Sécurisation des postes Windows

Prévenir les accès frauduleux, l’exécution de programmes malveillants (ex. : virus) ou la prise de contrôle à distance, notamment via Internet. Les risques d’intrusion dans les systèmes informatiques sont multiples et les postes de travail constituent un des principaux points d’entrée.

Prévoir un mécanisme de verrouillage automatique de session en cas de non-utilisation du poste pendant un temps donné. Installer un « pare-feu » (« firewall ») logiciel sur le poste et limiter l’ouverture des ports de communication à ceux strictement nécessaires au bon fonctionnement des applications installées sur le poste de travail. Utiliser des antivirus régulièrement mis à jour.

Déployer les mises à jour de sécurité au plus tôt, le cas échéant après les avoir testées. Les mises à jour venant corriger des failles critiques publiques doivent d’autant plus être installées sans délais. Déployer les mises à jour critiques des systèmes d’exploitation sans délai (le cas échéant après les avoir testées) en programmant une vérification automatique hebdomadaire. Prévoir une politique des mises à jour fonctionnelles.

Limiter les droits des utilisateurs au strict minimum en fonction de leurs besoins sur les postes de travail. Donner des privilèges, en local comme sur le réseau, aux utilisateurs n’ayant pas une fonction le justifiant (ex. : administrateurs).

Favoriser le stockage des données des utilisateurs sur un espace de stockage régulièrement sauvegardé accessible via le réseau interne de l’organisme plutôt que sur les postes de travail. Dans le cas où des données sont stockées localement, fournir des moyens de synchronisation ou de sauvegarde aux utilisateurs et les former à leur utilisation. Effacer de façon sécurisée les données présentes sur un poste préalablement à sa réaffectation à une autre personne.

Pour les supports amovibles (ex. : clés USB, disques durs externes) : sensibiliser les utilisateurs aux risques liés à l’utilisation de support amovibles, en particulier s’ils proviennent de l’extérieur ; limiter la connexion de supports mobiles à l’indispensable ; désactiver l'exécution automatique (« autorun ») depuis les supports amovibles. Mettre en place une solution d’analyse et de décontamination des supports amovibles avant chaque utilisation.

Pour l'assistance sur les postes de travail : les outils d’administration à distance doivent recueillir l’accord de l’utilisateur avant toute intervention sur son poste (ex. : en répondant à un message s’affichant à l’écran, à l'occasion d'un rendez-vous accepté) ; l’utilisateur doit également pouvoir constater si la prise de main à distance est en cours et quand elle se termine (ex. : affichage d’un message à l’écran).

Utiliser des systèmes d’exploitation dont le support n’est plus assuré par l’éditeur.

N’autoriser que l’exécution d’applications téléchargées provenant de sources sûres (liste blanche). Limiter l’usage d’applications nécessitant des droits de niveau administrateur pour leur exécution. Fournir un environnement sécurisé (ex. : environnement virtualisé temporaire) pour la réalisation d’opérations nécessaires comportant un risque particulier (ex. : navigation sur un site qui n’est pas de confiance).

En cas de compromission d’un poste, rechercher la source ainsi que toute trace d’intrusion dans le système d’information de l’organisme pour détecter la compromission d’autres éléments. Effectuer une veille de sécurité sur les logiciels et matériels utilisés dans le système d’information de l’organisme.

Fixer les postes de travail à du mobilier spécifique ou difficilement déplaçable (ex. : utilisation de câbles antivol). Diffuser à tous les utilisateurs la conduite à tenir et la liste des personnes à contacter en cas d’incident de sécurité ou de survenance d’un évènement inhabituel touchant aux systèmes d’information et de communication de l’organisme.

Acquérir les connaissances permettant de sécuriser le fonctionnement et l'utilisation des postes clients Windows 10/11 en entreprise. Mon poste client est-il sécurisé ? Comment analyser sa propre situation ? Quelques méthodes concrètes d'analyse du risque. Évaluer les priorités des actions à mener sur le terrain par les IT. Recommandations de l'Anssi. Recommandations de Microsoft.

Sécurisation du système. Gestion de l'authentification. Description des protocoles NTLM et Kerberos : forces et faiblesses. Sécurisation des comptes locaux : Laps / bonnes pratiques. Sécurisation des comptes de domaine par GPO et bonnes pratiques. Contrôle d'accès. Authentification multiple sur le poste client. Utilisation de carte à puce virtuelle. Sécurité du boot et de la virtualisation. Démarrage sécurisé UEFI. Device Guard : Configuration. Sécurisation d'Hyper-V. Renforcement du système par modèle de sécurité. Tour d'horizon des recommandations. Déploiement des modèles de sécurité proposés par Microsoft. Utilisation des outils Microsoft SCM / SCT / ATA / Secedit...

Gestion de Defender. Administration par GPO et mise à jour. Microsoft Defender pour point de terminaison (Microsoft 365 Defender). Gestion des mises à jour de Windows 10/11. Comment maintenir le poste client à jour ? Internet / WSUS / Azure...

Protection des données et cryptage. Déploiement et gestion de BitLocker en entreprise (GPO / AD / Mdbam...). Gestion des clés et des agents de récupération / dépannage. Windows Hello entreprise et PDE (win11 22H2). Cryptage de fichiers EFS et déploiement en entreprise. Gestion et déploiement des certificats sur le poste client. Tour d'horizon de l'autorité de certification Microsoft. Comment déployer et administrer la gestion des certificats sur les appareils clients (PC, téléphone...).

Sécurisation des applications et du navigateur. Déploiement de modèle d'administration par GPO. Gestion des applications Appx et du Store localement et par GPO. Restrictions des applications par Applocker et les restrictions logicielles.

Sécurisation du réseau. Gestion du pare-feu : localement / GPO. Gestion de la sécurité du wifi. VPN et accès direct. Sécurisation des protocoles commun du réseau : SMB / Rdp / Rpc... Synthèse sur la protection du poste de travail.

There is a need to secure Microsoft Windows 10 (and 11). SWMB is a modular tool with rules and ante-rules (can do and undo). It is a stateless tool like a configuration manager under GNU/Linux (cfengine, puppet, ansible...). SWMB can be run several times identically. This tool is in production at LEGI on all workstations. There is no interaction with the user, so it is necessary to test on a few computers before deploying too much! In order to simplify its own deployment, an installer is proposed in several forms: setup.exe (NSIS), OCS, WAPT, PDQ Deploy.

Il y a un besoin de sécuriser Microsoft Windows 10 (et 11). SWMB est un outil modulaire avec des règles et des anté-règles (pourvoir faire et défaire). C'est un outil sans état comme un gestionnaire de configuration sous GNU/Linux (cfengine, puppet, ansible...). SWMB peut-être lancé plusieurs fois à l’identique. Cet outil en production au LEGI sur tous les postes. Il n'y a pas d’interaction avec l’utilisateur, il faut donc bien tester sur quelques postes avant de trop déployer ! Afin de simplifier son propre déploiement, un installateur est proposé sous plusieurs formes : setup.exe (NSIS), OCS, WAPT, PDQ Deploy.