Comment sécuriser les systèmes d'exploitation Windows

Mise à jour le 27 juin 2024

Je vais mettre ici toutes les actions que je mets en place quand il s'agit de sécuriser des systèmes Microsoft Windows. J'espère que cela te sera utile! :)

Ce guide peut être utilisé indépendamment sur les postes clients ou les serveurs.

BIOS

Voici une liste d'action à mettre en place :
- Mettre à jour vers le dernier firmware BIOS
- Activer le secure boot
- Mettre en place un mot de passe BIOS pour éviter toutes modifications
- Désactiver le démarrage USB ou sur tout autre périphérique externe

Comptes Utilisateurs

Dans la plupart des cas nous n'auront pas besoin de travailler sous une session administrateur. Cette dernière ne doit être utilisée que dans certains cas bien précis (ex : installation logicielle, modification des paramètres Windows etc…). Donc la première chose à faire est de créer une session simple utilisateur.

Depuis une console administrateur créer un compte utilisateur :

net user stduser 1userP@SSWORD /add

Depuis une console administrateurr créer un compte administrateur :

net user adminuser 1admin@SSWORD /add net localgroup administrateurs adminuser /add

Les services

Dans le but de réduire la surface d'attaque nous pouvons désactiver les services qui ne seront pas utilisés.

Service	Service Name	Comment
AllJoyn Router Service	AJRouter
Bluetooth Support Service	btdserv
Connected User Experiences and Telemetry	DiagTrack
Device Management Wireless Application Protocol (WAP) Push message Routing Service	dmwapphushservice
Function Discovery Provider Host	fdPHost
Function Discovery Resource Publication	FDResPub
Geolocation Service	lfsvc
Link-Layer Topology Discovery Mapper	lltdsvc
Network Connected Devices Auto-Setup	NcdAutoSetup
Peer Networking Identity Manager	p2pimsvc
Peer Networking Grouping	p2psvc
Peer Name Resolution Protocol	PNRPsvc
Remote Access Auto Connection Manager	RasAuto
Remote Access Connection Manager	RasMan
Routing and Remote Access	RemoteAccess
Remote Registry	RemoteRegistry
Retail Demo Service	retaildemo
Internet Connection Sharing (ICS)	SharedAccess
SSDP Discovery	SSDPSRV
UPnP Device Host	upnphost
Windows Connect Now - Config Registrar	wcncsvc
WLAN AutoConfig	WlanSvc
Microsoft Account Sign-in Assistant	wlidsvc
Windows Media Player Network Sharing Service	WMPNetworkSvc
WWAN AutoConfig	WwanSvc
Xbox Live Auth Manager	XblAuthManager
Xbox Live Game Save	XblGameSave
Xbox Accessory Management Service	XboxGipSvc
Xbox Live Networking Service	XboxNetApiSvc

Un script pour désactiver les services :

sc.exe config AJRouter start=disabled
sc.exe config bthserv start=disabled
sc.exe config DiagTrack start=disabled
sc.exe config dmwappushservice start=disabled
sc.exe config fdPHost start=disabled
sc.exe config FDResPub start=disabled
sc.exe config lfsvc start=disabled
sc.exe config lltdsvc start=disabled
sc.exe config NcdAutoSetup start=disabled
sc.exe config p2pimsvc start=disabled
sc.exe config p2psvc start=disabled
sc.exe config PNRPsvc start=disabled
sc.exe config RasAuto start=disabled
sc.exe config RasMan start=disabled
sc.exe config RemoteAccess start=disabled
sc.exe config RemoteRegistry start=disabled
sc.exe config retaildemo start=disabled
sc.exe config SharedAccess start=disabled
sc.exe config SSDPSRV start=disabled
sc.exe config upnphost start=disabled
sc.exe config wcncsvc start=disabled
sc.exe config WlanSvc start=disabled
sc.exe config wlidsvc start=disabled
sc.exe config WMPNetworkSvc start=disabled
sc.exe config WwanSvc start=disabled
sc.exe config XblAuthManager start=disabled
sc.exe config XblGameSave start=disabled
sc.exe config XboxGipSvc start=disabled
sc.exe config XboxNetApiSvc start=disabled

Pare-Feu Windows

Bloquer par défaut le trafic

On peut utiliser le Pare-Feu Windows pour n'autoriser uniquement que les flux réseau nécessaires.

Pour se faire, nous allons interdire par défaut les flux entrants et sortants.

Activer avec PowerShell le Pare-Feu Windows et bloquer le trafic entrant et sortant :

PS C:\Windows\system32> Set-NetFirewallProfile -Profile Domain,Public,Private -DefaultInboundAction Block -DefaultOutboundAction Block -Enabled True

Ou depuis l'interface graphique :

Onglet domaine de la fenêtre de configuration du pare-feu windows

Débug

Avec ces restrictions des flux légitimes peuvent se retrouver bloqués. Afin de les visualiser (et les autoriser via de nouvelles règles) nous pouvons activer les journaux windows.

Éditer les stratégies de groupe et activer l'Auditer le rejet de paquet par la plateforme de filtrage :

Fenêtre de l'éditeur de stratégie windows pour configurer l'audit de filtrage

Puis ouvrir le Journal d'évènements Windows pour voir le trafic bloqué (l'id de l'évènement : 5152) :

blocked traffic inside the Windows Event Viewer

Windows Update

Microsoft publie régulièrement des patchs de sécurité de ses systèmes, donc la mise à jour via Windows Update doit être réalisée le plus souvent possible.

Chiffrer les disques

Encore plus sur les portables, le chiffrement du disque dur est un bon moyen d'améliorer la sécurité du système. Pour se faire nous pouvons utiliser BitLocker ou n'importe quelle autre solution de chiffrement (comme VeraCrypt par exemple).

Activer Bitlocker depuis l'explorateur windows

Fonctionnalités Windows

Certaines anciennes fonctionnalités de Windows sont encore activées dans les versions récentes de Windows. Nous allons voir ici comment les désactiver avec PowerShell.

SMB est le protocole de partage dans l'environnement Windows. SMB 1.0 est obsolète et est faible d'un point de vue sécurité. Il devrait donc être désactivé :

PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "SMB1Protocol" -Online

Sur certaines versions de Windows, Windows PowerShell v2.0 est activé par défaut. Cette version est obsolète et peut être désactivée :

PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "MicrosoftWindowsPowerShellV2" -Online

Si non utilisé, nous pouvons également désactiver le client des services de fax :

PS C:\Windows\system32> Disable-WindowsOptionalFeature -FeatureName "FaxServicesClientPackage" -Online

Stratégie de groupe

Il y a beaucoup de paramètres dans les stratégies de groupe qui permettent de durcir notre système.

Group Policy	Valeur	Commentaire
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégies de mot de passe
Conserver l'historique des mots de passe	24
Durée de vie maximale du mot de passe	90
Durée de vie minimale du mot de passe	1
Le mot de passe doit respecter des exigences de complexité	Activé
Longueur minimale du mot de passe	10
Enregistrer les mots de passe en utilisant un chiffrement réversible	Désactivé
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage de compte
Seuil de verrouillage de comptes	10
Durée de verrouillage des comptes	5 minutes
Réinitialiser le compteur de verrouillages du compte après	5 minutes
Configuration Ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Attribution des droits utilisateurs
Accéder à cet ordinateur à partir du réseau	Administrateurs et Utilisateurs authentifiés
Autoriser l’ouverture de session par les services Bureau à distance	-	Ajouter les comptes utilisateurs qui sont autorisés à se connecter en RDS
Interdire l’accès à cet ordinateur à partir du réseau	Invités	Ajouter compte local si l'ordinateur appartient à un domaine
Interdire l’ouverture d’une session locale	Invités	Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine
Interdire l’ouverture de session en tant que service	Invités	Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine
Interdire l’ouverture de session en tant que tâche	Invités	Ajouter administrateurs du domaine si l'ordinateur appartient à un domaine
Interdire l'ouverture de session par les services Bureau à distance	Invités
Permettre l’ouverture d’une session locale	Administrateurs et Utilisateurs authentfiés
Augmenter la priorité de planification	Administrateurs
Restaurer les fichiers et les répertoires	Administrateurs
Sauvegarder les fichiers et les répertoires	Administrateurs

Informatique

Zik

Autres