Mots clés :  

  security 

  

  windows 

  

  harden 

  

  system 

 

N'utiliser le compte administrateur qu'en cas de besoin (installation, mise à jour).

Un mot de passe tel que :

pàççword

Grâce aux accents, est plus efficace que :

Cest1PassComplique!

J'ai trouvé des scripts et fichiers de clé de registre permettant d'automatiser la sécurité tout en ayant un oeil sur ce qui est fait (et donc personnaliser en fonction des besoins) :
Lien vers le dépôt Github hébergeant les fichiers de registre
Lien vers le site officiel du CIS

Les fichiers de clés de registre suivants permettent d'appliquer la sécurité en suivant les guides développés par le Centre de la Sécurité Internet (CIS) - entité réputée pour ses guides de sécurité.
Fichier de registre de durcissement Level1 : hklm-cis-level1.reg
Fichier de registre de durcissement Level1 : hklm-cis-level2.reg
Fichier de registre de durcissement Custom : hklm-custom.reg

J'ai également trouvé un script Powershell de durcissement pour Windows 10, qui permet de désactiver les services de métriques, les tâches planifiées de collectes et les applications tierces (Skype, Twitter, ...). J'ai retravaillé la mise en forme du script pour plus de lisibilité.
Téléchargement du script : Harden.ps1

Pour ceux qui préfère utiliser un logiciel graphique, il y a l'outil 'Destroy Windows 10 Spying' :
Le lien sur Github
L'application hébergée sur ce site

Pour renforcer l'UAC, il existe le logiciel EMET. Édité par Microsoft, il permet une protection contre les abus d'accès à la mémoire et au processeur : buffer overflow, shellcode injection, ...

Les liens sur le site de Microsoft :
L'outil EMET
La docs de EMET

Pour ce qui est de sa configuration, les paramètres recommandés feront l'affaire :

Dans l'éditeur de stratégies locales (gpedit.msc), aller dans :

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégie de restricition logicielle

Créer une nouvelle stratégie de restrictions logicielle :

C'est maintenant dans les règles supplémentaires, qu'il faudra y ajouter l'ensemble des restrictions :

L'idée ici, est de restreindre le service d'installation de Windows uniquement aux sources connues, pour cela il faut aller dans :

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégie de contrôles de l'application > Règles Windows Installer

Il conviendra au lecteur d'ajuster le curseur à sa convenance, le nom du produit étant pertinent pour ce qui est autre que Microsoft.

Enfin, pour se protéger des attaques de scripts ('fileless attack'), et clôture cet article, voici les commandes à exécuter pour bloquer l'exécution des scripts :

# Restreindre Powershell
Set-ExecutionPolicy -ExecutionPolicy Restricted -ExecutionPolicyScope Machine -Force

# Restreindre Visual Basic Script (VBS,VBE) et Windows Scripting Host (WSH)
REG ADD "HKLM\\Software\\Microsoft\\Windows Host Scripting\\Settings" /v Enabled /d 0 /t REG_DWORD

On va changer également changer leurs actions par défaut pour que ce soit le bloc-notes qui ouvre le script :
Panneau de configuration > Programmes > Programmes par défaut > Définir les associations.

Voici la liste des extensions à changer :

# Fichier de commandes MSDOS
.bat

# Fichiers de scripts Powershell
.ps1
.psm1

# Fichiers de scripts Visual Basic
.vbe
.vbs

# Fichiers de scripts JScript
.js
.jse

# Fichiers de scripts WMI
.wmi
.wsh

# Fichiers de registre
.reg

   =>   Écrit par : Nicolas, le 19 février 2018