Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBonnes pratiques
Meilleures pratiques de stratégie de groupe : Un guide complet pour les administrateurs

Meilleures pratiques de stratégie de groupe : Un guide complet pour les administrateurs

La stratégie de groupe permet aux organisations de contrôler une grande variété d'activités dans l'environnement informatique. Par exemple, vous pouvez utiliser la stratégie de groupe pour empêcher l'utilisation de clés USB, exécuter un script particulier au démarrage ou à l'arrêt du système, déployer des logiciels ou forcer une page d'accueil spécifique à s'ouvrir pour chaque utilisateur d'Active Directory dans le réseau.

Ce guide fournit à la fois des meilleures pratiques générales pour les stratégies de groupe et des recommandations pour des paramètres spécifiques. Il offre également des conseils pour le dépannage des problèmes avec vos objets de stratégie de groupe (GPOs).

Bonnes pratiques générales de stratégie de groupe

Établissez des unités organisationnelles (UO) distinctes pour les utilisateurs et les ordinateurs

Avoir une bonne structure d'OU facilite l'application et le dépannage des stratégies de groupe. En particulier, placer les utilisateurs et les ordinateurs d'Active Directory dans des UO distinctes rend plus facile l'application des stratégies informatiques à tous les ordinateurs et des stratégies utilisateurs à tous les utilisateurs.

Notez que les dossiers racines Utilisateurs et Ordinateurs dans Active Directory ne sont pas des UO. Si un nouvel objet utilisateur ou ordinateur apparaît dans ces dossiers, déplacez-le immédiatement vers l'UO appropriée.

Utilisez des UO imbriquées pour un contrôle granulaire

Pour déléguer des permissions à des utilisateurs ou groupes spécifiques, placez ces objets dans une OU imbriquée appropriée (sous-OU) et associez le GPO à celle-ci. Par exemple, au sein de l'OU Utilisateurs, vous pourriez créer une sous-OU pour chaque département et associer des GPOs à ces sous-OUs.

Appliquez une politique de nommage claire

Être capable de déterminer ce qu'un GPO fait simplement en regardant le nom rendra l'administration de la stratégie de groupe beaucoup plus facile. Par exemple, vous pourriez utiliser les préfixes suivants :

  • U pour les stratégies de groupe liées aux utilisateurs, telles que U_SoftwareRestrictionPolicy
  • C pour les stratégies de groupe liées aux comptes d'ordinateurs, telles que C_DesktopSettings

Ajoutez des commentaires à vos GPOs

Ajoutez un commentaire à chaque GPO expliquant son but et ses paramètres. Cela rendra votre stratégie de groupe plus transparente et plus facile à maintenir.

Comprendre la prééminence des GPO

Plusieurs GPO peuvent s'appliquer au même objet Active Directory en même temps. Ils sont appliqués dans un ordre spécifique, et les nouveaux paramètres remplacent ceux définis par les GPO précédemment appliqués. Cet ordre est LSDOU, qui signifie :

  • Local : Les paramètres de stratégie de groupe appliqués au niveau de l'ordinateur local ont la priorité la plus basse.
  • Site : Les paramètres pour les sites Active Directory sont appliqués ensuite.
  • Domaine : Voici les paramètres de stratégie de groupe qui affectent toutes les unités d'organisation dans le domaine.
  • OU : Les derniers paramètres GPO appliqués sont au niveau de l'OU.

Créez des GPO plus petits pour des cas d'utilisation spécifiques

Associez chaque GPO à un objectif spécifique, afin qu'il soit plus facile de les gérer et de comprendre l'héritage. Voici quelques exemples de GPOs fortement ciblés :

  • Paramètres du navigateur
  • Paramètres de sécurité
  • Paramètres d'installation du logiciel
  • Paramètres AppLocker
  • Paramètres réseau
  • Mappages de lecteurs

Cependant, gardez à l'esprit que le chargement de nombreux petits GPOs peut nécessiter plus de temps et de traitement à la connexion que d'avoir quelques GPOs qui ont chacun plus de paramètres.

Définissez les GPOs au niveau de l'OU plutôt qu'au niveau du domaine

Tout objet de stratégie de groupe (GPO) défini au niveau du domaine sera appliqué à tous les objets Active Directory dans le domaine, ce qui pourrait entraîner l'application de certains paramètres à des utilisateurs et des ordinateurs inappropriés. Le seul GPO qui devrait être défini au niveau du domaine est la stratégie de domaine par défaut.

Au lieu de cela, appliquez les GPOs au niveau de l'OU. Un sous-OU hérite des politiques appliquées à son OU parent ; vous n'avez pas besoin de lier la politique à chaque sous-OU. Si vous avez des utilisateurs ou des ordinateurs que vous ne souhaitez pas qui héritent d'un paramètre, placez-les dans leur propre OU.

Évitez de bloquer l'héritage des stratégies et l'application des stratégies

Bloquer l'héritage des stratégies et l'application des politiques rend la gestion et le dépannage des GPO beaucoup plus difficiles. Au lieu de cela, efforcez-vous de concevoir une structure d'OU bien conçue qui rend ces paramètres inutiles.

Au lieu de désactiver un GPO, supprimez son lien

Désactiver un GPO l'empêchera d'être appliqué à n'importe quelle UO dans le domaine, ce qui pourrait causer des problèmes. Par conséquent, si un GPO est lié à une UO particulière où vous ne voulez pas qu'il soit appliqué, supprimez le lien au lieu de désactiver le GPO. Supprimer le lien ne supprimera pas le GPO.

Évitez d'utiliser la permission ‘deny’ dans la stratégie de groupe

Les administrateurs peuvent explicitement refuser à un utilisateur ou à un groupe la possibilité d'être exclu d'un GPO spécifique. Bien que cette fonctionnalité puisse être utile dans certains scénarios, elle peut facilement conduire à des conséquences inattendues car il ne sera pas évident qu'un GPO n'est pas appliqué à certains objets. Afin de découvrir quels utilisateurs ou groupes ont été bloqués, les administrateurs devraient examiner chaque GPO séparément.

Mettez en œuvre la gestion des changements et l'audit des modifications pour les stratégies de groupe

Les modifications apportées aux GPO peuvent avoir des effets profonds sur la sécurité, la productivité, la conformité et plus encore. Par conséquent, toutes les modifications doivent être planifiées et entièrement documentées. De plus, vous devriez suivre toutes les modifications apportées à la stratégie de groupe et être alerté des modifications critiques. Malheureusement, ces objectifs sont difficiles à atteindre avec les outils natifs : les journaux de sécurité ne fournissent pas d'enregistrement précis des paramètres modifiés, et la mise en place d'alertes nécessite des scripts PowerShell. Pour une approche plus complète et pratique, investissez dans une solution tierce comme Netwrix Auditor for Active Directory.

Pour en savoir plus sur la manière de suivre les modifications apportées aux stratégies de groupe, consultez le Group Policy Auditing Quick Reference Guide.

Accélérez le traitement des GPO en désactivant les configurations inutilisées d'ordinateurs et d'utilisateurs

Si vous avez un GPO qui contient des paramètres d'ordinateur mais pas de paramètres utilisateur, vous devriez désactiver la configuration Utilisateur pour ce GPO afin d'accélérer le temps de traitement du GPO.

De plus, soyez conscient des facteurs supplémentaires suivants qui peuvent causer des lenteurs au démarrage et lors de la connexion :

  • Scripts de connexion téléchargeant de gros fichiers
  • Scripts de démarrage téléchargeant de gros fichiers
  • Cartographie des lecteurs réseau qui sont éloignés
  • Déployer de gros pilotes d'imprimante via les préférences de stratégie de groupe
  • Abus du filtrage de stratégie de groupe par appartenance à un groupe Active Directory
  • Dossiers personnels des utilisateurs appliqués via GPO
  • Utilisation des filtres de Windows Management Instrumentation (WMI) (voir la section suivante)

Évitez d'utiliser beaucoup de filtres WMI

WMI contient un grand nombre de classes avec lesquelles vous pouvez décrire presque tous les paramètres des utilisateurs et des ordinateurs. Cependant, l'utilisation de nombreux filtres WMI ralentira les connexions des utilisateurs et entraînera une mauvaise expérience utilisateur. Lorsque c'est possible, utilisez plutôt des filtres de sécurité car ils nécessitent moins de ressources.

Utilisez le traitement en boucle pour des cas d'utilisation spécifiques

Le traitement en boucle arrière limite les paramètres utilisateur à l'ordinateur auquel le GPO est appliqué. Une utilisation courante du traitement en boucle arrière est lorsque vous avez besoin que certains paramètres soient appliqués lorsque les utilisateurs se connectent uniquement à certains serveurs terminaux. Vous devez créer un GPO, activer le traitement en boucle arrière et appliquer le GPO à l'UO qui contient les serveurs.

Utilisez Advanced Group Policy Management (AGPM)

AGPM offre l'édition de GPO avec versioning et suivi des modifications. Il fait partie du Microsoft Desktop Optimization Pack (MDOP) pour Software Assurance.

Sauvegardez vos GPOs

Dans le cadre des meilleures pratiques avancées de GPO, assurez-vous toujours que vos GPO sont contrôlés par version et restaurables.

Configurez une sauvegarde quotidienne ou hebdomadaire des politiques en utilisant des scripts Power Shell ou une solution tierce afin de pouvoir toujours les restaurer à un état connu et sûr.

Meilleures pratiques GPO pour la gestion des paramètres

Les meilleures pratiques suivantes vous aideront à configurer vos GPO pour garantir une sécurité renforcée et une productivité accrue.

Ne modifiez pas la stratégie de domaine par défaut ou la stratégie de contrôleur de domaine par défaut

La stratégie de domaine par défaut affecte tous les utilisateurs et ordinateurs du domaine, elle doit donc être utilisée uniquement pour les paramètres de compte, de verrouillage de compte, de mot de passe et de politique Kerberos.

Utilisez la stratégie de contrôleur de domaine par défaut uniquement pour la stratégie d'attribution des droits utilisateur et la stratégie d'audit.

Toutefois, il est encore préférable d'utiliser des GPO séparés même pour les politiques mentionnées ci-dessus.

Limiter l'accès au Panneau de configuration

Il est important de limiter l'accès au Panneau de configuration sur les machines Windows. Vous pouvez bloquer tout accès au Panneau de configuration, ou permettre un accès limité à certains utilisateurs en utilisant les politiques suivantes :

  • Masquer les éléments spécifiés du Panneau de configuration
  • Interdire l'accès au Panneau de configuration et aux paramètres du PC
  • Afficher uniquement les éléments spécifiés du Panneau de configuration

N'autorisez pas les supports amovibles

Les supports amovibles peuvent être dangereux. Si quelqu'un branche un lecteur infecté sur votre système, cela peut libérer des logiciels malveillants dans le réseau. De plus, ces lecteurs constituent un chemin pour l'exfiltration de données.

Vous pouvez désactiver l'utilisation de lecteurs amovibles en utilisant la politique « Prevent installation of removable devices ». Vous pouvez également désactiver l'utilisation de DVD, CD et même de lecteurs de disquettes si vous le souhaitez, bien qu'ils présentent moins de risques.

Désactivation des mises à jour automatiques de pilotes sur votre système

Les mises à jour des pilotes peuvent causer de sérieux problèmes aux utilisateurs de Windows : Elles peuvent provoquer des erreurs Windows, des baisses de performance, ou même l'écran bleu de la mort tant redouté (BSOD). Les utilisateurs réguliers ne peuvent pas désactiver les mises à jour car c'est une fonctionnalité automatisée.

En tant qu'administrateur, vous pouvez désactiver les mises à jour automatiques des pilotes en utilisant la stratégie de groupe « Désactiver la recherche de pilote sur Windows Update ». Vous aurez besoin des identifiants matériels des appareils, que vous pouvez trouver dans le Gestionnaire de périphériques.

Restreindre l'accès à l'invite de commande

L'invite de commande est très utile pour les administrateurs système, mais permettre aux utilisateurs d'exécuter des commandes pourrait nuire à votre réseau. Par conséquent, il est préférable de la désactiver pour les utilisateurs ordinaires. Vous pouvez le faire en utilisant la politique « Empêcher l'accès à l'invite de commande ».

Désactivez les redémarrages forcés

Si un utilisateur ne ferme pas son ordinateur lorsqu'il quitte le travail et que sa machine est redémarrée de force par Windows Update, il peut perdre ses fichiers non sauvegardés. Vous pouvez utiliser la stratégie de groupe pour désactiver ces redémarrages forcés.

Empêchez les utilisateurs d'installer des logiciels

Empêcher les utilisateurs d'installer des logiciels sur leurs machines aide à prévenir une multitude de problèmes. Vous pouvez empêcher l'installation de logiciels en modifiant les paramètres AppLocker et de Restriction de logiciels et en désactivant les extensions telles que « .exe » pour qu'elles ne s'exécutent pas.

Désactiver l'authentification NTLM

Le protocole d'authentification NTLM présente de nombreuses vulnérabilités, y compris une cryptographie faible, ce qui le rend très vulnérable aux attaques. En utilisant les stratégies de groupe, vous pouvez désactiver l'authentification NTLM dans votre réseau et utiliser uniquement le protocole moderne Kerberos. Cependant, assurez-vous d'abord de vérifier qu'aucune application n'exige l'authentification NTLM.

Bloquer PowerShell localement

PowerShell n'est généralement pas nécessaire pour les utilisateurs professionnels, et les empêcher de l'utiliser peut aider à prévenir l'exécution de scripts malveillants. En utilisant les stratégies de groupe, vous pouvez bloquer l'utilisation de PowerShell sur les ordinateurs joints au domaine.

Les administrateurs qui ont besoin d'utiliser PowerShell peuvent être exclus de la politique. Alternativement, vous pouvez exiger qu'ils exécutent les scripts PowerShell uniquement sur une machine désignée pour une meilleure sécurité.

Désactivez les comptes invités sur les ordinateurs du domaine

Les comptes invités ont généralement un accès et des fonctionnalités limités par rapport aux comptes d'utilisateurs réguliers, mais ils représentent toujours des risques de sécurité importants. Les désactiver à l'aide de la stratégie de groupe aide à empêcher les utilisateurs malveillants d'accéder à votre environnement.

Limitez l'adhésion au groupe des administrateurs locaux

Les membres du groupe des administrateurs locaux peuvent installer des logiciels, supprimer des fichiers système, modifier les paramètres de sécurité et bien plus encore. Cet accès élevé augmente le risque d'infections par des logiciels malveillants, de pertes de données accidentelles et d'exfiltration délibérée de données, ainsi que d'instabilité et de problèmes de performance du système.

À l'aide de la stratégie de groupe, vous pouvez supprimer les comptes inutiles du groupe des administrateurs locaux sur tous les ordinateurs.

Renommez le compte Administrateur local

Le compte Administrateur local est une cible privilégiée pour les attaquants car il offre un accès privilégié sur la machine. Pour réduire les risques, il est recommandé de renommer le compte Administrateur local. De plus, utilisez ce compte uniquement lorsque cela est absolument nécessaire ; pour les tâches routinières, utilisez d'autres comptes administratifs avec des privilèges limités.

Restreindre l'accès anonyme aux tubes nommés et aux partages réseau

Par défaut, les tubes nommés et les partages peuvent être accédés de manière anonyme, ce qui peut permettre à des acteurs malveillants d'accéder à des données sensibles, telles que des fichiers confidentiels, des informations système et des paramètres de sécurité réseau. En conséquence, il est recommandé d'utiliser la stratégie de groupe pour imposer des restrictions sur l'accès anonyme aux tubes nommés et aux partages à travers le réseau.

Appliquez les meilleures pratiques actuelles en matière de mots de passe

Des organismes de normalisation tels que NIST proposent des directives pour les paramètres de politique de mots de passe qui réduisent votre risque d'attaques basées sur les mots de passe et de réutilisation des identifiants. Vous pouvez utiliser Group Policy pour appliquer ces recommandations dans votre environnement.

Gardez à l'esprit que bien que des exigences strictes concernant des facteurs tels que la longueur du mot de passe, la complexité et l'âge du mot de passe augmentent théoriquement la sécurité, cela ne fonctionne pas toujours ainsi en pratique. Au lieu de cela, de telles politiques peuvent amener les utilisateurs à adopter des solutions de contournement non sécurisées comme noter les mots de passe pour éviter les tracas des verrouillages de compte.

Pour bénéficier pleinement de politiques de mots de passe robustes, envisagez d'adopter un outil tel que Netwrix Password Secure, qui créera, stockera et saisira automatiquement les identifiants pour les utilisateurs. De cette façon, vous pouvez améliorer la sécurité en exigeant que les mots de passe soient longs, incluent des caractères spéciaux, soient changés fréquemment et ainsi de suite.

Désactiver l'énumération des SID anonymes

Lorsque l'énumération des SID anonymes est activée, les adversaires peuvent recueillir des informations sur les comptes d'utilisateurs et les groupes qui sont précieuses pour planifier et exécuter des cyberattaques. Vous pouvez désactiver l'énumération des SID anonymes en modifiant ce paramètre de registre :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Assurez-vous de sauvegarder le registre avant d'apporter des modifications et faites preuve de prudence lors de l'édition des paramètres du registre. Les modifications doivent être effectuées uniquement par du personnel compétent et autorisé.

Empêchez les utilisateurs de désactiver Windows Defender

Vous devez vous assurer que la protection antivirus et antimalware intégrée reste active sur tous les systèmes Windows. Accédez au chemin suivant dans l'Éditeur de stratégie de groupe :

Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Antivirus Windows Defender

Configurez le paramètre de stratégie de groupe "Turn off Windows Defender Antivirus" comme Désactivé.

Comment Netwrix Endpoint Policy Manager peut aider

La stratégie de groupe est un outil efficace pour la gestion détaillée des paramètres au sein d'un environnement Windows. Cependant, des défis tels que la prolifération des objets de stratégie de groupe (GPO), les changements organisationnels dus à des fusions, acquisitions, cessions, des niveaux de personnel fluctuants et la création de nouvelles entités ont rendu sa gestion de plus en plus complexe. Netwrix Endpoint Policy Manager répond à ces défis en réduisant la prolifération des GPO et en rationalisant le processus de gestion en fusionnant plusieurs GPO en moins d'entités. Cette consolidation conduit à des temps de connexion améliorés, une sécurité renforcée, une fiabilité système accrue et une réduction des erreurs de configuration. Netwrix Endpoint Policy Manager permet également aux administrateurs de déployer près de 100% des paramètres de stratégie de groupe sur Microsoft Intune sans la complexité ajoutée des OMA-URI.

Conseils de dépannage de stratégie de groupe

Les conseils de dépannage suivants vous aideront à enquêter sur les problèmes liés aux stratégies de groupe.

  • Dans Windows 10 et Windows Server 2016, utilisez la commande gpresult pour afficher les informations de stratégie de groupe pour un utilisateur et un ordinateur à distance, y compris le temps nécessaire pour traiter le GPO.
  • Vérifiez le Visualiseur d'événements pour toute erreur ou avertissement lié à la stratégie de groupe.
  • Utilisez l'outil Group Policy Results pour voir quelles politiques sont appliquées à un utilisateur ou un ordinateur spécifique, et quelles politiques ne sont pas appliquées.
  • Utilisez l'outil de modélisation de stratégie de groupe pour simuler l'application des stratégies de groupe pour un utilisateur ou un ordinateur spécifique et identifier tout problème.
  • Vérifiez que l'utilisateur ou l'ordinateur affecté se trouve dans l'unité d'organisation (OU) appropriée dans Active Directory et que la stratégie de groupe est liée à l'unité d'organisation (OU) correcte.
  • Vérifiez s'il existe des GPOs conflictuels qui pourraient remplacer les paramètres souhaités en utilisant l'outil Resultant Set of Policy (RSoP).
  • Utilisez la console de gestion de stratégie de groupe pour vérifier si l'utilisateur ou l'ordinateur dispose des autorisations nécessaires pour appliquer les paramètres du GPO.
  • Vérifiez s'il y a des problèmes de connectivité réseau qui pourraient empêcher l'utilisateur ou l'ordinateur de recevoir les paramètres de stratégie de groupe.
  • Vérifiez si les paramètres de stratégie de groupe sont configurés correctement.
  • Pour les problèmes liés aux paramètres des préférences de stratégie de groupe, utilisez l'extension de dépannage des préférences de stratégie de groupe.
  • Si tout le reste échoue, envisagez de réinitialiser les paramètres de stratégie de groupe pour l'utilisateur ou l'ordinateur affecté en exécutant la commande "gpupdate /force" ou en utilisant l'option "Réinitialiser les paramètres de stratégie de groupe" dans la console de gestion de stratégie de groupe.

Partager sur

Ressources associées

Approfondissez avec nos ressources associées

Centre de ressources
eBook

Faciliter la prévention de la perte de données avec les solutions Netwrix

Prévention des pertes de données
eBook

Déploiement de logiciels sur Windows : douloureux mais pas nécessaire

Endpoint Management