Mise a jour le 06/12/2024
- Interdire la connexion a un réseau Wi-Fi (Public) uniquement si une connexion a un Domaine par le réseau filaire (Ethernet) est établie.
Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d’utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.
Important > Ces guides de GPO doivent être configurés :
- GPO – Strategies Essentielles et Arborescence Active Directory – OU
- Intégrer GPO Windows 10, 11, 8.1 au Serveur 2008 R2, 2012 R2, 2016, 2019, 2022
Création de la GPO :
En créant cette GPO au niveau de l’OU (unité d’organisation) « Utilisateurs », elle sera appliquée au groupe « Utilisateurs », ainsi qu’aux 2 unités d’organisations « Production » et « Test Labo ».
Et donc aux « Ordinateurs » et « Utilisateurs » qu’elles contiennent.
Donnez un Nom : GPO Win 10
Clic droit sur la GPO > Modifier :
Désactiver : Exiger l’utilisation du démarrage rapide
Configuration Ordinateur, Stratégies, Modèles d’administration, Système, Fermeture
Désactiver : Afficher l’animation a la première connexion
Configuration Ordinateur, Stratégies, Modèles d’administration, Système, Ouverture de session
Activer : Désactiver la synchronisation des flux et composants RSS Web Slice
Configuration Utilisateur, Stratégies, Modèles d’administration, Composants Windows, Flux RSS
Modification des Clés de Registre et Désactivation des mouchards espions de Windows 10 :
Configuration Ordinateur, Préférences, Paramètres Windows, Registre : Nouveau, Elément registre :
Désactiver le démarrage rapide hybride Hiberboot :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power
- Nom de la valeur : HiberbootEnabled
- Valeur : REG_DWORD
- 00000000 = Désactive le démarrage rapide
- 00000001 = Active le démarrage rapide
Désactiver la Telemetrie « DataCollection » > Ajouter un « Nouveau Elément Registre » :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection
- Nom de la valeur : AllowTelemetry
- Valeur : REG_DWORD : 0
Désactiver le Service « DcpSvc » DataCollectionPublishingService > Ajouter un « Nouveau Elément Registre » :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DcpSvc
- Nom de la valeur : Start
- Valeur : REG_DWORD : 4
Désactiver le Service « DiagTrack » Expériences des utilisateurs connectés et télémétrie > Ajouter un « Nouveau Elément Registre » :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DiagTrack
- Nom de la valeur : Start
- Valeur : REG_DWORD : 4
Désactiver le Service « dmwappushservice » Service de routage de message push WAP > Ajouter un « Nouveau Elément Registre » :
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dmwappushservice
- Nom de la valeur : Start
- Valeur : REG_DWORD : 4
Résultat :
- Activer : Supprimer la barre Contacts de la barre des Taches
- Activer : Supprimer les notifications et le centre de Maintenance
Configuration Utilisateur, Stratégies, Modèles d’administration, Menu Démarrer et barre des taches
Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10 :
1 – GPO de mise en œuvre des recommandations relatives au service de télémétrie
2 – Désactiver l’envoi de rapports par MSRT et Windows Defender > Ajouter un « Nouveau Elément Registre » :
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT
- Nom de la valeur : DontReportInfectionInformation
- Valeur : REG_DWORD : 1
3 – GPO de mise en oeuvre des restrictions d’utilisation de « Cortana » et du composant Windows
« Desktop Search »
4 – GPO de paramétrage des éléments de personnalisation de l’expérience utilisateur
5 – GPO de paramétrage des applications universelles (ID de publicité > Profils Utilisateur)
6 – GPO de paramétrage des applications universelles – (FACULTATIF – A vous de voir … si besoin…)
Concernant les accès octroyés aux applications universelles autorisées, il faut procéder comme suit pour les 15 types d’accès (informations du compte, contacts, courriel, géolocalisation, etc.). L’action par défaut est de forcer l’interdiction d’accès, puis de créer des exceptions pour des applications autorisées. Dans l’exemple ci-après, aucune exception n’est configurée pour les droits d’accès aux informations du compte :
7 – GPO de paramétrage des services dans le nuage
- Bloquer l’utilisation de comptes Microsoft pour l’ouverture de session utilisateur sous
Windows 10. - Facultatif : Désactiver OneDrive (service de stockage dans le nuage).
8 – Microsoft Edge : Empêcher le pré-lancement et le pré-chargement au démarrage du système
Contrôler les applications du Microsoft Store
Note : La GPO ci-dessous bloquera l’installation et la mise a jour des applications du Windows Store, mais l’accès a celui-ci sera autorisé.
- Activer : Ne pas se connecter a des emplacements Internet Windows Update
Configuration Ordinateur, Stratégies, Modèles d’administration, Composants Windows, Windows Update
Interdire et bloquer le lancement de Microsoft Store
Configuration Ordinateur, Stratégies, Paramètres Windows, Paramètres de sécurité, Stratégies de restriction logicielle
- Clic droit sur « Stratégies de restriction logicielle » > Sélectionner « Nouvelles Stratégies de restriction logicielle«
- « Règles supplémentaires » > Créer une « Nouvelle règle de chemin d’accès » et indiquer : %ProgramFiles%\WindowsApps\Microsoft.WindowsStore*
- Niveau de sécurité : « Non autorisé«
- Renseigner une description si besoin …
Note : Le « joker » [*] permet d’indiquer > « tout ce qui suit après » dans le chemin d’accès.
Activer : Ne pas autoriser l’épinglage de l’application Store a la barre des taches
Configuration Utilisateur, Stratégies, Modèles d’administration, Menu Démarrer et barre des taches
Désactiver : Activer les actualités et les centres d’intérêt sur la barre des taches. (Actualités et champs d’intérêt)
Configuration Ordinateur, Stratégies, Modèles d’administration, Composants Windows, Nouvelles et intérêts
Activer : Empêcher la récupération des métadonnées de périphérique depuis Internet
Configuration Ordinateur, Stratégies, Modèles d’administration, Système, Installation de périphériques
Résultat sur un poste Client du Domaine
Activer : Interdire la connexion à des réseaux sans domaine en cas de connexion à un réseau authentifié par son domaine
Note : Interdit la connexion a un réseau Wi-Fi (Public) uniquement si une connexion a un Domaine par le réseau filaire (Ethernet) est établie.
Configuration Ordinateur, Stratégies, Modèles d’administration, Réseau, Gestionnaire de connexions Windows
Information : Cette GPO est appliquée au groupe Utilisateurs, donc aussi aux 3 unités d’organisations : Production, Secretariat et Test Labo.
Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.