Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Turn Off Windows Startup Sound
Désactive the Windows startup sound.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Do Not Process the Legacy Run List
Empêche programs in the HKCU Run key from launching at connexion.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent Changing Screen Saver
Empêche utilisateurs from changing screen saver paramètres.
User Configuration > Administrative Templates > Control Panel > Personalization
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Do Not Allow Windows Hello for Business PIN
Controls Windows Hello for Business. Enable to deploy phishing-resistant authentification.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →WDigest Authentication
WDigest stores credentials in plaintext in memory. Must be disabled to prevent Mimikatz cleartext credential harvesting.
Computer Configuration > Administrative Templates > MS Security Guide
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable Screen Saver
Active the screen saver. Requis for screen saver timeout stratégies to apply.
User Configuration > Administrative Templates > Control Panel > Personalization
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Force Specific Screen Saver
Forces a specific screen saver. Use blank for performance.
User Configuration > Administrative Templates > Control Panel > Personalization
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure LSA Protection
Runs LSA as a protected process (PPL). Empêche credential dumping tools like Mimikatz from accessing LSASS memory.
Computer Configuration > Administrative Templates > System > Local Security Authority
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Access: Restrict Clients Allowed to Make Remote Calls to SAM
Restreint à distance SAM enumeration to Administrators only. Empêche tools like BloodHound from enumerating comptes remotely.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prohibit Use of Internet Connection Sharing on DNS Domain Network
Empêche utilisateurs from enabling Internet Connection Sharing.
Computer Configuration > Administrative Templates > Network > Network Connections
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure NetBIOS Settings
Disabling NetBIOS empêche NetBIOS name poisoning attaques. Set via DHCP option 001 or registry.
Computer Configuration > Administrative Templates > Network > DNS Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →DNS Client: Turn Off Multicast Name Resolution (LLMNR)
Désactive LLMNR. Empêche LLMNR poisoning attaques used by Responder.
Computer Configuration > Administrative Templates > Network > DNS Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: Restrict NTLM: Incoming NTLM Traffic
Bloque incoming NTLM authentification requests. Use après auditing to avoid breaking legacy apps.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent Bypassing SmartScreen Prompts for Downloads
Empêche utilisateurs from bypassing SmartScreen warnings for downloaded files.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prohibit Installation and Configuration of Network Bridge
Empêche utilisateurs from creating réseau bridges that could bypass security controls.
Computer Configuration > Administrative Templates > Network > Network Connections
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Microsoft Network Client: Digitally Sign Communications (Always)
Exige SMB signing on client side. Empêche SMB relay attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Microsoft Defender SmartScreen
Active SmartScreen phishing and malware protection in Edge.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Microsoft Network Server: Digitally Sign Communications (Always)
Exige SMB signing on server side. Empêche SMB relay attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent Bypassing SmartScreen Prompts for Sites
Empêche utilisateurs from clicking through SmartScreen warnings for malicious sites.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Password Manager
Controls the built-in Edge mot de passe manager. Disable if using a dedicated mot de passe manager.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Block Access to a List of URLs
Bloque accès to specified URLs or URL patterns.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent Users from Syncing Personal OneDrive Accounts
Empêche utilisateurs from syncing personal (non-work) OneDrive comptes on corporate devices.
Computer Configuration > Administrative Templates > OneDrive
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Use OneDrive Files On-Demand
Active Files On-Demand so files appear in File Explorer without being downloaded.
Computer Configuration > Administrative Templates > OneDrive
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enable certificate auto-renewal
Automatically renews certificates avant expiration. Empêche certificate expiration outages in production environments.
Computer Configuration > Policies > Windows Settings > Security Settings > Public Key Policies > Certificate Services Client - Auto-Enrollment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →