Restriction administrateur : Les stratégies locales

Sur Windows, il existe des restrictions qui peuvent être appliquées par l’administrateur à tous les utilisateurs (dont lui même).
Ces restrictions se nomment stratégies locales ou de groupes (Policies en anglais) et permettent de désactiver des fonctionnalités de Windows.
Ces dernières sont très utilisées dans les entreprises pour limiter les accès utilisateurs mais peuvent aussi être appliquées par des virus informatiques.

Un petit tour de ces restrictions administrateurs.

windows_restriction_administrateur

Exemple de restrictions administrateurs

A votre travail ou chez vous, après une attaque de virus informatiques.. vous avez pu rencontrer le message “XXX a été désactivé par votre administrateur” ou des menus grisés.
Ci-dessous, un exemple avec le gestionnaire de tâches qui ne peut se lancer et qui est grisé depuis un clic droit sur la barre des tâches.
gestionnaire_tache_desactivee_administrateurou encore ci-dessous, le message en rouge : Une authentification est requise pour sortir ce pc du mode veille. les stratégies de sécurité de ce pc vous empêchent de modifier ce paramètre.
(source : Windows 10 : les problèmes de retour de mise en veille).

une_authentification_requise_pour_sortir_-_mode_veille

ou enfin encore le message “Certains paramètres sont gérés par votre entreprise” sur divers menu des paramètres de Windows :

et et… comme les PUPs et Adwares ont le vent en poupe… On retrouve aussi ces restrictions sur les navigateurs WEB comme Google Chrome qui suivent les stratégies de Windows.
Ce qui permet à ces parasites d’imposer un moteur de recherche, comme pourrait le faire un administrateur sur un réseau d’entreprise.
Exemple avec Chrome: “Ce paramètre est appliqué par votre administrateur”

googlechrome_parametre_applique_administrateur

On appelle ces restrictions appliquées par l’administrateur des stratégies (locales ou de groupes)…
On distingue donc deux type de stratégies.
Les consoles de gestion ne sont pas disponibles sur Windows familiale.
Depuis les outils d’administration du Panneau de Configuration :

Les outils d'administration d'un Windows familale
Les outils d’administration d’un Windows familale
Les outils d'administration d'un Windows Pro
Les outils d’administration d’un Windows Pro

Les stratégies de groupes

Les stratégies de groupes sont des restrictions et des configurations imposées à des groupes utilisateurs au sein d’un domaine Windows. Il s’agit donc de configurations imposées par les administrateurs dans les entreprises ; nous ne détaillerons pas cet aspect.
Ces stratégies de groupes sont applicables depuis Active Directory et peuvent aussi être affichées sur les ordinateurs à partir de la console gpedit.msc
Ce sont les stratégies les plus complètes, il est vraiment possible de tout désactiver, de certains onglets ou bouton d’Internet Explorer à des menus de Windows.
En clair donc, l’administrateur peut tout bloquer.

gpedit_strategie_groupe_locale

Cet éditeur n’est pas disponible, par défaut, sur les éditions familiale.
Il est toutefois possible d’activer gpedit.msc : Comment activer gpedit.msc sur Windows 10

Les stratégies locales

Les stratégies locales sont plus réduites, on y trouve :

  • Stratégies de compte
  • Stratégies locales
  • Pare-feu Windows avec fonctions avancées de sécurité
  • Stratégies du gestionnaire de listes de réseaux
  • Stratégies de clé publique
  • Stratégies de restriction logicielle
  • Stratégies de contrôle de l’application : Applocker
  • Stratégies de sécurité IP sur ordinateur Local
  • Configuration avancée de la stratégie d’audit

La console de gestion est secpol.msc, dont voici un aperçu.

secpol_strategie_securite_locale secpol_strategie_securite_locale_2

Quelques éléments :

  • Désactiver la télémétrie : Configuration utilisateur > Modèles d’administration > Composants Windows > Collecte des données et versions d’évaluation Preview

  • Activer le journal des scripts Powershell : Configuration utilisateur > Modèles d’administration > Composants Windows > PowerShell
Powershell_strategie_groupe_locale.png
Vous pouvez aussi activer l’audit de Windows, plus d’informations : Auditer l’activité de Windows
Déroulez le modèle : Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d’audit > Stratégie d’audit système.

 

Comment sont stockées les restrictions ?

Les consoles de gestion des stratégies ne sont pas disponibles sur Windows Familiale, ça ne veut pas pourtant dire que ces restrictions ne peuvent s’y appliquer.
Ces restrictions comme la plupart des informations de la configuration de Windows sont stockées dans la base de registre de Windows.

Pour Windows 2000, cela fonctionne aussi encore en partie jusqu’à Windows 7.
Les restrictions sont stockées dans HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies ou  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Par exemple, les clefs relatives aux restrictions de l’explorateur Windows (menu grisé, icône retirée etc)

HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Vous trouverez une liste complète sur la page suivante : https://msdn.microsoft.com/fr-fr/library/ms815238.aspx

puis le modèle a changé, un dossier c:\Windows\system32\GroupPolicy et C:\Windows\system32\GroupPolicyUsers a été créé, contenant notamment un fichier registry.pol qui reprend ces clés.
Ce fichier registry.pol est éditable avec l’application Registry WorkShop

registry_pol_editeur

Réinitialiser les stratégies

Si des stratégies ont été mises en place, notamment après une attaque virale… et sur un Windows Familiale où aucun éditeur n’est disponible.
Vous pouvez réinitialiser les stratégies de cette manière.

Ouvrez l’invite de commandes (admin), par un clic droit sur le menu Démarrer puis invite de commandes (admin)

Windows10_invite_comandes_admin

Collez les commandes :

RD /S /Q "%windir%\System32\GroupPolicyUsers"
RD /S /Q "%windir%\System32\GroupPolicy"
gpupdate /force

Il est aussi possible de remplacer la dernière commande par :

secedit /configure /db reset /cfg “c:\windows\security\templates\setup security.inf” /overwrite

reinitialiser_restrictions_administrateur_strategie

Sur Windows 10, la précédente commande peut générer des erreurs, tentez alors :

secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose

O&O ShutUp10

Le programme O&O Shutup10 (OOSU10) peut aussi aider à réactiver certains fonctionnalités.

  • Rouge la fonctionnalité est active.
  • Vert la fonctionnalité est bloquée.

Opération annulée restrictions ordinateurs

Si vous rencontrez la restriction suivante lors d’une tentative d’ouverture d’un programme :

Cette opération a été annulée en raison de restrictions sur cet ordinateur. Contactez votre administrateur système.

Rendez-vous sur la page : Problème exécution ou ouverture d’application

Les liens autour des accès administrateur

Print Friendly
(Visité 1 877 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet