Durcissement des postes de travail Windows 10 – Partie 1

Voici quelques réglages de confidentialité qui permettent de limiter la communication de vos informations à l’éditeur et à ses partenaires.

Cela va passer par l’utilisation des Group Policy Objetcs, que nous allons découvrir dans cet article.

L’article a été inspiré des recommandations de l’Agence nationale de la sécurité des systèmes d’information, ainsi que mon expérience.

Collecte de données et versions d’évaluation Preview

·        Sur votre contrôleur de domaine, ouvrez la console de Gestion de stratégie de groupe, clic droit sur Objets de stratégie de groupe et cliquez sur Créer un objet GPO dans ce domaine.

• Nommez la stratégie et cliquer sur OK
• Une fois la stratégie crée, faire un clic droit dessus et cliquez sur Modifier

·        Allez à : Configuration ordinateur/Modèles d’administration/Composants Windows/Collecte de données et versions d’évaluation Preview

Autoriser la télémétrie

« Cette stratégie détermine la quantité de données d’utilisation et de diagnostic renvoyées à Microsoft. Une valeur de 0 indique que des données minimales sont envoyées à Microsoft. Ces données incluent les données Malicious Software Removal Tool (MSRT)  Windows Defender, si activés, et les paramètres client de télémétrie. La définition d’une valeur de 0 est applicable pour les appareils d’entreprise, EDU, IoT et serveur uniquement. La définition d’une valeur de 0 pour d’autres appareils revient à choisir une valeur de 1. Une valeur de 1 envoie une quantité de données de diagnostic et d’utilisation élémentaire uniquement. Remarque : la définition de valeurs de 0 ou 1 entraîne une dégradation de l’expérience de l’appareil. Une valeur de 2 envoie des données de diagnostic et d’utilisation améliorées. Une valeur de 3 envoie les mêmes données que la valeur de 2, plus des données de diagnostics supplémentaires comme l’état du système au moment d’un arrêt intempestif ou d’un incident, ainsi que les fichiers et contenus pouvant être à l’origine du problème. Les paramètres de télémétrie de Windows 10 s’appliquent aux système d’exploitation Windows et à certaines applications principales. Ce paramètre ne s’applique pas aux applications tierces exécutées sous Windows 10.

Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les utilisateurs peuvent configurer le niveau de télémétrie dans les paramètres. »

• Nous allons choisir 0 pour la désactivé

Ne pas afficher les notifications de commentaire

« Ce paramètre de stratégie permet à une organisation de bloquer sur ses appareils l’affichage des questions de commentaire de Microsoft.

Si vous activez ce paramètre de stratégie, les utilisateurs ne verront plus les notifications de commentaire via l’application Commentaires sur Windows.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent voir les notifications via l’application Commentaires sur Windows, qui leur demande de formuler des commentaires.

Remarque : si vous désactivez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent contrôler la fréquence de réception des questions de commentaire. »

• Nous allons choisir activé

Basculer le contrôle utilisateur sur les Builds Insider

« Ce paramètre de stratégie détermine si les utilisateurs peuvent accéder aux contrôles des builds Insider dans Options avancées de Windows Update. Ces contrôles se situent sous Obtenir des builds Insider. Ils permettent aux utilisateurs de rendre leur appareil disponible pour le téléchargement et l’installation des logiciels d’évaluation Windows.

Si vous activez ou ne configurez pas ce paramètre de stratégie, les utilisateurs peuvent télécharger et installer les logiciels d’évaluation Windows sur leur appareil.

Si vous désactivez ce paramètre de stratégie, l’option Obtenir des builds Insider est indisponible.

Remarque : ce paramètre de stratégie s’applique uniquement aux appareils exécutant Windows 10 Professionnel, Entreprise, Éducation ou Server. »

• Nous allons choisir Désactivé

Configuration ordinateur/Modèles d’administration/Composants Windows/Windows Defender/MAPS

·        Sur votre contrôleur de domaine, ouvrez la console de Gestion de stratégie de groupe, clic droit sur Objets de stratégie de groupe et cliquez sur Créer un objet GPO dans ce domaine.

• Nommez la stratégie et cliquer sur OK
• Une fois la stratégie crée, faire un clic droit dessus et cliquez sur Modifier
• Allez à : Configuration ordinateur/Modèles d’administration/Composants Windows/Windows Defender/MAPS

Configure une valeur de remplacement locale pour la configuration permettant de rejoindre Microsoft MAPS

« Ce paramètre de stratégie configure une valeur de remplacement locale pour la configuration permettant de rejoindre Microsoft MAPS. Ce paramètre peut uniquement être défini par une stratégie de groupe.

Si vous activez ce paramètre, le paramètre de préférence locale est prioritaire sur la stratégie de groupe.

Si vous désactivez ou ne configurez pas ce paramètre, la stratégie de groupe est prioritaire sur le paramètre de préférence locale. »

• Nous allons choisir Désactivé

Envoyer des exemples de fichier lorsqu’une analyse supplémentaire est nécessaire

« Ce paramètre de stratégie configure le comportement d’envoi d’échantillons lorsque la télémétrie MAPS est acceptée.

        Les options possibles sont les suivantes :

        (0x0) Toujours demander

        (0x1) Envoyer automatiquement des échantillons sécurisés

        (0x2) Ne jamais envoyer

        (0x2) Envoyer automatiquement tous les échantillons »

• Nous allons choisir Activé – Ne jamais envoyer

Configuration ordinateur/Modèles d’administration/Composants Windows/Rechercher

·        Sur votre contrôleur de domaine, ouvrez la console de Gestion de stratégie de groupe, clic droit sur Objets de stratégie de groupe et cliquez sur Créer un objet GPO dans ce domaine.

• Nommez la stratégie et cliquer sur OK
• Une fois la stratégie crée, faire un clic droit dessus et cliquez sur Modifier
• Allez à : Configuration ordinateur/Modèles d’administration/Composants Windows/Rechercher

Autoriser Cortana

« Ce paramètre de stratégie spécifie si Cortana est autorisée sur l’appareil.

Si vous activez ou ne configurez pas ce paramètre, Cortana sera autorisée sur l’appareil. Si vous désactivez ce paramètre, Cortana sera désactivée.

 Lorsque Cortana est désactivée, les utilisateurs sont toujours en mesure d’utiliser la recherche sur l’appareil. »

• Nous allons choisir Désactivé

Autoriser Cortana au-dessus de l’écran de verrouillage

« Ce paramètre de stratégie détermine si l’utilisateur peut interagir ou non avec Cortana à l’aide de la voix alors que le système est verrouillé.

Si vous activez ce paramètre ou si vous ne le configurez pas, l’utilisateur peut interagir avec Cortana à l’aide de la voix alors que le système est verrouillé.

Si vous désactivez ce paramètre, le système doit être déverrouillé pour que l’utilisateur puisse interagir avec Cortana à l’aide de la voix. »

• Nous allons choisir Désactivé

Autoriser l’indexation des fichiers chiffrés

« Ce paramètre de stratégie permet l’indexation des éléments chiffrés. Si ce paramètre de stratégie est activé, l’indexation tente de déchiffrer et d’indexer le contenu (les restrictions d’accès sont toujours appliquées). S’il est désactivé ou s’il n’est pas configuré, les composants du service de recherche (y compris les composants tiers) n’indexent pas les éléments chiffrés et les magasins chiffrés. Ce paramètre de stratégie n’est pas configuré par défaut. Si ce paramètre de stratégie n’est pas configuré, le paramètre local, configuré dans le Panneau de configuration, est utilisé. Par défaut, le paramètre du Panneau de configuration ne permet pas d’indexer le contenu chiffré. 

Si ce paramètre est activé ou désactivé, l’index est reconstruit entièrement.

Le chiffrement de volume complet (tel que le chiffrement de lecteur BitLocker ou une solution tierce) doit être utilisé pour l’emplacement de l’index afin de maintenir la sécurité des fichiers chiffrés. »

• Nous allons choisir Désactivé

Ne pas autoriser la recherche web

« L’activation de cette stratégie supprime la possibilité d’effectuer une recherche sur le Web à partir de Windows Search.

Si cette stratégie est désactivée ou non configurée, l’option Web est disponible et les utilisateurs peuvent effectuer une recherche sur le Web via le moteur de recherche du navigateur par défaut. »

• Nous allons choisir Activé

Définir quelles informations sont partagées dans Search

« Ce paramètre de stratégie vous permet de contrôler quelles informations sont partagées avec Bing dans Search.

Si vous activez ce paramètre de stratégie, vous pouvez spécifier un des quatre paramètres, que les utilisateurs ne peuvent pas modifier :

    – Informations utilisateur et emplacement : permet de partager l’historique de recherche d’un utilisateur, certaines informations de compte Microsoft et un emplacement spécifique pour personnaliser ses recherches et d’autres expériences Microsoft.

        – Informations utilisateur uniquement : permet de partager l’historique de recherche d’un utilisateur, certaines informations de compte Microsoft pour personnaliser ses recherches et d’autres expériences Microsoft.

        – Informations anonymes : permet de partager des informations d’utilisation mais pas de partager l’historique de recherche, des informations de compte Microsoft ou un emplacement spécifique.   

Si vous désactivez ce paramètre de stratégie ou si vous ne le configurez pas, les utilisateurs peuvent choisir les informations qui sont partagées dans Search. »

• Nous allons choisir Activé – Informations anonymes

Ne pas effectuer des recherches sur le Web ou afficher des résultats Web dans Search

« Ce paramètre de stratégie vous permet de contrôler si Search peut, ou non, exécuter des requêtes sur le Web, et si les résultats Web s’affichent dans Search.

Si vous activez ce paramètre de stratégie, aucune requête n’est exécutée sur le Web et les résultats Web ne s’affichent pas quand un utilisateur exécute une requête dans Search.

Si vous activez ce paramètre de stratégie, aucune requête n’est exécutée sur le Web et aucun résultat Web ne s’affiche quand un utilisateur exécute une requête dans Search.

Si vous ne configurez pas ce paramètre de stratégie, un utilisateur peut choisir si Search peut, ou non, exécuter des requêtes sur le Web, et si les résultats Web s’affichent dans Search. »

• Nous allons choisir Activé

Configuration ordinateur/Modèles d’administration/Composants Windows/Emplacement et capteurs/Service de localisation Windows

·        Sur votre contrôleur de domaine, ouvrez la console de Gestion de stratégie de groupe, clic droit sur Objets de stratégie de groupe et cliquez sur Créer un objet GPO dans ce domaine.

• Nommez la stratégie et cliquer sur OK
• Une fois la stratégie crée, faire un clic droit dessus et cliquez sur Modifier
• Allez à : Configuration ordinateur/Modèles d’administration/Composants Windows/Emplacement et capteurs/ Service de localisation Windows/Désactiver le service de localisation Windows

Activer/Désactiver l’option localiser mon appareil

« Ce paramètre de stratégie désactive la fonctionnalité de service de localisation Windows de cet ordinateur.

Si vous activez ce paramètre de stratégie, la fonctionnalité de service de localisation Windows est désactivée et plus aucun programme de cet ordinateur ne sera en mesure d’utiliser la fonctionnalité de service de localisation Windows.

Si vous désactivez ou ne configurez pas ce paramètre de stratégie, tous les programmes de cet ordinateur pourront utiliser la fonctionnalité de service de localisation Windows. »

•  Nous allons choisir Activé