Avec une expérience de plus de 15 ans dans l’informatique, nous aidons les entreprises à atteindre leur objectif de digitalisation et de transformation. LeenDIS est une agence technologique axée sur des valeurs dédiées telles que :

  • L’expérience,
  • Le savoir-faire,
  • La rigueur,
  • la polyvalence,
  • l’adaptabilité,
  • la proximité,
  • la confiance…
Exemples de projets

Contacts

6 rue d'Armaillé 75017 Paris

hello@leendis.com

+33 666 710 812

Linkedin User-astronaut Youtube
Sécurité Système
_ _ Harry Cover_ 0 Commentaires

Sécurité des machines, notions avancées…

Comme je le disais dans le Post précèdent [ Sécurité PC, notions de base ] : en appliquant quelques notions , nous pouvons stopper certaines attaques. Maintenant, nous allons appliquer des notions avancées afin de contrecarrer la plus part des attaques (pas toutes malheureusement, mais une bonne partie…) 

De nombreuses lignes rouges ont été franchies ces dernières années et cela n’est pas prêt de s’arrêter… Pas un jour ne passe sans que l’on découvre une attaque sur nos entreprises françaises. Que faire ? Retomber dans le fatalisme, la désillusion ?

La data est le nerf de la guerre, avec l’argent qui l’enjolive ! Hé oui, c’est un filon qui rapporte, on y peut rien c’est comme ça. Par contre, on peut casser cette spirale, il faut juste se battre à arme égale. Se préparer, s’organiser, ne pas laisser ces fantassins de l’ombre prendre le dessus. Et pour cela, il faut mettre en place quelques règles de bonnes conduites, quelques configurations afin de se protéger du mieux que l’on peut. Nous savons tous que le risque zéro n’existe pas, mais nous essayerons de s’y rapprocher…

Les principaux types de cyberattaques

  • Attaque par déni de service distribuée (DDoS)
  • Ransomware
  • Phishing & Spear Phishing
  • Défacement

Notions avancées

En appliquant ces quelques conseils de manière proactive, ceci nous permettra d’anticiper des problèmes futurs …

Voici des conseils (avancés) pour vous aider à garder votre PC sécurisé

Utilisation de la [ politique des comptes ] pour toutes créations de compte
Utilisation de la [ politique des mots de passe ] pour la sécurisation des comptes

  • Désactivation du compte administrateur local (il n’est pas nécessaire et le SID est connu des hackers…) si c’est possible…,
  • Si vous ne pouvez pas désactiver le compte, utiliser l’outil Microsoft LAPS pour sécuriser les comptes locaux,
  • Utilisation de LSA Protection pour la protection l’autorité de sécurité locale (LSA),

  • Utilisation de la fonctionnalité Credential Guard (permet d’isoler le processus LSASS dans un container virtualisé pour empêcher les autres processus d’y accéder et de voler les identifiants via un dump du processus LSASS) : attention, Credential Guard a tendance à rentrer en conflit avec certaines applications et certains pilotes… Faire des tests au préalable…,

  • Utilisation de la fonctionnalité « Attack Surface Reduction » (ASR) de Microsoft Defender comme alternative à Credential Guard, cette option est activée par défaut (si dump mémoire du processus LSASS, on obtient un accès refusé même avec les droits administrateur),

  • Création de deux comptes individuels administratifs en cas de compromission de l’un deux (dont un est désactivé et utilisé en cas de besoin) avec mots de passe minimum de 12 caractères,

  • Création d’un compte utilisateur sans pouvoir (retirer les privilèges administrateurs) pour l’utilisation du PC avec mot de passe minimum de 12 caractères,
  • Changement des mots de passe en moyenne tous les 60 jours (étant donné la taille du mot de passe, on pourrait monter jusqu’à 90 jours sans problème, mais bon, restons sur nos gardes…),
  • Sécurisation des comptes et groupes d’administrateurs locaux, ici,

Utilisation de la [ Convention de nommage des machines ] pour l’appellation du PC

  • Sécuriser le Bios en ajoutant un mot de passe afin de ne pas y accéder,
  • Désactivation des ports USB non utilisés,
  • 2 partitions : 1 pour le système et 1 pour les données (le tout chiffré, BitLocker par exemple),

Ne pas utiliser de : [ Les gestionnaires de password sur navigateur ] pour la mémorisation des mots de passe web,

  • Mot de passe sur navigateur à proscrire (même si c’est super pratique, c’est surtout super dangereux…),
  • Utilisation d’un navigateur au travers d’un bac à sable (Windows Sandbox par exemple…),

————

  • Si utilisation RDP (changer port d’écoute) + activation NLA,
  • Utilisation de RDS Gateway serait un plus,
  • Si utilisation SSH (changer port d’écoute) + activation clé publique / privée,
  • Activation du MFA (utiliser si possible FIDO2 par exemple),
  • VPN (SSL ou IPSEC) si accès entreprise depuis chez soi ou lieu publique,
  • Utilisation de protocoles sécurisés (HTTPS, DNS-SEC, SMTPS, POP3S, IMAPS, FTPS, etc…),
  • Chiffrement des email (si l’application le permet…),
  • Scans antivirus heuristiques récurrents (attention, scans assez long), analyses anti-virus régulières contre les virus et autres,
  • Sauvegardes régulières des données sur deux supports différents (disque dur, NAS, SAN et Cloud par exemple…) et décalées en termes de temps,
  • Installation d’un IPS logiciel (à défaut d’un IPS matériel sur le réseau),
  • Envoi des Logs vers un SIEM (si il y en a un…),
  • Segmentation de l’infrastructure (segmentation réseau, segmentation système, segmentation de la virtualisation, etc…), 

————

  • Désactiver les extensions de nom de fichier masquées (Windows),
  • Désactiver les protocoles non sécurisés (via une stratégie de groupe par exemple) suivants :
    1. LLMNR (résolution de noms de multidiffusion)
    2. Résolution de noms NetBIOS (NBNS)
    3. WPAD (Web Proxy Auto-Discovery)
  • Éteindre son ordinateur ou déconnectez-vous d’internet si PC non utilisé sur une grande période (midi, nuit, etc…).

En appliquant en grande partie ces dispositions, nous pourrons rejeter à la mer bon nombre d’attaques. les cyberprédateurs sont à l’œuvre 24 heures sur 24. Notre sécurité devrait en faire autant grâce à une vigilance constante de nos périphériques (PC, imprimante, AP, etc…).

A bientôt.

26

Auteur

Harry Cover

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

error: Le contenu est protégé !!