb 100644
--- a/CHANGELOG.md
+++ b/CHANGELOG.md
@@ -3,6 +3,11 @@ All notable changes to this project will be documented in this file.
The format is based on [Keep a Changelog](https://keepachangelog.com/en/1.0.0/).
+## [v1.0.30] - 2023-11-26
+### Fixed
+- Typo in the MsCacheV2 hardening policy description : MSCHAPv2 -> MsCacheV2
+- Improved the overall wording of the description
+
## [v1.0.29] - 2023-03-14
### Added
- Added the new policy "Enable support for TLS 1.2 only" for WinHTTP (https://github.com/Harvester57/Security-ADMX/issues/16)
diff --git a/en-US/AdditionalHardening.adml b/en-US/AdditionalHardening.adml
index 5f70b17..5154161 100644
--- a/en-US/AdditionalHardening.adml
+++ b/en-US/AdditionalHardening.adml
@@ -146,15 +146,17 @@ This modification is necessary to fully fix an ASLR bypass vulnerability (CVE-20
Enable this policy to change the registry value FEATURE_ENABLE_PRINT_INFO_DISCLOSURE_FIX to 1.
This modification is necessary to fully fix an information disclosure vulnerability in Microsoft browsers (CVE-2017-8529). For more informations, refer to the related security update guide (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8529).
- Number of PBKDF2 iterations for cached logons credentials hashing
- For domains logons, if credentials caching is enabled, credentials are stored as MSCHAPv2 hashes. The number of iterations for the PBKDF2-SHA1 algorithm used for hashing operations can be controlled with this parameter, with the following logic:
+ Number of PBKDF2 iterations for cached logons credentials hashing
+ For domains logons, if credentials caching is enabled, credentials are stored as MSCacheV2 hashes, dervided using the PBKDF2-SHA1 hashing algorithm.
-- For a value inferior or equal to 10240, the setting acts as a 1024-mutiplier (for example, setting it to 20 will result in 20480 iterations).
-- For a value superior to 10240, the setting acts as a raw value (modulo 1024).
+The number of iterations for the PBKDF2-SHA1 algorithm used for hashing operations can be controlled with this policy, with the following logic:
+
+- For a value lower than or equal to 10240, the setting acts as a 1024-mutiplier (for example, setting it to 20 will result in 20480 iterations).
+- For a value greater than 10240, the setting acts as the chosen value (modulo 1024).
-The recommended value depends on the target environment, the CPU power available and the performance hit you are willing to tolerate (a high value can incur a net performance penalty for the logon process).
+The recommended value depends on the target environment, the CPU power available and the performance hit you are willing to tolerate at logon (a high value can incur a net performance penalty for the logon process).
-When the policy is enabled, the default value configured is 1954 (2 000 896 rounds). This is the recommended value (at the time of December 2022) for the PBKDF2-HMAC-SHA1 algorithm, considering the compute power of a RTX 4090 GPU.
+When the policy is enabled, the default value configured is 1954 (2 000 896 rounds). This is the recommended value (at the time of December 2022) for the PBKDF2-HMAC-SHA1 algorithm, considering the compute power of a RTX 4090 GPU in a offline bruteforce attack model.
More informations:
- https://tobtu.com/minimum-password-settings/
@@ -696,8 +698,8 @@ The only restriction is that the assembly must be fully trusted because its zone
noSort="true"
defaultItem="2">Select a version:
-
-
+ Number of PBKDF2 rounds:
diff --git a/fr-FR/AdditionalHardening.adml b/fr-FR/AdditionalHardening.adml
index 098526e..c47bcac 100644
--- a/fr-FR/AdditionalHardening.adml
+++ b/fr-FR/AdditionalHardening.adml
@@ -140,15 +140,17 @@ Désactiver cette stratégie positionne la valeur de registre à 0.
Cela permet de corriger complètement la vulnérabilité CVE-2017-8529 de divulgation d'information dans les navigateurs Microsoft. Pour plus d'informations, se référer au guide des mises à jour de sécurité associé à la CVE (https://portal.msrc.microsoft.com/fr-fr/security-guidance/advisory/CVE-2017-8529).
Désactiver cette stratégie positionne la valeur de registre à 0.
- Modifier le nombre d'itérations du condensat MSCHAPv2 du mot de passe de domaine en cache
- Lors d'une connexion à un domaine, le mot de passe est stocké localement sous la forme d'un condensat MSCHAPv2. Par défaut, le nombre d'itérations de l'algorithme PBKDF2-SHA1 est fixé à 10240. Activer ce paramètre permet de modifier ce nombre d'itérations, en suivant la logique suivante :
+ Modifier le nombre d'itérations du condensat MSCacheV2 du mot de passe de domaine en cache
+ Lors d'une connexion à un domaine, le mot de passe est stocké localement sous la forme d'un condensat MSCacheV2, dérivé en utilisant l'algorithme de hachage PBKDF2-SHA1.
+
+Par défaut, le nombre d'itérations de l'algorithme PBKDF2-SHA1 est fixé à 10240. Activer ce paramètre permet de modifier ce nombre d'itérations, en suivant la logique suivante :
- Pour une valeur inférieure ou égale à 10240, le nombre d'itérations est mutiplié par 1024 (par exemple, une valeur de 20 donne 20480 itérations).
-- Pour une valeur supérieure à 10240, il s'agit du nombre d'itérations (arrondi à 1024).
+- Pour une valeur supérieure à 10240, il s'agit du nombre d'itérations (arrondi à 1024).
La valeur recommandée dépend de votre environnement et de la puissance CPU disponible, un grand nombre d'itérations pouvant engendrer un ralentissement important du processus de connexion au système.
-Par défaut, lorsque l'option est activée, la valeur est fixée à 1954 (2 000 896 itérations). C'est la valeur recommandée au 29 décembre 2022 pour l'algorithme PBKDF2-HMAC-SHA1, en prenant en compte une puissance GPU équivalente à une RTX 4090.
+Lorsque l'option est activée, la valeur est fixée à 1954 (2 000 896 itérations). C'est la valeur recommandée au 29 décembre 2022 pour l'algorithme PBKDF2-HMAC-SHA1, en prenant en compte une puissance GPU équivalente à une RTX 4090 dans un modèle d'attaque par force brute hors ligne.
Plus d'informations:
- https://tobtu.com/minimum-password-settings/
@@ -659,8 +661,8 @@ La seule restriction est que l'assembly doit être entièrement fiable, car sa z
Sélectionner une version :
-
- Nombre d'itérations MSCHAPv2 :
+
+ Nombre d'itérations PBKDF2 :
Sélectionner un niveau de routage :