Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Maximum Application Log Size
Sets the maximum size of the Application événement log.
Computer Configuration > Windows Settings > Security Settings > Event Log
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Maximum Security Log Size
Sets the maximum size of the Security événement log. Small logs get overwritten during incidents.
Computer Configuration > Windows Settings > Security Settings > Event Log
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Maximum System Log Size
Sets the maximum size of the Système événement log.
Computer Configuration > Windows Settings > Security Settings > Event Log
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Tape Drives: Deny All Access
Bloque tape drive accès.
Computer Configuration > Administrative Templates > System > Removable Storage Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Retention Method for Security Log
Controls what happens when the security log is full. Overwriting destroys forensic evidence.
Computer Configuration > Windows Settings > Security Settings > Event Log
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →All Removable Storage Classes: Deny All Access
Bloque all removable storage devices including USB drives, CDs, and floppies.
Computer Configuration > Administrative Templates > System > Removable Storage Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →CD and DVD: Deny Write Access
Empêche burning to CD/DVD drives.
Computer Configuration > Administrative Templates > System > Removable Storage Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →CD and DVD: Deny Read Access
Empêche reading from CD/DVD drives.
Computer Configuration > Administrative Templates > System > Removable Storage Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Removable Disks: Deny Read Access
Empêche reading from USB flash drives and removable disks.
Computer Configuration > Administrative Templates > System > Removable Storage Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Removable Disks: Deny Write Access
Empêche writing to USB flash drives and removable disks. Stops data exfiltration via USB.
Computer Configuration > Administrative Templates > System > Removable Storage Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disallow AutoPlay for Non-Volume Devices
Désactive AutoPlay for devices like cameras and phones that are not volume devices.
Computer Configuration > Administrative Templates > Windows Components > AutoPlay Policies
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Require Use of Specific Security Layer for Remote Desktop Connections
Applique TLS for RDP connections. Empêche downgrade attaques.
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Remote Server Management Through WinRM
Active WinRM for à distance management. Should be restricted to management subnets via IP filter.
Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management > WinRM Service
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Print Spooler to Accept Client Connections
Disabling this atténue PrintNightmare (CVE-2021-1675) by preventing à distance accès to the spooler.
Computer Configuration > Administrative Templates > Printers
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off AutoPlay
Désactive AutoPlay for all drives including USB. Empêche autorun-based malware.
Computer Configuration > Administrative Templates > Windows Components > AutoPlay Policies
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Users to Connect Remotely Using Remote Desktop Services
Master switch for allowing inbound RDP connections.
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Connections
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Set the Default Behavior for AutoRun
Empêche AutoRun commands from executing when media is inserted.
Computer Configuration > Administrative Templates > Windows Components > AutoPlay Policies
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Set Time Limit for Disconnected Sessions
Terminates disconnected RDP sessions après a set period.
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Session Time Limits
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Require Network Level Authentication for Remote Connections
Exige NLA avant establishing a full RDP session. Reduces exposure of the login screen.
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Unencrypted Traffic (WinRM Service)
Empêche WinRM from sending or receiving unencrypted traffic.
Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management > WinRM Service
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Point and Print Restrictions
Controls whether utilisateurs get UAC prompts when installing drivers via Point and Print.
Computer Configuration > Administrative Templates > Printers
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Set Time Limit for Active but Idle Sessions
Disconnects idle RDP sessions après the specified time.
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Session Time Limits
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Do Not Allow Drive Redirection
Empêche local drives from being mapped in RDP sessions. Reduces data exfiltration risk.
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Device and Resource Redirection
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable certificate auto-renewal
Automatically renews certificates avant expiration. Empêche certificate expiration outages in production environments.
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →