Comment localiser la clé de registre pour les paramètres de stratégie de groupe ?

Windows Server & IT Pro Active Directory & Entra ID
,
1

Comment puis-je localiser l’entrée de registre pour les valeurs ci-dessous :

  • Effectuer des tâches de maintenance de volume

  • Verrouiller les pages en mémoire

sous Stratégie d'ordinateur local\Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Gestion des droits utilisateur.

J’ai essayé les 3 méthodes ci-dessous.

L’objectif final est d’automatiser la configuration via PowerShell [Set-ItemProperty]

2

Comme vous pouvez le voir dans le Guide de référence des paramètres de stratégie de groupe (voir votre 1er lien ; en particulier, le document Windows10andWindowsServer2016PolicySettings.xlsx), la plupart des paramètres de sécurité (par exemple Droits utilisateur, Stratégie de mot de passe, Stratégie d’audit, etc.) ne sont pas des clés de registre. Ils sont stockés dans la base de données Secedit.sdb.

Pour votre tâche, vous pouvez utiliser l’outil en ligne de commande secedit de Microsoft (au moins, exporter et importer) :

secedit

Configure et analyse la sécurité du système en comparant votre configuration actuelle à des modèles de sécurité spécifiés.

Syntaxe

secedit
[/analyze /db <database file name> /cfg <configuration file name> [/overwrite] /log <log file name> [/quiet]]
[/configure /db <database file name> [/cfg <configuration filename>] [/overwrite] [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>] [/quiet]]
[/export /db <database file name> [/mergedpolicy] /cfg <configuration file name> [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>]]
[/generaterollback /db <database file name> /cfg <configuration file name> /rbk <rollback file name> [/log <log file name>] [/quiet]]
[/import /db <database file name> /cfg <configuration file name> [/overwrite] [/areas [securitypolicy | group_mgmt | user_rights | regkeys | filestore | services]] [/log <log file name>] [/quiet]]
[/validate <configuration file name>]

Paramètres

  • Secedit:analyze Vous permet d’analyser les paramètres systèmes actuels par rapport aux paramètres de référence stockés dans une base de données. Les résultats de l’analyse sont stockés dans une zone séparée de la base de données et peuvent être consultés dans le composant logiciel enfichable Configuration et analyse de la sécurité.

  • Secedit:configure Vous permet de configurer un système avec des paramètres de sécurité stockés dans une base de données.

  • Secedit:export Vous permet d’exporter des paramètres de sécurité stockés dans une base de données.

  • Secedit:generaterollback Vous permet de générer un modèle de restauration par rapport à un modèle de configuration.

  • Secedit:import Vous permet d’importer un modèle de sécurité dans une base de données afin que les paramètres spécifiés dans le modèle puissent être appliqués à un système ou analysés par rapport à un système.

  • Secedit:validate Vous permet de valider la syntaxe d’un modèle de sécurité.

Réponse : Recherchez les clés/entrées ci-dessous dans la section [Privilege Rights] du fichier de configuration exporté (vous pouvez les ajouter/modifier facilement avec PowerShell) :

  • SeLockMemoryPrivilege Verrouiller les pages en mémoire

  • SeManageVolumePrivilege Effectuer des tâches de maintenance de volume

Lisez (et suivez) également les Bases de sécurité Windows :

Une base de sécurité est un groupe de paramètres de configuration recommandés par Microsoft qui explique leur impact en termes de sécurité. Ces paramètres sont basés sur les retours des équipes d’ingénierie de sécurité de Microsoft, des groupes de produits, des partenaires et des clients.