Je vais mettre ici toutes les actions que je mets en place quand il s'agit de sécuriser des systèmes Microsoft Windows. J'espère que cela te sera utile! :)
Ce guide peut être utilisé indépendamment sur les postes clients ou les serveurs.
Dans la plupart des cas nous n'auront pas besoin de travailler sous une session administrateur. Cette dernière ne doit être utilisé que dans certains cas bien précis (ex : installation logicielle, modification des paramètres Windows etc…). Donc la première chose à faire est de créer une session simple utilisateur.
net user stduser 1userP@SSWORD /add
net user adminuser 1admin@SSWORD /add
net localgroup administrateurs adminuser /add
Dans le but de réduire la surface d'attaque nous pouvons désactiver les services qui ne seront pas utilisés.
Service | Service Name | Comment |
---|---|---|
AllJoyn Router Service | AJRouter | |
Bluetooth Support Service | btdserv | |
Connected User Experiences and Telemetry | DiagTrack | |
Device Management Wireless Application Protocol (WAP) Push message Routing Service | dmwapphushservice | |
Function Discovery Provider Host | fdPHost | |
Function Discovery Resource Publication | FDResPub | |
Geolocation Service | lfsvc | |
Link-Layer Topology Discovery Mapper | lltdsvc | |
Network Connected Devices Auto-Setup | NcdAutoSetup | |
Peer Networking Identity Manager | p2pimsvc | |
Peer Networking Grouping | p2psvc | |
Peer Name Resolution Protocol | PNRPsvc | |
Remote Access Auto Connection Manager | RasAuto | |
Remote Access Connection Manager | RasMan | |
Routing and Remote Access | RemoteAccess | |
Remote Registry | RemoteRegistry | |
Retail Demo Service | retaildemo | |
Internet Connection Sharing (ICS) | SharedAccess | |
SSDP Discovery | SSDPSRV | |
UPnP Device Host | upnphost | |
Windows Connect Now - Config Registrar | wcncsvc | |
WLAN AutoConfig | WlanSvc | |
Microsoft Account Sign-in Assistant | wlidsvc | |
Windows Media Player Network Sharing Service | WMPNetworkSvc | |
WWAN AutoConfig | WwanSvc | |
Xbox Live Auth Manager | XblAuthManager | |
Xbox Live Game Save | XblGameSave | |
Xbox Accessory Management Service | XboxGipSvc | |
Xbox Live Networking Service | XboxNetApiSvc |
sc.exe config AJRouter start=disabled
sc.exe config bthserv start=disabled
sc.exe config DiagTrack start=disabled
sc.exe config dmwappushservice start=disabled
sc.exe config fdPHost start=disabled
sc.exe config FDResPub start=disabled
sc.exe config lfsvc start=disabled
sc.exe config lltdsvc start=disabled
sc.exe config NcdAutoSetup start=disabled
sc.exe config p2pimsvc start=disabled
sc.exe config p2psvc start=disabled
sc.exe config PNRPsvc start=disabled
sc.exe config RasAuto start=disabled
sc.exe config RasMan start=disabled
sc.exe config RemoteAccess start=disabled
sc.exe config RemoteRegistry start=disabled
sc.exe config retaildemo start=disabled
sc.exe config SharedAccess start=disabled
sc.exe config SSDPSRV start=disabled
sc.exe config upnphost start=disabled
sc.exe config wcncsvc start=disabled
sc.exe config WlanSvc start=disabled
sc.exe config wlidsvc start=disabled
sc.exe config WMPNetworkSvc start=disabled
sc.exe config WwanSvc start=disabled
sc.exe config XblAuthManager start=disabled
sc.exe config XblGameSave start=disabled
sc.exe config XboxGipSvc start=disabled
sc.exe config XboxNetApiSvc start=disabled
On peut utiliser le Pare-Feu Windows pour n'autoriser uniquement que les flux réseau nécessaires.
Pour se faire, nous allons interdire par défaut les flux entrants et sortants.
PS C:\Windows\system32> Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block -DefaultOutboundAction Block -Enabled True
Avec ces restrictions des flux légitimes peuvent se retrouver bloqués. Afin de les visualiser (et les autoriser via de nouvelles règles) nous pouvons activer les journaux windows.
Microsoft publie régulièrement des patchs de sécurité de ses systèmes, donc la mise à jour via Windows Update doit être réalisée le plus souvent possible.
Encore plus sur les portables, le chiffrement du disque dur est un bon moyen d'améliorer la sécurité du système. Pour se faire nous pouvons utiliser BitLocker ou n'importe quelle autre solution de chiffrement (comme VeraCrypt par exemple).
Certaines anciennes fonctionnalités de Windows sont encore activées dans les versions récentes de Windows. Nous allons voir ici comment les désactiver avec PowerShell.
PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "SMB1Protocol" -Online
PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "MicrosoftWindowsPowerShellV2" -Online
PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "FaxServicesClientPackage" -Online
Il y a beaucoup de paramètres dans les stratégies de groupe qui permettent de durcir notre système.
Group Policy | Valeur | Commentaire |
---|---|---|
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégies de mot de passe | ||
Conserver l'historique des mots de passe | 24 | |
Durée de vie maximale du mot de passe | 90 | |
Durée de vie minimale du mot de passe | 1 | |
Le mot de passe doit respecter des exigences de complexité | Activé | |
Longueur minimale du mot de passe | 10 | |
Enregistrer les mots de passe en utilisant un chiffrement réversible | Désactivé | |
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage de compte | ||
Seuil de verrouillage de comptes | 10 | |
Durée de verrouillage des comptes | 5 minutes | |
Réinitialiser le compteur de verrouillages du compte après | 5 minutes | |
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs | ||
Accéder à cet ordinateur à partir du réseau | Administrateurs et Utilisateurs authentifiés | |
Autoriser l’ouverture de session par les services Bureau à distance | - | Ajouter les comptes utilisateurs qui sont autorisés à se connecter en RDS |
Interdire l’accès à cet ordinateur à partir du réseau | Invités | Ajouter compte local si l'ordinateur appartient à un domaine |
Interdire l’ouverture d’une session locale | Invités | Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine |
Interdire l’ouverture de session en tant que service | Invités | Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine |
Interdire l’ouverture de session en tant que tâche | Invités | Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine |
Interdire l'ouverture de session par les services Bureau à distance | Invités | |
Permettre l’ouverture d’une session locale | Administrateurs et Utilisateurs authentfiés | |
Augmenter la priorité de planification | Administrateurs | |
Restaurer les fichiers et les répertoires | Administrateurs | |
Sauvegarder les fichiers et les répertoires | Administrateurs |
Contact :