Windows 10 & GPO - Durcissement contre la fuite de données

Depuis la sortie du système d’exploitation Windows 10, de nombreuses questions sur la vie privée des utilisateurs sont soulevées. En effet, même si certaines de nos données étaient déjà récoltées auparavant, Microsoft a ouvert sa communication sur la récupération de données personnelles avec Windows 10. Ceci a notamment permis à un certain nombre de personnes d’ouvrir les yeux et de prendre conscience des choses.

Néanmoins, il est possible via différentes petites manipulations et configurations de limiter les données personnelles recueillies par Microsoft. Cela peut notamment passer par l’utilisation des Group Policy Objetcs, que nous allons découvrir dans cet article. Je vous donnerai quelques exemples afin que vous puissez vous même vous faire une idée de leur utilisation. J’en profite pour placer un mot au sujet de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) qui publie régulièrement des guides de bonnes pratique au sujet de l’hygiène numérique. Les configurations abordées dans cet article sont d’ailleurs tirées de leur guide “Préoccupations relatives au respect de la vie privée et à la confidentialité des données sous Windows 10” et ont été compilées par @Gouzou, je le remercie pour l’aide apportée !

[Note préliminaire 1] Cet article sera mis à jour (plus ou moins) régulièrement afin d’ajouter ou retirer certains paramètres intéressants.

[Note préliminaire 2] L’édition des GPO n’est possible qu’avec une version Pro, Enterprise ou Intégrale de Windows 7, 8.1 ou 10. Néanmoins il semble possible d’installer l’éditeur sur des versions plus classiques (Home). Ne l’ayant pas testé, je ne peux affirmer ou non cela.

Les GPO (Group Policy Objects)

Qu’est ce que c’est ?

Les Group Policy Objects (GPO) ou Stratégies de Groupe sont des fonctions de gestion centralisée des machines sous Windows. Elles sont notamment utilisées dans le cadre des réseaux d’entreprise composés de parc informatiques. Leur utilisation permet de déployer des paramètres facilement sur l’ensemble du parc ou encore de configurer certains paramètres réseaux, de sécurité etc. Il en existe plusieurs centaines, permettant d’administrer un grand nombre de choses.

Même si ce système est majoritairement utilisé dans le cadre de parc informatiques, il existe une version locales aux ordinateurs, permettant à chaque administrateur de définir des paramètres pour sa machine, on parle alors de stratégies locales.

Dans le cadre d’une entreprise, il est possible de mettre en place à la fois des stratégies locales (pour votre PC uniquement) et des stratégies de groupe (pour l’ensemble du parc informatique). Néanmoins, si différents paramètres rentrent en conflit, la stratégie de groupe prendra la priorité et sera appliqué, au détriment du paramétrage local.

Dans le cas d’un PC personnel, pas de soucis à se faire et c’est d’ailleurs ce qui est recherché dans cet article. Je n’entrerai pas plus en détails sur les GPO car cela pourrait rapidement devenir complexe et le but n’est pas d’aller en profondeur là dessus.

Comment ça marche ?

Concrètement, l’ensemble des GPO se gèrent au même endroit, dans l’éditeur de stratégies de groupe. Un nombre conséquent de paramètres sont disponibles et il suffit de choisir une des valeurs proposées ou d’entrer la valeur choisie quand cela est possible. Par exemple, pour le paramètre “Comptes : Status du compte Invité” il est possible soit d’activer ce compte, soit de le désactiver. Ci-dessous une capture d’écran illustrant à quoi ressemble l’éditeur.

gpo_1.PNG

Au sein d’un parc informatique d’entreprise, les stratégies de groupe se gèrent au niveau des contrôleurs de domaine Active Directory. Il s’agit des serveurs du parc.

Et sur mon ordinateur ?

Comme dit précédemment, il existe une version locale de l’éditeur de stratégies. On parle ici de l’éditeur de stratégies locales. Il ressemble en tous points à l’éditeur de GPO des serveurs Windows, mais les paramètres définis sont seulement appliqués sur l’ordinateur en question. Plutôt pratique quand on veut simplement protéger son PC personnel !

Afin de trouver l’éditeur, deux façons :

  • Utiliser la barre de recherche de Windows et taper “Group Policy” ou “Stratégies de Groupe”. Il est nécessaire d’exécuter le programme en tant qu’administrateur (clic droit dessus puis “exécuter en tant qu’administrateur”) ;
  • Utiliser l’application Windows permettant de lancer un programme. Pour cela, utilisez les touches “Windows” (la touche avec l’icône de Windows) + “R” puis entrez “gpedit.msc”.

gpo_2.PNG

Une fois cela exécuté, on se retrouve avec le même éditeur. Et on peut commencer à fouiller :).

gpo_3.PNG

Mise en application - Modification des GPO

Conformément aux documents de l’ANSSI et aux paramètres que @Gouzou a extrait de leur documents, on trouve plusieurs catégories de paramètres qu’il est intéressant de regarder à des fins de protection personnelle. Il est cependant à noter que tout n’est pas à prendre au pied de la lettre. En effet, les recommandations présentées ici permettent de vous guider dans la configuration de votre système mais c’est à vous de définir ce que vous voulez protéger. Je vous invite fortement à lire le descriptif de chaque paramètre afin de savoir sur quoi cela porte.

Notion de chemin

Dans la suite de l’article, chaque paramètre sera accessible via un “chemin”. Par exemple :

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Collecte de données et versions d'évaluation Preview

Cela correspond aux différentes catégories et sous-catégories visibles dans l’éditeur.

gpo_4.PNG

Une fois arrivé sur un paramètre, il suffit de cliquer dessus pour ensuite choisir si on souhaite l’activer, le désactiver et y ajouter d’éventuelles options.

Télémétrie, Recherche et Outils intégrés

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Collecte de données et versions d'évaluation Preview
Paramètre Etat Options
Autoriser la télémétrie Activé 0 (Désactivé) ou 1 (De base)
Ne pas afficher les notifications de commentaire Désactivé -
Basculer le contrôle utilisateur sur les Builds Insider Désactivé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Antivirus Windows Defender/MAPS
Paramètre Etat Options
Configurer une valeur de remplacement … MAPS Désactivé 0 (Désactivé) ou 1 (De base)
Envoyer des exemples de fichier lorsqu’une analyse supplémentaire est nécessaire Activé Ne jamais envoyer
Rejoindre Microsoft MAPS Désactivé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Rechercher
Paramètre Etat Options
Autoriser Cortana Désactivé -
Autoriser Cortana au-dessus de l’écran de vérouillage Désactivé -
Autoriser l’indexation des fichiers chiffrés Désactivé -
Ne pas autoriser la recherche web Activé -
Définir quelles informations sont partagées dans Search Activé Informations anonymes
Ne pas effectuer des recherches sur le Web ou afficher des résultats Web dans Search Activé -
Autoriser la recherche dans le Cloud Désactivé -
Autoriser la page Cortana dans OOBE sur un compte AAD Désactivé -

Expérience Utilisateur

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Localiser mon appareil
Paramètre Etat Options
Activer/Désactiver l’option localiser mon appareil Désactivé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Rapport d'erreur Windows
Paramètre Etat Options
Désactiver rapport d’erreurs Windows Activé -
Envoyer automatiquement des images mémoire … d’exploitation Désactivé -
Ne pas envoyer de données additionnelles Activé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Panneau de configuration/Options régionales et linguistiques
Paramètre Etat Options
Autoriser la personnalisation de la saisie Désactivé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Panneau de configuration/Options régionales et linguistiques/Personnalisation de l'écriture manuscrite
Paramètre Etat Options
Désactiver l’apprentissage automatique Activé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Système/Gestion de la communication Internet/Paramètres de communication Internet
Paramètre Etat Options
Désactiver le contenu “Le saviez vous ?” dans le centre d’aide Activé -
Désactiver le partage des données de personnalisation de l’écriture manuscrite Activé -
Désactiver le programme d’amélioration de l’expérience utilisateur Windows Activé -
Désactiver le signalement d’erreurs de la reconnaissance de l’écriture manuscrite Activé -
Désactiver l’accès au Windows Store Activé -
Désactiver le rapport d’erreurs Windows Activé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Contenu Cloud
Paramètre Etat Options
Désactiver les expériences consommateur de Microsoft Activé -
Ne pas afficher les conseils de Windows Activé -

Applications universelles

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Confidentialité de l'application
Paramètre Etat Options
Permettre aux applications Windows d’accéder à […tout…] Activé Ne jamais autoriser

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Windows Store
Paramètre Etat Options
Afficher uniquement le magasin privé dans le Microsoft Store Activé -
Désactiver l’application Store Activé -
Désactiver toutes les applications depuis le Microsoft Store Activé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Système/Profils utilisateur
Paramètre Etat Options
Désactiver l’ID de publicité Activé -
Ne pas ouvrir de session pour les utilisateurs avec des profils temporaires Activé -

Stratégie Ordinateur local/Configuration ordinateur/Paramètres Windows/Paramètres de sécurité/Stratégies Locales/Options de sécurité
Paramètre Etat Options
Comptes : Bloquer les comptes Microsoft Activé Les utilisateurs ne peuvent pas ajouter ni se connecter avec un compte Microsoft

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/OneDrive
Paramètre Etat Options
Empêcher l’utilisation de OneDrive pour le stockage de fichiers Activé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Saisie de texte
Paramètre Etat Options
Améliorer la reconnaissance de l’écriture manuscrite et de la saisie Désactivé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Windows Defender Application Guard
Paramètre Etat Options
Activer Windows Defender Application Guard en mode Entreprise Activé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Installation poussée
Paramètre Etat Options
Désactiver le service d’installation poussée Activé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Stratégies de système d'exploitation
Paramètre Etat Options
Active le flux d’activité Désactivé -
Autoriser la publication des activités de l’utilisateur Désactivé -
Autoriser le chargement des activités utilisateur Désactivé -

Stratégie Ordinateur local/Configuration ordinateur/Modèles d'administration/Composants Windows/Enregistrement et diffusion de jeux Windows
Paramètre Etat Options
Active ou désactive Enregistrement et diffusion de jeux Windows Désactivé -

Petit bonus - Mener la vie dure aux applications Microsoft installées par défaut

Vous avez surement dû déjà y faire face, lorsque vous achetez un nouvel ordinateur, un certain nombre d’applications sont installées par défaut. Même si certaines sont utiles, il n’est pas rare qu’on ait envie d’en supprimer quelques unes. Cependant, Windows ne nous laisse pas faire si facilement ! En effet, l’option “désinstaller” n’est pas proposée…

Mais il est quand même possible d’en supprimer certaines ! Malheureusement, il ne sera pas possible de toutes les désinstaller (Cortana, par exemple). Encore une fois, c’est à vous de juger ce qu’il sera bon de garder ou pas :).

Les quelques lignes à venir pourraient faire peur aux moins bidouilleurs d’entre vous. Néanmoins pas de panique, ne partez pas à la moindre ligne de code, tout est expliqué !

On va commencer par ouvrir un interpréteur Powershell. Grossièrement, il s’agit d’un terminal dans lequel nous pouvons entrer des commandes. Recherchez le programme “Powershell” et lancez le en tant qu’administrateur (clic droit > Exécuter en tant qu’administrateur). Un terminal bleu, comme celui ci, devrait apparaître.

gpo_5.PNG

Par la suite, 3 commandes vont être nécessaires.

Premièrement, on va lister les applications installées. Cela se fait à l’aide de la commande suivante. Cette dernière va lister les applications et afficher un grand nombre d’informations à leur sujet.

Get-AppxPackage

Pour des raisons de lisibilité, nous aimerions simplement lister les applications et n’afficher que leur nom complet. On peut le faire avec la commande ci-dessous.

Get-AppxPackage | Select Name, PackageFullName

Ensuite, il suffit de dire à l’ordinateur de récupérer une application puis on ajoute une seconde commande “Remove-AppxPackage” afin de lui dire de supprimer l’application.

Get-AppxPackage -allusers *3dbuilder* | Remove-AppxPackage

Description de la commande :

  • GetAppxPackage = Liste les applications installées ;
  • -allusers = Indique que la commande va porter sur tous les utilisateur de l’ordinateur ;
  • *zunevideo* = Nom de l’application. On utilise deux “*” pour indiquer qu’on cherche simplement l’expression entre les deux symboles dans le résultat de la liste afin de sélectionner la bonne application. Dans notre cas, on va désinstaller toutes les applications contenant “zunevideo” dans leur nom ;
  • | = Permet de lier la première commande à une seconde ;
  • Remove-AppxPackage = Indique que l’on souhaite supprimer l’application sélectionnée.

Il est ainsi possible de supprimer beaucoup d’applications. Je vous invite à consulter ce lien afin d’avoir de plus amples informations et une liste des applications qu’il est possible de supprimer.

Conclusion

En conclusion de cet article, je rappelerai que beaucoup de choses sont possibles afin de personnaliser son ordinateur et limiter les fuites d’information, mais qu’il ne faut pas forcément tout prendre au pied de la lettre. En effet, plus que d’appliquer des recommandations (même celles de cet article), il est important de s’informer et d’essayer de comprendre au moins le fontionnement global. Chaque personne ou entreprise a des besoins différents en termes de sécurité et de confidentialité, ce qui laisse une multitude de configurations possibles. A vous de trouver le juste milieu qu’il vous faut !

Comme toujours, si vous avez la moindre question, n’hésitez pas à me contacter par e-mail ou via Twitter ! ;)

Les conteneurs web - Endiguer le partage de données entre les sites web