GPO – Stratégies pour Windows 8.1 et Windows 10

Mise a jour le 25/09/2019

  • Mise a jour du respect de la vie privée et de la confidentialité des données sous Windows 10

Les stratégies de groupe ou GPO (Group Policies Object) permettent de configurer des restrictions d’utilisation de Windows ou des paramètres à appliquer soit sur un ordinateur donné soit sur un compte utilisateur donné.

1 – Voir ce guide pour un bon départ : Strategies GPO Essentielles et Arborescence Active Directory (Unité d’Organisation)

2 – Nous allons créer des GPO spécifiques a Windows 8.1 et Windows 10 :

Création d’objet GPO :

En créant cette GPO au niveau de l’OU (unité d’organisation) “Utilisateurs”, elle sera appliquée au groupe “Utilisateurs”, ainsi qu’aux 2 unités d’organisations “Production” et “Test Labo”.

Et donc aux “Ordinateurs” et “Utilisateurs” qu’elles contiennent.

gpo2

Donnez un Nom : GPO Win 10

gpo3

Clic droit sur l’objet, modifier :

Désactiver : Exiger l’utilisation du démarrage rapide

gpo4

Désactiver : Afficher l’animation a la première connexion

gpo5

Activer : Désactiver la synchronisation des flux et composants RSS Web Slice

gpo6

Modification des Clés de Registre :

Configuration Ordinateur, Préférences, Paramètres Windows, Registre : Nouveau, Elément registre :

gpo10

Désactiver le démarrage rapide hybride Hiberboot :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Power

gpo11

HiberbootEnabled : REG_DWORD
00000000 = Désactive le démarrage rapide
00000001 = Active le démarrage rapide

gpo12

  • Désactivation des mouchards espions de Windows 10 :

Désactiver la Telemetrie “DataCollection”

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\DataCollection

AllowTelemetry

Valeur : REG_DWORD : 0

gpow10_1

Désactiver le Service “DcpSvc” DataCollectionPublishingService

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DcpSvc

Start

Valeur : REG_DWORD : 4

gpow10_2

Désactiver le Service “DiagTrack” Expériences des utilisateurs connectés et télémétrie

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\DiagTrack

Start

Valeur : REG_DWORD : 4

gpow10_3

Désactiver le Service “dmwappushservice” Service de routage de message push WAP

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\dmwappushservice

Start

Valeur : REG_DWORD : 4

gpow10_4

Résultat :

gpow10_5

Désactiver l’optimisation de la distribution des mises à jour Windows 10

Configuration Ordinateur, Stratégies, Modèles d’administration, Composants Windows, Optimisation de la distribution, Mode de téléchargement

MAJ6

Désactiver : Supprimer les notifications et le centre de Maintenance

Activer : Supprimer la barre Contacts de la barre des Taches

  • Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10 :

1 – GPO de mise en œuvre des recommandations relatives au service de télémétrie

Figure1

Nouvelle version de Windows 10 : “Windows Defender” est renommé “Antivirus Windows Defender”

2 – Désactiver l’envoi de rapports par MSRT et Windows Defender

Ajouter un “Nouveau Elément Registre” :

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MRT

DontReportInfectionInformation

Valeur : REG_DWORD : 1

Figure2.1

3 – GPO de mise en oeuvre des restrictions d’utilisation de “Cortana” et du composant Windows
“Desktop Search”

Figure4

4 – GPO de paramétrage des éléments de personnalisation de l’expérience utilisateur

Figure5

Figure5.1

5 – GPO de paramétrage des applications universelles (Windows Store et Profils Utilisateur)

Figure6

6 – GPO de paramétrage des applications universelles – (FACULTATIF – A vous de voir … si besoin…)

Concernant les accès octroyés aux applications universelles autorisées, il faut procéder comme suit pour les 15 types d’accès (informations du compte, contacts, courriel, géolocalisation, etc.). L’action par défaut est de forcer l’interdiction d’accès, puis de créer des exceptions pour des applications autorisées. Dans l’exemple ci-après, aucune exception n’est configurée pour les droits d’accès aux informations du compte :

Figure7

7 – GPO de paramétrage des services dans le nuage

  • Bloquer l’utilisation de comptes Microsoft pour l’ouverture de session utilisateur sous
    Windows 10.
  • Désactiver le service de stockage dans le nuage OneDrive.

Figure8

8 – Microsoft Edge : Empêcher le pré-lancement et le préchargement au démarrage du système


Information : Cette GPO est appliquée au groupe Utilisateurs, donc aussi aux 3 unités d’organisations : Production, Secretariat et Test Labo.

gpow10_6

Important : la stratégie de groupe applique les objets de stratégie de groupe de bas en haut, en remplaçant les paramètres au fil de la progression.

gpo9