À plusieurs reprises, il m'a été demandé d'aider à sécuriser un PC sous Windows 10. Après avoir parcouru quelques guides de sécurité (STIG), il y a quelques notions qui ne sont pas intégrées dans la plus part des articles destinés à un publique débutant. Pourtant parmi ces recommandations, certaines devraient être indispensables.




N'utiliser le compte administrateur qu'en cas de besoin (installation, mise à jour).







Un mot de passe tel que :


pàççword

Grâce aux accents, est plus efficace que :


Cest1PassComplique!






J'ai trouvé des scripts et fichiers de clé de registre permettant d'automatiser la sécurité tout en ayant un oeil sur ce qui est fait (et donc personnaliser en fonction des besoins) :
Lien vers le dépôt Github hébergeant les fichiers de registre
Lien vers le site officiel du CIS

Les fichiers de clés de registre suivants permettent d'appliquer la sécurité en suivant les guides développés par le Centre de la Sécurité Internet (CIS) - entité réputée pour ses guides de sécurité.
Fichier de registre de durcissement Level1 : hklm-cis-level1.reg
Fichier de registre de durcissement Level1 : hklm-cis-level2.reg
Fichier de registre de durcissement Custom : hklm-custom.reg

J'ai également trouvé un script Powershell de durcissement pour Windows 10, qui permet de désactiver les services de métriques, les tâches planifiées de collectes et les applications tierces (Skype, Twitter, ...). J'ai retravaillé la mise en forme du script pour plus de lisibilité.
Téléchargement du script : Harden.ps1

Pour ceux qui préfère utiliser un logiciel graphique, il y a l'outil 'Destroy Windows 10 Spying' :
Le lien sur Github
L'application hébergée sur ce site







Pour renforcer l'UAC, il existe le logiciel EMET. Édité par Microsoft, il permet une protection contre les abus d'accès à la mémoire et au processeur : buffer overflow, shellcode injection, ...


Télécharger le package d'installation de EMET Télécharger la documentation de EMET


Les liens sur le site de Microsoft :
L'outil EMET
La docs de EMET

Pour ce qui est de sa configuration, les paramètres recommandés feront l'affaire :

./files/windows_hardenning/emet01.png


./files/windows_hardenning/emet02.png








Dans l'éditeur de stratégies locales (gpedit.msc), aller dans :


Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégie de restricition logicielle

./files/windows_hardenning/applocker01.png

Créer une nouvelle stratégie de restrictions logicielle :


./files/windows_hardenning/applocker02.png

C'est maintenant dans les règles supplémentaires, qu'il faudra y ajouter l'ensemble des restrictions :


./files/windows_hardenning/applocker03.png

./files/windows_hardenning/applocker04.png

./files/windows_hardenning/applocker05.png






L'idée ici, est de restreindre le service d'installation de Windows uniquement aux sources connues, pour cela il faut aller dans :


Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégie de contrôles de l'application > Règles Windows Installer

Il conviendra au lecteur d'ajuster le curseur à sa convenance, le nom du produit étant pertinent pour ce qui est autre que Microsoft.


./files/windows_hardenning/applocker06.png






Enfin, pour se protéger des attaques de scripts ('fileless attack'), et clôture cet article, voici les commandes à exécuter pour bloquer l'exécution des scripts :


# Restreindre Powershell
Set-ExecutionPolicy -ExecutionPolicy Restricted -ExecutionPolicyScope Machine -Force

# Restreindre Visual Basic Script (VBS,VBE) et Windows Scripting Host (WSH)
REG ADD "HKLM\Software\Microsoft\Windows Host Scripting\Settings" /v Enabled /d 0 /t REG_DWORD


On va changer également changer leurs actions par défaut pour que ce soit le bloc-notes qui ouvre le script :
Panneau de configuration > Programmes > Programmes par défaut > Définir les associations.

Voici la liste des extensions à changer :



# Fichier de commandes MSDOS
.bat

# Fichiers de scripts Powershell
.ps1
.psm1

# Fichiers de scripts Visual Basic
.vbe
.vbs

# Fichiers de scripts JScript
.js
.jse

# Fichiers de scripts WMI
.wmi
.wsh

# Fichiers de registre
.reg




   =>   Écrit par : Nicolas, le 19 février 2018


 
Mots clés :  
  security 
  
  windows 
  
  harden 
  
  system 
    >   Articles connexes :

OpenSCAP

OpenSCAP



Comment gagner du temps sur Internet

Comment gagner du temps sur Internet



/tmp et /var/log en noexec sur macOS

/tmp et /var/log en noexec sur macOS


3256111