GPO – Stratégies pour Windows 8.1 et Windows 10

Mise a jour le 21/08/2017

  • Mise a jour du respect de la vie privée et de la confidentialité des données sous Windows 10

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d’utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.

1 – Voir ce guide pour un bon départ : Strategies GPO Essentielles et Arborescence Active Directory (Unité d’Organisation)

2 – Nous allons créer des GPO spécifiques a Windows 8.1 et Windows 10 :

Création d’objet GPO :

En créant cette GPO au niveau de l’OU (unité d’organisation) “Utilisateurs”, elle sera appliquée au groupe “Utilisateurs”, ainsi qu’aux 2 unités d’organisations “Production” et “Test Labo”.

Et donc aux “Ordinateurs” et “Utilisateurs” qu’elles contiennent.

gpo2

gpo3

Clic droit sur l’objet, modifier :

Désactiver le démarrage rapide :

gpo4

Désactiver l’affichage de l’animation a la première connexion :

gpo5

Activer : Désactiver la synchro des flux RSS Web Slice :

gpo6

Modification des Clés de Registre :

Configuration Ordinateur, Préférences, Paramètres Windows, Registre : Nouveau, Elément registre :

gpo10

Désactiver le démarrage rapide hybride Hiberboot :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power

gpo11

HiberbootEnabled : REG_DWORD
00000000 = Désactive le démarrage rapide
00000001 = Active le démarrage rapide

gpo12

  • Désactivation des mouchards espions de Windows 10 :

Désactivation de la Telemetrie “DataCollection”

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection

AllowTelemetry

Valeur : REG_DWORD : 0

gpow10_1

Désactiver le Service “DcpSvc” DataCollectionPublishingService

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DcpSvc

Start

Valeur : REG_DWORD : 4

gpow10_2

Désactiver le Service “DiagTrack” Expériences des utilisateurs connectés et télémétrie

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DiagTrack

Start

Valeur : REG_DWORD : 4

gpow10_3

Désactiver le Service “dmwappushservice” Service de routage de message push WAP

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dmwappushservice

Start

Valeur : REG_DWORD : 4

gpow10_4

Résultat :

gpow10_5

Désactiver l’optimisation de la distribution des mises à jour Windows 10

Configuration Ordinateur, Stratégies, Modèles d’administration, Composants Windows, Optimisation de la distribution

MAJ6

  • Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10 :

1 – GPO de mise en œuvre des recommandations relatives au service de télémétrie

Figure1

2 – GPP de désactivation de l’envoi de rapports par MSRT et Windows Defender

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

DontReportInfectionInformation

Valeur : REG_DWORD : 1

Figure2.1

3 – GPO de mise en oeuvre des restrictions d’utilisation de “Cortana” et du composant Windows
“Desktop Search”

Figure4

4 – GPO de paramétrage des éléments de personnalisation de l’expérience utilisateur

Figure5

Figure5.1

5 – GPO de paramétrage des applications universelles (Windows Store et Profils Utilisateur)

Figure6

6 – GPO de paramétrage des applications universelles – (FACULTATIF – A vous de voir … si besoin…)

Concernant les accès octroyés aux applications universelles autorisées, il faut procéder comme suit pour les 15 types d’accès (informations du compte, contacts, courriel, géolocalisation, etc.). L’action par défaut est de forcer l’interdiction d’accès, puis de créer des exceptions pour des applications autorisées. Dans l’exemple ci-après, aucune exception n’est configurée pour les droits d’accès aux informations du compte :

Figure7

7 – GPO de paramétrage des services dans le nuage

  • Bloquer l’utilisation de comptes Microsoft pour l’ouverture de session utilisateur sous
    Windows 10.
  • Désactiver le service de stockage dans le nuage OneDrive.

Figure8


Information : Cette GPO est appliquée au groupe Utilisateurs, donc aussi aux 3 unités d’organisations : Production, Secretariat et Test Labo.

gpow10_6

Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.

gpo9