GPO – Stratégies pour Windows 10 – 11

Mise a jour le 06/12/2024

  • Interdire la connexion a un réseau Wi-Fi (Public) uniquement si une connexion a un Domaine par le réseau filaire (Ethernet) est établie.

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d’utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.


Important > Ces guides de GPO doivent être configurés :

  1. GPO – Strategies Essentielles et Arborescence Active Directory – OU
  2. Intégrer GPO Windows 10, 11, 8.1 au Serveur 2008 R2, 2012 R2, 2016, 2019, 2022

Création de la GPO :

En créant cette GPO au niveau de l’OU (unité d’organisation) « Utilisateurs », elle sera appliquée au groupe « Utilisateurs », ainsi qu’aux 2 unités d’organisations « Production » et « Test Labo ».

Et donc aux « Ordinateurs » et « Utilisateurs » qu’elles contiennent.

gpo2

Donnez un Nom : GPO Win 10

gpo3


Clic droit sur la GPO > Modifier :

Désactiver : Exiger l’utilisation du démarrage rapide

Configuration Ordinateur, Stratégies, Modèles d’administration, Système, Fermeture

Désactiver : Afficher l’animation a la première connexion

Configuration Ordinateur, Stratégies, Modèles d’administration, Système, Ouverture de session

Activer : Désactiver la synchronisation des flux et composants RSS Web Slice

Configuration Utilisateur, Stratégies, Modèles d’administration, Composants Windows, Flux RSS


Modification des Clés de Registre et Désactivation des mouchards espions de Windows 10 :

Configuration Ordinateur, Préférences, Paramètres Windows, Registre : Nouveau, Elément registre :

gpo10

Désactiver le démarrage rapide hybride Hiberboot :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power

gpo11

  • Nom de la valeur :  HiberbootEnabled
  • Valeur : REG_DWORD
    • 00000000 = Désactive le démarrage rapide
    • 00000001 = Active le démarrage rapide

gpo12

Désactiver la Telemetrie « DataCollection » > Ajouter un « Nouveau Elément Registre » :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
  • Nom de la valeur : AllowTelemetry
  • Valeur : REG_DWORD : 0

gpow10_1

Désactiver le Service « DcpSvc » DataCollectionPublishingService > Ajouter un « Nouveau Elément Registre » :

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DcpSvc
  • Nom de la valeur : Start
  • Valeur : REG_DWORD : 4

gpow10_2

Désactiver le Service « DiagTrack » Expériences des utilisateurs connectés et télémétrie > Ajouter un « Nouveau Elément Registre » :

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DiagTrack
  • Nom de la valeur : Start
  • Valeur : REG_DWORD : 4

gpow10_3

Désactiver le Service « dmwappushservice » Service de routage de message push WAP > Ajouter un « Nouveau Elément Registre » :

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dmwappushservice
  • Nom de la valeur : Start
  • Valeur : REG_DWORD : 4

gpow10_4

Résultat :

gpow10_5


  • Activer : Supprimer la barre Contacts de la barre des Taches
  • Activer : Supprimer les notifications et le centre de Maintenance

Configuration Utilisateur, Stratégies, Modèles d’administration, Menu Démarrer et barre des taches


Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10 :

1 – GPO de mise en œuvre des recommandations relatives au service de télémétrie

2 – Désactiver l’envoi de rapports par MSRT et Windows Defender > Ajouter un « Nouveau Elément Registre » :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
  • Nom de la valeur : DontReportInfectionInformation
  • Valeur : REG_DWORD : 1

Figure2.1

3 – GPO de mise en oeuvre des restrictions d’utilisation de « Cortana » et du composant Windows
« Desktop Search »

Figure4

4 – GPO de paramétrage des éléments de personnalisation de l’expérience utilisateur

Figure5

Figure5.1

5 – GPO de paramétrage des applications universelles (ID de publicité > Profils Utilisateur)

6 – GPO de paramétrage des applications universelles – (FACULTATIF – A vous de voir … si besoin…)

Concernant les accès octroyés aux applications universelles autorisées, il faut procéder comme suit pour les 15 types d’accès (informations du compte, contacts, courriel, géolocalisation, etc.). L’action par défaut est de forcer l’interdiction d’accès, puis de créer des exceptions pour des applications autorisées. Dans l’exemple ci-après, aucune exception n’est configurée pour les droits d’accès aux informations du compte :

Figure7

7 – GPO de paramétrage des services dans le nuage

  • Bloquer l’utilisation de comptes Microsoft pour l’ouverture de session utilisateur sous
    Windows 10.
  • Facultatif : Désactiver OneDrive (service de stockage dans le nuage).

Figure8

8 – Microsoft Edge : Empêcher le pré-lancement et le pré-chargement au démarrage du système


Contrôler les applications du Microsoft Store

Note : La GPO ci-dessous bloquera l’installation et la mise a jour des applications du Windows Store, mais l’accès a celui-ci sera autorisé.

  • Activer : Ne pas se connecter a des emplacements Internet Windows Update

Configuration Ordinateur, Stratégies, Modèles d’administration, Composants Windows, Windows Update

5

Interdire et bloquer le lancement de Microsoft Store

Configuration Ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de restriction logicielle

  • Clic droit sur « Stratégies de restriction logicielle » > Sélectionner « Nouvelles Stratégies de restriction logicielle« 
  • « Règles supplémentaires » > Créer une « Nouvelle règle de chemin d’accès » et indiquer : %ProgramFiles%\WindowsApps\Microsoft.WindowsStore*
  • Niveau de sécurité : « Non autorisé« 
  • Renseigner une description si besoin …

Note : Le « joker » [*] permet d’indiquer > « tout ce qui suit après » dans le chemin d’accès.

Activer : Ne pas autoriser l’épinglage de l’application Store a la barre des taches

Configuration Utilisateur, Stratégies, Modèles d’administration, Menu Démarrer et barre des taches


Désactiver : Activer les actualités et les centres d’intérêt sur la barre des taches. (Actualités et champs d’intérêt)

Configuration Ordinateur, Stratégies, Modèles d’administration, Composants Windows, Nouvelles et intérêts


Activer : Empêcher la récupération des métadonnées de périphérique depuis Internet

Configuration Ordinateur, Stratégies, Modèles d’administration, Système, Installation de périphériques

Résultat sur un poste Client du Domaine


Activer : Interdire la connexion à des réseaux sans domaine en cas de connexion à un réseau authentifié par son domaine

Note : Interdit la connexion a un réseau Wi-Fi (Public) uniquement si une connexion a un Domaine par le réseau filaire (Ethernet) est établie.

Configuration Ordinateur, Stratégies, Modèles d’administration, Réseau, Gestionnaire de connexions Windows


Information : Cette GPO est appliquée au groupe Utilisateurs, donc aussi aux 3 unités d’organisations : Production, Secretariat et Test Labo.

gpow10_6

Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.

gpo9