Référence GPO Windows
Une référence complète des stratégies de groupe Microsoft Windows — base de données interrogeable des paramètres GPO avec chemins de registre, versions Windows supportées, étapes de configuration, implications sécurité et cas d'usage concrets. Pensée pour les administrateurs gérant Active Directory, Intune et Windows en autonome.
Qu'est-ce qu'une stratégie de groupe ?
Un objet de stratégie de groupe (GPO) est un paramètre de configuration Windows qui définit le comportement des ordinateurs et des comptes utilisateurs. Chaque stratégie correspond à une ou plusieurs valeurs de registre, s'applique à une portée précise (Ordinateur ou Utilisateur) et est livrée dans un fichier ADMX (modèle administratif). Cette référence indexe le catalogue ADMX de Microsoft avec des explications détaillées, des correspondances de registre et des conseils opérationnels qu'on ne trouve pas sur les pages officielles Microsoft Learn.
Network Access: Restrict Clients Allowed to Make Remote Calls to SAM
Restreint à distance SAM enumeration to Administrators only. Empêche tools like BloodHound from enumerating comptes remotely.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prohibit Use of Internet Connection Sharing on DNS Domain Network
Empêche utilisateurs from enabling Internet Connection Sharing.
Computer Configuration > Administrative Templates > Network > Network Connections
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure NetBIOS Settings
Disabling NetBIOS empêche NetBIOS name poisoning attaques. Set via DHCP option 001 or registry.
Computer Configuration > Administrative Templates > Network > DNS Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →DNS Client: Turn Off Multicast Name Resolution (LLMNR)
Désactive LLMNR. Empêche LLMNR poisoning attaques used by Responder.
Computer Configuration > Administrative Templates > Network > DNS Client
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Network Security: Restrict NTLM: Incoming NTLM Traffic
Bloque incoming NTLM authentification requests. Use après auditing to avoid breaking legacy apps.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent Bypassing SmartScreen Prompts for Downloads
Empêche utilisateurs from bypassing SmartScreen warnings for downloaded files.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prohibit Installation and Configuration of Network Bridge
Empêche utilisateurs from creating réseau bridges that could bypass security controls.
Computer Configuration > Administrative Templates > Network > Network Connections
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Microsoft Network Client: Digitally Sign Communications (Always)
Exige SMB signing on client side. Empêche SMB relay attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Microsoft Defender SmartScreen
Active SmartScreen phishing and malware protection in Edge.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Microsoft Network Server: Digitally Sign Communications (Always)
Exige SMB signing on server side. Empêche SMB relay attaques.
Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent Bypassing SmartScreen Prompts for Sites
Empêche utilisateurs from clicking through SmartScreen warnings for malicious sites.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Configure Password Manager
Controls the built-in Edge mot de passe manager. Disable if using a dedicated mot de passe manager.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Block Access to a List of URLs
Bloque accès to specified URLs or URL patterns.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Prevent Users from Syncing Personal OneDrive Accounts
Empêche utilisateurs from syncing personal (non-work) OneDrive comptes on corporate devices.
Computer Configuration > Administrative Templates > OneDrive
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Use OneDrive Files On-Demand
Active Files On-Demand so files appear in File Explorer without being downloaded.
Computer Configuration > Administrative Templates > OneDrive
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Syncing OneDrive Accounts for Only Specific Organizations
Restreint OneDrive sync to only your organization tenant. Empêche data exfiltration to personal tenants.
Computer Configuration > Administrative Templates > OneDrive
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Turn Off Microsoft Consumer Experiences
Empêche Microsoft from suggesting third-party content in Windows.
Computer Configuration > Administrative Templates > Windows Components > Cloud Content
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Control Use of the Autofill Feature for Credit Cards
Empêche Edge from storing and autofilling credit card information.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Silently Sign In Users to the OneDrive Sync App with Windows Credentials
Automatically signs utilisateurs into OneDrive using their Windows credentials. Active seamless SSO.
Computer Configuration > Administrative Templates > OneDrive
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Control Use of the Autofill Feature for Addresses
Controls whether Edge autofills address information.
Computer Configuration > Administrative Templates > Microsoft Edge
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Cortana
Active or désactive Cortana. Disabling reduces cloud data transmission.
Computer Configuration > Administrative Templates > Windows Components > Search
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Allow Cortana Above Lock Screen
Empêche Cortana from being accessible on the lock screen.
Computer Configuration > Administrative Templates > Windows Components > Search
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Limit the Sync App Download Speed to a Fixed Rate
Limits OneDrive sync bandwidth to prevent saturation of réseau links.
Computer Configuration > Administrative Templates > OneDrive
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →Minimum Password Length
Minimum nombre de caractères requis in a mot de passe. NIST recommande 8+, CIS recommande 14+.
Computer Configuration > Windows Settings > Security Settings > Account Policies > Password Policy
Supporté sur Windows 10, Windows 11, Windows Server 2016 and later
Voir la référence →