Zeroday Cyber Academy

DevSecOps

GPO : bonnes pratiques de sécurité Windows et AD 2026

GPO sécurité 2026 : Microsoft Security Baseline, CIS Benchmarks, hardening mdp, NTLM, SMB, AppLocker, WDAC, audit events, PAW, outils LGPO et PingCastle.

Naim Aouaichia
17 min de lecture
  • GPO
  • Active Directory
  • Windows
  • Hardening
  • Security Baseline
  • AppLocker
  • WDAC
  • Blue team
  • Conformité

Les GPO (Group Policy Objects) sont des objets Active Directory qui imposent une configuration aux utilisateurs et ordinateurs liés à une OU, un domaine ou un site. Elles couvrent les policies mot de passe, les droits utilisateur (User Rights Assignment), les options de sécurité (NTLM, SMB, UAC, LM hash), les logiciels à installer, les scripts, le pare-feu Windows, et depuis 2015 les contrôles d'exécution (AppLocker, WDAC). Bien configurées, elles constituent le socle le plus important du hardening Windows/AD et bloquent la majorité des techniques de lateral movement utilisées par les attaquants. Les références 2026 : Microsoft Security Baseline v2602 (février 2026) pour Windows Server 2025, baselines Windows 11 24H2+, CIS Benchmarks Level 1/2, guides ANSSI pour secteur public/OIV. Cet article détaille l'architecture GPO, les 10 catégories critiques pour la sécurité, les 20 GPO à appliquer en priorité (mots de passe, NTLM, SMB, AppLocker/WDAC, Audit Policy), les outils d'audit (Microsoft Policy Analyzer, PingCastle, GPOZaurr), la gestion des conflits et de l'héritage, et les pièges fréquents.

Rappel : comment fonctionnent les GPO

Ordre d'application LSDOU

Les GPO s'appliquent dans un ordre précis, le dernier applicable gagne en cas de conflit sur le même paramètre.

L - Local Group Policy (poste lui-même, gpedit.msc)
S - Site (Active Directory Sites and Services)
D - Domain (GPO liées au domaine)
O - Organizational Unit (parent puis enfant récursivement)
 
Ordre : L → S → D → O(parent) → O(enfant-1) → O(enfant-2) → ...
 
Exceptions :
  Enforced GPO (anciennement "No Override") : force la GPO à prévaloir
  Block Inheritance (sur une OU) : ignore les GPO du parent
                                   (sauf si Enforced parent)
  WMI Filtering : applique la GPO seulement si condition WMI satisfaite
  Security Filtering : limite les cibles (user/group/computer)
  Loopback Processing : inverse l'ordre User/Computer

Traitement côté client

Computer Configuration : appliquée au boot et refresh 90-120 min
User Configuration     : appliquée au logon et refresh 90-120 min
 
Refresh manuel : gpupdate /force
Diagnostic : gpresult /h report.html (génère rapport HTML détaillé)
Event Viewer : Applications and Services Logs > Microsoft >
               Windows > GroupPolicy > Operational (source 1500-9000)

Les baselines officielles 2026

Microsoft Security Baseline

La référence à jour et alignée sur les produits Microsoft. Disponible via le Microsoft Security Compliance Toolkit (gratuit).

Baselines actives en 2026 :
 
  Windows Server 2025 v2602 (février 2026)
    Nouveautés : sudo for Windows hardened, IE11 COM disabled,
                 enhanced NTLM auditing, SMB EPA audit events
 
  Windows 11 24H2+ (baseline continu)
    Credential Guard, WDAC progression, Passkeys support
 
  Microsoft 365 Apps for Enterprise
    Macros blocked by default, safe viewing, ASR rules
 
  Windows Server 2022 / 2019 (maintenance)
    Toujours maintenue pour clients en mode LTS
 
  Edge for Business (baseline Edge-specific)
    Réduction attaque browser

CIS Benchmarks

Le Center for Internet Security publie des benchmarks Windows détaillés (150-300 contrôles par version OS). Deux niveaux : L1 (profil classique) et L2 (profil durci Tier 0).

Benchmarks CIS Windows 2026 :
  Windows Server 2025 Benchmark v1.x
  Windows Server 2022 Benchmark v3.x
  Windows 11 Enterprise Benchmark v3.x
  Microsoft Azure Foundations Benchmark v3.x
  Microsoft Intune Benchmark v1.x (pour MDM)
 
Disponibilité :
  PDF gratuit sur cisecurity.org
  CIS Build Kits (GPO backups prêts à importer) pour membres
  Images cloud pré-hardenées AWS, Azure, GCP

ANSSI (France)

Guides français alignés sur les contextes OIV, secteur public, gouvernement. Moins fréquemment mis à jour mais cœur stable.

Références ANSSI 2024-2026 :
  « Recommandations de configuration de Windows 11 »
  « Recommandations pour Windows Server » (via RGS v2.0)
  « Cyber attaques et remédiation Active Directory Tier 0 »
  Collection de guides pour OIV (LPM) avec obligations

Les 10 catégories GPO critiques pour la sécurité

Ci-dessous les zones de configuration GPO qui maximisent l'impact sécurité, ordonnées par priorité.

#CatégorieObjectif principal
1Password Policy et LockoutForce contre brute force, password spray
2User Rights AssignmentIsolation privilèges, tiering enforcement
3Security Options (NTLM, SMB, UAC, LM hash)Lateral movement prevention
4AppLocker / WDACContrôle d'exécution, anti-malware
5Windows Firewall + Connection Security RulesSegmentation, admin shares control
6Audit Policy (Advanced Audit)Détection, forensic
7Credential Guard + VBSProtection LSASS, anti-PTH hardware-level
8Attack Surface Reduction rules (ASR)Défense Office macros, exploits
9BitLocker + Device GuardChiffrement disk, anti-offline
10LAPS (Local Administrator Password Solution)Rotation mdp admin locaux

Password Policy et Lockout

Policy mot de passe recommandée 2026

Emplacement : Computer Configuration → Windows Settings →
              Security Settings → Account Policies → Password Policy
 
Paramètres recommandés (alignés NIST SP 800-63B Rev 4) :
  Minimum password length     : 14 caractères (certains baselines 12)
  Password must meet complexity requirements : Enabled
  Maximum password age         : 90-180 jours (débattu, NIST ne recommande
                                 plus la rotation périodique si MFA)
  Minimum password age         : 1 jour
  Enforce password history     : 24 derniers
  Store passwords using reversible encryption : Disabled (toujours)
 
NIST SP 800-63B Rev 4 (2024) nuance :
  Pas de rotation périodique obligatoire si :
    - MFA activée
    - Check contre rainbow tables et password connus
    - Monitoring anomalies d'auth
 
En pratique 2026 : garder rotation 365 jours + MFA obligatoire

Account Lockout Policy

Emplacement : Computer Configuration → Account Policies → Account Lockout
 
Paramètres recommandés :
  Account lockout threshold    : 5-10 tentatives
  Account lockout duration      : 15-30 minutes
  Reset lockout counter after   : 15-30 minutes
 
Risque trop bas : self-DOS facile via attaquant
Risque trop haut : brute force / password spray efficace

User Rights Assignment (droits utilisateur)

Cette section contrôle qui peut faire quoi sur la machine (se loguer localement, via RDP, en tant que service, etc.). Critique pour le tiering model.

Emplacement : Computer Configuration → Windows Settings →
              Security Settings → Local Policies → User Rights Assignment
 
Les 10 droits à configurer strictement :
 
  Deny log on locally
    = Comptes Tier 0 (Domain Admins) sur postes Tier 1/2
    Empêche un phishing → credential theft sur DA
 
  Deny log on through Remote Desktop Services
    = Comptes Tier 0 sur tous les non-Tier 0
    = Utilisateurs standard sur serveurs production
 
  Deny log on as a batch job
    = Utilisateurs non-autorisés pour tâches planifiées
 
  Deny log on as a service
    = Utilisateurs standard sur comptes service
 
  Allow log on through RDP
    = Remote Desktop Users groupe strict
 
  Log on as a service / batch / etc
    = service accounts dédiés, jamais Domain Admins
 
  Debug programs
    = Administrators groupe strict (attaquant dump LSASS)
 
  Take ownership
    = Admins strict
 
  Act as part of the operating system
    = Aucun (trop puissant)
 
  Impersonate a client after authentication
    = Services nécessitant, auditer

Exemple critique : bloquer DA sur Tier 2

GPO : "TIER2-Deny-Tier0-Admins"
Link : OU Workstations (Tier 2)
 
Settings :
  Deny log on locally :
    - Domain Admins
    - Enterprise Admins
    - Schema Admins
    - Account Operators
    - Backup Operators
 
  Deny log on through Remote Desktop Services :
    (mêmes groupes)
 
Impact : un Domain Admin ne peut pas utiliser un poste utilisateur
         même en cas de credential theft. Bloque la plupart des
         scénarios d'élévation lateral vers Tier 0.

Security Options - le cœur anti-lateral-movement

Restrict NTLM

Emplacement : Computer Config → Windows Settings → Security Settings →
              Local Policies → Security Options
 
Network Security: Restrict NTLM: NTLM authentication in this domain
  Options : Disable / Enable for domain accounts / Enable for all accounts
  Recommandation 2026 : commencer en Audit, puis Deny All
 
Network Security: Restrict NTLM: Incoming NTLM traffic
  Recommandation : Deny all accounts
 
Network Security: Restrict NTLM: Outgoing NTLM traffic to remote servers
  Recommandation : Deny all

SMB signing obligatoire

Microsoft Network Client: Digitally sign communications (always) : Enabled
Microsoft Network Server: Digitally sign communications (always) : Enabled
SMB v1 Protocol: Disabled (Windows Feature et GPO)
SMB Server EPA: Enabled (depuis Windows Server 2025)
 
Impact : empêche SMB relay attacks (ntlmrelayx).

LM hash storage

Network Security: Do not store LAN Manager hash value on next password change
  = Enabled (OBLIGATOIRE depuis 2008, encore vu désactivé)
 
Impact : les hashes LM sont triviaux à cracker, leur présence = vulnerability

UAC (User Account Control)

User Account Control: Admin Approval Mode for the Built-in Administrator account
  = Enabled
 
User Account Control: Behavior of the elevation prompt for administrators
  = Prompt for consent on the secure desktop
 
User Account Control: Only elevate executables that are signed and validated
  = Enabled (si contexte supporte)
 
User Account Control: Run all administrators in Admin Approval Mode
  = Enabled

Credential Guard et VBS

Sur Windows 10 Enterprise+, Windows 11 Enterprise, Windows Server 2019+ :

Emplacement : Computer Configuration → Administrative Templates →
              System → Device Guard
 
Turn On Virtualization Based Security
  = Enabled
  Platform Security Level : Secure Boot and DMA Protection
  Credential Guard Configuration : Enabled with UEFI lock
  Virtualization Based Protection of Code Integrity : Enabled
 
Impact : LSASS isolé en VBS enclave. Casse Mimikatz dump classique.

AppLocker et WDAC

AppLocker (legacy mais encore utile)

Disponible depuis Windows 7 / Server 2008 R2. Contrôle l'exécution par règles de chemin, hash ou éditeur.

Emplacement : Computer Configuration → Windows Settings →
              Security Settings → Application Control Policies → AppLocker
 
Types de règles :
  Executable rules         : .exe, .com
  Windows Installer rules  : .msi, .msp
  Script rules             : .ps1, .vbs, .bat, .cmd, .js
  Packaged app rules       : Microsoft Store apps
  DLL rules                : .dll (option coûteuse)
 
Règles par défaut :
  Allow tout depuis Program Files et Windows
  Deny tout le reste (après enforcement)
 
Modes :
  Audit only  : log les blocages potentiels sans les appliquer
  Enforce     : bloque réellement

WDAC (Windows Defender Application Control) - recommandé 2026

Disponible depuis Windows 10 Enterprise et renforcé dans Windows Server 2025. Application au niveau kernel, plus robuste qu'AppLocker.

Avantages WDAC vs AppLocker :
  Kernel-level enforcement (pas contournable en user-mode)
  Signing-based allowlist (ISG, Microsoft Intune signed catalog)
  Managed Installer (applications déployées par MECM sont allowed auto)
  Boot-level protection (code integrity au démarrage)
  Modes Audit + Enforcement robustes
 
Déploiement recommandé 2026 :
  1. Audit mode sur OU pilote 4-8 semaines
  2. Analyse des events 3076 (audit) et 3077 (block)
  3. Exceptions documentées et policy custom signée
  4. Enforcement progressif : Tier 0 d'abord, puis Tier 1, puis Tier 2
# Exemple : créer une policy WDAC de base
New-CIPolicy -FilePath C:\WDAC\MyPolicy.xml -ScanPath C:\Windows\System32 `
             -Level SignedVersion -UserPEs
 
# Convertir en binaire
ConvertFrom-CIPolicy -XmlFilePath C:\WDAC\MyPolicy.xml `
                     -BinaryFilePath C:\WDAC\MyPolicy.bin
 
# Déployer via GPO : Computer Configuration → Administrative Templates →
# System → Device Guard → Deploy Windows Defender Application Control

Audit Policy Windows

Active la collecte des événements essentiels à la détection lateral movement et forensic.

Emplacement : Computer Config → Windows Settings → Security Settings →
              Advanced Audit Policy Configuration
 
Les catégories et events critiques à activer (Success + Failure) :
 
  Account Logon :
    Audit Credential Validation            (4776)
    Audit Kerberos Authentication Service  (4768, 4771)
    Audit Kerberos Service Ticket          (4769)
    Audit Other Account Logon Events
 
  Logon/Logoff :
    Audit Logon                            (4624, 4625)
    Audit Account Lockout                  (4740)
    Audit Special Logon                    (4672)
 
  Account Management :
    Audit User Account Management          (4720-4738)
    Audit Security Group Management        (4728-4735)
 
  Detailed Tracking :
    Audit Process Creation                 (4688)
    Audit DPAPI Activity                   (4692-4695)
 
  Object Access :
    Audit File Share                       (5140, 5145)
    Audit Registry
    Audit Kernel Object
 
  Policy Change :
    Audit Policy Change                    (4907)
    Audit Authentication Policy Change     (4713, 4717)
 
  Privilege Use :
    Audit Sensitive Privilege Use          (4673)

Command-line logging et PowerShell logging

Emplacement : Computer Configuration → Administrative Templates →
              System → Audit Process Creation
 
Include command line in process creation events : Enabled
(permet de voir la commande complète dans Event 4688)
 
Administrative Templates → Windows Components → Windows PowerShell
 
Turn on Module Logging                : Enabled (all modules)
Turn on PowerShell Script Block Logging : Enabled
Turn on PowerShell Transcription        : Enabled (+ output dir securisé)

Windows Firewall GPO

Critique pour empêcher l'accès aux admin shares depuis des postes non autorisés.

Emplacement : Computer Configuration → Windows Settings →
              Security Settings → Windows Defender Firewall with Advanced Security
 
Recommandations :
  Domain Profile / Private / Public : Firewall State = On
  Inbound rules : Block all inbound par défaut, exceptions explicites
  Outbound rules : auditer, limiter si possible
 
Règles critiques à restreindre :
  File and Printer Sharing (SMB-In) :
    Restreint aux IP des bastions admin Tier 0/1 uniquement
 
  Remote Desktop (TCP-In) :
    Restreint aux PAW + bastions
 
  Windows Management Instrumentation (WMI) :
    Restreint aux outils de management officiels
 
  Remote Event Log Management :
    Restreint aux serveurs SIEM / log collection

ASR (Attack Surface Reduction) rules

Disponible via Microsoft Defender for Endpoint. Bloque des comportements malveillants courants.

Emplacement : Computer Configuration → Administrative Templates →
              Windows Components → Microsoft Defender Antivirus →
              Microsoft Defender Exploit Guard → Attack Surface Reduction
 
16 règles ASR disponibles, les 10 à activer en priorité :
 
  Block executable content from email client and webmail
  Block all Office applications from creating child processes
  Block Office applications from creating executable content
  Block Office applications from injecting code into other processes
  Block JavaScript or VBScript from launching downloaded executable content
  Block execution of potentially obfuscated scripts
  Block Win32 API calls from Office macros
  Block credential stealing from LSASS (T1003.001 protection)
  Block process creations originating from PsExec and WMI commands
  Block untrusted and unsigned processes that run from USB
 
Modes : Audit (logs uniquement) puis Block après période pilote.

LAPS (Local Administrator Password Solution)

Indispensable pour casser les Pass-the-Hash transversaux.

Windows LAPS (inclus Windows depuis 2023) :
 
  Emplacement GPO : Computer Configuration → Administrative Templates →
                    System → LAPS
 
  Configurer :
    Configure password backup directory : Active Directory (ou Entra ID)
    Password Complexity : Large letters + small letters + numbers + specials
    Password Length : 24 caractères
    Password Age Days : 30 jours
    Post Authentication Actions : Reset password and logoff
    Backup Directory : Active Directory

Permet d'avoir un mot de passe admin local unique et rotaté sur chaque poste. Bloque la réutilisation du même hash sur 500 postes simultanément.

Pièges fréquents à éviter

1. Block Inheritance et Enforced en cascade

Risque : deux GPO Enforced opposées se battent, le résultat dépend de l'ordre
         Block Inheritance sur une OU critique casse l'héritage des policies
         sécurité parent
 
Parade : minimiser les usages, documenter à chaque fois, préférer
         la structure d'OU propre aux hacks d'inheritance

2. GPO nommées "Default Domain Policy" modifiée

Règle : ne JAMAIS modifier "Default Domain Policy" et "Default Domain
        Controllers Policy" au-delà de leur rôle initial (password
        policy pour la 1ère, audit pour la 2ème).
 
Créer des GPO dédiées ("COMP-Security-Baseline", "USER-Browser-Config")
et les lier aux bonnes OU.

3. WMI filtering excessif

Risque : les GPO filtrées par WMI (ex. Windows version spécifique)
         peuvent créer des trous de sécurité quand un poste tombe
         dans un filter non prévu.
 
Parade : préférer la structure OU au WMI filtering, documenter
         strictement quand WMI nécessaire.

4. Absence de test avant déploiement

Rotation 2026 standard :
  OU "GPO-Pilot" avec 5-10 postes et 3-5 users
  Déploiement GPO → test 1-2 semaines → collecter feedback
  → déploiement progressif par vague
 
Ne JAMAIS appliquer une nouvelle GPO au domaine entier directement.

5. Permissions laxistes sur les GPO

Les GPO sont des objets AD avec des ACL.
  Authenticated Users : Read + Apply (standard)
  Domain Admins : Full Control (éviter)
  GPO Creator : Full Control (nommé)
 
Audit annuel obligatoire via PingCastle ou GPOZaurr.
Un attaquant avec Write sur une GPO peut pousser un payload.

Outils d'audit et gestion GPO 2026

Microsoft natifs

GPMC (Group Policy Management Console)  : GUI standard
gpresult /h report.html                  : RSoP HTML détaillé
gpupdate /force                          : refresh manuel
PowerShell GroupPolicy module             : Get-GPO, Set-GPO, Import-GPO
LGPO.exe (Security Compliance Toolkit)    : export/import GPO backup
Microsoft Policy Analyzer                 : comparaison baseline
Security Compliance Toolkit               : tout Microsoft Baseline

OSS et tiers

PingCastle (Vincent Le Toux, FR)
  Audit complet AD + GPO
  Gratuit jusqu'à 5 domains
 
Purple Knight (Semperis)
  100+ checks sécurité AD incluant GPO
  Gratuit
 
GPOZaurr (PowerShell module, MIT)
  Inventaire GPO détaillé
  Détection GPO vides, inutilisées, conflits
  Export XML/JSON pour analyses
 
BloodHound (SpecterOps)
  Graph permissions GPO
  Détection chemins d'abus via GPO
 
CIS-CAT (CIS Benchmark Assessment Tool)
  Audit conformité CIS
  Member-only pour version Pro

Plan de déploiement GPO sécurité 2026

Mois 1 - Inventaire et baseline
  gpresult / RSoP sur postes échantillons
  Export GPO existantes via LGPO
  Comparer à Microsoft Security Baseline via Policy Analyzer
  Documenter les écarts et justifier les exceptions
 
Mois 2 - Pilote
  Créer OU "GPO-Pilot" avec 10-20 postes + 5-10 users
  Déployer baseline Microsoft + ajustements organisation
  Mode Audit partout où possible (AppLocker, WDAC, ASR)
  Collecter Event logs et retours utilisateur
 
Mois 3-6 - Rollout progressif
  Déploiement par vagues : IT staff → power users → standard users
  Enforcement progressif : Audit → Block par règle après 4 semaines
  Monitoring continu SIEM sur incidents d'application
 
Mois 6-12 - Durcissement
  WDAC en enforcement sur Tier 0 puis Tier 1
  Restrict NTLM Deny All après audit NTLM traffic
  Credential Guard sur tous les postes Windows 10+
  LAPS déployé sur tous les postes
 
Continu - Gouvernance
  Revue trimestrielle PingCastle
  Import annuel Microsoft Baseline nouvelle version
  Suppression des GPO obsolètes
  Exercices purple team pour valider l'efficacité

Points clés à retenir

  • GPO = objets Active Directory qui imposent une configuration aux utilisateurs et ordinateurs liés à une OU, domaine ou site. Ordre LSDOU, dernier gagne, Enforced et Block Inheritance à utiliser avec parcimonie.
  • 3 baselines officielles 2026 : Microsoft Security Baseline (v2602 Server 2025 février 2026), CIS Benchmarks Level 1 et 2, ANSSI (France pour OIV / secteur public).
  • 10 catégories GPO critiques : Password Policy, User Rights Assignment, Security Options, AppLocker/WDAC, Windows Firewall, Audit Policy, Credential Guard, ASR rules, BitLocker, LAPS.
  • User Rights Assignment + Deny log on est le contrôle #1 pour enforcer le tiering model et bloquer la propagation lateral movement.
  • Security Options : Restrict NTLM (Audit puis Deny), SMB signing + EPA, SMBv1 disabled, LM hash disabled, UAC Admin Approval Mode. Casse la majorité des Pass-the-Hash et SMB relays.
  • WDAC > AppLocker pour nouveau déploiement 2026 (kernel-level enforcement, plus robuste). AppLocker reste utile pour kiosks et legacy. Mode Audit toujours avant Enforcement.
  • Outils d'audit : Microsoft Policy Analyzer (comparaison baseline), PingCastle (audit global), Purple Knight (checks sécurité), GPOZaurr (inventaire PowerShell), CIS-CAT (conformité CIS).
  • Plan déploiement 6-12 mois : inventaire → pilote OU → rollout progressif → enforcement → gouvernance trimestrielle. Ne jamais appliquer une nouvelle GPO au domaine entier directement.

Pour comprendre l'environnement Active Directory dans lequel s'inscrivent les GPO, voir qu'est-ce qu'Active Directory : définition et sécurité 2026. Pour savoir quelles techniques les GPO bloquent concrètement, lire lateral movement : définition, techniques et détection 2026. Pour la détection comportementale en complément de la prévention GPO, consulter qu'est-ce qu'un EDR : définition, fonctionnement, outils 2026. Pour sécuriser les comptes administratifs au-delà des GPO via MFA, voir MFA : définition, méthodes, attaques et phishing-resistant 2026.

Questions fréquentes

  • Qu'est-ce qu'une GPO en Active Directory ?
    Une GPO (Group Policy Object) est un ensemble de paramètres de configuration appliqués automatiquement à des utilisateurs et ordinateurs liés à une OU (Organizational Unit), un domaine ou un site AD. Elles couvrent les policies mot de passe, les droits utilisateur, les options de sécurité (NTLM, SMB, UAC), les logiciels à installer, les scripts d'ouverture de session, le pare-feu Windows. Une grande organisation manipule typiquement 50 à 500 GPO, avec un ordre d'application LSDOU : Local → Site → Domain → OU parent → OU enfant. Le dernier applicable gagne en cas de conflit.
  • Quelles sont les baselines officielles à appliquer en 2026 ?
    Trois baselines de référence. Microsoft Security Baseline (via Security Compliance Toolkit) : la plus à jour, alignée sur les produits Microsoft. Version v2602 pour Windows Server 2025 publiée en février 2026, baseline Windows 11 24H2+. CIS Benchmarks (Center for Internet Security) : reconnu industrie, niveaux 1 et 2, images cloud AWS/Azure pré-hardenées disponibles. ANSSI (France) : guides Windows / AD datés mais toujours pertinents, recommandations pour secteur public et OIV. Pratique courante : partir de Microsoft Baseline, ajouter les contrôles CIS manquants, documenter les exceptions ANSSI.
  • AppLocker ou WDAC : lequel choisir pour le contrôle d'exécution ?
    WDAC (Windows Defender Application Control) en priorité pour les nouveaux déploiements 2026. WDAC, disponible depuis Windows 10 Enterprise et renforcé dans Windows Server 2025, applique au niveau kernel et bloque le malware avant même l'exécution - plus robuste que AppLocker contre les contournements. Il supporte modes Audit et Enforcement. AppLocker reste utile pour des scénarios kiosk, postes contraint, ou environnements legacy. Pour une roadmap mature : baselines GPO classiques → audit WDAC sur quelques OU pilotes → enforcement WDAC progressif sur Tier 0 puis reste.
  • Quelles GPO sont critiques pour bloquer le lateral movement ?
    Cinq GPO essentielles. 1) Deny log on locally / through RDP pour empêcher un Domain Admin de se loguer sur un poste utilisateur Tier 2 (tiering model). 2) Restrict NTLM (audit puis deny) pour casser les Pass-the-Hash. 3) Require SMB signing + EPA (Extended Protection for Authentication) pour empêcher le SMB relay. 4) LAPS (Local Administrator Password Solution) pour rotation automatique des mdp admin locaux. 5) Windows Firewall GPO pour bloquer les admin shares (C$, ADMIN$) sauf depuis les bastions autorisés. Ces 5 GPO couvrent 80 % des chemins lateral movement observés en 2024-2025.
  • Comment auditer ses GPO existantes ?
    Trois outils complémentaires en 2026. 1) Microsoft Policy Analyzer (inclus Security Compliance Toolkit) : compare les GPO appliquées à une baseline officielle, rapport différences. 2) PingCastle (Vincent Le Toux, FR, gratuit) : audit global AD incluant les GPO obsolètes, permissions laxistes, vides. 3) GPOZaurr (PowerShell module OSS) : inventaire complet, détection GPO inutilisées, conflits, héritage. Pratique 2026 : PingCastle trimestriel + Policy Analyzer après chaque release Microsoft Baseline + GPOZaurr avant chaque nettoyage AD.
  • Comment gérer les conflits et l'héritage de GPO ?
    Trois mécanismes à maîtriser. L'ordre LSDOU (Local, Site, Domain, OU hiérarchique) : le dernier appliqué gagne. Enforced (anciennement No Override) : force une GPO à écraser les suivantes. Block Inheritance au niveau d'une OU : bloque l'héritage parent (sauf GPO Enforced). Éviter absolument les GPO Enforced en cascade et les Block Inheritance non documentés - ils sont source majeure d'incidents. Bonnes pratiques : GPO nommées clairement avec préfixes (COMP-, USER-, SEC-), descriptions complètes, testées en OU pilote avant production, revues annuelles pour supprimer les obsolètes.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également