Sur Windows 8, Windows 10 et 11, il existe des restrictions appliquées par l’administrateur à tous les utilisateurs (dont lui même).
Ces restrictions se nomment stratégies de groupes locales (Policies en anglais) et les stratégies de sécurités locales.
On peut bloquer l’accès à des fonctionnalités de Windows par une popup ou la modification de paramètre.
Dans ce cas dernier cas, le message “Ce Paramètre est géré par l’administrateur ou géré par l’organisation“.
Ces dernières sont très utilisées dans les entreprises pour limiter les accès utilisateurs.
Mais des virus informatiques les utilisent pour bloquer certaines fonctions de Windows.
Voici un article complet autour des restrictions administrateurs de Windows.
Table des matières
Qu’est-ce que les restrictions administrateur
A votre travail ou chez vous, après une attaque de virus informatiques.. vous avez pu rencontrer le message “XXX a été désactivé par votre administrateur” ou des menus grisés.
Ci-dessous, un exemple avec le gestionnaire de tâches qui ne peut se lancer et qui est grisé depuis un clic droit sur la barre des tâches.
ou encore le message suivante :
Cette opération a été annulée en raison de restrictions sur cet ordinateur. Contactez votre administrateur système.
Ci-dessous, le message en rouge : Une authentification est requise pour sortir ce pc du mode veille. les stratégies de sécurité de ce pc vous empêchent de modifier ce paramètre.
(source : Windows 10 : les problèmes de retour de mise en veille).
ou enfin encore le message “Certains paramètres sont gérés par votre entreprise” sur divers menu des paramètres de Windows :
et et… comme les PUPs et Adwares ont le vent en poupe… On retrouve aussi ces restrictions sur les navigateurs WEB comme Google Chrome qui suivent les stratégies de Windows.
Ce qui permet à ces parasites d’imposer un moteur de recherche, comme pourrait le faire un administrateur sur un réseau d’entreprise.
Exemple avec Chrome: “Ce paramètre est appliqué par votre administrateur”.
On appelle ces restrictions appliquées par l’administrateur des stratégies (locales ou de groupes).
On distingue donc deux type de stratégies.
Les consoles de gestion ne sont pas disponibles sur Windows familiale.
Les éditeurs pour modifier les restrictions administrateurs
Dans un domaine Windows (Active Directory), l’administrateur peut appliquer des restrictions administrateur à l’ensembles des PC du domaine ou à des groupes de PC.
Cela permet donc d’appliquer des modèles d’administration à différents groupes d’utilisateurs.
Ici j’énumère plutôt les outils présents directement dans Windows 8, 10 et Windows 11.
gpedit.msc : l’éditeur de stratégies de groupe locale
Les stratégies de groupes sont des restrictions et des configurations imposées à des groupes utilisateurs au sein d’un domaine Windows.
Il s’agit donc de configurations imposées par les administrateurs dans les entreprises.
Ces stratégies de groupes sont applicables depuis Active Directory et peuvent aussi être affichées sur les ordinateurs à partir de la console gpedit.msc
Ce sont les stratégies les plus complètes, il est vraiment possible de tout désactiver, de certains onglets ou bouton d’Internet Explorer à des menus de Windows.
En clair donc, l’administrateur peut tout bloquer et imposer des modèles d’administration.
Par exemple ci-dessous, on peut désactiver regedit l’éditeur de registre Windows.
Si on active cette restrictions, on obtient le message : La modification du registre a été désactivée par votre administrateur.
Cet éditeur n’est pas disponible, par défaut, sur les éditions familiale.
Il est toutefois possible d’activer gpedit.msc :
secpol.msc : l’éditeur de stratégie de sécurité locale
Les stratégies de sécurités locales permettent d’établir les configurations de sécurité.
Par exemple, comment les paramètres d’identification des utilisateurs dans Windows, le délai pour verrouiller la session, etc.
Elles sont plus réduites, mais on y trouve des stratégies importantes comme :
- Stratégies de compte liés aux comptes utilisateurs
- Stratégies locales
- Pare-feu Windows avec fonctions avancées de sécurité
- Stratégies du gestionnaire de listes de réseaux
- Stratégies de clé publique
- Stratégies de restriction logicielle
- Stratégies de contrôle de l’application : Applocker
- Stratégies de sécurité IP sur ordinateur Local
- Configuration avancée de la stratégie d’audit
La console de gestion est secpol.msc, dont voici un aperçu.
Quelques restrictions et stratégies :
- Désactiver la télémétrie : Configuration utilisateur > Modèles d’administration > Composants Windows > Collecte des données et versions d’évaluation
- Activer le journal des scripts Powershell : Configuration utilisateur > Modèles d’administration > Composants Windows > PowerShell
Vous pouvez aussi activer l’audit de Windows, plus d’informations : Auditer l’activité de Windows
Déroulez le modèle : Paramètres Windows > Paramètres de sécurité > Configuration avancée de la stratégie d’audit > Stratégie d’audit système.
Policy Plus : Editeur de stratégie de groupe locale pour toutes les éditions de Windows
Policy Plus est un éditeur de stratégie de groupe locale opensource et donc gratuit et disponible pour n’importe quelle édition de Windows.
Vous pouvez donc l’utiliser en remplacement de gpedit.msc.
Ce tutoriel vous explique comment l’utiliser :
Comment Windows stocke les restrictions administrateur ?
Les consoles de gestion des stratégies ne sont pas disponibles sur Windows Familiale, ça ne veut pas pourtant dire que ces restrictions ne peuvent s’y appliquer.
Ces restrictions comme la plupart des informations de la configuration de Windows sont stockées dans la base de registre de Windows.
Pour Windows 2000, cela fonctionne aussi encore en partie jusqu’à Windows 7.
Windows stocke les restrictions dans le registre Windows dans les clés suivantes :
- HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
Par exemple, les clefs relatives aux restrictions de l’explorateur Windows (menu grisé, icône retirée etc) :
HKEY_LOCAL_MACHINES\Software\Microsoft\Windows\CurrentVersion\Policies\ExplorerVous trouverez une liste complète sur la page suivante : Group Policy Registry Table
Voici un tableau avec un liste avec quelques restrictions :
| Nom de la policies / restriction | Valeur | Description |
|---|---|---|
| DisallowCPL | 0/1 (DWORD (32-bit)) | Permet d'activer la suppression d'icône du Panneau de configuration de Windows |
| SettingsPageVisibility | hide:page_names ou showonly:page_names. | Permet de masquer le contenu des paramètres de Windows 10. Voir : Résoudre les problèmes d’ouverture ou d’affichage des paramètres de Windows 10 |
| NoTrayItemsDisplay | 0/1 (DWORD (32-bit)) | Désactive les notifications de Windows. |
| MaxRecentDocs | nombre | Augmente le nombre de documents dans les documents récents |
| NoLogoff | 0/1 (DWORD (32-bit)) | Supprime le bouton arrêter du menu démarrer |
| HideClock | 0/1 (DWORD (32-bit)) | Supprime l'horloge du menu Démarrer |
| NoPropertiesRecycleBin | 0/1 (DWORD (32-bit)) | Registre l'accès aux propriétés de la corbeille de Windows |
| ConfirmFileDelete | 0/1 (DWORD (32-bit)) | Retire la demande de confirmation de suppression de fichiers |
| NoDrives | Valeur en hexadécimale | Cache un disque de la liste des partitions |
| NoViewOnDrive | Empêche l'accès au contenu d'un disque | |
| NoSecurityTab | 0/1 (DWORD (32-bit)) | Permet de masquer l'onglet Sécurité dans les propriétés d'un fichier/dossier |
| NoCustomizeThisFolder | 0/1 (DWORD (32-bit)) | Permet de masquer l'onglet Personnaliser dans les propriétés d'un fichier/dossier |
Puis le modèle a changé avec deux dossiers :
- C:\Windows\system32\GroupPolicy
- C:\Windows\system32\GroupPolicyUsers
On trouve alors le fichier registry.pol.
Il est éditable avec Registry WorkShop.
Comment réinitialiser les stratégies de groupes locale et restrictions administrateur
Lorsqu’un malware applique des restrictions administrateur à votre insu ou si la réplication ne fonctionne pas bien, il faut réinitialiser les stratégies de groupes locale.
Notamment grâce à la commande gupdate /force.
Le tutoriel suivant explique comment faire :