6 stratégie de groupe à modifier pour améliorer la sécurité de Windows

Que vous soyez un administrateur informatique ou un utilisateur lambda désireux de sécuriser davantage votre PC Windows, ces modifications de l’éditeur de stratégie de groupe renforceront la sécurité de votre PC.

illustration-securite

Remarque : l’éditeur de stratégie de groupe n’est pas disponible dans la version Windows Famille ; vous devez utiliser Windows Pro ou Enterprise.

Pour ouvrir l’éditeur de stratégie de groupe :

  • Appuyez sur les touches Windows + R pour ouvrir Exécuter.
  • Tapez la commande gpedit.msc et appuyez sur Entrée.

Contrôle sécurisé des comptes d’utilisateurs (UAC)

L’UAC est une fonction de sécurité de Windows qui empêche les modifications non autorisées sur votre PC. L’éditeur de stratégie de groupe propose de nombreux réglages permettant de contrôler le comportement de l’UAC.

  • Dans l’éditeur de stratégie de groupe, allez dans :
Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité

Faites défiler la liste jusqu’en bas et ajustez les paramètres de stratégie pour chaque option, comme indiqué ci-dessous, afin d’améliorer la sécurité :

  • Contrôle de compte d’utilisateur : mode Approbation administrateur pour le compte Administrateur intégré : Activé
  • Contrôle de compte d’utilisateur : autoriser les applications UIAccess à demander l’élévation sans utiliser le bureau sécurisé : Désactivé
  • Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les administrateurs en mode d’approbation Administrateur : Demande de consentement
  • Contrôle de compte d’utilisateur : comportement de l’invite d’élévation pour les utilisateurs standard : Demande d’informations d’identification
  • Contrôle de compte d’utilisateur : détecter les installations d’applications et demander l’élévation : Activé
  • Contrôle de compte d’utilisateur : élever uniquement les exécutables signés et validés : Activé
  • Contrôle de compte d’utilisateur : élever uniquement les applications UIAccess installées à des emplacements sécurisés : Activé
  • Contrôle de compte d’utilisateur : exécuter les comptes d’administrateurs en mode Approbation d’administrateur : Activé
  • Contrôle de compte d’utilisateur : passer au Bureau sécurisé lors d’une demande d’élévation : Activé
  • Contrôle de compte d’utilisateur : virtualiser les échecs d’écriture de fichiers et de Registre dans des emplacements définis par utilisateur : Activé

Après avoir appliqué les modifications ci-dessus, vous devrez approuver les invites de l’UAC plus souvent et éventuellement fournir des informations d’identification, mais cela améliorera la sécurité globale de votre ordinateur.

Mots de passe sécurisés

Par défaut, les exigences de Windows en matière de mot de passe pour les comptes d’utilisateurs sont assez souples. À l’aide de l’éditeur de stratégie de groupe locale, vous pouvez appliquer des règles qui garantiront la sécurité des mots de passe.

Allez dans :

Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de compte -> Stratégie de mot de passe

Ajustez les règles suivantes, comme suit :

  • Conserver l’historique des mots de passe : 8 ou plus
  • Durée de vie maximale du mot de passe : entre 30 et 60 jours
  • Longueur minimale du mot de passe : 12 ou plus
  • Le mot de passe doit respecter des exigences de complexité : Activé

Désactiver le compte d’invité

Bien que le compte d’invité de Windows soit désactivé par défaut, quelqu’un peut activer le compte d’invité en utilisant différentes méthodes et accéder à vos données sensibles. Le compte d’invité permet à quiconque d’accéder librement à votre PC. Même s’il offre un accès restreint, il peut toujours être exploité par des logiciels malveillants, ou vous pouvez accidentellement partager des données avec le groupe Tout le monde. Il est préférable de le désactiver complètement dans la stratégie de l’éditeur de groupe.

Allez dans :

Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
  • Comptes : statut du compte Invité : Désactivé

Activer les politiques d’audit des comptes

Activez les audits de compte dans l’éditeur de stratégie de groupe pour enregistrer des informations de sécurité importantes, telles que les modifications de fichiers, les changements de paramètres de sécurité, les tentatives de connexion, etc. Vous pouvez utiliser ces informations pour suivre les modifications apportées à votre ordinateur et vous assurer qu’il n’y a pas d’accès non autorisé ou de configuration par un non-utilisateur.

Dans l’éditeur de stratégie de groupe, allez dans :

Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Stratégie d'audit
  • Pour toutes ces options, activez les audits de réussite et d’échec.

Vous pouvez consulter les journaux générés dans l’Observateur d’événements de Windows.

  • Tapez « observateur d’événements » dans la recherche Windows et cliquez sur Observateur d’événements.
  • Allez dans Journaux Windows -> Sécurité pour afficher les journaux.

Effacer la mémoire virtuelle à l’arrêt de l’ordinateur

Le fichier pagefile.sys (mémoire virtuelle) est nécessaire au bon fonctionnement de votre PC. Cependant, il conserve un enregistrement fragmenté de vos données qui peut être volé par une personne disposant de l’accès et des outils adéquats. Si vous ne voulez pas prendre de risques, supprimez-la automatiquement lorsque vous éteignez votre ordinateur.

Allez dans :

Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
  • Arrêt : effacer le fichier d’échange page mémoire virtuelle : Activé

Gardez à l’esprit que l’activation de cette stratégie retardera quelque peu le processus d’arrêt de votre ordinateur.

Gérer les paramètres de verrouillage du compte

Pour empêcher les tentatives d’accès non autorisées, Windows dispose d’une stratégie de verrouillage des comptes qui bloque votre compte après plusieurs tentatives de connexion incorrectes. Toutefois, cette stratégie est un peu laxiste, et vous voudrez peut-être ajuster les stratégies de l’éditeur de stratégie de groupe en fonction de vos besoins en matière de sécurité.

Pour accéder aux stratégies de verrouillage, accédez à :

Configuration ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de compte -> Stratégie de verrouillage du compte

Vous trouverez quatre stratégies de verrouillage à modifier. Modifiez-les en fonction de vos besoins. Les valeurs suggérées ci-dessous tentent de trouver un équilibre entre une protection forte et une expérience utilisateur fluide :

  • Durée de verrouillage des comptes : 30 minutes
  • Seuil de verrouillage du compte : 3 tentatives d’ouverture de session non valides
  • Autoriser le verrouillage du compte Administrateur : Activé
  • Réinitialiser le compteur de verrouillage du compte après : 30 minutes

Conclusion

Bien que tous ces paramètres de stratégie de groupe puissent entraîner quelques confirmations supplémentaires (comme l’invite de l’UAC pour l’ouverture du Gestionnaire des tâches), l’amélioration de la sécurité l’emporte sur les inconvénients mineurs. Si les modifications ne vous conviennent pas, vous pouvez réinitialiser l’éditeur de stratégie de groupe.