Préface de Guillaume MATHIEU, membre actif de la solution Harden AD et MVP Enterprise and Platform Security

Ce livre sur les stratégies de groupe s’adresse aux Administrateurs et aux Ingénieurs Système et leur propose une immersion dans l’uni­vers de la sécurité avec les stratégies de groupe (GPO) pour mieux comprendre leurs fonctionnements et sécuriser les environnements Microsoft.

Le lecteur navigue entre les principes théoriques et les applications pratiques des différents composants qui constituent les stratégies de groupe, seul outil capable de configurer les ordinateurs dans leur couche système en profondeur. Afin de maîtriser cet outil, l’auteur ex­plique au lecteur le fonctionnement et la relation importante qui existe entre Active Directory, la réplication AD et les GPO, ainsi que le pro­cessus de traitement et d’application des GPO. Ces éléments maîtri­sés vous permettront de mettre en place toutes sortes de politiques de stratégies de groupe pour votre entreprise.

Vous découvrirez comment Windows PowerShell permet de créer, modifier, sauvegarder et comparer l’évolution des stratégies de groupe. L’auteur vous explique les fondamentaux de la gestion des identités et pourquoi il est nécessaire de les protéger. Le modèle d’administration par tiers est détaillé avec la solution communautaire HardenAD. Le dur­cissement de configurations est abordé avec la solution HardenKitty.

De plus, les éléments relatifs à la planification et à l’organisation né­cessaires à l’élaboration d’une infrastructure basée sur l’implémen­tation de stratégies de groupe accompagnent le lecteur tout au long des différents chapitres de l’ouvrage.

L’auteur utilise son expérience ainsi que des cas concrets pour orienter la réflexion du lecteur sur les axes techniques les plus em­pruntés par les entreprises.

Des éléments complémentaires sont en téléchargement sur le site www.editions-eni.fr.

Introduction

1. 1. Avant-propos
2. 2. Introduction
3. 3. À propos du livre
   1. 3.1 L'aspect technique
   2. 3.2 L'organisation des informations
   3. 3.3 Le public concerné
4. 4. L’évolution des versions de Windows
5. 5. Les systèmes d’exploitation Microsoft
   1. 5.1 Windows 10
   2. 5.2 Windows 11
   3. 5.3 Windows Server et Windows Client
      1. 5.3.1 Les nouveautés de Server 2022
      2. 5.3.2 Windows Server 2025
      3. 5.3.3 Les nouveautés
      4. 5.3.4 Les suppressions ou fonctionnalités qui n'évolueront plus
      5. 5.3.5 Windows 11
   4. 5.4 Le point sécurité

Stratégie locale et de domaine

1. 1. Introduction
   1. 1.1 Qu'est-ce qu'une stratégie de groupe ou GPO ?
   2. 1.2 Les paramètres de stratégie de groupe
   3. 1.3 Structure des paramètres de stratégie de groupe
   4. 1.4 Fichiers registry.pol
   5. 1.5 Le cache des stratégies de groupe
2. 2. Les stratégies locales dans un Workgroup
   1. 2.1 Stratégie de groupe locale multiple
      1. 2.1.1 La stratégie de groupe locale
      2. 2.1.2 Stratégie de groupe administrateurs et non-administrateurs
      3. 2.1.3 Stratégie de groupe local par utilisateur
      4. 2.1.4 Stratégie de sécurité locale
      5. 2.1.5 Kit de ressources de conformité de la sécurité
   2. 2.2 Mode de traitement des trois objets de stratégie de groupe locale
3. 3. Présentation d'Active Directory
   1. 3.1 Les différents états d'un serveur Windows
   2. 3.2 Active Directory : objets physiques et logiques
   3. 3.3 Maîtres d'opérations de domaine
   4. 3.4 Active Directory, une étape primordiale
   5. 3.5 Une structure bien ordonnée
4. 4. Structure d'une stratégie de groupe
   1. 4.1 Introduction
      1. 4.1.1 Fichiers ADM et ADMX
      2. 4.1.2 Fichiers ADMX et ADML
   2. 4.2 Structure des fichiers ADMX
      1. 4.2.1 Schéma du fichier
      2. 4.2.2 Définitions des catégories
   3. 4.3 Structure des fichiers ADML
      1. 4.3.1 Schéma du fichier
      2. 4.3.2 Définitions des catégories
   4. 4.4 Création d’un fichier ADMX personnalisé
   5. 4.5 Remarques
5. 5. Le magasin central
   1. 5.1 Création du magasin central
   2. 5.2 Remplir le magasin central
   3. 5.3 Sources externes de modèles d'administration
      1. 5.3.1 Téléchargement de fichiers ADMX de source extérieure
      2. 5.3.2 Modèles d'administration pour Microsoft Office 2016
      3. 5.3.3 ADMX Migrator
6. 6. Les filtres WMI
   1. 6.1 Syntaxe des filtres WMI
      1. 6.1.1 Syntaxe WMI de base
      2. 6.1.2 Exemples de requête WMI
      3. 6.1.3 Création d'un filtre WMI
      4. 6.1.4 Lier un filtre WMI
   2. 6.2 Exporter et importer les filtres WMI
      1. 6.2.1 Exporter un filtre WMI
      2. 6.2.2 Importer un filtre WMI
7. 7. Liens et téléchargements
8. 8. Conclusion et commentaires

GPO, AD et processus d’application

1. 1. Introduction
2. 2. La clé est Active Directory
   1. 2.1 Les contrôleurs de domaine
      1. 2.1.1 Promotion du premier contrôleur de domaine
      2. 2.1.2 Ajout d'un contrôleur de domaine supplémentaire
   2. 2.2 Modèle de structure des unités d'organisation
3. 3. Création et cycle de vie d'une stratégie de groupe
   1. 3.1 Localisation des GPO
   2. 3.2 Permissions et droits d'accès sur les GPO
      1. 3.2.1 Création de GPO
      2. 3.2.2 Consulter et modifier les autorisations
      3. 3.2.3 Le conteneur Policies dans Active Directory
      4. 3.2.4 Le conteneur GPC
      5. 3.2.5 Le conteneur GPT
   3. 3.3 Synchronisation des éléments GPC et GPT
4. 4. Application des stratégies sur les postes de travail
   1. 4.1 Niveaux d'application dans Active Directory
   2. 4.2 Ordre d'application
   3. 4.3 Héritage des stratégies de groupe
   4. 4.4 Bloquer l'héritage
   5. 4.5 Priorité des stratégies de groupe
5. 5. Les GPO dans un environnement multiforêt
6. 6. Processus d'application des stratégies
   1. 6.1 Comprendre comment s'appliquent les GPO
   2. 6.2 Principes généraux d'application des GPO
      1. 6.2.1 Processus d'application
      2. 6.2.2 Processus d'application initial pour les versions Windows 2000 à 2022
      3. 6.2.3 Processus d'application pour les postes clients Windows
      4. 6.2.4 Le Fast Boot
   3. 6.3 Appliquer les GPO manuellement
      1. 6.3.1 Commandes de Windows XP et des versions suivantes
      2. 6.3.2 Commande depuis un serveur
7. 7. Application par connexion distante et liens lents
   1. 7.1 Détection de liens lents dans Windows
      1. 7.1.1 Windows 2000 et XP
      2. 7.1.2 Windows 7 et versions ultérieures
   2. 7.2 Paramètres appliqués par liens lents
8. 8. Conclusion

Les outils de gestion des GPO

1. 1. Introduction
2. 2. Administrer et gérer les GPO
3. 3. Gérer les GPO avec la console de gestion des stratégies de groupe GPMC 3.0
   1. 3.1 Implémenter la console GPMC 3.0
      1. 3.1.1 Installation de la fonctionnalité Gestion des stratégies de groupe
   2. 3.2 Fonctionnalités de la console GPMC 3.0
      1. 3.2.1 Création et édition de stratégies de groupe
      2. 3.2.2 Lier des objets stratégies de groupe
      3. 3.2.3 Utiliser l'option Appliqué
      4. 3.2.4 Gérer la précédence des stratégies
      5. 3.2.5 Gérer les héritages des stratégies
      6. 3.2.6 Forcer les stratégies dans la console GPMC
      7. 3.2.7 Rechercher des stratégies
   3. 3.3 Configuration des paramètres de stratégies
      1. 3.3.1 Configuration du nœud ordinateur
      2. 3.3.2 Configuration du nœud utilisateur
      3. 3.3.3 Génération de rapports
   4. 3.4 Sécurité et délégation
   5. 3.5 Sauvegarde et restauration des stratégies
      1. 3.5.1 Sauvegarder une stratégie
      2. 3.5.2 Restaurer une stratégie
      3. 3.5.3 Importer des paramètres
   6. 3.6 Les GPO Starter
      1. 3.6.1 Créer le dossier Starter GPO
      2. 3.6.2 Créer un objet GPO Starter
      3. 3.6.3 Démarrer une stratégie à partir d'une GPO Starter
      4. 3.6.4 Échanger les GPO Starter
   7. 3.7 Rechercher des paramètres avec les filtres
      1. 3.7.1 Introduction
      2. 3.7.2 Utiliser les filtres
   8. 3.8 Utilisation des outils de commentaires
   9. 3.9 Les nouvelles fonctionnalités dans la console GPMC 3.0
      1. 3.9.1 La réplication Active Directory
      2. 3.9.2 Forcer l'actualisation des stratégies de groupe
4. 4. Gestion des stratégies de groupe avec PowerShell
   1. 4.1 Prérequis
   2. 4.2 Principales commandes PowerShell
   3. 4.3 Commandes du module GroupPolicy pour la gestion des GPO
      1. 4.3.1 Création d'une stratégie de groupe
      2. 4.3.2 Lier une stratégie de groupe
      3. 4.3.3 Sauvegarde des stratégies de groupe
      4. 4.3.4 Restauration d'une stratégie de groupe
   4. 4.4 PowerShell pour nous dépanner et analyser
      1. 4.4.1 L'héritage des stratégies de groupe
      2. 4.4.2 Création d’un rapport HMTL de jeu résultant RSoP
   5. 4.5 Résumé
5. 5. Gestion avancée avec AGPM 4.0
   1. 5.1 Quelques termes employés avec AGPM
   2. 5.2 Les différents rôles
   3. 5.3 Cycle de vie d'une GPO avec AGPM
   4. 5.4 Édition d'une stratégie de groupe hors ligne
   5. 5.5 Intégration complète dans GPMC
      1. 5.5.1 Prérequis pour le composant serveur
      2. 5.5.2 Prérequis pour le composant client
      3. 5.5.3 Modifications apportées à la console GPMC 3.0
   6. 5.6 Historique et différences de configuration d'une GPO
   7. 5.7 Conclusion
6. 6. Comparaison de stratégie de groupe
   1. 6.1 Policy Analyser
      1. 6.1.1 Récupération de l'outil
      2. 6.1.2 Comparaison de deux stratégies de groupes
   2. 6.2 PowerShell

Les préférences de stratégie de groupe

1. 1. Introduction
2. 2. Les préférences de stratégie de groupe
   1. 2.1 Caractéristiques des préférences
   2. 2.2 Configurer une nouvelle préférence
   3. 2.3 Fonctionnalités des préférences de stratégie de groupe
3. 3. Explorer les préférences
   1. 3.1 Liste des paramètres de préférences
      1. 3.1.1 Configuration ordinateur - Paramètres Windows
      2. 3.1.2 Configuration utilisateur - Paramètres Windows
   2. 3.2 Création d'un objet de préférence
      1. 3.2.1 Configuration d'un objet de préférence
      2. 3.2.2 Déterminer l'action que la préférence doit effectuer
4. 4. Configuration des objets de préférences
   1. 4.1 Configuration des préférences du conteneur Paramètres Windows
      1. 4.1.1 Paramètres de préférences communs aux deux nœuds
      2. 4.1.2 Paramètres de préférences des utilisateurs
   2. 4.2 Configuration des préférences du conteneur Paramètres du Panneau de configuration
      1. 4.2.1 Paramètres de préférences communs aux ordinateurs et aux utilisateurs
      2. 4.2.2 Paramètres de préférences des utilisateurs
   3. 4.3 Options des objets de préférences existants
5. 5. Architecture et fonctionnement des préférences de stratégie
   1. 5.1 Administrer les préférences
   2. 5.2 Appliquer les préférences
   3. 5.3 Gérer les composants de préférences sur les postes d'administration
      1. 5.3.1 Administrer les préférences de stratégie depuis un poste Windows 7 ou supérieur
      2. 5.3.2 Administrer les préférences de stratégie depuis un serveur Windows Server
6. 6. Conclusion et commentaires

Stratégies de groupe et sécurité

1. 1. Introduction
2. 2. Création du domaine et stratégies par défaut
   1. 2.1 La stratégie Default Domain Policy
      1. 2.1.1 Les paramètres de stratégies du domaine
      2. 2.1.2 Modifier la Default Domain Policy ou en créer une nouvelle
   2. 2.2 Stratégie Default Domain Controllers Policy
   3. 2.3 Réparer les stratégies par défaut
3. 3. Configurer la Default Domain Policy
   1. 3.1 Configuration de la stratégie de mot de passe
   2. 3.2 Configuration de la stratégie de verrouillage du compte
   3. 3.3 Configuration de la stratégie Kerberos
4. 4. Sécurité et mots de passe
   1. 4.1 Préparer l'implémentation de FGPP
   2. 4.2 Créer un PSO avec ADSI Edit
      1. 4.2.1 Assigner un PSO
      2. 4.2.2 PSO et Active Directory
      3. 4.2.3 Utiliser Specops
   3. 4.3 Création du PSO avec le Centre d’administration Active Directory
   4. 4.4 Conclusion et commentaires
5. 5. Élever le niveau de sécurité avec les outils d'audit
   1. 5.1 Utiliser les stratégies de groupe pour auditer
      1. 5.1.1 Les différents paramètres d'audit
      2. 5.1.2 Auditer les stratégies de groupe avec une stratégie de groupe
      3. 5.1.3 Auditer les modifications d'objets
      4. 5.1.4 Directory Service Changes
      5. 5.1.5 Activer Directory Service Changes
      6. 5.1.6 Auditer un objet spécifique
      7. 5.1.7 Auditer les accès aux fichiers réseau
      8. 5.1.8 Configuration avancée de la stratégie d’audit
   2. 5.2 Conclusion et commentaires
6. 6. Sécurité applicative
   1. 6.1 Stratégie de restriction logicielle
      1. 6.1.1 Créer une stratégie avec une règle supplémentaire
      2. 6.1.2 Comment et quand appliquer les GPO de restriction ?
      3. 6.1.3 Dépanner les stratégies de restriction
      4. 6.1.4 Vérifier manuellement le registre
      5. 6.1.5 Créer un journal d'événements
   2. 6.2 Applocker
      1. 6.2.1 Côté sécurité
      2. 6.2.2 Que pouvons-nous faire avec Applocker ?
      3. 6.2.3 Les scénarios d'AppLocker
      4. 6.2.4 Quand Utiliser AppLocker ?
      5. 6.2.5 Création d'une stratégie AppLocker
   3. 6.3 Windows Defender Application Control (WDAC)
      1. 6.3.1 Quel environnement pour WDAC ?
      2. 6.3.2 WDAC et Smart App Control
      3. 6.3.3 Les stratégies présentes
   4. 6.4 Comparaison des trois solutions
7. 7. Comment les attaquants agissent
   1. 7.1 Les méthodes courantes
   2. 7.2 Les contre-mesures ou atténuations
8. 8. Conclusion et commentaires

Implémentation de la sécurité au sein d’un SI

1. 1. Notions fondamentales
   1. 1.1 L'identité et le SID
      1. 1.1.1 Les autorités communes
      2. 1.1.2 SID de l'autorité NT
      3. 1.1.3 SID de l'autorité NT - pour le composant BUILTIN
      4. 1.1.4 SID de l'autorité NT - pour Active Directory
      5. 1.1.5 Object GUID et SID
   2. 1.2 L'identité et le jeton d'accès
   3. 1.3 Taille de jeton
   4. 1.4 Les Privileged Acces Workstation (PAW)
   5. 1.5 Les bastions d'administration
   6. 1.6 Le Tiering
   7. 1.7 Tiering : les silos d'authentification
   8. 1.8 Tiering : les stratégies de restriction de login
   9. 1.9 Tiering : la solution idéale
   10. 1.10 Sécuriser les machines du domaine avec des objets GPO
   11. 1.11 Point sécurité
2. 2. Comment durcir nos environnements ?
   1. 2.1 Analyser la configuration de sécurité avec PingCastle
   2. 2.2 Analyser la configuration de sécurité avec Purple Knight
   3. 2.3 Sécuriser avec Microsoft Security Compliance Toolkit (SCT)
   4. 2.4 Sécuriser avec HardeningKitty
   5. 2.5 Sécuriser avec HardenAD
      1. 2.5.1 Ce que contient cet outil
      2. 2.5.2 Séquence de tâches
      3. 2.5.3 Le Tiering selon Harden
      4. 2.5.4 Quels comptes utiliser ?
      5. 2.5.5 Le modèle de délégation
      6. 2.5.6 Redirections des comptes Utilisateurs et Ordinateurs
      7. 2.5.7 Les stratégies de restriction de login pour les Tiers
      8. 2.5.8 La gestion des groupes Administrateurs Local
      9. 2.5.9 Stratégies de groupes de durcissement
      10. 2.5.10 Filtres WMI
   6. 2.6 Créer un nouvel Active Directory : Hello-My-Dir
      1. 2.6.1 Comment récupérer le projet
      2. 2.6.2 Configuration de l'outil
      3. 2.6.3 Promotion du contrôleur de domaine
      4. 2.6.4 Durcir Active Directory
      5. 2.6.5 Le résultat
      6. 2.6.6 Audit avec PingCastle

Dépanner les stratégies de groupe

1. 1. Introduction
2. 2. Méthodologie
   1. 2.1 Éléments de recherche
      1. 2.1.1 Les exigences liées à l'infrastructure
      2. 2.1.2 Les environnements mixtes
      3. 2.1.3 Les autorisations
      4. 2.1.4 Le domaine Active Directory
      5. 2.1.5 La connectivité réseau
      6. 2.1.6 Les stratégies appliquées par liens lents
      7. 2.1.7 Les serveurs DNS
      8. 2.1.8 Le partage SYSVOL
      9. 2.1.9 La réplication Active Directory NTFRS ou DFSR
      10. 2.1.10 Les stratégies par défaut
      11. 2.1.11 Dans la console GPMC
   2. 2.2 Organiser les permissions
3. 3. Les outils de diagnostic
   1. 3.1 GPOTool
      1. 3.1.1 Utilisation de GPOTool
      2. 3.1.2 Isoler les erreurs de réplication
   2. 3.2 Un jeu de stratégie résultant RSoP
      1. 3.2.1 Résultats de stratégie de groupe
      2. 3.2.2 Modélisation de stratégie de groupe
      3. 3.2.3 GPResult
   3. 3.3 Gpupdate
   4. 3.4 Replmon
   5. 3.5 Les journaux d'événements
   6. 3.6 L'Observateur d'événements
      1. 3.6.1 Le mode classique
      2. 3.6.2 Le mode avancé
      3. 3.6.3 L'Observateur d'événements sur les contrôleurs de domaine
4. 4. Conclusion et commentaires

Étude de cas

1. 1. Introduction
2. 2. Cas pratiques
   1. 2.1 Stratégies de la Configuration ordinateur
      1. 2.1.1 Cas 1 - Configurer le Pare-feu Windows grâce aux stratégies de groupe
      2. 2.1.2 Cas 2 - Mettre en place une stratégie de clé publique
      3. 2.1.3 Cas 3 - Déployer les applications avec les stratégies de groupe
      4. 2.1.4 Cas 4 - Gérer et définir les membres des groupes locaux
   2. 2.2 Stratégies de la Configuration utilisateur
      1. 2.2.1 Cas 5 - Configurer le bureau idéal pour vos utilisateurs
      2. 2.2.2 Cas 6 - Restreindre l'accès au Panneau de configuration
   3. 2.3 Stratégies de préférences
      1. 2.3.1 Cas 7 - Connecter les lecteurs réseau grâce aux préférences
      2. 2.3.2 Cas 8 - Faciliter l’accès à l’intranet de la société
      3. 2.3.3 Cas 9 - Gestion des mots de passe des comptes Administrateurs locaux
      4. 2.3.4 Cas 10 - Permettre à votre entreprise de faire des économies d'énergie
   4. 2.4 Implémentation de la sécurité
      1. 2.4.1 Le contexte
      2. 2.4.2 Schéma d'infrastructure
      3. 2.4.3 Rapport PingCastle
      4. 2.4.4 L'administration en Tier
      5. 2.4.5 Le Tier zéro
      6. 2.4.6 Le Tier 1 et 2
      7. 2.4.7 Le Tier Legacy
      8. 2.4.8 Ce qu’il reste à faire
3. 3. Conclusion et commentaires

Conclusion

1. 1. Conclusion
2. 2. Liens Internet
3.  
4.  
5.  
6. Index