Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Disallow Digest Authentication
Digest authentification sends credentials in a format that can be cracked offline.
Computer Configuration > Administrative Templates > Windows Components > Windows Remote Management > WinRM Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →No Auto-Restart with Logged-On Users
Empêche automatic restart while utilisateurs are logged in.
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Windows Firewall: Domain Profile: Firewall State
Ensures Windows Firewall is enabled for domaine-joined connections.
Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall > Domain Profile
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn On Recommended Updates via Automatic Updates
Includes recommended (non-critical) updates in automatic update downloads.
Computer Configuration > Administrative Templates > Windows Components > Windows Update
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Specify Deadline for Automatic Updates and Restarts
Sets a deadline après which updates are automatically installed and the device restarts.
Computer Configuration > Administrative Templates > Windows Components > Windows Update > Windows Update for Business
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Windows Firewall: Public Profile: Inbound Connections
Par défaut action for inbound connections on public networks.
Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall > Public Profile
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn on Module Logging
Logs PowerShell module activity. Génère événement 4103. Requis for PowerShell auditing.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Smart Multi-Homed Name Resolution
Désactive parallel DNS queries to multiple interfaces. Empêche DNS leakage.
Computer Configuration > Administrative Templates > Network > DNS Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Windows Firewall: Private Profile: Firewall State
Ensures Windows Firewall is enabled for private réseau connections.
Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall > Private Profile
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn on PowerShell Script Block Logging
Logs the full content of all PowerShell script bloque. Génère événement 4104. Critical for threat detection.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn on PowerShell Transcription
Records all PowerShell input and output to a transcript file.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Windows PowerShell 2.0
PowerShell 2.0 does not support logging or AMSI. Attackers use it to bypass PS5 security controls. Disable via Windows Features.
Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off App Notifications on the Lock Screen
Empêche toast notifications from appearing on the lock screen.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Windows Firewall: Public Profile: Firewall State
Ensures Windows Firewall is enabled for public réseau connections.
Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall > Public Profile
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Windows Firewall: Domain Profile: Allow Local Policy Merge
Controls whether local firewall rules can be merged with GPO rules. No applique GPO rules only.
Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall > Domain Profile
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Picture Password Sign-In
Désactive picture mot de passe authentification on domaine systems.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Windows Firewall: Domain Profile: Inbound Connections
Par défaut action for inbound connections not matching any rule.
Computer Configuration > Windows Settings > Security Settings > Windows Defender Firewall > Domain Profile
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Block User from Showing Account Details on Sign-In
Empêche utilisateurs from showing their email address on the sign-in screen.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Windows Location Provider
Désactive the Windows location provider.
Computer Configuration > Administrative Templates > Windows Components > Location and Sensors > Windows Location Provider
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Windows Startup Sound
Désactive the Windows startup sound.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Do Not Process the Legacy Run List
Empêche programs in the HKCU Run key from launching at connexion.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Do Not Allow Windows Hello for Business PIN
Controls Windows Hello for Business. Enable to deploy phishing-resistant authentification.
Computer Configuration > Administrative Templates > System > Logon
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →WDigest Authentication
WDigest stores credentials in plaintext in memory. Must be disabled to prevent Mimikatz cleartext credential harvesting.
Computer Configuration > Administrative Templates > MS Security Guide
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Minimum Password Length
Minimum nombre de caractères requis in a mot de passe. NIST recommande 8+, CIS recommande 14+.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →