GPO — Neutraliser Edge

Soyons honnêtes : Edge n’est pas catastrophique comme navigateur. Ce qui est catastrophique, c’est son comportement dans un environnement géré C’est un navigateur qu’on n’a pas choisi, qui s’impose sur chaque nouveau profil, et qui fait tourner des services en arrière-plan pour rien. À chaque nouveau profil utilisateur, Edge s’impose comme navigateur par défaut. Ses services edgeupdate et edgeupdatem tournent en permanence en arrière-plan, même sur des machines où personne n’a ouvert Edge. Ses tâches planifiées se relancent après certaines mises à jour. Et si vous utilisez Chrome, Opera, Firefox ou n’importe quel autre navigateur comme choix par défaut, il faut reconfigurer ça sur chaque nouveau profil.

Sur mon infra, le navigateur de référence c’est Brave, installé manuellement sur les postes (le deploiement automatique de brave fera l’objet d’uneautre gpo). La GPO Kill Edge sert à neutraliser Edge complètement : désinstallation via son propre installer, services désactivés, tâches planifiées coupées, et blocage de la connexion compte Microsoft pour les cas où Edge survivrait quand même.

Ce qu’il faut savoir avant de commencer

Edge est un composant système

C’est la mauvaise nouvelle : Microsoft traite Edge comme un composant de Windows, pas comme une application tierce. Après une mise à jour majeure de Windows, Edge peut revenir. C’est un fait documenté et il n’existe pas de méthode officielle pour l’en empêcher définitivement.

La bonne nouvelle : sur une infra avec un WSUS correctement configuré qui ne synchronise pas les Feature Packs et les mises à jour optionnelles, ce risque est fortement réduit. Le script de désinstallation qu’on va déployer tourne à chaque démarrage — si Edge revient, il repart au prochain reboot.

Ce qu’on ne fait pas

On ne patche pas l’OS. On ne touche pas aux composants système Windows en profondeur. On utilise les mécanismes officiels : l’installer d’Edge lui-même pour la désinstallation, les clés de registre documentées pour le reste.

Création de la GPO

Dans la GPMC :

Clic droit sur l'OU cible → Create a GPO in this domain and link it here
Nom : Kill Edge

Couche 1 — Script PowerShell de démarrage

C’est le cœur de la GPO. Le script s’exécute à chaque démarrage en contexte SYSTEM, avant l’ouverture de session.

Créez un fichier kill_edge.ps1 :

# Désinstaller Edge via son propre installer
$EdgeSetup = Get-ChildItem "C:\Program Files (x86)\Microsoft\Edge\Application\*\Installer\setup.exe" `
    -ErrorAction SilentlyContinue | Select-Object -Last 1
if ($EdgeSetup) {
    Start-Process $EdgeSetup.FullName `
        -ArgumentList "--uninstall --system-level --verbose-logging --force-uninstall" `
        -Wait
}

# Désactiver les services Edge Update
Stop-Service edgeupdate -ErrorAction SilentlyContinue
Stop-Service edgeupdatem -ErrorAction SilentlyContinue
Set-Service edgeupdate -StartupType Disabled -ErrorAction SilentlyContinue
Set-Service edgeupdatem -StartupType Disabled -ErrorAction SilentlyContinue

# Désactiver les scheduled tasks Edge
Get-ScheduledTask | Where-Object { $_.TaskName -like "*Edge*" } | `
    Disable-ScheduledTask -ErrorAction SilentlyContinue

# Bloquer Edge sur les nouveaux profils utilisateurs
reg load HKLM\DEFAULT_USER "C:\Users\Default\NTUSER.DAT"
reg delete "HKLM\DEFAULT_USER\Software\Microsoft\Windows\CurrentVersion\Run" `
    /v MicrosoftEdgeAutoLaunch /f 2>$null
reg unload HKLM\DEFAULT_USER

Place ce fichier dans le dossier Scripts de la GPO :

\\domaine\SYSVOL\domaine\Policies\{GUID-GPO}\Machine\Scripts\Startup\

Puis dans la GPMC :

Computer Configuration → Policies → Windows Settings → Scripts → Démarrage
→ Onglet "Scripts PowerShell" → Ajouter → kill_edge.ps1

Couche 2 — GPP Registry

Trois clés complémentaires pour bloquer les mécanismes de mise à jour et de télémétrie Edge.

Computer Configuration → Preferences → Windows Settings → Registry

Bloquer EdgeUpdate (empêche la mise à jour automatique d’Edge)

Champ	Valeur
Action	`Mettre à jour`
Ruche	`HKEY_LOCAL_MACHINE`
Chemin	`SOFTWARE\Microsoft\EdgeUpdate`
Nom	`DoNotUpdateToEdgeWithChromium`
Type	`REG_DWORD`
Données	`1`

DoNotUpdateToEdgeWithChromium = 1 — EdgeUpdate ne mettra plus Edge à jour automatiquement.

Désactiver la connexion compte Microsoft dans Edge

Champ	Valeur
Action	`Mettre à jour`
Ruche	`HKEY_LOCAL_MACHINE`
Chemin	`SOFTWARE\Policies\Microsoft\Edge`
Nom	`BrowserSignin`
Type	`REG_DWORD`
Données	`0`

BrowserSignin = 0 — Edge ne peut plus se connecter à un compte Microsoft.

Désactiver la télémétrie Edge

Champ	Valeur
Action	`Mettre à jour`
Ruche	`HKEY_LOCAL_MACHINE`
Chemin	`SOFTWARE\Policies\Microsoft\Edge`
Nom	`MetricsReportingEnabled`
Type	`REG_DWORD`
Données	`0`

MetricsReportingEnabled = 0 — la télémétrie Edge est coupée.

Vérification post-déploiement

Après gpupdate /force et reboot :

# Edge ne doit pas être dans les processus actifs
Get-Process -Name msedge -ErrorAction SilentlyContinue

# Services Edge Update doivent être Disabled
Get-Service edgeupdate, edgeupdatem | Select-Object Name, StartType, Status

# Tâches planifiées Edge doivent être Disabled
Get-ScheduledTask | Where-Object { $_.TaskName -like "*Edge*" } | Select-Object TaskName, State

# Vérifier les clés registre
Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\EdgeUpdate" -Name DoNotUpdateToEdgeWithChromium
Get-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Edge" -Name BrowserSignin, MetricsReportingEnabled