rss logo

Comment sécuriser les systèmes d'exploitation Windows

Microsoft Logo

Je vais mettre ici toutes les actions que je mets en place quand il s'agit de sécuriser des systèmes Microsoft Windows. J'espère que cela te sera utile! :)

Ce guide peut être utilisé indépendamment sur les postes clients ou les serveurs.

BIOS

  • Voici une liste d'action à mettre en place :
    • Mettre à jour vers le dernier firmware BIOS
    • Activer le secure boot
    • Mettre en place un mot de passe BIOS pour éviter toutes modifications
    • Désactiver le démarrage USB ou sur tout autre périphérique externe

Comptes Utilisateurs

Dans la plupart des cas nous n'auront pas besoin de travailler sous une session administrateur. Cette dernière ne doit être utilisée que dans certains cas bien précis (ex : installation logicielle, modification des paramètres Windows etc…). Donc la première chose à faire est de créer une session simple utilisateur.

  • Depuis une console administrateur créer un compte utilisateur :
net user stduser 1userP@SSWORD /add
  • Depuis une console administrateurr créer un compte administrateur :
net user adminuser 1admin@SSWORD /add net localgroup administrateurs adminuser /add

Les services

Dans le but de réduire la surface d'attaque nous pouvons désactiver les services qui ne seront pas utilisés.

Service Service Name Comment
AllJoyn Router Service AJRouter
Bluetooth Support Service btdserv
Connected User Experiences and Telemetry DiagTrack
Device Management Wireless Application Protocol (WAP) Push message Routing Service dmwapphushservice
Function Discovery Provider Host fdPHost
Function Discovery Resource Publication FDResPub
Geolocation Service lfsvc
Link-Layer Topology Discovery Mapper lltdsvc
Network Connected Devices Auto-Setup NcdAutoSetup
Peer Networking Identity Manager p2pimsvc
Peer Networking Grouping p2psvc
Peer Name Resolution Protocol PNRPsvc
Remote Access Auto Connection Manager RasAuto
Remote Access Connection Manager RasMan
Routing and Remote Access RemoteAccess
Remote Registry RemoteRegistry
Retail Demo Service retaildemo
Internet Connection Sharing (ICS) SharedAccess
SSDP Discovery SSDPSRV
UPnP Device Host upnphost
Windows Connect Now - Config Registrar wcncsvc
WLAN AutoConfig WlanSvc
Microsoft Account Sign-in Assistant wlidsvc
Windows Media Player Network Sharing Service WMPNetworkSvc
WWAN AutoConfig WwanSvc
Xbox Live Auth Manager XblAuthManager
Xbox Live Game Save XblGameSave
Xbox Accessory Management Service XboxGipSvc
Xbox Live Networking Service XboxNetApiSvc
  • Un script pour désactiver les services :
sc.exe config AJRouter start=disabled sc.exe config bthserv start=disabled sc.exe config DiagTrack start=disabled sc.exe config dmwappushservice start=disabled sc.exe config fdPHost start=disabled sc.exe config FDResPub start=disabled sc.exe config lfsvc start=disabled sc.exe config lltdsvc start=disabled sc.exe config NcdAutoSetup start=disabled sc.exe config p2pimsvc start=disabled sc.exe config p2psvc start=disabled sc.exe config PNRPsvc start=disabled sc.exe config RasAuto start=disabled sc.exe config RasMan start=disabled sc.exe config RemoteAccess start=disabled sc.exe config RemoteRegistry start=disabled sc.exe config retaildemo start=disabled sc.exe config SharedAccess start=disabled sc.exe config SSDPSRV start=disabled sc.exe config upnphost start=disabled sc.exe config wcncsvc start=disabled sc.exe config WlanSvc start=disabled sc.exe config wlidsvc start=disabled sc.exe config WMPNetworkSvc start=disabled sc.exe config WwanSvc start=disabled sc.exe config XblAuthManager start=disabled sc.exe config XblGameSave start=disabled sc.exe config XboxGipSvc start=disabled sc.exe config XboxNetApiSvc start=disabled

Pare-Feu Windows

Bloquer par défaut le trafic

Logo Windows Firewall

On peut utiliser le Pare-Feu Windows pour n'autoriser uniquement que les flux réseau nécessaires.

Pour se faire, nous allons interdire par défaut les flux entrants et sortants.

  • Activer avec PowerShell le Pare-Feu Windows et bloquer le trafic entrant et sortant :
PS C:\Windows\system32> Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block -DefaultOutboundAction Block -Enabled True
  • Ou depuis l'interface graphique :
Onglet domaine de la fenêtre de configuration du pare-feu windows

Débug

Avec ces restrictions des flux légitimes peuvent se retrouver bloqués. Afin de les visualiser (et les autoriser via de nouvelles règles) nous pouvons activer les journaux windows.

  • Éditer les stratégies de groupe et activer l'Auditer le rejet de paquet par la plateforme de filtrage :
Fenêtre de l'éditeur de stratégie windows pour configurer l'audit de filtrage
  • Puis ouvrir le Journal d'évènements Windows pour voir le trafic bloqué (l'id de l'évènement : 5152) :
blocked traffic inside the Windows Event Viewer

Windows Update

Microsoft publie régulièrement des patchs de sécurité de ses systèmes, donc la mise à jour via Windows Update doit être réalisée le plus souvent possible.

Chiffrer les disques

Encore plus sur les portables, le chiffrement du disque dur est un bon moyen d'améliorer la sécurité du système. Pour se faire nous pouvons utiliser BitLocker ou n'importe quelle autre solution de chiffrement (comme VeraCrypt par exemple).

Activer Bitlocker depuis l'explorateur windows

Fonctionnalités Windows

Certaines anciennes fonctionnalités de Windows sont encore activées dans les versions récentes de Windows. Nous allons voir ici comment les désactiver avec PowerShell.

  • SMB est le protocole de partage dans l'environnement Windows. SMB 1.0 est obsolète et est faible d'un point de vue sécurité. Il devrait donc être désactivé :
PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "SMB1Protocol" -Online
  • Sur certaines versions de Windows, Windows PowerShell v2.0 est activé par défaut. Cette version est obsolète et peut être désactivée :
PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "MicrosoftWindowsPowerShellV2" -Online
  • Si non utilisé, nous pouvons également désactiver le client des services de fax :
PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "FaxServicesClientPackage" -Online

Stratégie de groupe

Il y a beaucoup de paramètres dans les stratégies de groupe qui permettent de durcir notre système.

Group Policy Valeur Commentaire
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégies de mot de passe
Conserver l'historique des mots de passe 24
Durée de vie maximale du mot de passe 90
Durée de vie minimale du mot de passe 1
Le mot de passe doit respecter des exigences de complexité Activé
Longueur minimale du mot de passe 10
Enregistrer les mots de passe en utilisant un chiffrement réversible Désactivé
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage de compte
Seuil de verrouillage de comptes 10
Durée de verrouillage des comptes 5 minutes
Réinitialiser le compteur de verrouillages du compte après 5 minutes
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs
Accéder à cet ordinateur à partir du réseau Administrateurs et Utilisateurs authentifiés
Autoriser l’ouverture de session par les services Bureau à distance - Ajouter les comptes utilisateurs qui sont autorisés à se connecter en RDS
Interdire l’accès à cet ordinateur à partir du réseau Invités Ajouter compte local si l'ordinateur appartient à un domaine
Interdire l’ouverture d’une session locale Invités Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine
Interdire l’ouverture de session en tant que service Invités Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine
Interdire l’ouverture de session en tant que tâche Invités Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine
Interdire l'ouverture de session par les services Bureau à distance Invités
Permettre l’ouverture d’une session locale Administrateurs et Utilisateurs authentfiés
Augmenter la priorité de planification Administrateurs
Restaurer les fichiers et les répertoires Administrateurs
Sauvegarder les fichiers et les répertoires Administrateurs
Creative Commons License
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.

Contact :

contact mail address