Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Guide de l’Éditeur de stratégie de groupe locale : options d’accès et utilisation

L’Éditeur de stratégie de groupe locale (gpedit) est un outil essentiel des administrateurs système Active Directory. Consultez cet article de blog pour en savoir plus sur gpedit.
Michael Buckbee
5 minute de lecture
Dernière mise à jour 6 octobre 2023

Contenu

    L’Éditeur de stratégie de groupe locale est un outil d’administration Windows permettant aux utilisateurs de configurer de nombreux paramètres importants de leurs ordinateurs ou réseaux. Les administrateurs peuvent y configurer les exigences en matière de mot de passe et les programmes de démarrage, mais aussi définir quels sont les applications ou paramètres que les utilisateurs peuvent modifier. Ces paramètres sont nommés Objets de stratégie de groupe (GPO). Les hackers utilisent les GPO pour désactiver Windows Defender. Les administrateurs système les utilisent quant à eux pour gérer les utilisateurs verrouillés. Cet article présente essentiellement la version Windows 10 de l’Éditeur de stratégie de groupe locale (gpedit), mais cet outil est aussi disponible dans Windows 7, 8, ainsi que Windows Server 2003 et versions ultérieures. Vous y découvrirez comment ouvrir et utiliser l’Éditeur de stratégie de groupe locale, certains paramètres de sécurité important des GPO, ainsi que des alternatives à gpedit.

    Accès à l’Éditeur de stratégie de groupe locale : 5 options

    Il existe plusieurs moyens d’accéder à l’Éditeur de stratégie de groupe locale. Le choix vous appartient !

    Option 1 : Ouvrir l’Éditeur de stratégie de groupe locale depuis la zone Exécuter

    • Dans la zone de recherche du menu Démarrer, saisissez Exécuter ou sélectionnez directement Exécuter depuis le menu.
    • Entrez « gpedit.msc » dans l’invite Exécuter et cliquez sur OK.

    Option 2 : Ouvrir l’Éditeur de stratégie de groupe locale dans Rechercher

    • Accédez à la zone de recherche du menu Démarrer.
    • Entrez « gpedit » et cliquez sur Modifier la stratégie de groupe.

    Option 3 : Ouvrir l’Éditeur de stratégie de groupe locale avec l’invite de commande

    • Dans l’invite de commande, entrez « gpedit.msc » et validez par Entrée.

    Option 4 : Ouvrir l’Éditeur de stratégie de groupe locale dans PowerShell

    Option 5 : Ouvrir l’Éditeur de stratégie de groupe locale depuis le Panneau de configuration du Menu Démarrer

    • Ouvrez le Panneau de configuration à partir du menu Démarrer.
    • Cliquez sur l’icône Windows dans la barre d’outils, puis cliquez sur l’icône de widget des Paramètres.
    • Commencez à saisir « stratégie de groupe » ou « gpedit » et cliquez sur Modifier la stratégie de groupe.

    Ce que vous pouvez faire avec l’Éditeur de stratégie de groupe locale

    On devrait plutôt se demander : qu’est-ce que vous ne pouvez pas faire avec gpedit ! Vous pouvez tout faire, qu’il s’agisse de définir un fond d’écran, de désactiver certains services ou de supprimer l’Explorateur du menu Démarrer par défaut. Les stratégies de groupe déterminent les versions des protocoles réseau disponibles et imposent des règles sur les mots de passe. L’équipe de sécurité informatique d’une entreprise a tout intérêt à définir et à maintenir une stratégie de groupe stricte. Voici quelques exemples de stratégies de groupe renforçant la sécurité informatique :

    • Limiter les applications que les utilisateurs peuvent installer ou auxquelles ils peuvent accéder sur les appareils gérés par l’entreprise
    • Désactiver les périphériques amovibles tels que les clés USB ou les lecteurs DVD
    • Désactiver des protocoles réseau comme TLS 1.0 afin d’imposer l’utilisation de protocoles plus sûrs
    • Limiter les paramètres que peut modifier l’utilisateur à partir du Panneau de configuration (autorisez-le par exemple à modifier la résolution de l’écran, mais pas les paramètres de VPN)
    • Spécifier un fond d’écran validé par l’entreprise et désactiver l’option permettant aux utilisateurs d’en changer
    • Empêcher les utilisateurs d’accéder à gpedit pour modifier les paramètres décrits ci-dessus

    Il s’agit de quelques exemples de la façon dont une équipe de sécurité informatique peut utiliser les stratégies de groupe. Si votre objectif est de fournir un environnement plus sûr et robuste à votre organisation, utilisez-les pour favoriser le respect de bonnes habitudes de sécurité.

    Composants de l’Éditeur de stratégie de groupe locale

    La fenêtre de l’Éditeur de stratégie de groupe locale se compose d’une liste sur la gauche et d’une vue contextuelle sur la droite. Lorsque vous cliquez sur un élément sur la gauche, la vue à droite est actualisée pour afficher les détails de l’élément en question. Les premiers niveaux sont Configuration ordinateur et Configuration utilisateur. Ouvrez l’arborescence Configuration ordinateur pour découvrir les différentes facettes du comportement du système que vous pouvez gérer. Par exemple, rendez-vous dans Configuration ordinateur -> Modèles d’administration -> Panneau de configuration -> Personnalisation. Vous verrez alors sur la droite des éléments comme Ne pas afficher l’écran de verrouillage. personnalisation de gpedit Vous pouvez modifier ce paramètre en double-cliquant dessus. GPO de l’écran de verrouillage dans gpedit Il existe des centaines de paramètres de ce type dans l’Éditeur de stratégie de groupe locale. Parcourez l’Éditeur ou consultez la documentation de Microsoft pour tous les découvrir.

    Composants de l’Éditeur de stratégie de groupe locale

    • Configuration ordinateur : ces stratégies s’appliquent à l’ordinateur local et ne sont pas modifiées en fonction de l’utilisateur.
    • Configuration utilisateur : ces stratégies s’appliquent aux utilisateurs de la machine locale, et s’appliqueront à tous les futurs nouveaux utilisateurs, sur cet ordinateur local.
    • Ces deux catégories principales se décomposent elles-mêmes en sous-catégories :
    • Paramètres du logiciel : les Paramètres du logiciel contiennent des stratégies de groupe spécifiques à des logiciels ; par défaut, ce paramètre est vide.

    Comment configurer un paramètre de stratégie de groupe en utilisant la console de l’Éditeur de stratégie de groupe locale

    Une fois que vous avez une idée des GPO que vous voulez mettre en place, il est plutôt simple d’utiliser gpedit pour procéder aux modifications. Nous pouvons par exemple modifier rapidement un paramétrage relatif aux mots de passe :

    1. Dans gpedit, cliquez sur Paramètres Windows, puis sur Paramètres de sécurité, Stratégies de comptes et Stratégie de mot de passe.stratégie de mot de passe dans gpedit
    2. Sélectionnez l’option Le mot de passe doit respecter des exigences de complexité.mot de passe complexe dans gpedit
    3. Cliquez sur Activé, puis sur Appliquer pour que votre modification soit prise en compte sur l’ordinateur local. Nous n’allons pas évoquer la modification de GPO à l’échelle de l’entreprise dans cet article.

    Comment utiliser PowerShell pour administrer les stratégies de groupe

    Pour gérer les politiques de groupe, de nombreux administrateurs système préfèrent utiliser PowerShell plutôt que l’interface graphique. Voici quelques cmdlets GroupPolicy dans PowerShell qui vous permettront de démarrer.

    • New-GPO : cette cmdlet crée un objet de stratégie de groupe non affecté. Vous pouvez passer à cet objet un nom, un propriétaire, un domaine et d’autres paramètres.
    • Get-GPOReport : cette cmdlet renvoie l’ensemble des GPO ou le GPO spécifié existant dans un domaine sous la forme d’un fichier XML ou HTML. Cette commande est très pratique pour le dépannage et la documentation.
    • Get-GPResultantSetOfPolicy : cette cmdlet renvoie l’intégralité du RsoP (Resultant Set of Policy) pour un utilisateur ou un ordinateur, ou les deux, et place les résultats dans un fichier XML. Cette cmdlet est très utile pour détecter les problèmes de GPO. Vous pourriez penser qu’une stratégie est définie d’une certaine manière, alors qu’elle est en réalité écrasée par un autre GPO ; le seul moyen de le découvrir est de connaître les valeurs s’appliquant réellement à un utilisateur ou un ordinateur.
    • Invoke-GPUpdate : cette cmdlet vous permet de rafraîchir les GPO sur l’ordinateur, elle revient à exécuter gpupdate.exe. Avec cette cmdlet, vous pouvez planifier la mise à jour de façon à ce qu’elle se fasse à un moment défini sur un ordinateur distant ; cela signifie que vous pouvez également écrire un script pour déclencher si nécessaire un grand nombre de rafraîchissements.

    Accédez à une série de cours sur l’automatisation des tâches Active Directory à l'aide de PowerShell et obtenez 3 crédits CPE (cours en anglais)

    "PowerShell peut vous aider à automatiser des choses allant de la création de rapports AD à la création de boîtes aux lettres Exchange... et même à contrôler votre système d'arrosage."

    Limitations de l’Éditeur de stratégie de groupe

    L’application gpedit est un peu simple pour un outil censé vous aider à sécuriser toute votre entreprise. Les mises à jour des GPO interviennent à des moments différents sur les ordinateurs du réseau ou lors de leur redémarrage. Par conséquent, le délai entre la mise en place de vos modifications et leur application sur tous les ordinateurs du réseau est inconnu. Les hackers peuvent modifier les stratégies de groupe locales à l’aide de la même application ou de PowerShell et ainsi désactiver les protections que vous avez pu implémenter sur le système. Plusieurs entreprises proposent d’autres outils de modification des stratégies de groupe, et vous pouvez aussi apprendre à effectuer toutes vos modifications avec PowerShell pour vous simplifier la tâche. Cependant, gpedit ne propose pas d’outils d’audit natifs, et vous devez donc disposer d’un plan de gestion des changements très solide et auditer de manière indépendante l’ensemble des modifications des GPO pour vous assurer que votre entreprise reste protégée. Il est important de surveiller Active Directory pour détecter toute modification apportée aux stratégies de groupe ; ces modifications sont souvent le premier signe d’attaques APT, que les pirates utilisent pour se cacher dans votre réseau pour un moment. Varonis détecte les menaces en surveillant l’activité actuelle et en la comparant avec un comportement normal et des modèles avancés de menaces sur la sécurité des données, afin de détecter les attaques ATP, les infections par malware et les attaques par force brute, y compris les tentatives de modification des GPO. Consultez ce cours PowerShell réalisé par Adam Bertram pour découvrir comment gérer Active Directory à l’aide de PowerShell. Une fois que vous maîtriserez les bases, vous serez en mesure de gérer vos GPO avec PowerShell et bénéficierez de 3 crédits CPE !

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    Michael Buckbee
    Michael Buckbee

    Michael a travaillé en tant qu'administrateur système et développeur de logiciels pour des start-ups de la Silicon Valley, la marine américaine, et tout ce qui se trouve entre les deux.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).