Articles

Guide de l’éditeur de stratégie de groupe: comment configurer et utiliser
Posted by admin

L’éditeur de stratégie de groupe est un outil D’administration Windows qui permet aux utilisateurs de configurer de nombreux paramètres importants sur leurs ordinateurs ou réseaux. Les administrateurs peuvent configurer les exigences de mot de passe, les programmes de démarrage et définir les applications ou les paramètres que les autres utilisateurs peuvent modifier eux-mêmes. Ce blog traitera principalement de la version Windows 10 de L’éditeur de stratégie de groupe (gpedit), mais vous pouvez le trouver dans Windows 7, 8 et Windows Server 2003 et versions ultérieures.,

5 façons d’accéder à L’éditeur de stratégie de groupe Local

Il existe de nombreuses façons d’accéder à l’éditeur de stratégie de groupe Local. Vous pouvez en trouver un avec lequel vous êtes le plus à l’aise.

obtenez le stylo gratuit testant les environnements Active Directory EBook

« cela m’a vraiment ouvert les yeux sur la sécurité publicitaire d’une manière que le travail défensif n’a jamais fait. »

ouvrez L’éditeur de stratégie de groupe Local dans Exécuter

  • ouvrez la recherche dans la barre d’outils et tapez exécuter, ou sélectionnez Exécuter dans votre menu Démarrer.
  • Tapez  » gpedit.,msc ‘ dans la commande Exécuter et cliquez sur OK.

Ouvrir Locale Éditeur de Stratégie de Groupe dans la Recherche

  • Ouvrir de Recherche sur la Barre d’outils
  • Tapez « gpedit » et cliquez sur  » Modifier la Stratégie de Groupe.’

Ouvrir Locale Éditeur de Stratégie de Groupe dans l’Invite de Commande

  • Dans l’Invite de Commande, tapez  » gpedit.msc ‘et appuyez sur ‘ Entrer.’

Ouvrir Locale Éditeur de Stratégie de Groupe dans PowerShell

  • Dans PowerShell, tapez  » gpedit’ puis ‘Entrée.’

Si vous préférez, vous pouvez également utiliser PowerShell pour apporter des modifications aux GPO locaux sans L’interface utilisateur.,

ouvrez L’éditeur de stratégie de groupe Local dans le Panneau de configuration du Menu Démarrer

  • ouvrez le Panneau de configuration dans le Menu Démarrer.
  • Cliquez sur l’icône Windows dans la Barre d’outils, puis cliquez sur l’icône d’un widget pour les Paramètres.
  • Commencez à taper « stratégie de groupe » ou « gpedit » et cliquez sur l’option  » Modifier la Stratégie de Groupe.

composants de l’éditeur de stratégie de groupe Local

maintenant que gpedit est opérationnel, il y a quelques détails importants à connaître avant de commencer à apporter des modifications., Les stratégies de groupe sont hiérarchiques, ce qui signifie qu’une stratégie de groupe de niveau supérieur-comme une stratégie de groupe de niveau de domaine – peut remplacer les stratégies locales.

Les stratégies de groupe sont traitées dans le même ordre pour chaque connexion – Stratégies locales d’abord, puis niveau du Site, puis domaine, puis unité D’organisation (OU). Les politiques UO remplaceront toutes les autres, et ainsi de suite dans la chaîne.

Il existe deux grandes catégories de stratégies de groupe – ordinateur et utilisateur – qui se trouvent dans le volet gauche de la fenêtre gpedit.

configuration de L’ordinateur: ces stratégies s’appliquent à l’ordinateur local et ne changent pas par utilisateur.,

configuration de L’utilisateur: ces stratégies s’appliquent aux utilisateurs sur l’ordinateur local et s’appliqueront à tout nouvel utilisateur à l’avenir sur cet ordinateur local.

ces deux catégories principales sont ensuite divisées en sous-catégories:

Paramètres du logiciel: les paramètres du logiciel contiennent des stratégies de groupe spécifiques au logiciel: ce paramètre est vide par défaut.

paramètres de la fenêtre: les paramètres Windows contiennent des paramètres de sécurité locaux. Vous pouvez également définir des scripts de connexion ou d’administration pour exécuter des modifications dans cette catégorie.,

Modèles administratifs: les Modèles administratifs peuvent contrôler le comportement de l’ordinateur local de plusieurs façons. Ces stratégies peuvent modifier l’apparence du Panneau de configuration, les imprimantes accessibles, les options disponibles dans le menu Démarrer, et bien plus encore.

Que Pouvez-Vous Faire Avec l’Éditeur de Stratégie de Groupe

Une meilleure question serait quoi ne pouvez-vous pas faire avec gpedit! Vous pouvez faire n’importe quoi à partir de définir un fond d’écran pour désactiver les services et supprimer L’Explorateur du menu Démarrer par défaut., Les stratégies de groupe contrôlent la version des protocoles réseau disponibles et appliquent les règles de mot de passe. Une équipe de sécurité informatique d’entreprise bénéficie grandement de la mise en place et du maintien d’une politique de groupe stricte. Voici quelques exemples de bonnes stratégies de groupe de sécurité informatique:

  • désactiver les périphériques amovibles tels que les clés USB.
  • désactivez TLS 1.0 Pour appliquer l’utilisation de protocoles plus sécurisés.
  • limiter les paramètres qu’un utilisateur peut modifier à L’aide du Panneau de configuration. Laissez-les modifier la résolution de l’écran, mais pas les paramètres VPN.,
  • spécifiez un fond d’écran sanctionné par une bonne entreprise et désactivez la possibilité pour l’utilisateur de le modifier.
  • Garder les utilisateurs d’accéder à gpedit pour modifier l’un des paramètres ci-dessus.

Ce ne sont que quelques exemples de la façon dont une équipe de sécurité informatique pourrait utiliser les stratégies de groupe. Si l’équipe informatique définit ces stratégies au niveau de L’unité D’organisation ou du domaine, les utilisateurs ne pourront pas les modifier sans l’approbation de l’administrateur.,

comment configurer un paramètre de stratégie de sécurité à l’aide de la Console locale de L’éditeur de stratégie de groupe

Une fois que vous avez une idée de ce que vous voulez définir, utiliser gpedit pour apporter les modifications est assez simple.

examinons un paramètre de mot de passe rapide que nous pouvons modifier:

1. Dans gpedit, cliquez sur Paramètres Windows, puis Paramètres du compte, puis stratégie de mot de passe.2. Sélectionnez l’option  » le mot de passe doit répondre aux exigences de complexité.”3., Si vous disposez des droits D’administration pour modifier ce paramètre, vous pouvez cliquer sur le bouton à côté de « Activer”, puis sur Appliquer. (Ed. Varonis a une politique de sécurité informatique très solide, car bien sûr)

comment utiliser PowerShell pour administrer les stratégies de groupe

de nombreux administrateurs système migrent vers PowerShell au lieu de l’interface utilisateur pour gérer les stratégies de groupe. Voici quelques-unes des applets de commande PowerShell grouppolicy pour vous aider à démarrer.

  • New-GPO: cette applet de commande crée un nouveau GPO non affecté. Vous pouvez transmettre un nom, un propriétaire, un domaine et d’autres paramètres au nouveau GPO.,
  • Get-GPOReport: cette applet de commande renvoie tous les GPO ou les GPO spécifiés qui existent dans un domaine dans un fichier XML ou HTML. Très utile pour le dépannage et la documentation.
  • Get-GPResultantSetOfPolicy: cette applet de commande renvoie L’ensemble entier de la stratégie résultante (RsoP) pour un utilisateur ou un ordinateur ou les deux et crée un fichier XML avec les résultats. C’est une excellente applet de commande pour rechercher des problèmes avec les GPOs., Vous pouvez penser qu’une stratégie est définie sur une certaine valeur, mais cette stratégie peut être écrasée par un autre GPO, et la seule façon de comprendre cela est de connaître les valeurs réelles appliquées à un utilisateur ou à un ordinateur.
  • Invoke-GPUpdate: cette applet de commande vous permet d’actualiser les GPOs sur un ordinateur, c’est la même chose que d’exécuter gpupdate.EXE. Vous pouvez planifier la mise à jour à un certain moment sur un ordinateur distant avec l’applet de commande, ce qui signifie également que vous pouvez écrire un script pour pousser de nombreuses actualisations si le besoin s’en fait sentir.,

Il y a beaucoup plus de cmdlets dans L’objet PowerShell ‘grouppolicy’, mais ces quatre sont particulièrement utiles pour traquer et résoudre les problèmes d’héritage avec les GPO.

PowerShell est l’un des outils préférés d’un pirate, et l’une de leurs astuces préférées est d’activer le compte administrateur local que vous avez soigneusement désactivé pour prendre le contrôle d’un système pour plus d’infiltration ou de travail d’escalade de privilèges.,

Il est important de surveiller Active Directory pour tout changement apporté à la stratégie de groupe – souvent, ces changements sont les premiers signaux dans les attaques APT, où les pirates ont l’intention d’être dans votre réseau pendant un certain temps, et ils veulent rester cachés. Varonis surveille et met en corrélation l’activité actuelle avec le comportement normalisé et les modèles avancés de menaces de sécurité des données pour détecter les attaques APT, les infections de logiciels malveillants, les attaques par force brute, y compris les tentatives de modification des GPO.

Découvrez ce cours PowerShell par Adam Bertram pour plus de trucs et astuces PowerShell! Ça vaut 3 crédits CPE!

Leave A Comment