GPO Sécurité Windows 11 : Guide Complet pour Entreprises 2026

La gestion de la sécurité des postes de travail reste un défi majeur pour les équipes IT. Avec Windows 11 et ses exigences matérielles strictes (TPM 2.0, Secure Boot), Microsoft offre un socle sécurisé, mais celui-ci nécessite une configuration appropriée via les stratégies de groupe (GPO). Ce guide détaille les paramètres essentiels pour durcir votre parc informatique en 2026, en s'appuyant sur les recommandations de l'ANSSI et les Security Baselines de Microsoft.

Pourquoi les GPO restent indispensables en 2026

Malgré la montée en puissance de Microsoft Intune et du cloud management, les GPO (Group Policy Objects) conservent une place centrale dans les environnements Active Directory. Leur avantage : une application cohérente, centralisée et auditée des paramètres de sécurité sur l'ensemble du parc.

Windows 11 24H2 et 25H2 introduisent de nouvelles capacités de sécurité :

• Credential Guard activable par défaut sur les éditions Entreprise
• Smart App Control pour le contrôle des applications
• Enhanced Phishing Protection dans Microsoft Defender
• ASR (Attack Surface Reduction) règles enrichies

Ces fonctionnalités nécessitent une activation et une configuration via GPO pour une déploiement homogène. L'ANSSI recommande d'ailleurs de coupler les GPO avec une architecture Tiering (Tiers 0, 1, 2) pour cloisonner l'administration.

Prérequis et périmètre

Avant d'appliquer ces GPO :

• Windows 11 Pro, Entreprise ou Éducation (22H2 minimum, 24H2 recommandé)
• Infrastructure Active Directory fonctionnelle (niveau 2016 minimum)
• RSAT (Remote Server Administration Tools) installé sur les stations d'administration
• Sauvegarde des GPO existantes avant modification

GPO essentielles pour l'authentification et les credentials

La protection des identifiants constitue la première ligne de défense. Windows 11 propose des mécanismes avancés qu'il faut explicitement activer.

Windows Defender Credential Guard

Ce service isole les processus d'authentification dans un environnement virtualisé sécurisé (VSM), protégeant contre les attaques Pass-the-Hash et Pass-the-Ticket.

Chemin GPO : Configuration ordinateur > Modèles d'administration > Système > Device Guard

Activer la sécurité basée sur la virtualisation : Activé
Service de garde des informations d'identification : Activé avec UEFI lock

La mention "UEFI lock" empêche la désactivation logicielle de Credential Guard, renforçant la résistance aux malwares.

Kerberos et NTLM

Microsoft annonce la dépréciation progressive de NTLM au profit de Kerberos. Anticipez cette transition :

NTLM minimale requise : Refuser LM et NTLMv1
Authentification NTLM : Restreindre les connexions NTLM sortantes
Audit NTLM : Activer l'audit dans le domaine

Ces paramètres se trouvent sous Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.

Réduction de la surface d'attaque (ASR)

Les règles ASR du Microsoft Defender bloquent des comportements suspects couramment exploités par les malwares et ransomwares. Microsoft recommande d'activer ces règles en mode audit avant application stricte.

Règles ASR prioritaires

Chemin GPO : Configuration ordinateur > Modèles d'administration > Composants Windows > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Réduction de la surface d'attaque

Bloquer le contenu exécutable téléchargé depuis messagerie : Activer
Bloquer les actions créées par des applications Office : Activer
Bloquer le vol d'informations d'identification à partir du sous-système LSASS : Activer
Bloquer les processus enfants créés par Office : Activer
Bloquer les exécutables non signés exécutés depuis USB : Activer

Configurez en mode Audit pendant 30 jours pour identifier les éventuels faux positifs métier avant de passer en Blocage.

Protection contre les logiciels malveillants

Activez la protection en temps réel et les analyses périodiques :

Protection en temps réel : Activé
Analyse planifiée quotidienne : Activé
Actions par défaut pour les menaces : Suppression automatique
Protection contre les programmes potentiellement indésirables : Activé (Bloquer)

La détection des PUA (Potentially Unwanted Applications) réduit significativement les infections par adwares et mineurs.

Questions fréquentes

Quelle différence entre GPO et Intune pour sécuriser Windows 11 ?

Les GPO s'appliquent aux machines jointes à un Active Directory on-premise, offrant un contrôle granulaire et immédiat. Intune (Endpoint Manager) gère les appareils cloud-first ou hybrides (Azure AD). En 2026, les deux outils coexistent : GPO pour les réseaux traditionnels, Intune pour la mobilité. Microsoft pousse vers le cloud-native, mais les GPO restent pertinents pour les infrastructures legacy.

Puis-je appliquer ces GPO sur Windows 10 ?

La plupart des paramètres sont rétrocompatibles avec Windows 10 21H2+, mais certaines fonctionnalités comme Smart App Control ou les règles ASR récentes nécessitent Windows 11. Credential Guard fonctionne sur Windows 10 Entreprise mais avec des prérequis matériels stricts (TPM 2.0, SLAT).

Comment vérifier que les GPO sont bien appliquées ?

Utilisez l'outil Rsop.msc (Resultant Set of Policy) ou la commande gpresult /h rapport.html pour générer un rapport complet. Pour un diagnostic rapide : gpresult /r affiche les GPO appliquées dans la console. Les journaux d'événements Windows (Event Viewer > Applications and Services Logs > Microsoft > Windows > GroupPolicy) détaillent les erreurs d'application.

Les GPO affectent-elles les performances des postes ?

L'impact est généralement négligeable. Credential Guard induit une légère surcharge (<5%) due à la virtualisation. Les analyses ASR et le Defender s'exécutent en arrière-plan avec priorité basse. Sur du matériel récent (8Go+ RAM, SSD), ces protections sont imperceptibles pour l'utilisateur final.

Les GPO de sécurité Windows 11 constituent un levier puissant pour standardiser le durcissement de votre parc informatique. En combinant Credential Guard, les règles ASR et une politique d'authentification robuste, vous réduisez significativement la surface d'attaque exploitable par les menaces actuelles. N'oubliez pas de maintenir ces paramètres à jour : Microsoft publie régulièrement de nouvelles Security Baselines qu'il convient d'intégrer après qualification en environnement de test.