Si vous débutez avec un Windows Server en tant que contrôleur de domaine, vous pourriez vous demander par quelle stratégie de groupe commencer. Pour vous donner quelques idées, voici les GPO les plus couramment utilisées.
Bien sûr, cette liste n’est pas exhaustive et vos stratégies devront être définis en fonction du contexte de l’entreprise. Néanmoins, elle pourra être un bon point de départ dans la construction de votre contrôleur de domaine.
Et n’oubliez pas, testez toujours vos GPO sur quelques machines avant de les déployer à grande échelle !
1. Politique de mots de passe
Parmi les GPO les plus utilisées, il y a celles qui définiront votre politique de mot de passe. En effet, pour améliorer la sécurité des comptes de vos utilisateurs, il est recommandé d’exiger des mots de passe complexes. Vous pouvez également définir une durée de validité à laquelle l’utilisateur devra modifier son mot de passe.
- Pour la paramétrer, allez dans Configuration ordinateur – Stratégies – Paramètres Windows – Paramètres de sécurité – Stratégie de comptes – Stratégie de mot de passe.
- Définissez ensuite :
- Longueur minimale du mot de passe : e nombre de caractères minimum du mot de passe
- Le mot de passe doit respecter les exigences de complexité : cochez Activé pour exiger des mots de passe avec au moins 1 chiffre, 1 majuscule, 1 minuscule et 1 caractère spécial.
- Durée de vie maximale du mot de passe : si vous le souhaitez, à quelle fréquence vos utilisateurs doivent changer de mot de passe.
2. Verrouillage du compte
Une autre stratégie de sécurité à ne pas négliger : le verrouillage des comptes. Pour bloquer automatiquement un compte après plusieurs tentatives infructueuses d’ouverture de session, vous devez également définir une GPO. Elle se trouve dans :
- Allez dans Configuration ordinateur – Stratégies – Paramètres Windows – Paramètres de sécurité – Stratégie de comptes – Stratégie de verrouillage du compte.
- Définissez les valeurs souhaitées pour Durée de verrouillage des comptes, Réinitialiser le compteur de verrouillages du compte après et Seuil du verrouillage du compte.
3. Gérer les règles du Pare-feu Windows.
Si le Pare-feu Windows est actif sur votre parc de machines, vous devrez créer des politiques spécifiques pour autoriser ou non le trafic sur votre réseau. Comme RPC/WMI pour la mise à jour des GPO à distances, le ping ou encore le bureau à distance RDP. Vous pourrez bien entendu choisir parmi les profils privés, Domaine ou Public.
- Allez dans Configuration ordinateur – Stratégies – Paramètres Windows – Paramètres de sécurité – Pare-feu Windows Defender avec fonctions avancés.
- Allez dans les règles de trafic entrant ou sortant.
- Faite un clic droit puis Nouvelle règle.
4. Restreindre l’installation de logiciels
Au risque de générer un peu de frustration, je vous recommande vivement de ne pas autoriser vos utilisateurs « lambda » à installer des logiciels. Vous conservez une meilleure maitrise des logiciels installés, éviterez que vos postes de travail soient pollués de logiciels à la noix et réduirez le risque d’exécution d’un logiciel malveillant.
Les utilisateurs sont affectés par défaut au groupe Utilisateur du domaine et ne sont pas en conséquence pas autorisés à effectuer ce genre de manœuvre. Si vous souhaitez donner plus de droits à certains utilisateurs du domaine, vous pouvez les ajouter en tant qu’utilisateur avec pouvoir ou administrateur local de la machine grâce aux groupes restreints.
Pour en savoir plus : https://docs.microsoft.com/fr-FR/troubleshoot/windows-server/group-policy/description-of-group-policy-restricted-groups
5. Windows Update
Toujours dans un souci de maitrise, vous pouvez paramétrer les règles de Windows Update à l’ensemble de vos machines. Vous pouvez spécifier à quel moment installer les mises à jour, le délai avant l’installation, l’utilisation ou non d’un serveur WSUS, et plus encore.
- Allez dans : Configuration ordinateur – Stratégies – Modèles d’administration – Composants Windows – Windows Update.
- Choisissez les paramètres à configurer et notamment Configuration du service de mises à jour automatiques.
6. Déployer un logiciel
Cette GPO est incontestablement l’une des plus utilisées, car elle est bien pratique pour automatiser la diffusion de logiciels. Ainsi, lors du déploiement d’un nouveau PC, terminé les installations répétitives de logiciels. Dès que l’ordinateur rejoint le domaine et une OU (organisation), le déploiement s’effectue automatiquement, un vrai bonheur !
Pour en savoir plus, je vous invite à lire Installer et mettre à jour un logiciel par GPO.
7. Installer une imprimante
Je vous conseille également d’installer un serveur d’impression où seront répertoriées les imprimantes de votre organisation. Il suffira ensuite de créer des GPO pour déployer les imprimantes partagées sur les différentes OU automatiquement.
À ce sujet, je vous invite à lire comment ajouter une imprimante par GPO.
8. Mapper des lecteurs réseaux
Si vous utilisez des partages de fichiers sur votre réseau, comme des répertoires de scan ou des fichiers de travail, vous pouvez les déployer les lecteurs réseaux sur les postes de vos utilisateurs en fonction de leur appartenance.
- Allez dans Configuration utilisateur ou Configuration ordinateur – Préférences – Paramètres Windows – Mappages de lecteurs.
- Faites un clic droit dans le volet de droite puis Nouveau – Lecteur mappé.
9. Créer des raccourcis
Au même titre que les lecteurs réseaux, vous pouvez pousser des raccourcis sur le bureau de vos utilisateurs.
- Allez dans Configuration utilisateur ou Configuration ordinateur – Préférences – Paramètres Windows – Raccourcis.
- Faites un clic droit dans le volet de droite puis Nouveau – Raccourci.
10. Modifier le registre
Vous pouvez modifier des clés de registre avec une GPO et déployer des configurations comme activer Verr. Num. au démarrage de Windows. Cette règle ajoute un peu de confort à vos utilisateurs.
Pour en savoir plus, lisez comment modifier la base de registre par GPO.
11. Bloquer l’accès au Registre
Le registre peut être une porte d’entrée dont vos utilisateurs peuvent se servir pour effectuer des modifications sur le système. Pour empêcher cela, vous pouvez bloquer l’éditeur de registre.
- Allez dans Configuration utilisateur – Stratégies – Modèles d’administration – Système.
- Dans Empêche l’accès aux outils de modifications du Registre sélectionnez Activé.
12. Modérer l’accès au panneau de configuration
Vous pouvez également interdire l’accès au panneau de configuration du PC à vos utilisateurs afin d’éviter qu’ils modifient des paramètres.
- Allez dans Configuration utilisateur – Stratégies – Modèles d’administration – Panneau de configuration.
- Dans Interdire l’accès au Panneau de configuration et à l’application Paramètres du PC, cochez Activé.
13. Créer un compte admin local sur les machines
Pour faciliter la maintenance de votre parc, il est important de définir un compte du domaine qui sera administrateur local des machines avec une GPO. Ainsi, vous pourrez vous servir de ce compte pour exécuter des opérations de maintenance lorsque vous intervenez sur les PC.
Pour en savoir plus, je vous invite à lire Créer un compte admin local des PC d’un domaine Windows Server par GPO
14. Restreindre l’accès aux périphériques de stockage amovibles
Les périphériques amovibles externes, tels que les clés USB, cartes de stockage et disques durs externes, peuvent être une porte d’entrée pour les programmes malveillants. Vous pouvez interdire leurs utilisations avec une GPO.
- Allez dans Configuration utilisateur – Stratégies – Modèles d’administration – Système – Stockage amovible.
- Dans Accès au stockage amovible, choisissez Toutes les classes de stockage amovible pour bloquer tous les périphériques amovibles.
15. Pousser des profils Wi-Fi
Plutôt que de communiquer les SSID et mots de passe Wi-Fi à vos utilisateurs, vous pouvez les déployer automatiquement avec une GPO. Ainsi, dès que la machine rejoint le domaine, elle pourra se connecter automatiquement à vos points d’accès.
- Allez dans Configuration ordinateur – Stratégies – Paramètres Windows – Paramètres de sécurité – Stratégies de réseau sans fil (IEEE 802.11).
- Faites un clic droit dans le volet de droite puis Créer une stratégie de réseau sans fil pour Windows Vista et versions ultérieures.