Hardening
Cette page vise à rassembler les remédiations aux principales problématiques de sécurité qui touchent les systèmes Windows, localement ou dans des contextes de domaines Active Directory.
Désactiver les protocoles multidiffusion
Il existe trois principaux protocoles multidiffusion qu’il convient de désactiver dans un soucis de sécurisation de son réseau d’entreprise : LLMNR, NBT-NS et mDNS. Ces mécanismes de résolution de nom sont présents par défaut et sont utilisés dans le cas où les serveurs DNS ne répondent pas.
Désactiver LLMNR
Désactivation par GPO
- Ouvrir l’outil de gestion des stratégies de groupe et créer une nouvelle stratégie
- Se rendre dans Computer Configuration > Policies > Administrative Template > Network > DNS Client
- Passer la règle “Turn off multicast name resolution” sur Enabled
Désactivation par clé de registre
Dans le cas où il n’est pas possible de passer par une GPO, il faut alors créer la clé de registre suivante sur les masters de déploiement.
Désactiver NBT-NS
Désactivation par clé de registre
Désactivation par GPO
Il est possible de pousser la commande ci-dessus par GPO et ainsi appliquer la configuration sur tous les postes du domaine Active Directory :
- Ouvrir l’outil de gestion des stratégies de groupe et créer une nouvelle stratégie
- Se rendre dans Configuration ordinateur > Stratégies > Paramètres Windows > Scripts (démarrage/arrêt)
- Cliquer sur Démarrage, puis sélectionner l’onglet Scripts Powershell
- Clique sur Ajouter puis Parcourir pour récupérer le fichier Powershell contenant la commande du dessus.
Désactiver mDNS
Désactivation par clé de registre
Activer la signature SMB
- Ouvrir l’outil de gestion des stratégies de groupe et créer une nouvelle stratégie
- Se rendre dans Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Security Options
- Passer la règle “Microsoft network server: Digitally sign communication (always)” sur Enabled
Désactiver IPv6
Si le protocole IPv6 n’est pas activement utilisé au sein du réseau, il est recommandé de le désactiver sur les postes clients.
Désactivation par GPO
- Ouvrir l’outil de gestion des stratégies de groupe et créer une nouvelle stratégie
- Se rendre dans Computer Configuration > Policies > Administrative Template > Network > IPv6 Configuration
- Passer la règle “IPv6 Configuration Policy” sur Disabled ou choisir parmi les nombreuses options proposées
Désactivation par clé de registre
En revanche, Windows mets en garde quant à la désactivation complète d’IPv6. La valeur 32 pour cette clé de registre rend IPv4 prioritaire sur IPv6.
Positionner le ms-DS-MachineAccountQuota à 0
Dans la configuration par défaut d’un environnement Active Directory, chaque utilisateur peut intégrer 10 objets “Ordinateur” au domaine.
Ce quota est défini dans l’attribut ms-DS-MachineAccountQuota
et est la source de plusieurs vulnérabilités, il convient alors de modifier ce paramètre.
Désactiver les “Null Session”
Désactivation par GPO
- Ouvrir l’outil de gestion des stratégies de groupe
- Editer la stratégie présente dans Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > SecurityOptions
- Passer la règle “Network access: Restrict Anonymous access to Named Pipes and Shares” sur Enabled
- Passer la règle “Network access: Do not allow anonymous enumeration of SAM accounts” sur Enabled
- Passer la règle “Network access: Do not allow anonymous enumeration of SAM accounts and shares” sur Enabled
- Passer la règle “Network access: Shares that can be accessed anonymously” sur Enabled
- Passer la règle “Network access: Let Everyone permissions apply to anonymous users” sur Disabled
- Passer la règle “Network access: Allow anonymous SID/Name translation” sur Disabled
- Passer la règle “Restrict Null Sessions in the Registry” sur Disabled