Stratégie de groupe Windows Il s'agit d'une technologie de configuration des configurations et fait partie de Windows Server Active Directory. Il peut être utilisé pour configurer les paramètres sur les systèmes d'exploitation client et serveur Windows afin de garantir une configuration cohérente et sécurisée sur plusieurs appareils. Il existe des centaines de paramètres disponibles à utiliser lors de la configuration des objets de stratégie de groupe (GPO), mais dans cet article, je vais vous montrer certains des paramètres de stratégie de groupe que vous devez configurer correctement pour garantir la sécurité de base dans votre environnement.
Si vous souhaitez modifier le comportement de Windows en prenant un plus grand contrôle de la sécurité ou en désactivant certaines des choses que Microsoft vous propose, vous pouvez le faire en Modifier les paramètres de stratégie de groupe. Oui, vous pouvez également faire de même depuis Éditeur de registre , Mais la stratégie de groupe présente quelques autres avantages, par exemple que les configurations de stratégie de groupe ne changeront pas après la mise à jour de Windows, contrairement au registre. Plus important encore, vous pouvez configurer la stratégie de groupe localement sur votre système ou créer Active Directory pour appliquer les paramètres à plusieurs systèmes de votre domaine. C'est donc particulièrement utile pour les bureaux et les écoles utilisant des ordinateurs Windows.
Meilleurs paramètres de stratégie de groupe
Avant de commencer, notons que la stratégie de groupe est un outil graphique qui vous permet de modifier les paramètres du système d'exploitation natif, les paramètres du noyau, etc. Cependant, un ajustement incorrect de la stratégie de groupe peut entraîner le blocage de votre système d'exploitation. Par conséquent, si vous souhaitez apporter des modifications, assurez-vous de Exporter des configurations virtuelles Avant d'apporter des modifications.
L'un des principaux avertissements concernant la stratégie de groupe est qu'elle n'est disponible que sur les ordinateurs exécutant les éditions Windows Professionnel, Éducation ou Entreprise. Bien que vous exécutiez Windows Home, vous pouvez accéder à la stratégie de groupe, mais avec quelques solutions alternatives, que j'expliquerai ci-dessous.
Pour accéder à la stratégie de groupe, il existe plusieurs moyens, l'un des moyens les plus simples est d'ouvrir Invite de commandes -> Tapez "gpedit.msc" Et cliquez Entrez.
Bien que la stratégie de groupe ne fasse pas partie de l'édition Windows Home, il existe toujours un moyen d'y accéder. Tout ce que vous avez à faire est d'installer l'éditeur de stratégie de groupe tiers en téléchargeant Fichier batch Ce. Vous devez l'ouvrir avec des privilèges d'administrateur et l'installation démarrera à l'invite de commande. L'installation prendra environ 2 à 3 minutes. Une fois le processus terminé, ouvrez à nouveau une invite de commande et tapez gpedit.msc Pour l'atteindre.
1. Désactivez l'installation des applications
En ne permettant pas aux utilisateurs d'installer différentes applications, vous pouvez réduire la quantité de maintenance et de nettoyage requis lors de l'installation de quelque chose de mauvais, car c'est également l'une des causes possibles de l'arrivée de logiciels malveillants. Cela est particulièrement utile dans les écoles, où vous souhaitez uniquement que les élèves accèdent à ce qui est requis pour l'utilisation.
Si vous souhaitez empêcher les utilisateurs d'installer ou d'exécuter des applications, vous pouvez le définir en ouvrant la stratégie de groupe et en accédant à Configurations de l'ordinateur> Modèles d'administration> Composants Windows> Windows Installer Vous devez double-cliquer sur une option Désactiver Windows Installer. Modifiez le paramètre sur Activer Assurez-vous que l'option indique "Pour les applications non gérées uniquement, Afin que l'utilisateur puisse installer toutes les applications autorisées par l'administration. Cliquez maintenant sur Application Redémarrez l'ordinateur pour effectuer les modifications.
Bloquer l'exécution d'applications spécifiques
Le blocage de toutes les applications est surestimé dans de nombreuses situations. Si vous ne souhaitez bloquer que certaines applications, vous pouvez apporter ces modifications à la stratégie de groupe.
Ouvrez la stratégie de groupe et accédez à Configuration utilisateur> Modèles d'administration> Système Double-cliquez sur une option Ne pas exécuter les applications Windows spécifiées. Modifiez le paramètre sur Activer Et cliquez sur le bouton Montrer. Vous pouvez maintenant entrer la liste des applications que vous souhaitez bloquer et auxquelles vous ne voulez pas que les utilisateurs accèdent et vous devez cliquer sur Ok. Cliquez maintenant Application Redémarrez le système pour effectuer les modifications.
2. Empêcher l'accès au panneau de commande
Il est important de placer certaines restrictions autour du panneau de commande, principalement dans les environnements de travail car il vous donne le contrôle sur l'ensemble du système. Vous pouvez soit bloquer complètement l'accès, soit restreindre l'accès à certaines pages.
Pour bloquer l'accès, ouvrez la stratégie de groupe et accédez à Configuration utilisateur> Modèles d'administration> Panneau de configuration Tapez deux fois Accès interdit au Panneau de configuration et les paramètres de PC Et cliquez Activer وApplication. Les modifications seront appliquées immédiatement.
Afficher uniquement des pages spécifiques du panneau de commande
Le processus ci-dessus empêche un accès complet au panneau de commande. Mais si vous cherchez à limiter l'utilisation. Vous pouvez le faire en ouvrant une stratégie de groupe et en accédant à Configuration utilisateur> Modèles d'administration> Panneau de configuration Double-cliquez Afficher uniquement les éléments du Panneau de configuration spécifiés Et cliquez Activer. Maintenant, cliquez sur une option Affichage Spécifie chaque option du panneau de commande à afficher. Si l'option n'est pas incluse dans cette liste, elle n'apparaîtra pas à l'utilisateur.
Cela signifie que vous devrez choisir et écrire soigneusement chaque élément du tableau de bord que vous souhaitez inclure. Tu peux trouver Les noms de tous les éléments du Panneau de configuration sur le site Web de Microsoft.
3. Désactivez l'invite de commande
L'invite de commande est sans aucun doute très utile, et c'est aussi un cauchemar en même temps qu'elle donne aux utilisateurs la possibilité d'exécuter des commandes et des applications auxquelles ils ne veulent pas accéder. Il peut également s'agir d'un outil dangereux entre les mains des inexpérimentés. Il existe de nombreuses raisons pour lesquelles vous pouvez désactiver l'invite de commande, peut-être que vos enfants utilisent un ordinateur familial ou autorisent des invités à utiliser votre ordinateur lorsqu'ils résident avec vous. Ou peut-être que vous utilisez un ordinateur professionnel, vous devez donc le désactiver.
Pour désactiver l'invite de commandes, ouvrez la stratégie de groupe et accédez à Configuration utilisateur> Modèles d'administration> Système Double-cliquez Empêcher l'accès à l'invite de commande. Vous devez modifier la politique en Activer Et en cliquant sur Application. Vous devez maintenant redémarrer votre ordinateur pour effectuer les modifications.
4. Désactivez l'Éditeur du Registre Windows
Comme l'invite de commandes, l'éditeur de registre Windows peut planter le système en cas de modification incorrecte et contourner certaines restrictions de stratégie de groupe. Ainsi, pour protéger les configurations, vous pouvez ouvrir la stratégie de groupe, accéder à Configuration utilisateur> Modèles d'administration> Système, double-cliquer sur Empêcher l'accès aux outils de modification du registre et activer la stratégie. Cliquez maintenant sur Application Redémarrez l'ordinateur pour apporter les modifications.
5. Bloquer l'accès aux périphériques multimédias amovibles
Les lecteurs USB ou autres formes de périphériques de support amovibles peuvent être dangereux pour votre ordinateur. Si quelqu'un se connecte accidentellement ou intentionnellement à un périphérique de stockage infecté par un virus, cela peut affecter l'ordinateur ou même toute la plage. Lorsque vous exécutez de nombreux ordinateurs, autoriser l'accès à des périphériques multimédias externes rend la gestion du stockage difficile. L'accès aux périphériques multimédias amovibles est généralement bloqué dans de nombreuses écoles et collèges.
Pour bloquer l'accès aux périphériques multimédias externes, ouvrez la stratégie de groupe et accédez à Configuration utilisateur> Modèles d'administration> Système> Accès au stockage amovible Tapez deux fois Disques amovibles: refuser l'accès en lecture. Maintenant, cliquez sur une option التمكين Et cliquez sur Application Redémarrez l'ordinateur pour apporter les modifications.
Option d'écriture par blocs
L'option ci-dessus empêchera le PC de lire les fichiers sur le périphérique externe. Mais vous pouvez toujours copier des fichiers sur le périphérique externe. Si vous souhaitez protéger des fichiers, vous devez également bloquer l'option d'écriture. Cette configuration est généralement implémentée dans des environnements de travail.
Pour bloquer l'option d'écriture, ouvrez la stratégie de groupe et accédez à Configuration utilisateur> Modèles d'administration> Système> Accès au stockage amovible Tapez deux fois Disques amovibles: refuser l'accès en écriture. Maintenant, activez l'option et sélectionnez Application Pour appliquer les modifications.
Alternativement, vous pouvez utiliser une option Toutes les classes de stockage amovible: refuser tout accès Bloquez les options de lecture et d'écriture en même temps.
6. Masquer les partitions informatiques
S'il y a des informations sensibles dans les systèmes, vous pouvez les cacher aux utilisateurs désignés pour y avoir accès. Vous pouvez le faire à partir des paramètres de stratégie de groupe. Mais rappelez-vous que ce paramètre ne le masquera que de l'Explorateur de fichiers et de quelques autres applications, mais les gens peuvent toujours y accéder à partir de l'invite de commande.
Cependant, vous pouvez masquer les partitions sur le disque en ouvrant la stratégie de groupe et en accédant à Configuration utilisateur> Modèles d'administration> Composants Windows> Explorateur Windows Et double-cliquez sur Masquage de ces lecteurs spécifiés sur mon ordinateur Et sélectionnez une option التمكين. Une fois activé, cliquez sur le menu déroulant dans le panneau d'options et sélectionnez les lecteurs que vous souhaitez masquer. Les lecteurs seront masqués lorsque vous cliquez dessus Ok.
7. Augmentez la longueur minimale du mot de passe
La longueur du mot de passe Windows par défaut est 8 et vous devez utiliser au moins une lettre majuscule et minuscule et au moins un caractère spécial ou un chiffre. Il est en fait bien assuré. Mais vous pouvez améliorer la sécurité en augmentant la longueur du mot de passe. Vous pouvez le définir jusqu'à 14 avec des lettres et des chiffres majuscules et minuscules ou des caractères spéciaux.
Vous pouvez modifier cela en ouvrant une stratégie de groupe et en accédant à Configuration ordinateur> Paramètres Windows> Paramètres de sécurité> Stratégies de compte> Stratégie de mot de passe Double-cliquez sur Policy Longueur minimale du mot de passe Sélectionnez une valeur pour la longueur et cliquez sur Application.
8. Suivi des connexions
Avec la stratégie de groupe, vous pouvez forcer Windows à suivre toutes les connexions réussies et échouées à l'ordinateur. Vous pouvez le définir sur un ordinateur spécifique ou un utilisateur spécifique. Quoi qu'il en soit, cela serait utile pour suivre les personnes non autorisées qui tentent de se connecter. Vous pouvez activer cette configuration en ouvrant une stratégie de groupe et en accédant à Configuration ordinateur> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Stratégie d'audit Tapez deux fois Auditer les événements de connexion.
Cochez ici la case à côté de "SuccèsEt Échec". Lorsque vous cliquez sur "Ok, Windows commencera à conserver un enregistrement des connexions informatiques.
Pour afficher ces connexions, ouvrez la boîte de dialogue Exécuter en appuyant sur Win + R Et entrez eventvwr Ouvre l'Observateur d'événements Windows. Développez maintenant les journaux Windows et sélectionnez Option de sécurité. Dans le panneau du milieu, vous pouvez consulter toutes les tentatives de connexion. Vous pouvez également consulter le compte qui a tenté de se connecter, la date et l'heure. Mais le succès et les tentatives infructueuses sont des symboles.
9. Désactivez OneDrive
Vous voudrez peut-être utiliser OneDrive ou détestez totalement l'utiliser. Si vous ou votre organisation n'utilisez pas OneDrive ou souhaitez simplement le supprimer de votre ordinateur, vous pouvez le faire à l'aide de la stratégie de groupe. Ouvrez la stratégie de groupe et accédez à Configuration ordinateur> Modèles d'administration> Composants Windows> OneDrive Double-cliquez Empêcher l'utilisation de OneDrive pour le stockage de fichiers. Maintenant, activez la configuration et cliquez sur Application. Vous devez redémarrer l'ordinateur pour effectuer les modifications.
10. Maîtriser les changements de politique de groupe
Toutefois, ces modifications peuvent être ramenées à la normale en utilisant la stratégie de groupe de la même manière, mais réinitialisées pour les désactiver. Vous restez responsable de la politique de groupe en utilisant Audit des objets de stratégie de groupe. Pour conserver un chemin continu des modifications apportées aux objets de stratégie de groupe, essayez Journaliste du changement lepide.
Emballage
Une fois que vous avez terminé d'ajuster les paramètres de stratégie de groupe, vous devez transférer les paramètres vers l'ordinateur du groupe dans Le tiering Active Directory Vous pouvez définir le répertoire de chaque ordinateur du domaine. Vous pouvez également définir Stratégies de groupe spécifiques Pour les utilisateurs individuels ou les ordinateurs uniquement. Il ne vous reste plus qu'à télécharger la stratégie de groupe depuis Active Directory de l'application. Toute modification apportée à Active Directory sera automatiquement appliquée aux systèmes individuels.