TP1 Durcissement Windows

TP1 : Durcissement Sécurité Windows
Objectif : L’objectif de cet atelier est de :
• Comprendre l'intérêt des techniques de durcissement SE Windows

• Maîtriser les différentes techniques de durcissement des systèmes Windows
• Être capable de protéger les systèmes de l'entreprise contre des vulnérabilités non
publiées.
Prérequis : Disposer de connaissances en administration système Windows
Partie 1 : Définition des besoins de durcissement Windows (baselines)
1. Security Compliance Manager (SCM)

SCM est une application qui permet de gérer et configurer les ordinateurs de votre environnement
en utilisant les GPO. C’est un outil principal de durcissement et une excellente source d'information
avec les guides et les informations de chaque paramètre
Question 1 : Identifier les 3 niveaux de criticité pour cet outil et expliquer ??
Question 2 : Citer d’exemples pour chaque paramètre, en donnant les informations sur son
utilisation, les vulnérabilités et les contre-mesures associées ?
Question 3 : vérifier que vos machines respectent bien les baselines proposés pour votre version
Windows ?
Question 4 : Citer les autres fonctionnalités de cet outil par rapport au durcissement Windows ?
2. Microsoft Security Compliance Toolkit
Télécharger l’outil SCT, installer et tester.
En utilisant PolicyAnalyze de SCT kit analyser, tester, modifier ou/et stocker des lignes de base de
configuration de sécurité recommandées par Microsoft adéquate à votre version dans la version
client et la version Serveur.
ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Question 4 : Après l’utilisation de ce kit, citer les avantages et les fonctionnalités de cet outil ?
3. Best Practices Analyzer (BPA)

Best Practices Analyzer (BPA) est un outil de gestion serveur qui est disponible depuis Windows
Server 2008 R2. BPA va analyser les rôles installés sur votre serveur et vérifier que vous respectez
bien les bonnes pratiques.
Et Vous pouvez utiliser PowerShell pour invoquer l'analyseur des meilleures pratiques de Serveur.
Question 5 : Expliquer avec des scénarios cet outil et les fonctionnalités proposées.
Question 6 : Trouvez des autres outils qui permet de tester la conformité des lignes de base de
configuration de sécurité recommandées ?
Partie 2 : Outils de durcissement disponibles sur Windows
1. PowerShell
Premièrement phase, il faut se débarrasser de la version 2.0 qui est très vulnérable, en exécutant la
commande suivante :
Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2

Et la commande suivante pour vérifier l’état de Windows PowerShell :
Get-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV2
Sécuriser PowerShell
- Pour activer l'exécution de scripts dans les paramètres de la stratégie de groupe GPO :
• Taper gpedit.msc dans l’invite de commande.
• GPO > Configuration ordinateur > Modèle d’administration > Composants Windows
• Windows PowerShell > Activer l’exécution des scripts (Turn on Script Execution)
- Les paramètres de la stratégie Turn on Script Execution sont les suivants :
• Si vous désactivez l'option Turn on Script Execution, les scripts ne s'exécutent pas et
PowerShell est désactivé.
• Si vous activez l'option, vous pouvez sélectionner la stratégie d'exécution Autoriser
uniquement les scripts signés, ce qui permet d'exécuter uniquement les scripts signés
numériquement et approuvés.
- Pour définir la politique d'exécution, utilisez le cmdlet Set-ExecutionPolicy, et choisissez l'une des
options suivantes « Restricted, AllSigned, RemosteSigned et Unrestricted »:
Set-ExecutionPolicy AllSigned
Question 7 : Expliquer la différence entre ces valeurs, en proposant la politique d'exécution

préférable pour la protection des scripts ?
Question 8 : Proposer un script PowerShell est testé les politiques d’exécutions ? dans ce cas quelle
politique d’exécution utilisée ?
Signer un script PowerShell : Après avoir créé le certificat X.509, utilisez-le pour signer vos scripts.
Vous devrez utiliser le cmdlet :
Set-AuthenticodeSignature cmdlet scipt.ps1 certificat.crt
Question 9 : Renseignez-vous sur l’outil PowerShell Empire ?
Question 10 : Donner une synthèse pour le durcissement de Windows PowerShell ?
2. AppLocker
Après avoir installé les applications souhaitées, configurez des règles AppLocker pour autoriser
uniquement des applications spécifiques et bloquer tout le reste.
1. Exécutez la stratégie de sécurité locale (secpol.msc) en tant qu’administrateur.
2. Accédez à Paramètres de sécurité > Stratégies de contrôle de l’application >
AppLocker, puis sélectionnez Configurer la mise en application des règles.
3. Activez Configuré sous Règles de l’exécutable, puis cliquez sur OK.
4. Cliquez avec le bouton droit sur Règles de l’exécutable, puis cliquez sur Générer
automatiquement les règles.
5. Sélectionnez le dossier contenant les applications que vous souhaitez autoriser, ou
sélectionnez C:\ pour analyser toutes les applications.
6. Tapez un nom pour identifier cet ensemble de règles, puis cliquez sur Suivant.

7. Dans la page Préférences de règles, cliquez sur Suivant. Soyez patient. La génération des
règles peut prendre un certain temps.
8. Dans la page Vérifier les règles, cliquez sur Créer. L’Assistant va maintenant créer un
ensemble de règles autorisant l’ensemble d’applications installées.
9. Lisez le message, puis cliquez sur Oui.
10. Pour qu’AppLocker puisse appliquer des règles, le service Identité de l’application doit être
activé.
sc config appidsvc start=auto
Question 11 : Bloquer une application de votre domaine, pour tester l’avantage d’AppLocker ?
3. Attack Surface Analyzer (ASA)

Cet outil permet d'identifier les modifications apportées au système d'exploitation et à sa surface
d'attaque lors de l'installation d'une application.
Son fonctionnement est relativement simple. ASA prend un instantané de l'état du système avant et
après l'installation du produit et affiche les modifications apportées à un certain nombre d'éléments
clés de la surface d'attaque de Windows.
Question 12 : Télécharger et installer l’outil, puis appliquer un scénario de test pour démonter
l’avantage de cette application ?
4. Windows Telemetry
Sur Windows, la télémétrie est un service qui s’exécute en arrière-plan et qui collecte des données
concernant l’utilisateur et le système (paramètres, applications) et les transmet à Microsoft.
1. Activer le service DiagTrack c’est lui qui s’occupe de la collecte et de la transmission des
données.
2. Exécutez la stratégie de sécurité locale (gpedit.msc) en tant qu’administrateur.

3. Accédez à Modèle d’administrations > Composants Windows > Collecte des
données et versions d’évaluations Preview, puis sélectionnez Autoriser la télémétrie
Question 12 : Expliquer la différence entre les options de la télémétrie ? ce quoi le niveau
recommandé pour bien durcir votre Système.
Partie 3 : Outils basés sur la Sécurité basée sur la virtualisation (VBS)
1. Windows Defender Device Guard et la protection DMA

Comment activer Device Guard et la protection DMA sur Windows 10
1. Activer la technologie de virtualisation (VT-x et AMD-V) dans le BIOS

2. Activer la fonctionnalité Guard de Windows 10
3. Ouvrez le Panneau de configuration de Windows 10
– Puis Programme et fonctionnalités
– à gauche, allez dans activer ou désactiver des fonctionnalités Windows.
– Enfin cochez Host Service Guardian.
– L’installation s’effectue et un redémarre du PC n’est nécessaire.

4. Activer la sécurité basée sur la virtualisation
Pour configurer ce dernier :
– Sur votre clavier, appuyez sur les touches
Démarrer + R
puis saisissez gpedit.msc et OK.
– Déroulez Configuration de l’ordinateur > Modèles d’administration > Système > Device
Guard.
– A droite, double-cliquez sur Activer la sécurité basée sur la virtualisation.
– Enfin à gauche, vous pouvez configurer les éléments de Device Guard.
Enfin, pour visualiser la configuration :

Sur votre clavier, appuyez sur les touches Démarrer + R, puis taper msinfo32.exe et OK.
En bas vérifiez
– Sécurité basée sur la virtualisation indique si Device Guard est actif.
– Protection DMA du noyau indique si la protection est active.
– Crendial Guard est actif.
Question 13 : Expliquer les différentes options de VBS cité dans la figure ci-dessus ? en expliquant la
différence entre Device Guard, Protection contre les DMA et Credential Guard ? Donner des
exemples avec des scénario explicatif ?
2. Windows Defender Application Control

Dans le même endroit que VBS, Activer déployer le Contrôle d'application Windows Defender
(WDAC). Ce paramètre de stratégie vous permet de déployer une stratégie d'intégrité du code sur
un ordinateur pour contrôler ce qui peut être exécuté sur cet ordinateur.
1. Donner un fichier de règles WDAC qui peuvent être définies en fonction de besoin de votre
système (exemple dans les ressources de TP policy.xml)
2. Générer le fichier binaire de ces règles avec la commande
ConvertFrom-CIPolicy '.\Policy.xml' '.\WDACPolicy.bin'

3. Puis déployer le fichier binaire qui applique une stratégie d'intégrité du code, Windows
restreint ce qui peut être exécuté à la fois en mode noyau et sur le bureau Windows, en
fonction de la stratégie. Pour activer cette stratégie, l'ordinateur doit être redémarré.
Question 13 : Windows 10 et Windows 11 incluent deux technologies qui peuvent être utilisées pour
le contrôle des applications, en fonction des scénarios et des exigences spécifiques de votre
organisation : Windows Defender Application Control (WDAC) et AppLocker. Expliquer la différence
entre les deux technologies ?
3. Windows Defender Exploit Guard

Windows Defender Exploit Guard est conçu pour protéger et verrouiller l’appareil contre une grande
variété de vecteurs d’attaque et de comportements de blocage couramment utilisés dans les
attaques de logiciels malveillants.
◼ Pour activer l’Exploit protection depuis le centre de sécurité Windows Defender > Contrôle
des applications et du navigateur > Exploit Protection
Question 14 : Renseignez-vous sur cette technologie, En expliquant les diverses fonctionnalités de

sécurité qu’elle offre avec des scénarios explicatifs ?
4. Microsoft Defender Application Guard

Cet outil sert à d’isoler le navigateur web des sites non approuvés par l’administrateur et protège
donc contre les attaques WEB. Donc Il s’agit d’un sandbox qui permet d’isoler l’application du reste
du système d’exploitation.
Activer Windows Defender Application Guard
1. Installer cette application depuis Windows Store.

2. Ensuite, il faut activer ou cocher la fonctionnalité Windows Defender Application Guard
depuis des fonctionnalités Windows. (Panneau de configuration -> Programme et
fonctionnalités)
3. Ou taper la commande PowerShell
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
4. Rendez-vous dans sécurités Windows puis contrôle des applications et du navigateur.

5. Puis l’option navigation isolée
6. Enfin cliquez sur Modifier les paramètres d’application Guard
7. Activer certaines actions qui ne le sont pas par défaut.
8. Tester cet outil avec Microsoft Edge, Sinon vous pouvez tester avec Chrome ou Firefox qui
peuvent bénéficier de cette protection à travers une extension qui va isoler ces derniers.
9. Donner les avantages de cette option par rapport à la navigation en mode normal ?

TP1 Durcissement Windows

Transféré par

Droits d'auteur :

Formats disponibles

TP1 Durcissement Windows

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

TP1 Durcissement Windows

Transféré par

Droits d'auteur :

Formats disponibles

TP1 : Durcissement Sécurité Windows

Objectif : L’objectif de cet atelier est de :

• Comprendre l'intérêt des techniques de durcissement SE Windows

Partie 1 : Définition des besoins de durcissement Windows (baselines)

1. Security Compliance Manager (SCM)

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

3. Best Practices Analyzer (BPA)

Partie 2 : Outils de durcissement disponibles sur Windows

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Question 7 : Expliquer la différence entre ces valeurs, en proposant la politique d'exécution

Question 10 : Donner une synthèse pour le durcissement de Windows PowerShell ?

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

sc config appidsvc start=auto

3. Attack Surface Analyzer (ASA)

2. Exécutez la stratégie de sécurité locale (gpedit.msc) en tant qu’administrateur.

Partie 3 : Outils basés sur la Sécurité basée sur la virtualisation (VBS)

1. Windows Defender Device Guard et la protection DMA

1. Activer la technologie de virtualisation (VT-x et AMD-V) dans le BIOS

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Enfin, pour visualiser la configuration :

2. Windows Defender Application Control

ConvertFrom-CIPolicy '.\Policy.xml' '.\WDACPolicy.bin'

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

3. Windows Defender Exploit Guard

Question 14 : Renseignez-vous sur cette technologie, En expliquant les diverses fonctionnalités de

4. Microsoft Defender Application Guard

Activer Windows Defender Application Guard

1. Installer cette application depuis Windows Store.

4. Rendez-vous dans sécurités Windows puis contrôle des applications et du navigateur.

ENSA Marrakech © 2022 Pr. Omar ACHBAROU

Vous aimerez peut-être aussi