⚔ Empêcher des scripts malveillants de s'exécuter à chaque tentative d'accès à Internet sur Windows
Introduction
Ce tutoriel explique comment sécuriser un système Windows pour empêcher l’exécution automatique de scripts malveillants lors de tentatives d’accès à Internet. Ces scripts peuvent exploiter des failles pour voler des données ou compromettre le système. Nous aborderons trois approches : surveiller et bloquer les scripts via le pare-feu, désactiver les tâches planifiées suspectes, et configurer des politiques de restriction pour empêcher l’exécution de scripts non autorisés.
Prérequis
• Accès administrateur sur votre système Windows.
• Connaissance des commandes PowerShell et de la gestion des tâches planifiées.
• Antivirus actif et à jour (Windows Defender ou autre).
• Capacité à configurer et gérer les règles de pare-feu Windows.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Bloquer les scripts malveillants avec des règles de pare-feu avancées.
• Méthode 2 : Supprimer les tâches planifiées suspectes pouvant exécuter des scripts.
• Méthode 3 : Restreindre les scripts avec des stratégies de groupe et PowerShell.
Avantages
Avantage de la méthode 1 : Bloque les scripts avant qu’ils ne puissent accéder à Internet.
Avantage de la méthode 2 : Élimine les tâches suspectes qui lancent des scripts à des moments stratégiques.
Avantage de la méthode 3 : Renforce la sécurité en empêchant l’exécution de scripts non signés ou non autorisés.
Inconvénients
Inconvénient de la méthode 1 : Requiert de connaître les adresses IP ou les applications suspectes.
Inconvénient de la méthode 2 : Les scripts peuvent être déclenchés par d’autres mécanismes s’ils ne sont pas détectés.
Inconvénient de la méthode 3 : Une mauvaise configuration peut affecter les scripts légitimes nécessaires au système.
⚙ Étapes à suivre pour la méthode 1
• Accédez au pare-feu Windows avec sécurité avancée.
• Créez une règle sortante pour bloquer une application ou un script suspect :
• Bloquez toutes les connexions sortantes vers une IP suspecte :
• Appliquez une règle pour bloquer les scripts exécutés par cmd.exe ou powershell.exe :
Pour de plus amples informations
• Pare-feu Windows avancé
⚙ Étapes à suivre pour la méthode 2
• Ouvrez le planificateur de tâches :
• Recherchez des tâches suspectes déclenchant des scripts à des heures régulières.
• Supprimez une tâche suspecte identifiée :
• Utilisez PowerShell pour lister toutes les tâches programmées :
• Désactivez une tâche spécifique :
Pour de plus amples informations
• Documentation du planificateur de tâches
⚙ Étapes à suivre pour la méthode 3
• Configurez des stratégies de restriction d’exécution via gpedit.msc :
Accédez à Configuration ordinateur > Modèles d’administration > Système.
Activez la stratégie Ne pas exécuter de scripts en ligne de commande.
• Renforcez la stratégie d’exécution des scripts dans PowerShell :
• Activez la journalisation des scripts exécutés pour identifier ceux malveillants :
• Supprimez les scripts non signés de répertoires système critiques :
Pour de plus amples informations
• Documentation PowerShell
Astuce
Utilisez un logiciel EDR pour surveiller en temps réel les scripts exécutés et bloquer automatiquement ceux malveillants.
Pour de plus amples informations
• Logiciels EDR pour Windows
Mise en garde
La suppression ou la modification incorrecte de tâches ou de scripts système peut entraîner des problèmes de fonctionnement. Assurez-vous d’avoir des sauvegardes avant toute modification.
Conseil
Maintenez votre système à jour pour réduire les failles pouvant être exploitées par des scripts malveillants. Activez également Windows Defender avec des scans réguliers.
Pour de plus amples informations
• Mise à jour avec Windows Defender
Solution alternative
Utilisez Sysmon pour surveiller en profondeur les scripts exécutés et enregistrer leurs interactions avec le système.
Pour de plus amples informations
• Utilisation de Sysmon sur Windows
Conclusion
En appliquant ces méthodes, vous sécuriserez efficacement votre système Windows contre les scripts malveillants se déclenchant lors d'accès à Internet. Une surveillance régulière et des configurations adaptées renforcent cette protection.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionCe tutoriel explique comment sécuriser un système Windows pour empêcher l’exécution automatique de scripts malveillants lors de tentatives d’accès à Internet. Ces scripts peuvent exploiter des failles pour voler des données ou compromettre le système. Nous aborderons trois approches : surveiller et bloquer les scripts via le pare-feu, désactiver les tâches planifiées suspectes, et configurer des politiques de restriction pour empêcher l’exécution de scripts non autorisés.
Prérequis• Accès administrateur sur votre système Windows.
• Connaissance des commandes PowerShell et de la gestion des tâches planifiées.
• Antivirus actif et à jour (Windows Defender ou autre).
• Capacité à configurer et gérer les règles de pare-feu Windows.
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Bloquer les scripts malveillants avec des règles de pare-feu avancées.
• Méthode 2 : Supprimer les tâches planifiées suspectes pouvant exécuter des scripts.
• Méthode 3 : Restreindre les scripts avec des stratégies de groupe et PowerShell.
Avantages Avantage de la méthode 1 : Bloque les scripts avant qu’ils ne puissent accéder à Internet. Avantage de la méthode 2 : Élimine les tâches suspectes qui lancent des scripts à des moments stratégiques. Avantage de la méthode 3 : Renforce la sécurité en empêchant l’exécution de scripts non signés ou non autorisés. Inconvénients Inconvénient de la méthode 1 : Requiert de connaître les adresses IP ou les applications suspectes. Inconvénient de la méthode 2 : Les scripts peuvent être déclenchés par d’autres mécanismes s’ils ne sont pas détectés. Inconvénient de la méthode 3 : Une mauvaise configuration peut affecter les scripts légitimes nécessaires au système.⚙ Étapes à suivre pour la méthode 1
• Accédez au pare-feu Windows avec sécurité avancée.
• Créez une règle sortante pour bloquer une application ou un script suspect :
Code:
New-NetFirewallRule -DisplayName "BlocageScript" -Direction Outbound -Program "C:\Chemin\Vers\ScriptSuspect.bat" -Action Block• Bloquez toutes les connexions sortantes vers une IP suspecte :
Code:
New-NetFirewallRule -DisplayName "BlocageIP" -Direction Outbound -RemoteAddress 192.168.1.100 -Action Block• Appliquez une règle pour bloquer les scripts exécutés par cmd.exe ou powershell.exe :
Code:
New-NetFirewallRule -DisplayName "BlocageCMD" -Direction Outbound -Program "C:\Windows\System32\cmd.exe" -Action Block• Pare-feu Windows avancé
⚙ Étapes à suivre pour la méthode 2
• Ouvrez le planificateur de tâches :
Code:
taskschd.msc• Recherchez des tâches suspectes déclenchant des scripts à des heures régulières.
• Supprimez une tâche suspecte identifiée :
Code:
schtasks /Delete /TN "NomTâcheSuspecte" /F• Utilisez PowerShell pour lister toutes les tâches programmées :
Code:
Get-ScheduledTask | Where-Object {$_.TaskPath -match "Suspect"}• Désactivez une tâche spécifique :
Code:
Disable-ScheduledTask -TaskName "NomTâcheSuspecte"• Documentation du planificateur de tâches
⚙ Étapes à suivre pour la méthode 3
• Configurez des stratégies de restriction d’exécution via gpedit.msc :
Accédez à Configuration ordinateur > Modèles d’administration > Système.
Activez la stratégie Ne pas exécuter de scripts en ligne de commande.
• Renforcez la stratégie d’exécution des scripts dans PowerShell :
Code:
Set-ExecutionPolicy AllSigned• Activez la journalisation des scripts exécutés pour identifier ceux malveillants :
Code:
Get-EventLog -LogName "Windows PowerShell"• Supprimez les scripts non signés de répertoires système critiques :
Code:
Remove-Item -Path "C:\Windows\Temp\ScriptSuspect.ps1" -Force• Documentation PowerShell
AstuceUtilisez un logiciel EDR pour surveiller en temps réel les scripts exécutés et bloquer automatiquement ceux malveillants.
Pour de plus amples informations• Logiciels EDR pour Windows
Mise en gardeLa suppression ou la modification incorrecte de tâches ou de scripts système peut entraîner des problèmes de fonctionnement. Assurez-vous d’avoir des sauvegardes avant toute modification.
ConseilMaintenez votre système à jour pour réduire les failles pouvant être exploitées par des scripts malveillants. Activez également Windows Defender avec des scans réguliers.
Pour de plus amples informations• Mise à jour avec Windows Defender
Solution alternativeUtilisez Sysmon pour surveiller en profondeur les scripts exécutés et enregistrer leurs interactions avec le système.
Pour de plus amples informations• Utilisation de Sysmon sur Windows
ConclusionEn appliquant ces méthodes, vous sécuriserez efficacement votre système Windows contre les scripts malveillants se déclenchant lors d'accès à Internet. Une surveillance régulière et des configurations adaptées renforcent cette protection.
Source : Tutoriaux-Excalibur, merci de partager.
