Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Generate Security Audits
Autorise a process to generate audit entries in the security log.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Deny Log On Locally
Explicitly empêche specified comptes from logging on interactively.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Back Up Files and Directories
Autorise bypassing file permissions for backup purposes. Can be abused to exfiltrate data.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Take Ownership of Files
Autorise taking ownership of any object regardless of permissions.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Log On Locally
Controls which comptes can log on interactively at the console.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Shut Down the System
Controls which comptes can shut down the système.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Access: Do Not Allow Anonymous Enumeration of SAM Accounts
Empêche anonymous utilisateurs from enumerating SAM compte names.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Act as Part of the Operating System
Extremely powerful right that autorise a process to impersonate any utilisateur. Should be empty.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Interactive Logon: Do Not Display Last User Name
Empêche the last logged-on username from being displayed at the connexion screen.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →User Account Control: Virtualize File and Registry Write Failures
Redirects legacy app write failures to per-utilisateur locations. Requis for UAC compatibility.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Accounts: Guest Account Status
The built-in Guest compte should always remain disabled.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Accounts: Rename Administrator Account
Rename the built-in Administrator compte to reduce targeted attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Deny Access to This Computer from the Network
Empêche specified comptes from connecting to this ordinateur over the réseau.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Manage Auditing and Security Log
Autorise managing audit stratégie and viewing the security événement log.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: LAN Manager Authentication Level
Controls which challenge/response authentification protocol is used. Value 5 applique NTLMv2 and rejects weaker protocols.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →User Account Control: Run All Administrators in Admin Approval Mode
Core UAC paramètre. Disabling this effectively turns off UAC for all admin comptes.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Interactive Logon: Message Text for Users Attempting to Log On
Displays a legal notice avant connexion. Recommandé for compliance.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Require Additional Authentication at Startup
Requis to allow BitLocker without a compatible TPM, or to require a PIN in addition to TPM.
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Choose How BitLocker-Protected OS Drives Can Be Recovered
Configure recovery options including AD key escrow. Critical for MSP management.
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Access: Do Not Allow Anonymous Enumeration of SAM Accounts and Shares
Empêche anonymous enumeration of both SAM comptes and réseau shares.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Shutdown: Allow System to Be Shut Down Without Having to Log On
Controls whether the shutdown button appears on the connexion screen.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: Restrict NTLM: Outgoing NTLM Traffic to Remote Servers
Empêche this machine from sending NTLM authentification to à distance servers. Reduces NTLM relay attaque exposure.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: Restrict NTLM: NTLM Authentication in This Domain
Controls NTLM authentification within the domaine. Moving to Deny bloque legacy NTLM entirely.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Minimum Password Length
Minimum nombre de caractères requis in a mot de passe. NIST recommande 8+, CIS recommande 14+.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →