Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Accounts: Guest Account Status
The built-in Guest compte should always remain disabled.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Accounts: Rename Administrator Account
Rename the built-in Administrator compte to reduce targeted attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Deny Access to This Computer from the Network
Empêche specified comptes from connecting to this ordinateur over the réseau.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Manage Auditing and Security Log
Autorise managing audit stratégie and viewing the security événement log.
Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: LAN Manager Authentication Level
Controls which challenge/response authentification protocol is used. Value 5 applique NTLMv2 and rejects weaker protocols.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →User Account Control: Run All Administrators in Admin Approval Mode
Core UAC paramètre. Disabling this effectively turns off UAC for all admin comptes.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Maximum Security Log Size
Sets the maximum size of the Security événement log. Small logs get overwritten during incidents.
Computer Configuration > Windows Settings > Security Settings > Event Log
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Interactive Logon: Message Text for Users Attempting to Log On
Displays a legal notice avant connexion. Recommandé for compliance.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Maximum System Log Size
Sets the maximum size of the Système événement log.
Computer Configuration > Windows Settings > Security Settings > Event Log
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Require Additional Authentication at Startup
Requis to allow BitLocker without a compatible TPM, or to require a PIN in addition to TPM.
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Choose How BitLocker-Protected OS Drives Can Be Recovered
Configure recovery options including AD key escrow. Critical for MSP management.
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Tape Drives: Deny All Access
Bloque tape drive accès.
Computer Configuration > Administrative Templates > System > Removable Storage Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Access: Do Not Allow Anonymous Enumeration of SAM Accounts and Shares
Empêche anonymous enumeration of both SAM comptes and réseau shares.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Shutdown: Allow System to Be Shut Down Without Having to Log On
Controls whether the shutdown button appears on the connexion screen.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: Restrict NTLM: Outgoing NTLM Traffic to Remote Servers
Empêche this machine from sending NTLM authentification to à distance servers. Reduces NTLM relay attaque exposure.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: Restrict NTLM: NTLM Authentication in This Domain
Controls NTLM authentification within the domaine. Moving to Deny bloque legacy NTLM entirely.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →User Account Control: Behavior of the Elevation Prompt for Administrators
Controls UAC behavior for admin comptes. Value 2 exige credentials at each elevation.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Local Setting Override for Reporting to Microsoft MAPS
Empêche local utilisateurs from changing cloud protection paramètres.
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > MAPS
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Windows Defender Antivirus
If enabled, désactive Defender entirely. Should be Désactivé unless a third-party AV manages this.
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn On Real-Time Protection
Ensures real-time scanning is always active.
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Real-Time Protection
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Controlled Folder Access
Ransomware protection - empêche unauthorized apps from modifying protected folders.
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Retention Method for Security Log
Controls what happens when the security log is full. Overwriting destroys forensic evidence.
Computer Configuration > Windows Settings > Security Settings > Event Log
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow BitLocker Without a Compatible TPM
If enabled, autorise BitLocker with just a mot de passe/USB key and no TPM.
Computer Configuration > Administrative Templates > Windows Components > BitLocker Drive Encryption > Operating System Drives
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Minimum Password Length
Minimum nombre de caractères requis in a mot de passe. NIST recommande 8+, CIS recommande 14+.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →