Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Limits Print Driver Installation to Administrators
Empêche non-admins from installing printer drivers. Atténue PrintNightmare.
Computer Configuration > Administrative Templates > Printers
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn on Script Execution
Controls the PowerShell execution stratégie. RemoteSigned exige à distance scripts to be signed.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Always Prompt for Password Upon Connection
Empêche saved credentials from being used to auto-connect via RDP.
Computer Configuration > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Security
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Basic Authentication (WinRM Client)
Empêche the WinRM client from using Basic authentification.
Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management > WinRM Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Redirection Guard
Protects against printer driver redirection attaques.
Computer Configuration > Administrative Templates > Printers
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Remove Access to Use All Windows Update Features
Empêche utilisateurs from accessing Windows Update directly. Forces use of WSUS.
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Basic Authentication (WinRM Service)
Basic auth sends credentials in base64 (essentially plaintext). Should be disabled.
Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management > WinRM Service
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Automatic Updates
Controls how Windows Update downloads and installs updates. Value 4 is the standard managed paramètre.
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Specify Intranet Microsoft Update Service Location
Points clients to an internal WSUS server instead of Windows Update.
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Disallow Digest Authentication
Digest authentification sends credentials in a format that can be cracked offline.
Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management > WinRM Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →No Auto-Restart with Logged-On Users
Empêche automatic restart while utilisateurs are logged in.
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn On Recommended Updates via Automatic Updates
Includes recommended (non-critical) updates in automatic update downloads.
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Specify Deadline for Automatic Updates and Restarts
Sets a deadline après which updates are automatically installed and the device restarts.
Computer Configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn on Module Logging
Logs PowerShell module activity. Génère événement 4103. Requis for PowerShell auditing.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Screen Saver Timeout
Time in secondes avant the screen saver activates.
User Configuration > Administrative Templates > Control Panel > Personalization
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Smart Multi-Homed Name Resolution
Désactive parallel DNS queries to multiple interfaces. Empêche DNS leakage.
Computer Configuration > Administrative Templates > Network > DNS Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn on PowerShell Script Block Logging
Logs the full content of all PowerShell script bloque. Génère événement 4104. Critical for threat detection.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Password Protect the Screen Saver
Exige mot de passe to unlock from screen saver.
User Configuration > Administrative Templates > Control Panel > Personalization
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn on PowerShell Transcription
Records all PowerShell input and output to a transcript file.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Windows PowerShell 2.0
PowerShell 2.0 does not support logging or AMSI. Attackers use it to bypass PS5 security controls. Disable via Windows Features.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off App Notifications on the Lock Screen
Empêche toast notifications from appearing on the lock screen.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Picture Password Sign-In
Désactive picture mot de passe authentification on domaine systems.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Block User from Showing Account Details on Sign-In
Empêche utilisateurs from showing their email address on the sign-in screen.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable certificate auto-renewal
Automatically renews certificates avant expiration. Empêche certificate expiration outages in production environments.
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →