Déploiement de masse via Active Directory et stratégie de groupe (GPO)

Objet de ce guide

Voici la procédure que suit un administrateur Windows pour pousser Zeuslock sur l'ensemble des postes joints au domaine, sans toucher physiquement aux machines. Deux artefacts sont déployés : les extensions navigateur Zeuslock pour Edge et Chrome (via des stratégies ADMX), et le MSI de l'agent de bureau Zeuslock (via la Configuration ordinateur → Installation de logiciel). Les utilisateurs finaux ne voient rien : à la prochaine ouverture de session, l'extension est installée de force et le service de l'agent tourne.

Prérequis

• Un domaine Active Directory avec au moins un contrôleur de domaine en écriture et un SYSVOL fonctionnel.
• La console Group Policy Management Console (GPMC) installée sur votre poste d'administration (composant RSAT).
• Un compte Admin du domaine, ou membre de Propriétaires créateurs de la stratégie de groupe avec les droits de liaison délégués sur l'OU cible.
• Des postes joints au domaine sous Windows 10 (1809+) ou Windows 11.
• Un partage UNC lisible par le groupe Ordinateurs du domaine pour héberger le MSI.
• Un jeton d'enrôlement récupéré dans Paramètres → Déploiement de la Console Opérateur sur app.zeuslock.ai.

Partie 1 — Installation forcée des extensions navigateur via ADMX

1. Importer le bundle ADMX Zeuslock

Téléchargez la dernière version sur votre poste d'administration :

Invoke-WebRequest -Uri "https://download.zeuslock.ai/admx/latest.zip" -OutFile "$env:TEMP\zeuslock-admx.zip"
Expand-Archive "$env:TEMP\zeuslock-admx.zip" -DestinationPath "$env:TEMP\zeuslock-admx" -Force

Copiez les fichiers dans le magasin central SYSVOL pour que tous les contrôleurs de domaine servent les mêmes modèles :

$Store = "\\domain.controller\SYSVOL\domain\Policies\PolicyDefinitions"
Copy-Item "$env:TEMP\zeuslock-admx\Zeuslock.admx" -Destination $Store -Force
Copy-Item "$env:TEMP\zeuslock-admx\en-US\Zeuslock.adml" -Destination "$Store\en-US\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\fr-FR\Zeuslock.adml" -Destination "$Store\fr-FR\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\es-ES\Zeuslock.adml" -Destination "$Store\es-ES\" -Force
Copy-Item "$env:TEMP\zeuslock-admx\de-DE\Zeuslock.adml" -Destination "$Store\de-DE\" -Force

2. Créer la GPO et la lier

1. Ouvrez GPMC (gpmc.msc).
2. Clic droit sur votre domaine → Créer un objet GPO dans ce domaine, et le lier ici…. Nommez-le Zeuslock - Extensions Navigateur.
3. Clic droit sur la nouvelle GPO → Modifier.
4. Liez-la d'abord à votre OU pilote (par exemple OU=Pilote,OU=Postes,DC=corp,DC=local), pas à la racine.

3. Configurer la force d'installation pour Edge

1. Allez dans Configuration ordinateur → Stratégies → Modèles d'administration → Microsoft Edge → Extensions.
2. Ouvrez Configurer la liste des applications et extensions installées de force → Activé.
3. Cliquez sur Afficher… et ajoutez cette entrée exactement :

iicgcadhcgbckmpapjihechjpgcdamhd;https://clients2.google.com/service/update2/crx

4. Répéter pour Google Chrome

Sous Configuration ordinateur → Stratégies → Modèles d'administration → Google → Google Chrome → Extensions, refaites les mêmes étapes avec le même identifiant d'extension et la même URL de mise à jour.

Partie 2 — Déployer le MSI de l'agent de bureau

1. Stocker le MSI sur un partage UNC

Copiez ZeuslockAgent.msi sur un partage lisible par Ordinateurs du domaine (pas seulement Utilisateurs du domaine — l'installation s'exécute sous le compte SYSTEM) :

$Share = "\\fileserver\Software\Zeuslock"
icacls $Share /grant "Ordinateurs du domaine:(OI)(CI)RX"

2. Injecter le jeton d'enrôlement

L'agent a besoin de ZEUS_ENROLL_TOKEN au moment de l'installation. L'Installation logicielle par GPO ne sait pas passer de propriétés MSI directement : utilisez l'une de ces deux méthodes.

• Recommandé : générer un transform avec Orca ou WiX :

cscript WiRunSQL.vbs ZeuslockAgent.mst "INSERT INTO Property (Property, Value) VALUES ('ZEUS_ENROLL_TOKEN', 'zk_live_xxxxxxxxxxxx')"

• Alternative : pré-positionner le jeton dans le registre via une préférence GPO avant l'exécution du MSI :

New-Item -Path "HKLM:\SOFTWARE\Zeuslock\Agent" -Force
New-ItemProperty -Path "HKLM:\SOFTWARE\Zeuslock\Agent" -Name "EnrollToken" -Value "zk_live_xxxxxxxxxxxx" -PropertyType String -Force

3. Créer le package d'installation logicielle

1. Dans GPMC, modifiez une nouvelle GPO nommée Zeuslock - Agent de Bureau.
2. Allez dans Configuration ordinateur → Stratégies → Paramètres du logiciel → Installation de logiciel.
3. Clic droit → Nouveau → Package…. Naviguez avec le chemin UNC (jamais une lettre de lecteur) : \\fileserver\Software\Zeuslock\ZeuslockAgent.msi.
4. Choisissez Attribué. Si vous avez généré un transform, basculez sur Avancé et ajoutez ZeuslockAgent.mst dans l'onglet Modifications avant de valider.
5. Liez la GPO à la même OU pilote.

4. Optionnel — Tâche planifiée de secours

L'Installation logicielle échoue parfois sur des liens lents ou des postes saturés. Doublez la GPO avec une tâche planifiée qui s'exécute une fois au démarrage sous SYSTEM :

msiexec /i \\fileserver\Software\Zeuslock\ZeuslockAgent.msi /qn /norestart ZEUS_ENROLL_TOKEN=zk_live_xxxxxxxxxxxx /l*v C:\Windows\Temp\zeuslock-install.log

Vérification

Redémarrez un poste de test (ne vous contentez pas d'un gpupdate /force : les stratégies d'Installation logicielle ne s'appliquent qu'au démarrage, avant l'ouverture de session, parce que le MSI installe des services). Puis sur le poste :

gpresult /h C:\Temp\gpreport.html
Start-Process C:\Temp\gpreport.html

Dans le rapport, vérifiez que les deux GPO Zeuslock figurent dans GPO appliquées et que le MSI apparaît dans Installation de logiciel. Puis contrôlez la stratégie et le service :

Get-Service ZeuslockAgent
# Statut attendu : Running, type de démarrage Automatic

Start-Process "chrome.exe" "chrome://policy"
# Cherchez ExtensionInstallForcelist contenant iicgcadhcgbckmpapjihechjpgcdamhd

Pièges classiques avec les GPO

• ADMX au mauvais endroit. Des modèles posés dans C:\Windows\PolicyDefinitions\ d'un seul DC sont invisibles depuis les autres DC et depuis GPMC. Toujours utiliser le magasin central SYSVOL.
• Reboot oublié. gpupdate /force applique la plupart des stratégies, mais pas l'Installation logicielle. Le CSE qui traite les MSI ne tourne qu'à la phase démarrage → avant logon, car installer un service pendant qu'un utilisateur est connecté est risqué.
• MSI code 1603 sans jeton. L'agent refuse de s'enregistrer sans jeton et renvoie 1603. Appliquez le transform .mst, pré-positionnez la valeur de registre, ou utilisez la tâche planifiée de secours.
• ExtensionInstallBlocklist en conflit. Un joker en liste de blocage l'emporte sur la liste de force, sauf si l'ID de l'extension Zeuslock est aussi dans ExtensionInstallAllowlist.
• Filtres WMI trop étroits. Un filtre du type Win32_OperatingSystem WHERE Version LIKE '10.0.19%' exclut Windows 11. Préférez Caption LIKE 'Microsoft Windows 1%', ou retirez le filtre.

Plan de déploiement par anneaux

1. Anneau 0 (J+0) : OU pilote IT — 10 à 20 postes. Valider l'application de l'ADMX, l'installation du MSI, la liste de force d'extensions, le service de l'agent.
2. Anneau 1 (J+7) : une unité métier (50 à 200 postes). Surveillez les volumes de findings et les tickets helpdesk dans la Console Opérateur.
3. Anneau 2 (J+14) : les autres unités métier par lots, espacés de 7 jours.
4. Anneau 3 (J+21+) : liez les GPO à la racine du domaine, en excluant explicitement l'OU pilote via le filtrage de sécurité.

Une fois tous les anneaux au vert, faites passer la stratégie Zeuslock de Monitor à Anonymize, puis à Block, sur la cadence recommandée de 6 semaines. Voir Première détection pas à pas pour ce qui vous attend dès que l'agent commence à remonter des incidents.