Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Maximum Password Age
How often utilisateurs must change mots de passe. NIST now recommande against l'expiration périodique.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enforce Password History
Nombre de previous mots de passe mémorisés pour éviter leur réutilisation.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Minimum Password Age
Empêche utilisateurs from immediately réutiliser immédiatement leur ancien mot de passe.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Password Must Meet Complexity Requirements
Exige mots de passe to use 3 of 4 catégories de caractères and not contenir le nom d'utilisateur.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Store Passwords Using Reversible Encryption
Stores mots de passe essentiellement en clair. Doit toujours être Désactivé.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Delegating Default Credentials
Empêche credential caching for delegation to à distance servers. Disabling bloque credential theft from cached credentials on compromised systems.
Computer Configuration > Administrative Templates > System > Credentials Delegation
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Maximum Lifetime for Service Ticket
Maximum lifetime for a Kerberos ticket de service.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Kerberos Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit Logon Events
Audite interactives and réseau logons. Génère événements 4624, 4625, 4634.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Account Lockout Threshold
Nombre de failed connexion tentatives avant verrouillage. 0 désactive verrouillage entirely.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Maximum Lifetime for User Ticket
Maximum lifetime for a Kerberos TGT. Shorter lifetimes reduce the window for ticket theft.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Kerberos Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Account Lockout Duration
Durée compte remains verrouillé. 0 exige admin unlock.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Reset Account Lockout Counter After
Time window in which failed tentatives are counted avant the counter resets.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Account Lockout Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Maximum Tolerance for Computer Clock Synchronization
Maximum clock skew allowed for Kerberos authentification. Exceeding this causes authentification failures.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Kerberos Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit Process Tracking
Audite process creation and termination. Génère événement 4688. Requis for threat hunting.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit Account Logon Events
Audite Kerberos and NTLM authentification tentatives. Génère événements 4768, 4769, 4776.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit Privilege Use
Audite when a utilisateur exercises a utilisateur right. Génère événement 4673.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Enforce User Logon Restrictions
Valide every Kerberos session ticket request against utilisateur rights stratégie.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Kerberos Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit Account Management
Audite utilisateur/group creation, deletion, and modification. Génère événements 4720-4743.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit Policy Change
Audite changes to audit stratégie itself. Génère événement 4719.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit System Events
Audite système startup, shutdown, and time changes.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Audit Object Access
Audite accès to files, folders, registry keys, and printers. Must also enable auditing on individual objects.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Log On Through Remote Desktop Services
Controls which comptes can connect via RDP.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Deny Log On Through Remote Desktop Services
Explicitly empêche specified comptes from connecting via RDP.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Minimum Password Length
Minimum nombre de caractères requis in a mot de passe. NIST recommande 8+, CIS recommande 14+.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →