Bibliothèque GPO on Aperture Zone

Default Domain Policy — Les corrections indispensables

Fri, 01 May 2026 00:00:00 +0000

Default Domain Policy — Les corrections indispensables

La Default Domain Policy livrée par Microsoft est un point de départ, pas une config de production. Je propose des choses à corriger immédiatement et d’autres qu’il ne faut surtout pas toucher. Cette Default Domain Policy s’applique à tous les objets du domaine. Elle est créée automatiquement et contient par défaut une politique de mots de passe et quelques paramètres Kerberos.

La règle d’or, d’abord : la Default Domain Policy ne doit contenir que la politique de mots de passe et la stratégie de verrouillage des comptes. Tout le reste — pare-feu, paramètres de sécurité spécifiques, configurations applicatives - doit etre configuré avec des GPOs dédiées liées aux OUs appropriées. C’est une convention, pas une contrainte technique, cela simplifie énormément le diagnostic et la maintenance si vous pensez qu’une gpo fou la m…de il suffit de la desactiver, si vous avec tout mis dans une seule et unique gpo ben tant pis pour vous.

GPO — Désactiver l'hibernation

Fri, 01 May 2026 00:00:00 +0000

L’hibernation ca peu etre utile sur un laptop. On rabats l’écran, le système sauvegarde l’état de la RAM sur le disque, et on reprend la où on en était quelques heures plus tard. Par contre ca decharge la batterie.

Sur une station de travail c’est une autre histoire. L’hibernation réserve un fichier hiberfil.sys sur le disque système dont la taille équivaut à la totalité de la RAM installée. Sur une machine avec 32 Go de RAM, c’est 32 Go d’espace disque bloqué pour une fonctionnalité que personne n’utilisera jamais. Autre consequence observée en prod, des mises à jours distribuées par un serveur WSUS en interne et qui necessitaent un reboot, échouent a chaque fois. En creusant vous constatez, qu’apres le reboot demandé par la mise a jour, dans le gestionnaire des taches le comtpeur de durée de fonctionnement (uptime) n’as pas été réinitailisé à zéro donc la machine n’as pas réellement rebooté. Résultat : WSUS attend la confirmation du reboot, la machine répond “reboot fait” mais techniquement non, et certaines mises à jour en multi-étapes (notamment les cumulatives et les mises à jour de sécurité kernel) restent bloquées indéfiniment.

GPO — Éradiquer OneDrive

Fri, 01 May 2026 00:00:00 +0000

OneDrive c’est l’exemple parfait du logiciel qu’on n’a pas demandé, qu’on ne veut pas, et qui revient quand même. Il se réinstalle, se relance, redirige vos dossiers, et vous regarde dans les yeux en souriant pendant qu’il le fait, prêt à synchroniser vos documents quelque part dans le cloud de Microsoft. Voilà comment mettre fin à cette relation toxique.

Sur un réseau d’entreprise — même une infra perso — OneDrive c’est :

GPO — Gestion à distance WMI et tâches planifiées

Fri, 01 May 2026 00:00:00 +0000

Gérer des machines à distance sans devoir désactiver le pare-feu, c’est possible. Il faut juste ouvrir les bons ports pour WMI, DCOM et RPC — ni plus, ni moins. On pourra utiliser WMI pour interroger des machines à distance — collecter des infos système, lancer des commandes, gérer les tâches planifiées depuis la console ou un script PowerShell.

Quand on lance une commande Get-WmiObject et qu’on obtient : l’accès RPC a été refusé, la solution facile c’est désactiver le pare-feu Windows sur les machines cibles. Mais c’est une très mauvaise idée sur un réseau où cohabitent des machines de niveaux de confiance différents.

GPO — Neutraliser Edge

Fri, 01 May 2026 00:00:00 +0000

Soyons honnêtes : Edge n’est pas catastrophique comme navigateur. Ce qui est catastrophique, c’est son comportement dans un environnement géré C’est un navigateur qu’on n’a pas choisi, qui s’impose sur chaque nouveau profil, et qui fait tourner des services en arrière-plan pour rien. À chaque nouveau profil utilisateur, Edge s’impose comme navigateur par défaut. Ses services edgeupdate et edgeupdatem tournent en permanence en arrière-plan, même sur des machines où personne n’a ouvert Edge. Ses tâches planifiées se relancent après certaines mises à jour. Et si vous utilisez Chrome, Opera, Firefox ou n’importe quel autre navigateur comme choix par défaut, il faut reconfigurer ça sur chaque nouveau profil.

GPO — RDP sur port personnalisé

Fri, 01 May 2026 00:00:00 +0000

Le Bureau à distance Windows écoute sur le port 3389. C’est connu, c’est le premier port que scannent les outils automatisés qui cherchent des accès exposés. Sur un réseau interne isolé derrière un NAT correct, le risque est limité. Mais dès qu’une machine est accessible depuis l’extérieur — ou simplement si on veu une couche de sécurité supplémentaire sans effort — déplacer RDP sur un port non-standard est une mesure simple et efficace.

GPO — Tuer IPv6 une bonne fois pour toutes

Fri, 01 May 2026 00:00:00 +0000

Je ne suis pas anti IPv6, c’est juste que sur un réseau LAN qui n’en a pas besoin ca ne sert a rien, c’est une case cochée par défaut dans la config de la carte reseau que personne n’a demandée.

On a un réseau LAN. Il tourne en IPv4. Il a toujours tourné en IPv4. Il tournera en IPv4 jusqu’à ce qu’on change d’infra ou que la chaleur du soleil engloutisse la Terre, selon ce qui arrive en premier.