6 paramètres de stratégie de groupe que vous devez configurer correctement

La stratégie de groupe est une technologie de gestion de configuration qui fait partie de Windows Server Active Directory. Elle peut être utilisée pour configurer les paramètres dans les systèmes d'exploitation clients et serveurs Windows afin de garantir une configuration cohérente et sécurisée sur les appareils. Il existe littéralement des centaines de paramètres disponibles à utiliser lorsque vous configurez vos objets de stratégie de groupe (GPOs), mais dans cet article de blog, je vais vous montrer six paramètres de sécurité de stratégie de groupe critiques que vous devez bien configurer pour assurer une sécurité de base dans votre environnement.

Si vous souhaitez configurer la stratégie de groupe selon les paramètres recommandés par Microsoft, téléchargez le Security Compliance Toolkit. Il contient des bases de sécurité pour toutes les versions prises en charge de Windows, que vous pouvez utiliser comme base pour vos propres objets de stratégie de groupe, ainsi que des feuilles de calcul qui répertorient et expliquent tous les paramètres recommandés. Si vous avez des appareils qui ne sont pas membres d'un domaine, utilisez la politique locale pour configurer les paramètres. Le toolkit contient une application spécifique qui facilite la gestion des paramètres de politique locale sur les appareils autonomes.

Contrôle des applications (AppLocker)

Le fait de ne pas empêcher les logiciels non autorisés sur vos machines est l'une des principales manières dont les logiciels malveillants prennent le contrôle des systèmes. Bien qu'il soit important de retirer les privilèges d'administrateur local des utilisateurs finaux pour empêcher les modifications à l'échelle du système, cette restriction à elle seule n'est pas suffisante pour empêcher les utilisateurs (ou les processus s'exécutant dans le contexte des comptes d'utilisateurs connectés) d'exécuter du code qui pourrait causer de sérieux dommages.

Pour remédier à cela, Microsoft Windows 7 a introduit AppLocker, qui permet aux administrateurs système d'appliquer rapidement des politiques de contrôle d'application aux systèmes. AppLocker fonctionne en établissant une liste blanche de processus, de scripts et d'installateurs qui peuvent s'exécuter. Vous trouverez les paramètres AppLocker dans la stratégie de groupe sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de contrôle d'application > AppLocker.

Figure 1. Où trouver les paramètres AppLocker dans Stratégie de groupe

Pour créer des règles pour chaque catégorie répertoriée sous AppLocker, cliquez avec le bouton droit sur la catégorie (par exemple, Executable rules) et sélectionnez l'une des trois options dans la moitié supérieure du menu. En sélectionnant Automatically Generate Rules… cela analyse un système de référence et crée des règles basées sur les exécutables installés dans des emplacements de confiance. Si vous décidez de créer des règles manuellement, assurez-vous de Create Default Rules; sinon vous risquez de désactiver des fonctionnalités critiques dans Windows qui pourraient rendre les systèmes inutilisables.

Une fois que vous avez établi quelques règles, faites un clic droit sur AppLocker et sélectionnez Propriétés dans le menu. Dans l'onglet Enforcement , cliquez sur les catégories de règles que vous souhaitez activer et sélectionnez Audit only dans le menu. Laissez vos règles fonctionner en mode audit pendant un certain temps et vérifiez le journal des événements Windows pour détecter tout problème. Si vous êtes sûr que les règles ne bloquent aucune application importante ou fonctionnalités de Windows, changez le paramètre pour Enforce rules.

Le service d'identité d'application doit être en cours d'exécution sur les appareils avant qu'AppLocker n'applique les politiques. Dans Windows 10, AppLocker peut également être configuré via l'éditeur de stratégie de groupe local. Cependant, avec Windows 10, Microsoft a introduit le contrôle d'application Windows Defender (auparavant Device Guard), qui est une technologie de contrôle d'application plus robuste et difficile à contourner pour les administrateurs locaux.

Mise à jour Windows

Windows Update est un composant critique de Windows qui assure la mise à jour du système d'exploitation et d'autres logiciels. Si votre organisation utilise Windows 10, pensez à utiliser Windows Update for Business (WUfB) pour maintenir les appareils à jour. Contrairement à Windows Server Update Services (WSUS), WUfB ne nécessite aucune infrastructure sur site mais vous offre tout de même un certain contrôle sur la manière dont les mises à jour de fonctionnalités et de qualité de Windows 10 sont appliquées. Vous pouvez trouver Windows Update et Windows Update for

Paramètres de stratégie de groupe d'entreprise sous Configuration de l'ordinateur > Modèles d'administration > Composants Windows > Windows Update.

Si vous utilisez une version antérieure de Windows, utilisez la stratégie de groupe pour diriger les appareils vers un WSUS interne ou un point de mise à jour logicielle System Center Configuration Manager (SUP) en utilisant les paramètres Configure Automatic Updates et Specify intranet Microsoft update service location . Il y a beaucoup d'autres paramètres également, comme Do not include drivers with Windows Updates et Specify active hours range for auto-restarts, qui pourraient être utiles.

Désactiver le client et le serveur SMBv1

Certains composants de SMBv1 ne disposent pas d’une sécurité adéquate. Si vous vous souvenez de 2017, les failles dans SMBv1 ont été l’un des moyens par lesquels le virus NotPetya a pu se propager aussi rapidement. Bien que Microsoft ait déjà publié des correctifs pour SMBv1, de nombreuses organisations ne les avaient pas encore appliqués.

Les versions ultérieures de Windows 10 ont déjà les composants SMBv1 non sécurisés supprimés par défaut. Mais si vous utilisez Windows 7, Windows 8 ou une version antérieure de Windows 10, vous devrez vous assurer de supprimer le composant SMBv1 de votre système ou d'utiliser la stratégie de groupe pour le désactiver sur tous les serveurs et clients qui n'en ont pas besoin.

Pour désactiver le serveur SMBv1, créez une valeur REG_DWORD appelée SMB1 sous le chemin de clé suivant et définissez sa valeur sur 0 :

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters
      

Pour désactiver le client SMBv1, créez deux valeurs de registre. La première est une valeur REG_DWORD appelée Start, qui doit être définie sur 4 sous le chemin de clé suivant :

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesmrxsmb10
      

La seconde est une valeur REG_MULTI_SZ appelée DependOnService, qui doit être définie sur “Bowser”, “MRxSmb20”, “NSI” sous le chemin suivant :

      HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanWorkstation
      

Pour configurer de nouveaux éléments de registre dans Stratégie de groupe, allez dans Configuration de l'ordinateur > Préférences > Paramètres Windows et faites un clic droit sur Registry. Sélectionnez Nouveau > Élément de registre dans le menu, puis ajoutez le chemin de la clé et la valeur requis. Assurez-vous que le champ Action est défini sur Mettre à jour.

Désactiver le compte invité et les comptes administrateurs locaux

Les comptes invité et administrateur local intégrés sont désactivés par défaut dans Windows 10. Mais si vous voulez vous assurer qu'il en reste ainsi, configurez les comptes dans la Stratégie de groupe pour qu'ils soient toujours désactivés. Cela est particulièrement important pour garantir un contrôle d'accès renforcé sur les serveurs critiques, tels que les contrôleurs de domaine. Vous pouvez trouver les paramètres sous Configuration de l'ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité. Définissez Accounts: Guest account status et Accounts: Administrator account status sur Désactivé.

Refuser l'accès en exécution sur les disques amovibles

Vous pouvez autoriser les utilisateurs à lire et écrire sur des supports amovibles mais les empêcher d'exécuter des fichiers exécutables. Si vous avez configuré AppLocker, ce paramètre peut être inutile, mais de nombreuses organisations n'utilisent pas le contrôle des applications. Dans tous les cas, bloquer les exécutables sur les supports amovibles peut aider à protéger les systèmes contre les codes malveillants.

Vous trouverez le paramètre Removable Disks: Deny execute access sous Configuration de l'ordinateur > Modèles d'administration > Système > Accès au stockage amovible.

Empêchez les modifications des paramètres de proxy

Peu importe si votre organisation utilise un serveur proxy, il est judicieux d'empêcher les utilisateurs de modifier les paramètres du proxy. Dans le pire des cas, des paramètres de proxy malveillants pourraient détourner tout le trafic internet de votre réseau via un intermédiaire non autorisé ; dans le meilleur des cas, ils pourraient empêcher les utilisateurs d'accéder aux ressources internet. Pour empêcher les utilisateurs de modifier les paramètres de proxy pour Internet Explorer et Microsoft Edge, définissez Prevent changing proxy settings dans Configuration utilisateur> Modèles d'administration > Composants Windows > Internet Explorer sur Activé.

Conclusion

Voici les six paramètres de stratégie de groupe que vous devez absolument configurer correctement. N'oubliez pas, avant d'appliquer les paramètres de stratégie de groupe dans votre environnement de production, de les tester pour vous assurer qu'ils n'auront pas d'effets indésirables. Pour une liste complète des paramètres recommandés par Microsoft, téléchargez les modèles de base dans la Security Compliance Toolkit.