Empêchez vos postes Windows 10/11 joints au domaine d’accrocher des Wi‑Fi non autorisés, en forçant une connexion exclusive au SSID de l’entreprise via GPO. Méthode native, reproductible et réversible, adaptée à un parc d’environ 30 machines.
Contexte et objectif
Dans un domaine Active Directory (Windows Server 2019) où la quasi‑totalité des postes est désormais en sans‑fil, l’objectif est d’interdire toute connexion à des réseaux Wi‑Fi étrangers (domestiques, partages de connexion 4G/5G, hotspots publics), pour n’autoriser que le ou les SSID d’entreprise diffusés par vos points d’accès.
La solution la plus simple, robuste et maîtrisée consiste à utiliser la stratégie réseau sans fil native de Windows via une GPO côté Ordinateur, complétée par quelques paramètres du Windows Connection Manager pour bloquer les contournements (multi‑connexions, ICS, ad hoc).
Architecture cible et prérequis
- Contrôleur(s) de domaine Windows Server 2019 avec GPMC installé.
- Postes clients Windows 10/11 joints au domaine, avec service WLAN AutoConfig (
WlanSvc) en démarrage automatique. - OU(s) dédiées aux objets Ordinateur (évitez d’appliquer la stratégie sur des OU d’utilisateurs).
- Éventuellement un groupe de sécurité AD (ex. Postes Wi‑Fi) pour un filtrage de sécurité précis.
- Connaissance du ou des SSID autorisés (sécurité, chiffrement, 802.1X/PSK, certificat, etc.).
Méthode recommandée : stratégie Wi‑Fi via GPO
Création et liaison de la GPO
- Ouvrez GPMC (Gestion des stratégies de groupe) sur le contrôleur de domaine.
- Créez une nouvelle GPO, par exemple : WiFi – Autoriser SSID entreprise uniquement.
- Liez la GPO à l’OU contenant les comptes Ordinateur ciblés.
- (Option) Dans l’onglet Étendue de la GPO, utilisez le filtrage de sécurité pour n’inclure que le groupe Postes Wi‑Fi.
Configuration de la stratégie Wi‑Fi native
- Éditez la GPO :
Configuration de l’ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies réseau sans fil (IEEE 802.11) - Créez une stratégie Windows Vista et versions ultérieures (sans fil).
- Dans l’onglet Réseaux préférés (Infrastructure), ajoutez votre ou vos SSID d’entreprise :
- Renseignez type de sécurité (WPA2/WPA3), méthode d’authentification (PSK ou 802.1X), chiffrement (AES), et éventuelles options EAP (EAP‑TLS conseillé).
- Si vous avez plusieurs sites avec des SSID distincts, ajoutez tous les SSID autorisés ici.
- Dans l’onglet Autorisations réseau :
- Cochez Autoriser uniquement les connexions aux réseaux définis (bloque tous les autres SSID).
- Interdisez les réseaux ad hoc/Wi‑Fi Direct et forcez Infrastructure uniquement.
Bloquer les contournements côté Windows Connection Manager
Ajoutez ces paramètres GPO (toujours côté Ordinateur) :Configuration de l’ordinateur > Stratégies > Modèles d’administration > Réseau > Gestionnaire de connexion Windows
- Interdire la connexion à des réseaux non‑domaine lorsqu’on est connecté à un réseau authentifié au domaine : Activé. Empêche une double connexion (ex. Wi‑Fi entreprise + hotspot perso).
- Réduire au minimum le nombre de connexions simultanées à Internet ou à un domaine Windows : valeur bloquante recommandée (empêche toute seconde connexion non nécessaire).
Désactiver ICS et le pont réseau
Pour empêcher la création de hotspots locaux ou de ponts entre interfaces :
Configuration de l’ordinateur > Stratégies > Modèles d’administration > Réseau > Connexions réseau
- Interdire l’utilisation du Partage de connexion Internet (ICS) sur votre réseau de domaine DNS : Activé.
- Interdire l’installation et la configuration de ponts réseau : Activé.
Déploiement et vérification sur les clients
- Forcez l’application :
gpupdate /force - Contrôlez le résultat :
gpresult /h C:\gpresult.html(la GPO doit apparaître en section Configuration ordinateur). - Vérifiez que le service WLAN AutoConfig tourne :
sc query wlansvc(État : RUNNING). - Listez les profils Wi‑Fi (les profils de stratégie apparaissent en lecture seule) :
netsh wlan show profiles netsh wlan show interfaces - Contrôlez les restrictions WCM via le Registre :
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy
Résumé des paramètres clés
| Paramètre | Chemin GPO | Valeur conseillée | Effet recherché |
|---|---|---|---|
| Stratégie Wi‑Fi (Vista et +) | Paramètres de sécurité > Stratégies réseau sans fil | Ajouter SSID autorisés | Déploie les profils Wi‑Fi approuvés |
| Autoriser uniquement les réseaux définis | Stratégie Wi‑Fi > Autorisations réseau | Activé | Bloque tout SSID non listé |
| Interdire réseaux ad hoc | Stratégie Wi‑Fi > Autorisations réseau | Activé | Empêche Wi‑Fi Direct/ad hoc |
| Interdire connexions non‑domaine si connecté au domaine | Modèles d’admin > Réseau > Gestionnaire de connexion Windows | Activé | Évite les doubles connexions |
| Minimiser connexions simultanées | Modèles d’admin > Réseau > Gestionnaire de connexion Windows | Valeur bloquante | Priorité au réseau du domaine |
| Interdire ICS | Modèles d’admin > Réseau > Connexions réseau | Activé | Empêche les hotspots locaux |
| Interdire pont réseau | Modèles d’admin > Réseau > Connexions réseau | Activé | Évite les contournements par bridging |
Bonnes pratiques d’implémentation
- Ciblez d’abord un pilote : testez sur un sous‑ensemble (groupe Postes Wi‑Fi) avant généralisation.
- Incluez tous les SSID d’entreprise (multi‑sites, SSID interne/production, IoT, etc.).
- Favorisez 802.1X (EAP‑TLS) : authentification par certificats via NPS/RADIUS ; limite l’accès aux machines/comptes autorisés, élimine la fuite de PSK.
- Réduisez les droits locaux : même si la stratégie est côté Ordinateur, des administrateurs locaux peuvent tenter de s’écarter de la politique.
- Préparez un mode dégradé pour les itinérants : si certains ont besoin d’un SSID externe (client, hôtel), créez une GPO “exemption” appliquée à un groupe dédié et n’ajoutez dans la GPO stricte que les SSID internes.
Sécurité d’entreprise : 802.1X en bref
Pour un contrôle d’accès avancé, implémentez WPA2‑Entreprise/WPA3‑Entreprise (802.1X) :
- Mettre en place un serveur NPS (RADIUS) et une autorité de certification (AD CS) pour l’émission de certificats machine (auto‑inscription via GPO).
- Configurer le SSID entreprise en EAP‑TLS (certificats machines ou utilisateurs selon votre modèle).
- Déployer le profil Wi‑Fi par la GPO avec la méthode EAP adéquate et la liste des autorités de confiance.
- Option : VLANs dynamiques/NAC pour segmenter par rôle (production, invités, BYOD).
Avantage : même si un SSID “interne” est divulgué, aucun accès n’est permis sans certificat valide.
Scénarios particuliers et conseils opérationnels
- Plusieurs SSID internes : listez‑les tous dans la stratégie (ordre de préférence configurable).
- Rejointure au domaine via Wi‑Fi : privilégiez l’authentification machine 802.1X afin que le poste puisse s’authentifier avant ouverture de session.
- Postes “Wi‑Fi only” : appliquez la GPO avant de débrancher l’Ethernet, pour éviter un poste orphelin sans profil valide.
- Postes hybrides (Ethernet + Wi‑Fi) : gardez la cohérence ; la politique Wi‑Fi demeure active, mais l’Ethernet reste prioritaire si disponible.
Plan de déploiement recommandé
- Préparation : recensement des SSID autorisés, choix des méthodes de sécu (PSK vs 802.1X), création de l’OU et du groupe Postes Wi‑Fi.
- Paramétrage GPO : création de la stratégie Wi‑Fi, ajout des SSID, interdictions (ad hoc), WCM (non‑domaine, multi‑connexions), ICS/bridge.
- Phase pilote : 3–5 postes représentatifs (Win10/Win11, chipsets Wi‑Fi différents), documentation des résultats.
- Communication : informer les utilisateurs du blocage de réseaux personnels, fournir une FAQ.
- Généralisation : élargissement à l’OU complète, suivi post‑déploiement (journaux, tickets).
- Amélioration continue : rotation des PSK si utilisés, transition graduelle vers 802.1X.
Vérifications et commandes utiles
:: Forcer l’application des GPO
gpupdate /force
\:: Récapitulatif GPO appliquées
gpresult /h C:\gpresult.html
\:: Vérifier les profils Wi‑Fi (les profils GPO sont "read only")
netsh wlan show profiles
\:: Détails de l’interface Wi‑Fi
netsh wlan show interfaces
\:: Vérifier le service WLAN
sc query wlansvc
\:: Registre – restrictions du Windows Connection Manager
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\WcmSvc\GroupPolicy
\:: PowerShell – carte Wi‑Fi et état
Get-NetAdapter -Name "Wi-Fi" | Format-List Name,Status,MacAddress,LinkSpeed Dépannage : symptômes, causes, résolutions
| Symptôme | Cause probable | Résolution |
|---|---|---|
| Le poste ne voit aucun réseau | SSID d’entreprise absent/mal configuré dans la GPO | Ajouter le SSID correct, vérifier la sécurité/chiffrement, relancer gpupdate |
| Connexion encore possible à des SSID externes | La case “Autoriser uniquement les réseaux définis” n’est pas activée, ou GPO non appliquée | Activer la case, vérifier gpresult, liens GPO/OU et filtrage de sécurité |
| Hotspot mobile fonctionne encore | ICS/partage de connexion non désactivé | Activer l’interdiction ICS via GPO, redémarrer le service Connexions réseau |
| Déconnexions aléatoires | Paramètres EAP/certificat non valides ou roaming agressif | Vérifier 802.1X (certificats, serveur NPS), ajuster le roaming si supporté par le pilote |
| La GPO n’apparaît pas côté Ordinateur | GPO liée à la mauvaise OU (Utilisateurs au lieu d’Ordinateurs) | Relier à l’OU des machines, forcer la réplication AD et gpupdate |
Alternatives et compléments
Gestion via MDM/Intune
Si votre parc est géré avec Intune/MDM, créez un profil Wi‑Fi (et les certificats) et complétez par des paramètres de restriction équivalents depuis le catalogue de paramètres (Windows Connection Manager : interdire réseaux non‑domaine, minimiser les connexions simultanées ; Connexions réseau : interdire ICS). Vous obtenez un résultat fonctionnellement identique à la GPO AD, tout en conservant l’agilité du MDM.
Contrôles côté bornes Wi‑Fi
- 802.1X obligatoire sur le SSID interne (EAP‑TLS de préférence).
- SSID invité séparé (VLAN/pare‑feu) pour les appareils non gérés.
- Segmentation dynamique (VLAN/NAC) selon groupe AD ou posture de l’appareil.
Checklist d’audit express
- La GPO Wi‑Fi est‑elle liée à l’OU des ordinateurs ?
- Les SSID autorisés sont‑ils tous listés ?
- La case “Autoriser uniquement les connexions aux réseaux définis” est‑elle cochée ?
- Les interdictions ad hoc, ICS et pont réseau sont‑elles actives ?
- Les paramètres WCM empêchent‑ils les connexions non‑domaine et multiples ?
- La vérification (
netsh wlan show profiles) liste‑t‑elle vos profils en Group Policy profiles (read only) ?
FAQ rapide
Un administrateur local peut‑il ajouter un SSID ?
Non, les profils déployés par GPO sont en lecture seule et le paramètre “Autoriser uniquement les réseaux définis” bloque les autres connexions. La réduction des droits locaux reste néanmoins une bonne pratique.
Comment gérer les itinérants qui ont besoin d’un Wi‑Fi externe ?
Mettez‑les dans un groupe d’exemption avec une GPO dédiée qui autorise un SSID additionnel (client/hôtel). Ne relâchez pas la politique globale.
Faut‑il supprimer les anciens profils Wi‑Fi locaux ?
La stratégie “autoriser uniquement…” suffit à bloquer les profils non listés. Vous pouvez néanmoins nettoyer les profils utilisateurs pour éviter la confusion.
Procédure détaillée pas‑à‑pas (exemple consolidé)
- Dans GPMC, créez WiFi – Autoriser SSID entreprise uniquement, liez à l’OU Postes.
- Ajoutez la stratégie Wi‑Fi (Vista et +) ; dans Réseaux préférés, ajoutez
SSID_Entreprise(WPA2‑Entreprise/EAP‑TLS ou WPA2‑PSK/AES selon votre design). - Dans Autorisations réseau, cochez Autoriser uniquement…, interdisez ad hoc, choisissez Infrastructure.
- Dans Gestionnaire de connexion Windows, interdisez la connexion à des réseaux non‑domaine si connecté au domaine ; minimisez les connexions simultanées.
- Dans Connexions réseau, interdisez ICS et pont réseau.
- Appliquez et testez :
gpupdate /force,gpresult,netsh wlan show profiles. Tentez une connexion à un hotspot personnel : elle doit échouer.
Modèle de plan de tests
| Cas | Action | Résultat attendu | OK/NOK |
|---|---|---|---|
| Connexion SSID interne | Se connecter à SSID_Entreprise | Connexion réussie, IP correcte, accès DC | |
| Connexion SSID externe | Tenter un hotspot mobile | Connexion refusée/non disponible | |
| Double connexion | Ethernet + SSID externe | Connexion externe bloquée par WCM | |
| Ad hoc/Wi‑Fi Direct | Créer un réseau ad hoc | Création/connexion impossible | |
| ICS | Tenter d’activer le partage | Fonction non disponible |
Rollback et maintenance
- Rollback : dissociez la GPO de l’OU ou désactivez‑la, forcez
gpupdate; les postes reviennent au comportement par défaut. - Mises à jour : pour ajouter un nouveau site/SSID, insérez‑le simplement dans la liste des réseaux préférés de la GPO.
- Surveillance : suivez les journaux WLAN‑AutoConfig et les tickets helpdesk pour détecter d’éventuels points durs.
Conclusion
En combinant la stratégie Wi‑Fi native et quelques réglages du Windows Connection Manager, vous imposez aux postes joints au domaine de n’utiliser que le(s) SSID d’entreprise, tout en neutralisant les contournements les plus courants (ad hoc, ICS, multi‑connexions). Cette approche, purement GPO, est simple à déployer, documentable, et compatible avec une montée en gamme vers 802.1X/EAP‑TLS pour un contrôle d’accès réseau réellement granulaire.