⚔ Protection contre les accès complet au système sur Windows
Introduction
Ce tutoriel explique comment prévenir et détecter les accès complets non autorisés sur un système Windows, souvent utilisés pour des actions malveillantes telles que le vol de données ou la manipulation du système. Nous détaillerons trois méthodes : l’utilisation des paramètres de sécurité intégrés, des commandes PowerShell, et des configurations avancées du pare-feu.
Prérequis
• Accès administrateur à votre système Windows.
• Connaissance de base des commandes PowerShell.
• Avoir activé Windows Defender ou un autre antivirus fiable.
• Savoir configurer et gérer les paramètres du pare-feu.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Réglages des permissions et des groupes utilisateurs.
• Méthode 2 : Vérification et suppression des processus suspects avec PowerShell.
• Méthode 3 : Configuration avancée des règles de pare-feu pour limiter les accès distants.
Avantages
Avantage de la méthode 1 : Gère directement les permissions pour restreindre les accès non autorisés.
Avantage de la méthode 2 : Identifie rapidement les processus suspects avec des commandes PowerShell.
Avantage de la méthode 3 : Bloque les connexions malveillantes avant qu’elles n’atteignent le système.
Inconvénients
Inconvénient de la méthode 1 : Peut être contournée si des permissions sont mal configurées.
Inconvénient de la méthode 2 : Requiert une surveillance régulière des processus système.
Inconvénient de la méthode 3 : Les mauvaises règles de pare-feu peuvent bloquer des applications légitimes.
⚙ Étapes à suivre pour la méthode 1
• Accédez à Gestion de l’ordinateur > Utilisateurs et groupes locaux.
• Révisez les groupes Administrateurs pour détecter des comptes suspects.
• Supprimez les comptes non autorisés :
• Appliquez des permissions spécifiques aux dossiers et fichiers sensibles via un clic droit > Propriétés > Sécurité.
Pour de plus amples informations
• Gestion des droits sur Microsoft Learn
• Permissions des fichiers Windows
⚙ Étapes à suivre pour la méthode 2
• Ouvrez PowerShell en tant qu’administrateur.
• Listez les processus actifs pour détecter ceux qui sont suspects :
• Terminez un processus malveillant identifié :
• Supprimez son exécutable du système après confirmation :
• Remplacez "NomProcessusSuspect" et le chemin par les valeurs appropriées.
Pour de plus amples informations
• Documentation PowerShell
⚙ Étapes à suivre pour la méthode 3
• Ouvrez le Pare-feu Windows avec sécurité avancée.
• Créez une règle entrante pour bloquer un port utilisé par des outils malveillants :
• Bloquez les IP suspectes avec une règle de pare-feu :
• Remplacez "3389" et "192.168.1.1" par les ports et adresses IP concernés.
Pour de plus amples informations
• Pare-feu Windows sur Microsoft Learn
Astuce
Configurez Windows Defender pour activer l’accès contrôlé aux dossiers afin de protéger vos fichiers sensibles contre les modifications non autorisées.
Pour de plus amples informations
• Protection avancée avec Windows Defender
Mise en garde
Des règles de pare-feu ou des suppressions de processus mal configurées peuvent affecter des applications légitimes. Testez toujours vos modifications dans un environnement de test.
Conseil
Utilisez un logiciel EDR pour compléter les configurations manuelles et surveiller les activités suspectes sur votre système.
Pour de plus amples informations
• Logiciels EDR pour Windows
Solution alternative
Installez des outils comme Sysmon pour une surveillance avancée des événements système et détectez les accès non autorisés.
Pour de plus amples informations
• Utilisation de Sysmon sur Windows
Conclusion
En appliquant ces méthodes, vous renforcerez considérablement la sécurité de votre système Windows contre les accès non autorisés. Auditez régulièrement vos configurations et restez vigilant face aux menaces émergentes.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionCe tutoriel explique comment prévenir et détecter les accès complets non autorisés sur un système Windows, souvent utilisés pour des actions malveillantes telles que le vol de données ou la manipulation du système. Nous détaillerons trois méthodes : l’utilisation des paramètres de sécurité intégrés, des commandes PowerShell, et des configurations avancées du pare-feu.
Prérequis• Accès administrateur à votre système Windows.
• Connaissance de base des commandes PowerShell.
• Avoir activé Windows Defender ou un autre antivirus fiable.
• Savoir configurer et gérer les paramètres du pare-feu.
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Réglages des permissions et des groupes utilisateurs.
• Méthode 2 : Vérification et suppression des processus suspects avec PowerShell.
• Méthode 3 : Configuration avancée des règles de pare-feu pour limiter les accès distants.
Avantages Avantage de la méthode 1 : Gère directement les permissions pour restreindre les accès non autorisés. Avantage de la méthode 2 : Identifie rapidement les processus suspects avec des commandes PowerShell. Avantage de la méthode 3 : Bloque les connexions malveillantes avant qu’elles n’atteignent le système. Inconvénients Inconvénient de la méthode 1 : Peut être contournée si des permissions sont mal configurées. Inconvénient de la méthode 2 : Requiert une surveillance régulière des processus système. Inconvénient de la méthode 3 : Les mauvaises règles de pare-feu peuvent bloquer des applications légitimes.⚙ Étapes à suivre pour la méthode 1
• Accédez à Gestion de l’ordinateur > Utilisateurs et groupes locaux.
• Révisez les groupes Administrateurs pour détecter des comptes suspects.
• Supprimez les comptes non autorisés :
Code:
net user NomUtilisateur /delete• Appliquez des permissions spécifiques aux dossiers et fichiers sensibles via un clic droit > Propriétés > Sécurité.
Pour de plus amples informations• Gestion des droits sur Microsoft Learn
• Permissions des fichiers Windows
⚙ Étapes à suivre pour la méthode 2
• Ouvrez PowerShell en tant qu’administrateur.
• Listez les processus actifs pour détecter ceux qui sont suspects :
Code:
Get-Process | Where-Object {$_.Name -match "NomProcessusSuspect"}• Terminez un processus malveillant identifié :
Code:
Stop-Process -Name "NomProcessusSuspect" -Force• Supprimez son exécutable du système après confirmation :
Code:
Remove-Item -Path "C:\Chemin\Vers\Fichier" -Force• Remplacez "NomProcessusSuspect" et le chemin par les valeurs appropriées.
Pour de plus amples informations• Documentation PowerShell
⚙ Étapes à suivre pour la méthode 3
• Ouvrez le Pare-feu Windows avec sécurité avancée.
• Créez une règle entrante pour bloquer un port utilisé par des outils malveillants :
Code:
New-NetFirewallRule -DisplayName "BloquerPort" -Direction Inbound -LocalPort 3389 -Protocol TCP -Action Block• Bloquez les IP suspectes avec une règle de pare-feu :
Code:
New-NetFirewallRule -DisplayName "BloquerIP" -Direction Inbound -RemoteAddress 192.168.1.1 -Action Block• Remplacez "3389" et "192.168.1.1" par les ports et adresses IP concernés.
Pour de plus amples informations• Pare-feu Windows sur Microsoft Learn
AstuceConfigurez Windows Defender pour activer l’accès contrôlé aux dossiers afin de protéger vos fichiers sensibles contre les modifications non autorisées.
Pour de plus amples informations• Protection avancée avec Windows Defender
Mise en gardeDes règles de pare-feu ou des suppressions de processus mal configurées peuvent affecter des applications légitimes. Testez toujours vos modifications dans un environnement de test.
ConseilUtilisez un logiciel EDR pour compléter les configurations manuelles et surveiller les activités suspectes sur votre système.
Pour de plus amples informations• Logiciels EDR pour Windows
Solution alternativeInstallez des outils comme Sysmon pour une surveillance avancée des événements système et détectez les accès non autorisés.
Pour de plus amples informations• Utilisation de Sysmon sur Windows
ConclusionEn appliquant ces méthodes, vous renforcerez considérablement la sécurité de votre système Windows contre les accès non autorisés. Auditez régulièrement vos configurations et restez vigilant face aux menaces émergentes.
Source : Tutoriaux-Excalibur, merci de partager.
