Restriction administrateur : Les stratégies locales

Sur Windows, il existe des restrictions qui peuvent être appliquées par l’administrateur à tous les utilisateurs (dont lui même).
Ces restrictions se nomment stratégies locales ou de groupes (Policies en anglais) et permettent de désactiver des fonctionnalités de Windows.
Ces dernières sont très utilisées dans les entreprises pour limiter les accès utilisateurs mais peuvent aussi être appliquées par des virus informatiques.

Un petit tour de ces restrictions administrateurs.

windows_restriction_administrateur

Exemple de restrictions administrateurs

A votre travail ou chez vous, après une attaque de virus informatiques.. vous avez pu rencontrer le message « XXX a été désactivé par votre administrateur » ou des menus grisés.
Ci-dessous, un exemple avec le gestionnaire de tâches qui ne peut se lancer et qui est grisé depuis un clic droit sur la barre des tâches.
gestionnaire_tache_desactivee_administrateur

ou encore ci-dessous, le message en rouge : Une authentification est requise pour sortir ce pc du mode veille. les stratégies de sécurité de ce pc vous empêchent de modifier ce paramètre.
(source : Windows 10 : les problèmes de retour de mise en veille).

une_authentification_requise_pour_sortir_-_mode_veille

et et… comme les PUPs et Adwares ont le vent en poupe… On retrouve aussi ces restrictions sur les navigateurs WEB comme Google Chrome qui suivent les stratégies de Windows.
Ce qui permet à ces parasites d’imposer un moteur de recherche, comme pourrait le faire un administrateur sur un réseau d’entreprise.
Exemple avec Chrome: « Ce paramètre est appliqué par votre administrateur »

googlechrome_parametre_applique_administrateur

On appelle ces restrictions appliquées par l’administrateur des stratégies (locales ou de groupes)…
On distingue donc deux type de stratégies.
Les consoles de gestion ne sont pas disponibles sur Windows familiale.
Depuis les outils d’administration du Panneau de Configuration :

Les outils d'administration d'un Windows familale
Les outils d’administration d’un Windows familale
Les outils d'administration d'un Windows Pro
Les outils d’administration d’un Windows Pro

Les stratégies de groupes

Les stratégies de groupes sont des restrictions et des configurations imposées à des groupes utilisateurs au sein d’un domaine Windows. Il s’agit donc de configurations imposées par les administrateurs dans les entreprises ; nous ne détaillerons pas cet aspect.
Ces stratégies de groupes sont applicables depuis Active Directory et peuvent aussi être affichées sur les ordinateurs à partir de la console gpedit.msc
Ce sont les stratégies les plus complètes, il est vraiment possible de tout désactiver, de certains onglets ou bouton d’Internet Explorer à des menus de Windows.
En clair donc, l’administrateur peut tout bloquer.

gpedit_strategie_groupe_locale

Les stratégies locales

Les stratégies locales sont plus réduites, on y trouve :

  • Stratégies de compte
  • Stratégies locales
  • Pare-feu Windows avec fonctions avancées de sécurité
  • Stratégies du gestionnaire de listes de réseaux
  • Stratégies de clé publique
  • Stratégies de restriction logicielle
  • Stratégies de contrôle de l’application : Applocker
  • Stratégies de sécurité IP sur ordinateur Local
  • Configuration avancée de la stratégie d’audit

La console de gestion est secpol.msc, dont voici un aperçu.

secpol_strategie_securite_locale secpol_strategie_securite_locale_2

Comment sont stockées les restrictions ?

Les consoles de gestion des stratégies ne sont pas disponibles sur Windows Familiale, ça ne veut pas pourtant dire que ces restrictions ne peuvent s’y appliquer.
Ces restrictions comme la plupart des informations de la configuration de Windows sont stockées dans la base de registre de Windows.

Pour Windows 2000, cela fonctionne aussi encore en partie jusqu’à Windows 7.
Les restrictions sont stockées dans HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies ou  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Par exemple, les clefs relatives aux restrictions de l’explorateur Windows (menu grisé, icône retirée etc)

HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Vous trouverez une liste complète sur la page suivante : https://msdn.microsoft.com/fr-fr/library/ms815238.aspx

puis le modèle a changé, un dossier c:\Windows\system32\GroupPolicy et C:\Windows\system32\GroupPolicyUsers a été créé, contenant notamment un fichier registry.pol qui reprend ces clés.
Ce fichier registry.pol est éditable avec l’application Registry WorkShop

registry_pol_editeur

Réinitialiser les stratégies

Si des stratégies ont été mises en place, notamment après une attaque virale… et sur un Windows Familiale où aucun éditeur n’est disponible.
Vous pouvez réinitialiser les stratégies de cette manière.

Ouvrez l’invite de commandes (admin), par un clic droit sur le menu Démarrer puis invite de commandes (admin)

Windows10_invite_comandes_admin

Collez les commandes :

RD /S /Q "%windir%\System32\GroupPolicyUsers"
RD /S /Q "%windir%\System32\GroupPolicy"
gpupdate /force

Il est aussi possible de remplacer la dernière commande par :

secedit /configure /db reset /cfg “c:\windows\security\templates\setup security.inf” /overwrite

reinitialiser_restrictions_administrateur_strategie

Sur Windows 10, la précédente commande peut générer des erreurs, tentez alors :

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

Les liens autour des accès administrateur

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 379 times, 10 visits today)