Comment désactiver l’IPv6 par GPO ?

I. Présentation

Lorsque l'IPv6 n'est pas utilisé au sein de votre réseau local, il peut être intéressant de le désactiver sur vos postes clients, notamment pour améliorer la sécurité. Si vous utilisez une gestion centralisée de vos machines par un annuaire Active Directory, vous pourrez alors vous appuyer sur une GPO pour paramétrer cela.

II. Intégrer l'ADMX

Concrètement, il faudrait faire une GPO qui effectue une modification dans le registre, car il n'y a pas nativement de paramètre pour le faire directement dans une GPO. Mais c'est sans compter sur la communauté Microsoft, en effet, un fichier ADMX est disponible sur internet pour ajouter un paramètre qui permet justement de gérer l'IPv6.

On va donc récupérer ce fichier : ADMX IPv6

Ensuite, on va copier le fichier "IPv6Configuration.admx" dans le répertoire suivant sur votre contrôleur de domaine : %SYSTEMROOT%\PolicyDefinitions

Cependant, je vous conseille plutôt de partager ces ADMX au niveau de votre domaine dans le SYSVOL directement pour que vos DCs disposent des mêmes ADMX. Pour cela, on va créer un magasin central c'est-à-dire un dossier "PolicyDefinitions" à l'emplacement suivant : C:\Windows\SYSVOL\ sysvol\Nom_de_domaine\Policies\.

Ce qui donnera : C:\Windows\SYSVOL\ sysvol\Nom_de_domaine\Policies\PolicyDefinitions

De plus, copiez le fichier "IPv6Configuration.adml" dans un sous-répertoire nommé "en-US" puisqu'il s'agit d'un fichier de langue en anglais.

III. Le paramètre IPv6

Désormais si vous éditez une GPO existante ou que vous en créez une nouvelle, vous devez avoir un paramètre nommé "IPv6 Configuration Policy" en suivant le chemin suivant :

Configuration ordinateur > Stratégies > Modèles d’administration > Réseau > IPv6 Configuration

Vous aurez alors le choix, d'activer ou désactiver IPv6, mais aussi de désactiver uniquement Teredo, etc... Les choix sont multiples, c'est réellement intéressant.

ipv6-gpo

En fait, cet ADMX ira modifier la valeur de registre "DisabledComponents" que vous devez créer si elle n'existe pas, et qui se trouve au chemin suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\TCPIP6\Parameters\.

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Co-Fondateur d'IT-Connect, je souhaite partager mes connaissances et expériences avec vous, et comme la veille techno' est importante je partage aussi des actus.

florian a publié 1601 articles sur IT-Connect.See all posts by florian

Une réaction sur “Comment désactiver l’IPv6 par GPO ?

  • 01/03/2016 à 15:01
    Permalink

    Il n’est absolument pas recommandé par Microsoft de désactiver IPv6 sur des postes clients ou serveurs.

    C’est très clairement indiqué ici :
    https://technet.microsoft.com/en-us/network/cc987595.aspx#

    It is unfortunate that some organizations disable IPv6 on their computers running Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true.

    From Microsoft’s perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows 7, Windows Vista, Windows Server 2008 R2, or Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be.

    Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *