Dans les environnements sensibles, les GPO (Group Policy Objects) sont utilisées pour établir un contrôle centralisé rigide des systèmes Windows. Appliquées sur des hôtes Windows Server Core, elles permettent une configuration non altérable localement, garantissant un socle immuable conforme à la doctrine Zero Trust. Ce guide aborde la mise en œuvre de GPO très avancées (niveau expert SOC ou architecte sécurité) pour verrouiller les rôles critiques, désactiver les vecteurs d’intrusion, automatiser la surveillance, et préparer le terrain à l’analyse forensique post-incident.
11. Restreindre l’accès RDP aux seules IP internes autorisées
Computer Configuration → Windows Settings → Security Settings → Windows Firewall with Advanced Security → Inbound Rules- Créer une règle RDP autorisée uniquement pour les IP internes définies (ex : 10.10.10.0/24)
- Ajouter une règle de blocage RDP pour tous les autres réseaux
12. Forcer le chiffrement de tous les canaux SMB
Computer Configuration → Policies → Admin Templates → Network → Lanman Workstation
- Enable secure negotiate: Enabled
- Require security signatures: EnabledProtège les communications inter-serveurs contre les attaques de type MITM ou downgrade SMB.
13. Bloquer l’accès aux comptes locaux intégrés sauf via consoles spécifiques
Computer Configuration → Policies → Windows Settings → Security Settings → Local Policies → User Rights Assignment
- Deny log on through Remote Desktop Services: BUILTIN\AdministratorsEmpêche l’utilisation à distance des comptes intégrés, même en cas d’élévation réussie.
14. Activer BitLocker via GPO sur les volumes système et données
Computer Configuration → Policies → Admin Templates → Windows Components → BitLocker Drive Encryption- Configurer la méthode AES-XTS 256-bit
- Exiger TPM + PIN + récupération AD
15. Créer une politique d’audit spécifique pour la surveillance de process élevés
Audit Object Access + Audit Process Creation- Inclure Event ID 4688 avec lignes de commande complètes (via GPO + registry)
Permet une corrélation SIEM avancée sur les scripts malveillants, lolbins et attaques par intérpréteurs.
16. Forcer l’interdiction de double session interactive
Computer Configuration → Policies → Admin Templates → Windows Components → Remote Desktop Services → Remote Desktop Session Host
- Restrict Remote Desktop Services users to a single Remote Desktop Services session: EnabledRéduit le risque d’intrusion simultanée ou de rebond via RDP détourné.
17. Journaliser tout redémarrage de service critique (Event ID 7036)
Auditpol /set /subcategory:"Other System Events" /success:enable /failure:enablePour détecter le redémarrage anormal de services sensibles tels que WinRM, W32Time, Netlogon, etc.
18. Interdire l’exécution de code .NET non signé (via Code Integrity)
Computer Configuration → Windows Settings → Security Settings → Application Control Policies → Windows Defender Application Control- Déployer une politique CI signée par l’éditeur (mode audit puis enforced)
19. Surveiller l’intégrité des fichiers système (SFC + événements 1000+)
GPO + script programmé :
sfc /scannow
Get-WinEvent -LogName "System" -FilterXPath "*[System[(EventID>=1000 and EventID<=1003)]]"Corrèle les anomalies système avec une politique de détection automatique d’altération du binaire Windows.
20. Déclenchement automatique d’un export de logs critiques dès détection d’événement clé
Script déclenché via planificateur GPO :
Register-ScheduledTask -Action (New-ScheduledTaskAction -Execute 'powershell.exe' -Argument '-File C:\tools\extract-logs.ps1') -Trigger (New-ScheduledTaskTrigger -AtStartup) -TaskName "ExportEventLogs" -User "SYSTEM"Permet un dump des journaux et artefacts en cas de redémarrage ou plantage critique.
Conclusion ultra-avancée
Ce jeu de GPO constitue une stratégie de durcissement à l’épreuve des attaques internes persistantes et des fuites de données. Couplé à du threat hunting basé sur les journaux centralisés, cette configuration vise l’excellence défensive en conformité avec les environnements durcis (ANSSI RGS, ISO 27001, NIS2). L’objectif est clair : rendre impossible toute déviation sans détection ou intervention SOC immédiate.
