Paramètres de stratégie de groupe les plus importants pour prévenir les failles de sécurité

L’éditeur de stratégie de groupe peut être votre meilleur compagnon lorsque vous souhaitez activer ou désactiver certaines fonctionnalités ou options qui ne sont pas disponibles dans le formulaire GUI. Peu importe qu’il s’agisse de sécurité, de personnalisation, de personnalisation ou autre. C’est pourquoi nous avons regroupé certains des paramètres de stratégie de groupe les plus importants pour prévenir les failles de sécurité sur les ordinateurs Windows 11/10.

Avant de commencer avec la liste complète, vous devez savoir de quoi nous allons parler. Certains domaines doivent être couverts lorsque vous souhaitez créer un ordinateur domestique à toute épreuve pour vous ou les membres de votre famille. Ils sont:

• Installation du logiciel
• Restrictions de mot de passe
• L’accès au réseau
• Journaux
• Prise en charge USB
• Exécution de script de ligne de commande
• Ordinateur éteint et redémarré
• Sécurité Windows

Certains paramètres doivent être activés, tandis que d’autres nécessitent exactement le contraire.

Paramètres de stratégie de groupe les plus importants pour prévenir les failles de sécurité

Les paramètres de stratégie de groupe les plus importants pour prévenir les failles de sécurité sont :

1. Désactivez le programme d’installation de Windows
2. Interdire l’utilisation de Restart Manager
3. Installez toujours avec des privilèges élevés
4. Exécuter uniquement les applications Windows spécifiées
5. Le mot de passe doit répondre aux exigences de complexité
6. Seuil et durée de verrouillage du compte
7. Sécurité réseau : ne stockez pas la valeur de hachage de LAN Manager lors du prochain changement de mot de passe
8. Accès réseau : n’autorisez pas l’énumération anonyme des comptes et des partages SAM
9. Sécurité réseau : restreindre NTLM : auditer l’authentification NTLM dans ce domaine
10. Bloquer NTLM
11. Événements du système d’audit
12. Toutes les classes de stockage amovible : refuser tout accès
13. Tout le stockage amovible : autoriser l’accès direct dans les sessions à distance
14. Activer l’exécution du script
15. Empêcher l’accès aux outils d’édition du registre
16. Empêcher l’accès à l’invite de commande
17. Activer l’analyse des scripts
18. Pare-feu Windows Defender : ne pas autoriser les exceptions

Pour en savoir plus sur ces paramètres, continuez à lire.

1] Désactivez Windows Installer

Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Programme d’installation de Windows

Il s’agit du paramètre de sécurité le plus important que vous devez vérifier lorsque vous remettez votre ordinateur à votre enfant ou à quelqu’un qui ne sait pas comment vérifier si un programme ou la source du programme est légitime ou non. Il bloque instantanément toutes sortes d’installations de logiciels sur votre ordinateur. Vous devez choisir l’option Activé et Toujours dans la liste déroulante. liste.

2] Interdire l’utilisation de Restart Manager

Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Programme d’installation de Windows

Certains programmes nécessitent un redémarrage pour commencer à fonctionner pleinement sur votre ordinateur ou terminer le processus d’installation. Si vous ne souhaitez pas utiliser de programmes non autorisés sur votre ordinateur par un tiers, vous pouvez utiliser ce paramètre pour désactiver le gestionnaire de redémarrage pour Windows Installer. Vous devez choisir l’option Redémarrer le gestionnaire désactivé dans le menu déroulant.

3] Installez toujours avec des privilèges élevés

Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Programme d’installation de Windows

Configuration utilisateur > Modèles d’administration > Composants Windows > Programme d’installation de Windows

Certains fichiers exécutables nécessitent une autorisation d’administrateur pour être installés, tandis que d’autres n’en ont pas besoin. Les attaquants utilisent souvent de tels programmes pour installer secrètement des applications sur votre ordinateur à distance. C’est pourquoi vous devez activer ce paramètre. Une chose importante à savoir est que vous devez activer ce paramètre à partir de la configuration de l’ordinateur ainsi que de la configuration d’utilisation.

4] Exécutez uniquement les applications Windows spécifiées

Configuration utilisateur > Modèles d’administration > Système

Si vous ne souhaitez pas exécuter d’applications en arrière-plan sans votre autorisation préalable, ce paramètre est fait pour vous. Vous pouvez autoriser les utilisateurs de votre ordinateur à exécuter uniquement des applications prédéfinies sur votre ordinateur. Pour cela, vous pouvez activer ce paramètre et cliquer sur le bouton Afficher pour répertorier toutes les applications que vous souhaitez exécuter.

5] Le mot de passe doit répondre aux exigences de complexité

Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques de compte > Politique de mot de passe

Avoir un mot de passe fort est la première chose que vous devez utiliser pour protéger votre ordinateur contre les failles de sécurité. Par défaut, les utilisateurs de Windows 11/10 peuvent utiliser presque n’importe quoi comme mot de passe. Toutefois, si vous avez activé certaines exigences spécifiques pour le mot de passe, vous pouvez activer ce paramètre pour l’appliquer.

6] Seuil et durée de verrouillage du compte

Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques de compte > Politique de verrouillage de compte

Il existe deux paramètres nommés Seuil de verrouillage du compte et Durée de verrouillage du compte qui devrait être activé. Le premier vous aide à verrouiller votre ordinateur après un nombre spécifique d’échecs de connexion. Le deuxième paramètre vous aide à déterminer la durée pendant laquelle le verrouillage restera.

7] Sécurité réseau : ne stockez pas la valeur de hachage de LAN Manager lors du prochain changement de mot de passe

Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques locales > Options de sécurité

Comme LAN Manager ou LM est relativement faible en termes de sécurité, vous devez activer ce paramètre afin que votre ordinateur ne stocke pas la valeur de hachage du nouveau mot de passe. Windows 11/10 stocke généralement la valeur sur l’ordinateur local, ce qui augmente le risque de faille de sécurité. Par défaut, il est activé et doit être activé à tout moment pour des raisons de sécurité.

8] Accès au réseau : n’autorisez pas l’énumération anonyme des comptes et des partages SAM

Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques locales > Options de sécurité

Par défaut, Windows 11/10 permet aux utilisateurs inconnus ou anonymes d’exécuter diverses choses. Si, en tant qu’administrateur, vous ne souhaitez pas l’autoriser sur votre/vos ordinateur(s), vous pouvez activer ce paramètre en choisissant la valeur Activer . Il convient de garder à l’esprit que cela peut affecter certains clients et applications.

9] Sécurité réseau : restreindre NTLM : auditer l’authentification NTLM dans ce domaine

Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques locales > Options de sécurité

Ce paramètre vous permet d’activer, de désactiver et de personnaliser l’audit de l’authentification par NTLM. Comme NTML est obligatoire pour reconnaître et protéger la confidentialité des utilisateurs du réseau partagé et du réseau distant, vous devez modifier ce paramètre. Pour la désactivation, choisissez l’option Désactiver . Toutefois, d’après notre expérience, vous devez choisir Activer pour les comptes de domaine si vous possédez un ordinateur personnel.

10] Bloquer NTLM

Configuration de l’ordinateur > Modèles d’administration > Réseau > Poste de travail Lanman

Ce paramètre de sécurité vous aide à bloquer les attaques NTLM sur SMB ou le blocage des messages du serveur, ce qui est très courant de nos jours. Bien que vous puissiez l’activer à l’aide de PowerShell, l’éditeur de stratégie de groupe local a également le même paramètre. Vous devez choisir l’option Activé pour effectuer le travail.

11] Événements du système d’audit

Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques locales > Politique de vérification

Par défaut, votre ordinateur n’enregistre pas plusieurs événements tels que le changement d’heure du système, l’arrêt/démarrage, la perte des fichiers d’audit du système et les pannes, etc. Si vous souhaitez tous les stocker dans le journal, vous devez activer ce paramètre. Il vous aide à analyser si un programme tiers possède ou non l’un de ces éléments.

12] Toutes les classes de stockage amovible : refuser tout accès

Configuration de l’ordinateur > Modèles d’administration > Système > Accès au stockage amovible

Ce paramètre de stratégie de groupe vous permet de désactiver toutes les classes et tous les ports USB à la fois. Si vous laissez souvent votre ordinateur personnel dans un bureau, vous devez vérifier ce paramètre afin que d’autres personnes ne puissent pas utiliser de périphériques USB pour obtenir un accès en lecture ou en écriture.

13] Tout le stockage amovible : autoriser l’accès direct dans les sessions à distance

Configuration de l’ordinateur > Modèles d’administration > Système > Accès au stockage amovible

Les sessions à distance sont en quelque sorte la chose la plus vulnérable lorsque vous n’avez aucune connaissance et que vous connectez votre ordinateur à une personne inconnue. Ce paramètre vous aide à désactiver tous les accès directs aux périphériques amovibles dans toutes les sessions à distance. Dans ce cas, vous aurez la possibilité d’approuver ou de refuser tout accès non autorisé. Pour votre information, ce paramètre doit être Désactivé.

14] Activer l’exécution du script

Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Windows PowerShell

Si vous activez ce paramètre, votre ordinateur peut exécuter des scripts via Windows PowerShell. Dans ce cas, vous devez choisir l’option Autoriser uniquement les scripts signés . Toutefois, il serait préférable de ne pas autoriser l’exécution du script ou de sélectionner l’option Désactivée .

15] Empêcher l’accès aux outils d’édition du registre

Configuration utilisateur > Modèles d’administration > Système

L’éditeur de registre est capable de modifier presque tous les paramètres de votre ordinateur, même s’il n’y a aucune trace d’une option d’interface graphique dans les paramètres Windows ou le Panneau de configuration. Certains attaquants modifient souvent les fichiers du registre pour propager des logiciels malveillants. C’est pourquoi vous devez activer ce paramètre pour empêcher les utilisateurs d’accéder à l’Éditeur du Registre.

16] Empêcher l’accès à l’invite de commande

Configuration utilisateur > Modèles d’administration > Système

Comme les scripts Windows PowerShell, vous pouvez également exécuter divers scripts via l’invite de commande. C’est pourquoi vous devez activer ce paramètre de stratégie de groupe. Après avoir sélectionné l’option Activé , développez le menu déroulant et sélectionnez Oui options. Cela désactivera également le traitement du script d’invite de commande.

17] Activer l’analyse des scripts

Configuration de l’ordinateur > Modèles d’administration > Composants Windows > Antivirus Microsoft Defender > Protection en temps réel

Par défaut, la sécurité Windows n’analyse pas toutes sortes de scripts à la recherche de logiciels malveillants. C’est pourquoi il est recommandé d’activer ce paramètre afin que votre bouclier de sécurité puisse analyser tous les scripts stockés sur votre ordinateur. Comme des scripts peuvent être utilisés pour injecter des codes malveillants dans votre ordinateur, ce paramètre reste toujours important.

18] Pare-feu Windows Defender : ne pas autoriser les exceptions

Configuration de l’ordinateur > Modèles d’administration > Réseau > Connexions réseau > Pare-feu Windows Defender > Profil de domaine

Computer Configuration > Administrative Templates > Network > Network Connections > Windows Defender Firewall > Standard Profile

Le pare-feu Windows Defender peut souvent autoriser divers trafics entrants et sortants selon les besoins de l’utilisateur. Cependant, il n’est pas suggéré de le faire à moins que vous ne connaissiez très bien le programme. Si vous n’êtes pas sûr à 100 % du trafic sortant ou entrant, vous pouvez activer ce paramètre.

Faites-nous savoir si vous avez d’autres recommandations.

Quelles sont les 3 bonnes pratiques pour les GPO ?

Trois des meilleures pratiques pour GPO sont les suivantes : premièrement, vous ne devez pas modifier un paramètre à moins ou jusqu’à ce que vous sachiez ce que vous faites. Deuxièmement, ne désactivez ni n’activez aucun paramètre de pare-feu, car il pourrait accueillir du trafic non autorisé. Troisièmement, vous devez toujours forcer la mise à jour manuelle de la modification si elle ne s’applique pas.

Quel paramètre de stratégie de groupe devez-vous configurer ?

Tant que vous disposez de suffisamment de connaissances et d’expérience, vous pouvez configurer n’importe quel paramètre dans l’éditeur de stratégie de groupe local. Si vous n’avez pas une telle connaissance, qu’il en soit ainsi. Cependant, si vous souhaitez renforcer la sécurité de votre ordinateur, vous pouvez consulter ce guide car voici quelques-uns des paramètres de sécurité de la stratégie de groupe les plus importants.