GPO – Comment activer l’écran de verrouillage de Windows en cas d’inactivité ?

I. Présentation

Dans ce tutoriel, nous allons apprendre à créer une stratégie de groupe (GPO) pour activer l'écran de verrouillage de Windows en cas d'inactivité de la machine.

La sécurité des postes de travail est primordiale pour protéger les données et prévenir les accès non autorisés. Un simple paramétrage comme celui que nous allons évoquer dans cet article contribue à améliorer la sécurité de vos machines. En effet, le verrouillage automatique de Windows en cas d'inactivité permet de lutter contre les accès indésirables. Et, accessoirement, cela vous évite aussi de devoir payer une tournée de croissants à vos collègues si un informaticien vous prend en flagrant délit...

S'absenter de son poste de travail sans verrouiller sa session, c'est un peu comme partir de chez soi en laissant la porte d'entrée grande ouverte. Pourtant, de nombreux utilisateurs le font, y compris dans les zones à risques tels que les trains... Même s'ils sont sensibilisés aux risques éventuels.

Concrètement, lorsqu'un utilisateur quitte son poste sans verrouiller sa session, toute personne passant à proximité peut accéder à ses informations, qu'il s'agisse d'e-mails, de documents confidentiels ou d'applications sensibles. L'écran de verrouillage automatique est une barrière simple, mais efficace.

Ainsi, grâce à la stratégie de groupe que nous allons configurer, la machine se verrouillera automatiquement en cas d'inactivité de l'utilisateur, ce qui se produira s'il s'absente plusieurs minutes pour une raison ou pour une autre.

II. GPO pour verrouiller le PC en cas d'inactivité

Pour activer l'écran de verrouillage automatique via GPO, nous devons d'abord accéder à la console "Gestion de stratégies de groupe.

Une fois la console ouverte, localisez l'objet de stratégie de groupe que vous souhaitez modifier ou créez-en un nouveau. Pour ma part, je crée une nouvelle GPO nommée "Sécurité - Windows - Verrouillage session auto" et je crée une liaison sur l'OU "PC".

Éditez la stratégie de groupe et parcourez les paramètres de cette façon :

• Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité

Ici, vous pourrez localiser le paramètre que nous devons configurer : "Ouverture de session interactive : limite d'inactivité de l'ordinateur" (voir la documentation du paramètre).

Donc, modifiez ce paramètre et commencez par cocher l'option "Définir ce paramètre de stratégie". Puis, vous devez déterminer la durée d'inactivité, en secondes. Ici, j'ai spécifié 300 secondes, donc au bout de 5 minutes d'inactivité, la machine sera verrouillée. La difficulté étant de trouver un bon compromis entre sécurité et confort d'utilisation : si vous verrouillez l'ordinateur au bout de 30 secondes d'inactivité, les utilisateurs risquent de vous tomber dessus... Il peut s'avérer judicieux de créer différentes stratégies plus ou moins strictes en fonction du niveau de risque des utilisateurs (permissions sur les applications et données / tendances à se déplacer fréquemment).

Validez en cliquant sur "OK". Voilà, la GPO est prête à l'emploi.

Il ne vous reste plus qu'à l'appliquer sur un ordinateur et à tester pour vérifier son bon fonctionnement.

gpupdate /force

Lorsque l'écran sera verrouillé, l'utilisateur devra saisir de nouveau s'authentifier avec son mot de passe ou une autre méthode d'authentification avant de pouvoir accéder à sa session.

III. Comment gérer les exceptions ?

Si vous souhaitez que ce paramètre ne s'applique pas sur un ou plusieurs postes de travail, comment faire ? La première solution consiste à jouer sur les liaisons dans la console de GPO pour éviter de cibler les machines en question. Mais, ce n'est pas toujours facile.

Ce qu'il est possible de faire, et cela est vrai pour d'autres GPO, c'est un groupe de sécurité pour référencer les objets à exclure. Le groupe de sécurité, nommé "GPO_Deny_Lockscreen_Timeout" dans cet exemple, contient les objets ordinateurs sur lesquels la GPO ne doit pas s'appliquer.

Remarque : dans la description du groupe, il est recommandé d'indiquer le nom de la GPO afin de faciliter le lien entre les objets. Ceci aide à la compréhension.

Un fois que ce groupe est créé, rendez-vous dans la console de GPO :

1 - Cliquez sur la GPO "Sécurité - Windows - Verrouillage session auto".

2 - Cliquez sur l'onglet "Délégation".

3 - En bas à droite, cliquez sur le bouton "Avancé...".

Une nouvelle fenêtre va s'ouvrir... Cliquez sur le bouton "Ajouter" afin d'ajouter le groupe de sécurité créé précédemment. Puis, vous devez vous assurer que les permissions suivantes soient associées à ce groupe :

• Lire : autoriser
• Appliquer la stratégie de groupe : refuser

Quand c'est fait, cliquez sur "OK".

Voilà, vous venez de créer un groupe pour gérer une liste d'exceptions !

IV. Conclusion

En configurant le verrouillage automatique de Windows en cas d'inactivité à partir d'une GPO, vous renforcez la sécurité de vos postes de travail, mais aussi de votre SI puisque ces derniers représentent une véritable porte d'entrée. Cette GPO présente aussi l'avantage d'appliquer une configuration de façon homogène sur un ensemble de postes.

• Windows - Comment définir une image d'écran de verrouillage par GPO ?

Florian BURNEL Co-founder of IT-Connect

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

See Full Bio