GPO Sécurité : 10 meilleures pratiques pour durcir Active Directory en 2026

GPO Sécurité : 10 meilleures pratiques pour durcir Active Directory en 2026

Image by: Markus Winkler

Table of contents

Le principe du moindre privilège : fondations de la sécurité

Selon un rapport de Microsoft, 80% des compromissions de sécurité exploitent des privilèges excessifs. Appliquer le principe du moindre privilège (Least Privilege) signifie accorder aux utilisateurs et applications uniquement les droits nécessaires à leurs tâches. Dans une infrastructure locale Windows, cela commence par :

  • Segmenter les comptes administrateurs (dédier un compte admin distinct des comptes utilisateurs standards)
  • Utiliser les groupes de sécurité Active Directory pour un contrôle granulaire
  • Désactiver les droits administratifs inutiles via les stratégies de groupe (GPO)

Exemple concret : configurez une GPO pour limiter l’accès au Panneau de configuration sur les postes clients. Via l’éditeur GPME (gpedit.msc), naviguez vers Configuration utilisateur > Modèles d’administration > Panneau de configuration et activez « Interdire l’accès au Panneau de configuration ».

Audit continu avec PowerShell

Get-LocalUser | Where-Object {$_.Enabled -eq $true -and $_.PrincipalSource -eq ‘Local’} | Format-Table Name, SID, Description

Ce script liste les comptes locaux actifs, première étape pour identifier les privilèges excessifs. Complétez avec l’outil Microsoft LSA Protection pour bloquer les injections de processus malveillants.

Gestion des mots de passe avec LAPS : éliminer les failles locales

Les comptes administrateurs locaux identiques sur tous les postes sont un risque majeur. La solution LAPS (Local Administrator Password Solution) automatise la gestion de mots de passe uniques et aléatoires stockés dans Active Directory. Implémentation en 5 étapes :

  1. Téléchargez le package LAPS sur les contrôleurs de domaine via le centre de téléchargement Microsoft
  2. Installez le module PowerShell AdmPwd.PS sur les stations d’administration
  3. Déléguez les permissions AD avec Set-AdmPwdComputerSelfPermission
  4. Configurez la stratégie de mot de passe via GPO :
Paramètre GPO Valeur recommandée Impact sécurité
Longueur du mot de passe 14 caractères Résistance aux attaques bruteforce
Complexité Majuscules + minuscules + chiffres Entropie renforcée
Rotation Tous les 30 jours Limite la fenêtre d’exploitation

Les mots de passe sont chiffrés dans l’attribut AD ms-Mcs-AdmPwd et accessibles via PowerShell avec Get-AdmPwdPassword -ComputerName SERVEUR01. Pour une protection optimale, combinez LAPS avec les stratégies Credential Guard de Windows Server.

Désactiver les protocoles obsolètes via GPO : assainir les communications

Le protocole SMBv1, responsable de la propagation de WannaCry, reste activé par défaut dans certains environnements. Voici comment le désactiver via GPO :

  1. Ouvrez l’éditeur de gestion des stratégies de groupe
  2. Naviguez vers Configuration ordinateur > Modèles d’administration > Réseau > Client LAN Manager
  3. Activez « Paramètres de sécurité pour LAN Manager » et sélectionnez « Envoyer uniquement NTLMv2 »
  4. Désactivez SMBv1 dans Configuration ordinateur > Stratégies > Options de sécurité > Stratégies réseau

Les dernières versions de Windows Server intègrent des contrôles renforcés :

  • Détection automatique des clients utilisant des protocoles vulnérables via les journaux événementiels (ID 3000)
  • Blocage proactif des suites chiffrement faibles (RC4, DES) via les paramètres TLS
  • Isolation des services avec les Containers de sécurité pour limiter les mouvements latéraux

Un audit régulier avec l’outil gratuit Microsoft Security Compliance Toolkit est indispensable pour maintenir la conformité.

Nouveautés de sécurité dans Windows Server 2022

Windows Server 2022 introduit des mécanismes révolutionnaires pour sécuriser votre infrastructure locale :

Secured-core et protection matérielle

L’architecture Secured-core intègre :

  • Virtualisation basée sur la sécurité (HVCI) pour bloquer les injections de code
  • Boot sécurisé mesuré avec attestation TPM 2.0
  • Protection contre les firmware malveillants via System Guard

Améliorations du contrôle d’accès

Les nouveautés incluent :

New-ADFineGrainedPasswordPolicy -Name « PolicyAdmin » -Precedence 1 -MinPasswordLength 16 -LockoutDuration « 00:30:00 »

Cette commande crée une stratégie de mot de passe spécifique pour les comptes admins. Combinée à la fonctionnalité Authentication Policy Silos, elle isole complètement les sessions administratives.

La gestion des certificats est renforcée avec Key Storage Provider pour sécuriser les clés dans des environnements TEE (Trusted Execution Environment).

Checklist opérationnelle pour une infrastructure sécurisée

Appliquez immédiatement ces mesures critiques :

  1. Auditez les privilèges : Vérifiez les membres des groupes Administrateurs et Schema Admins via Get-ADGroupMember
  2. Déployez LAPS : Priorisez les serveurs exposés sur internet et les postes sensibles
  3. Mettez à jour les GPO : Désactivez SMBv1, NTLMv1 et TLS 1.0/1.1
  4. Activez les logs avancés : Configurez la journalisation des événements 4688 (création processus) et 4104 (exécution PowerShell)
  5. Isolez les admins : Utilisez des stations de travail dédiées avec Microsoft PAW (Privileged Access Workstations)

Pour les environnements hybrides, intégrez Azure Arc pour étendre les politiques de sécurité cloud aux serveurs locaux via Azure Policy.

Frequently asked questions

LAPS est-il compatible avec les anciennes versions de Windows ?

Oui, LAPS fonctionne sur Windows 7/8.1 et Server 2008 R2 minimum. Cependant, les fonctionnalités avancées comme le chiffrement AES des mots de passe nécessitent Windows 10 1607+ ou Server 2016+.

Comment auditer efficacement les protocoles obsolètes ?

Utilisez la commande PowerShell Get-SmbConnection | Select Dialect, ServerName pour détecter les connexions SMBv1. Pour les protocoles réseau, l’outil Microsoft Security Compliance Manager génère des rapports détaillés.

Quels sont les risques de désactiver NTLM ?

Certaines applications héritées peuvent dysfonctionner. Testez progressivement en mode audit via la stratégie « Network security: Restrict NTLM ». Analysez les événements 8001-8004 dans les journaux NTLM pour identifier les dépendances avant désactivation complète.

Comment migrer vers Secured-core Server 2022 ?

La migration nécessite : 1) Matériel compatible (TPM 2.0, UEFI Secure Boot), 2) Mise à jour des firmwares, 3) Activation manuelle d’HVCI via PowerShell : Set-HVCIOptions -Enabled -Reboot. Consultez le guide officiel Microsoft pour les prérequis détaillés.

Conclusion

Sécuriser une infrastructure locale repose sur trois piliers : réduire les privilèges via le Least Privilege, automatiser la gestion des accès critiques avec LAPS, et éliminer les vulnérabilités réseau via les GPO. Les nouvelles fonctionnalités de Windows Server 2022 comme Secured-core offrent des protections matérielles inédites contre les attaques avancées. Ces mesures combinées réduisent jusqu’à 90% la surface d’attaque selon le framework NIST. Pour aller plus loin, téléchargez notre checklist complète de durcissement et formez vos équipes aux dernières pratiques. La sécurité est un processus continu – commencez par auditer votre environnement aujourd’hui même.