Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comment localiser la clé de registre pour les paramètres de stratégie de groupe ?

ayi

Comment puis-je localiser l’entrée de registre pour les valeurs ci-dessous :
<ul>
<li>
Effectuer des tâches de maintenance de volume
</li>
<li>
Verrouiller les pages en mémoire
</li>
</ul>
sous <code>Stratégie d'ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Gestion des droits utilisateur</code>.
J’ai essayé les 3 méthodes ci-dessous.
<ul>
<li>
<a href="http://forum.thewindowsclub.com/windows-tips-tutorials-articles/38315-how-find-registry-key-corresponding-group-policy-setting.html" rel="noopener nofollow ugc">Trouver la clé de registre pour la stratégie de groupe correspondante</a> : (1) Le lien final est cassé (2) Impossible de localiser ce qui précède dans le guide de référence ou la documentation MSDN.
</li>
<li>
<a href="https://www.howtogeek.com/115617/how-to-see-which-registry-settings-a-group-policy-object-modifies/" rel="noopener nofollow ugc">Quels paramètres de registre un objet de stratégie de groupe modifie</a> : Aucune clé de registre liée à la stratégie localisée dans Procmon.
</li>
<li>
<a href="http://techgenix.com/group-policy-settings-part1/" rel="noopener nofollow ugc">Comment les paramètres sont stockés</a> : Rien de pertinent dans le fichier .ini.
</li>
</ul>
L’objectif final est d’automatiser la configuration via PowerShell [<code>Set-ItemProperty</code>]
<hr>
Source : <a href="http://forum.thewindowsclub.com/windows-tips-tutorials-articles/38315-how-find-registry-key-corresponding-group-policy-setting.html" rel="noopener nofollow ugc">Server Fault</a>

ayi_2

Comme vous pouvez le voir dans le <a href="http://www.thewindowsclub.com/group-policy-settings-reference-windows">Guide de référence des paramètres de stratégie de groupe</a> (voir votre 1er lien ; en particulier, le <a href="https://www.microsoft.com/en-us/download/details.aspx?id=25250">document <code>Windows10andWindowsServer2016PolicySettings.xlsx</code></a>), la plupart des paramètres de sécurité (par exemple Droits utilisateur, Stratégie de mot de passe, Stratégie d’audit, etc.) ne sont pas des clés de registre. Ils sont stockés dans la base de données <code>Secedit.sdb</code>.
Pour votre tâche, vous pouvez utiliser l’outil en ligne de commande <a href="https://docs.microsoft.com/en-us/windows-server/administration/windows-commands/secedit"><code>secedit</code> de Microsoft</a> (au moins, exporter et importer) :
<blockquote></blockquote>
<h2><a name="p-33940-secedit-1" class="anchor" href="#p-33940-secedit-1" aria-label="Heading link"></a>secedit</h2>
Configure et analyse la sécurité du système en comparant votre configuration actuelle à des modèles de sécurité spécifiés.
<h2><a name="p-33940-syntaxe-2" class="anchor" href="#p-33940-syntaxe-2" aria-label="Heading link"></a>Syntaxe</h2>
<pre><code class="lang-auto">secedit
[/analyze /db <database file name> /cfg <configuration file name> [/overwrite] /log <log file name> [/quiet]]
[/configure /db <database file name> [/cfg <configuration filename>] [/overwrite] [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>] [/quiet]]
[/export /db <database file name> [/mergedpolicy] /cfg <configuration file name> [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>]]
[/generaterollback /db <database file name> /cfg <configuration file name> /rbk <rollback file name> [/log <log file name>] [/quiet]]
[/import /db <database file name> /cfg <configuration file name> [/overwrite] [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>] [/quiet]]
[/validate <configuration file name>]

</code></pre>
<h2><a name="p-33940-paramtres-3" class="anchor" href="#p-33940-paramtres-3" aria-label="Heading link"></a>Paramètres</h2>
<ul>
<li>
Secedit:<code>analyze</code> Vous permet d’analyser les paramètres systèmes actuels par rapport aux paramètres de référence stockés dans une base de données. Les résultats de l’analyse sont stockés dans une zone séparée de la base de données et peuvent être consultés dans le composant logiciel enfichable Configuration et analyse de la sécurité.
</li>
<li>
Secedit:<code>configure</code> Vous permet de configurer un système avec des paramètres de sécurité stockés dans une base de données.
</li>
<li>
Secedit:<code>export</code> Vous permet d’exporter des paramètres de sécurité stockés dans une base de données.
</li>
<li>
Secedit:<code>generaterollback</code> Vous permet de générer un modèle de restauration par rapport à un modèle de configuration.
</li>
<li>
Secedit:<code>import</code> Vous permet d’importer un modèle de sécurité dans une base de données afin que les paramètres spécifiés dans le modèle puissent être appliqués à un système ou analysés par rapport à un système.
</li>
<li>
Secedit:<code>validate</code> Vous permet de valider la syntaxe d’un modèle de sécurité.
</li>
</ul>
Réponse : Recherchez les clés/entrées ci-dessous dans la section <code>[Privilege Rights]</code> du fichier de configuration exporté (vous pouvez les ajouter/modifier facilement avec PowerShell) :
<ul>
<li>
<code>SeLockMemoryPrivilege</code> Verrouiller les pages en mémoire
</li>
<li>
<code>SeManageVolumePrivilege</code> Effectuer des tâches de maintenance de volume
</li>
</ul>
Lisez (et suivez) également les <a href="https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines">Bases de sécurité Windows</a> :
<blockquote></blockquote>
Une base de sécurité est un groupe de paramètres de configuration recommandés par Microsoft qui explique leur impact en termes de sécurité. Ces paramètres sont basés sur les retours des équipes d’ingénierie de sécurité de Microsoft, des groupes de produits, des partenaires et des clients.