⚔ Empêcher les cracks d'utiliser des scripts PowerShell ou CMD sur Windows
Introduction
Ce tutoriel vous montre comment protéger votre système Windows contre l’utilisation de scripts PowerShell ou CMD utilisés par des cracks pour contourner les protections de sécurité. Nous verrons trois méthodes : restreindre les scripts via les stratégies de groupe, surveiller et bloquer les scripts malveillants avec PowerShell, et désactiver les fonctionnalités système inutilisées.
Prérequis
• Accès administrateur au système.
• Connaissance de base des stratégies de groupe et de PowerShell.
• Un système Windows Pro, Enterprise ou Education pour utiliser les stratégies de groupe locales.
• Outils de sécurité comme Windows Defender ou une solution EDR tierce.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Restriction des scripts via les stratégies de groupe.
• Méthode 2 : Surveillance des scripts exécutés et blocage via PowerShell.
• Méthode 3 : Désactivation des fonctionnalités inutiles pour réduire la surface d’attaque.
Avantages
Avantage de la méthode 1 : Contrôle centralisé des scripts grâce aux stratégies de groupe.
Avantage de la méthode 2 : Détection en temps réel des scripts malveillants exécutés.
Avantage de la méthode 3 : Réduit la surface d’attaque globale du système.
Inconvénients
Inconvénient de la méthode 1 : Requiert Windows Pro ou supérieur pour configurer les stratégies.
Inconvénient de la méthode 2 : Les règles doivent être constamment mises à jour pour de nouvelles menaces.
Inconvénient de la méthode 3 : Peut désactiver des fonctionnalités nécessaires si mal configurée.
⚙ Étapes à suivre pour la méthode 1
• Ouvrez l’éditeur de stratégie de groupe locale :
• Accédez à Configuration ordinateur > Modèles d’administration > Système.
• Activez la stratégie suivante pour restreindre PowerShell :
• Accédez à Configuration utilisateur > Stratégies > Paramètres Windows > Restrictions logicielles.
• Ajoutez une règle interdisant l’exécution de cmd.exe et powershell.exe pour des utilisateurs non administrateurs.
Pour de plus amples informations
• Stratégies de groupe pour PowerShell
• Informations sur les restrictions logicielles
⚙ Étapes à suivre pour la méthode 2
• Ouvrez PowerShell en mode administrateur.
• Configurez une stratégie d'exécution stricte :
• Surveillez l'exécution des scripts avec la commande :
• Activez l’audit des scripts via PowerShell :
• Ajoutez des règles dans Windows Defender pour bloquer les scripts non signés.
Pour de plus amples informations
• Documentation PowerShell
⚙ Étapes à suivre pour la méthode 3
• Désactivez les fonctionnalités inutilisées via Windows :
• Allez dans Activer ou désactiver des fonctionnalités Windows.
• Décochez Windows PowerShell 2.0 pour limiter l’utilisation des anciennes versions vulnérables.
• Désactivez l’exécution automatique des tâches non nécessaires via le Planificateur de tâches :
Pour de plus amples informations
• Gestion des fonctionnalités Windows
Astuce
Utilisez un logiciel EDR pour détecter les scripts malveillants et bloquer les tentatives d’exécution non autorisée.
Pour de plus amples informations
• Logiciels EDR pour Windows
Mise en garde
Une configuration incorrecte des stratégies ou des restrictions peut bloquer des outils essentiels pour les administrateurs. Testez vos paramètres avant de les déployer à grande échelle.
Conseil
Activez l’isolation des applications dans Windows Defender pour empêcher les scripts malveillants d’interagir avec les fichiers sensibles.
Pour de plus amples informations
• Isolation des applications Windows Defender
Solution alternative
Utilisez des outils comme Sysmon pour une surveillance avancée des scripts et des processus, et détectez les anomalies.
Pour de plus amples informations
• Utilisation de Sysmon sur Windows
Conclusion
En appliquant ces méthodes, vous protégerez efficacement votre système contre les scripts malveillants utilisés par les cracks. Adoptez des pratiques de sécurité régulières pour surveiller et renforcer la protection de votre système.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionCe tutoriel vous montre comment protéger votre système Windows contre l’utilisation de scripts PowerShell ou CMD utilisés par des cracks pour contourner les protections de sécurité. Nous verrons trois méthodes : restreindre les scripts via les stratégies de groupe, surveiller et bloquer les scripts malveillants avec PowerShell, et désactiver les fonctionnalités système inutilisées.
Prérequis• Accès administrateur au système.
• Connaissance de base des stratégies de groupe et de PowerShell.
• Un système Windows Pro, Enterprise ou Education pour utiliser les stratégies de groupe locales.
• Outils de sécurité comme Windows Defender ou une solution EDR tierce.
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Restriction des scripts via les stratégies de groupe.
• Méthode 2 : Surveillance des scripts exécutés et blocage via PowerShell.
• Méthode 3 : Désactivation des fonctionnalités inutiles pour réduire la surface d’attaque.
Avantages Avantage de la méthode 1 : Contrôle centralisé des scripts grâce aux stratégies de groupe. Avantage de la méthode 2 : Détection en temps réel des scripts malveillants exécutés. Avantage de la méthode 3 : Réduit la surface d’attaque globale du système. Inconvénients Inconvénient de la méthode 1 : Requiert Windows Pro ou supérieur pour configurer les stratégies. Inconvénient de la méthode 2 : Les règles doivent être constamment mises à jour pour de nouvelles menaces. Inconvénient de la méthode 3 : Peut désactiver des fonctionnalités nécessaires si mal configurée.⚙ Étapes à suivre pour la méthode 1
• Ouvrez l’éditeur de stratégie de groupe locale :
Code:
gpedit.msc• Accédez à Configuration ordinateur > Modèles d’administration > Système.
• Activez la stratégie suivante pour restreindre PowerShell :
Code:
Interdire l’exécution des scripts PowerShell• Accédez à Configuration utilisateur > Stratégies > Paramètres Windows > Restrictions logicielles.
• Ajoutez une règle interdisant l’exécution de cmd.exe et powershell.exe pour des utilisateurs non administrateurs.
Pour de plus amples informations• Stratégies de groupe pour PowerShell
• Informations sur les restrictions logicielles
⚙ Étapes à suivre pour la méthode 2
• Ouvrez PowerShell en mode administrateur.
• Configurez une stratégie d'exécution stricte :
Code:
Set-ExecutionPolicy AllSigned• Surveillez l'exécution des scripts avec la commande :
Code:
Get-EventLog -LogName "Windows PowerShell"• Activez l’audit des scripts via PowerShell :
Code:
New-EventLog -LogName "AuditScripts" -Source "PowerShell"• Ajoutez des règles dans Windows Defender pour bloquer les scripts non signés.
Pour de plus amples informations• Documentation PowerShell
⚙ Étapes à suivre pour la méthode 3
• Désactivez les fonctionnalités inutilisées via Windows :
Code:
appwiz.cpl• Allez dans Activer ou désactiver des fonctionnalités Windows.
• Décochez Windows PowerShell 2.0 pour limiter l’utilisation des anciennes versions vulnérables.
• Désactivez l’exécution automatique des tâches non nécessaires via le Planificateur de tâches :
Code:
taskschd.msc• Gestion des fonctionnalités Windows
AstuceUtilisez un logiciel EDR pour détecter les scripts malveillants et bloquer les tentatives d’exécution non autorisée.
Pour de plus amples informations• Logiciels EDR pour Windows
Mise en gardeUne configuration incorrecte des stratégies ou des restrictions peut bloquer des outils essentiels pour les administrateurs. Testez vos paramètres avant de les déployer à grande échelle.
ConseilActivez l’isolation des applications dans Windows Defender pour empêcher les scripts malveillants d’interagir avec les fichiers sensibles.
Pour de plus amples informations• Isolation des applications Windows Defender
Solution alternativeUtilisez des outils comme Sysmon pour une surveillance avancée des scripts et des processus, et détectez les anomalies.
Pour de plus amples informations• Utilisation de Sysmon sur Windows
ConclusionEn appliquant ces méthodes, vous protégerez efficacement votre système contre les scripts malveillants utilisés par les cracks. Adoptez des pratiques de sécurité régulières pour surveiller et renforcer la protection de votre système.
Source : Tutoriaux-Excalibur, merci de partager.
