• 10 heures
  • Difficile

Ce cours est visible gratuitement en ligne.

Ce cours est en vidéo.

Vous pouvez obtenir un certificat de réussite à l'issue de ce cours.

J'ai tout compris !

Mis à jour le 13/02/2019

Sécurisez les systèmes Windows

Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Dans ce premier chapitre, vous apprendrez quelques mesures simples pour sécuriser des systèmes Windows de manière efficace et pérenne. Pour cela, vous appliquerez des mesures de sécurité pour :

  • mieux vous protéger des connexions réseau,

  • empêcher un programme non autorisé à se lancer,

  • limiter les risques liés à l'usage de médias amovibles.

Limitez les connexions réseau

Pour limiter les attaques par le réseau, vous avez plusieurs possibilités. Vous pouvez :

  • limiter les fonctions d'une interface réseau ;

  • désactiver les services qui ne sont pas utiles ;

  • renforcer le niveau de sécurité des services existants.

Limiter les fonctions d'une interface réseau

Pour limiter les fonctions d'une interface réseau, allez dans le panneau de configuration, dans « Réseau et Internet/Connexion réseau », faites un clic-droit/Propriétés sur chaque interface. L'interface liste les éléments utilisés par l'interface réseau.

Pour la plupart des systèmes clients ou serveurs, vous pouvez ne laisser que :

  • Client pour réseau Microsoft ;

  • Protocole Internet version 4 (TCP/IPv4).

Les autres options peuvent être enlevées :

  • Partage de fichiers et imprimantes : cette option ne vous sera utile que sur les serveurs de fichiers ou d'impression ;

  • Planificateur de paquets QoS : cela n'est utile que sur les serveurs sur lesquels une priorisation du trafic est implémentée ;

  • Les protocoles de découverte LLDP et topologie de la couche de liaison : ces fonctions dévoilent inutilement les propriétés du système et augmentent sa surface d'exposition. 

Capture d'écran de la fenêtre de configuration de l'interface réseau.
Configuration de l'interface réseau

Désactiver les services qui ne sont pas utiles

Pour désactiver les services Windows inutiles, il vous suffit de lancer services.msc (à partir de Windows+R). L'interface affiche alors les différents services en indiquant leur état et type de démarrage. Ils peuvent être désactivés, lancés manuellement ou automatiquement. Il faut désactiver ceux qui ne sont pas utiles :

Capture d'écran de la fenêtre des propriétés d'un service réseau afin de le désactiver.
Désactivation de service réseau

Renforcer le niveau de sécurité des services existants

Vous ne pouvez pas désactiver tous les services réseau ou Windows, sinon, le système n'aurait plus d'utilité ! Pour les fonctions restantes intégrées à WIndows, vous pouvez les sécuriser au travers de la politique locale du poste. A partir de Windows+R, lancez « gpedit.msc ». Allez dans : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.

Vous aurez accès à de nombreuses options concernant les limitations d'accès par le réseau, d'ouverture de session, la sécurité des protocoles réseau, etc.

La capture ci-dessous donne l’exemple pour améliorer le niveau de sécurité de l’authentification à distance, pour éviter qu’elle soit cassée ou qu’un attaquant se mette au milieu de l’échange réseau pour le modifier. Vous pourrez élever le niveau d'authentification accepté au travers du réseau simplement en choisissant « Sécurité réseau : niveau d'authentification du LAN MAnager » et configurer la valeur « uniquement NTLM v2, Refuser LM ».

Capture d'écran de la fenêtre de propriétés de sécurité réseau afin de modifier le niveau de sécurité de l'authentification à distance.
Durcissement de l'authentification à distance

Appliquez une restriction logicielle

Voici quelques une de leurs vulnérabilités :

  • A défaut d’une mise à jour fréquente, un antivirus ne protège pas le système et augmente sa surface d’attaque.

  • Les antivirus ne sont pas conçus pour protéger les systèmes contre des attaques ciblées.

Pour se protéger de manière générique contre les logiciels malveillants, vous pouvez toutefois adopter une solution simple : appliquer une politique de restriction logicielle.

Sous Windows, vous pouvez le mettre en œuvre soit avec la fonction AppLocker, soit avec les SRP (Software Restriction Policy). AppLocker offre une meilleure protection, mais en fonction des versions de Windows, cette fonction n'est disponible que pour les licences Enterprise ou Ultimate. Les SRP sont donc plus génériques.

Pour éditer les SRP, ouvrez gpedit.msc. Allez dans Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégie de restriction logicielle. Allez dans le menu Action et choisissez Nouvelle stratégie de restriction logicielle.

Capture de l'éditeur de stratégie de groupe local afin d'ajouter une politique de restriction logicielle.
Ajout d'une politique de restriction logicielle

Tout d'abord, allez dans Niveaux de sécurité et configurez « Non autorisé » comme étant l'action par défaut :

Capture de l'éditeur de stratégie de groupe local afin de configurer le blocage par défaut.
Configuration du blocage par défaut

La liste des logiciels autorisés est configurée dans Règles supplémentaires.

Leur configuration peut se baser sur :

  • le chemin d'un exécutable ou d'un répertoire qui contient un ou plusieurs programmes,
    l'empreinte d'un fichier (hachage) ;

  • la signature numérique d'un programme (à partir du certificat de son éditeur).

Capture de l'éditeur de stratégie de groupe local afin de configurer les programmes autorisés.
Configuration des programmes autorisés

Par défaut, les programmes sont autorisés à être lancés dans les répertoires Windows et Program Files. En fonction de la configuration des postes, il est possible d'ajouter des répertoires, mais il faut que l'utilisateur courant n'ait pas de droit d'écriture dans les répertoires sélectionnés. Dans le cas contraire, il pourrait y déposer volontairement ou non un logiciel malveillant qui s'y exécutera !

Ajouter une règle basée sur une empreinte ou une signature peut toutefois être judicieux pour autoriser un programmer à un endroit où l'utilisateur a des droits d'écritures, par exemple une clé USB.

Et voilà, avec cette simple configuration, un programme malveillant déposé dans un répertoire temporaire ou le profil utilisateur ne pourra plus s'exécuter ! Et contrairement aux antivirus, cela ne nécessite aucune mise à jour régulière.

Restreignez l'usage des médias amovibles

Les politiques de restriction logicielles permettent de bloquer des attaques par média amovible. Cela aurait par exemple bloqué l'exploitation de la faille LNK (MS10-046) utilisée par la fameuse attaque Stuxnet. Pour aller plus loin, vous pouvez tout simplement désactiver la possibilité d'utiliser des médias amovibles sur les postes qui n'en ont pas besoin.

Pour cela, continuez dans gpedit.msc. Activez les deux options suivantes :

  • Configuration Ordinateur > Modèle d'administration > Système > Accès au stockage amovible > Toutes les classes de stockage amovible : refuser tous les accès ;

  • Configuration Ordinateur > Modèle d'administration > Système > Installation de périphérique > Restriction d'installation de périphériques > Empêcher l'installation de périphériques amovibles

Capture de l'éditeur de stratégie de groupe local afin de configurer les restrictions sur les médias amovibles.
Restriction sur les médias amovibles

En résumé

  • Pour limiter la surface d'exposition de vos systèmes Windows sur le réseau, désactivez les fonctions et les services Windows inutiles et dangereux ;

  • Les stratégies de restrictions logicielles empêchent de manière générique et pérenne l'exécution de logiciels malveillants ;

  • Les scénarios d'attaque par USB peuvent être bloqués en désactivant les échanges par médias amovibles sur les postes qui ne le nécessitent pas.

Exemple de certificat de réussite
Exemple de certificat de réussite