Protection 📝 Blocage des tâches planifiées malveillantes pour contrer la persistance

[Sylvain*]

Blocage des tâches planifiées malveillantes pour contrer la persistance

Introduction

Les attaquants utilisent fréquemment les tâches planifiées de Windows pour maintenir l’accès à un système compromis, en configurant des exécutions récurrentes de scripts ou d’applications malveillantes. Ce vecteur est discret, persistant et souvent négligé. Ce tutoriel fournit une méthode technique complète pour détecter, bloquer et supprimer les tâches planifiées malveillantes afin de contrer efficacement ce mécanisme de persistance.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les outils systèmes Windows

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Moyen

• Étape #2 : Moyen

• Étape #3 : Élevé

• Étape #4 : Moyen

• Étape #5 : Moyen

---

Les Avantages

• Étape #1 : Détection rapide des tâches suspectes

• Étape #2 : Élimination directe des persistances

• Étape #3 : Blocage par stratégie de sécurité

• Étape #4 : Surveillance continue centralisée

• Étape #5 : Renforcement durable du poste

---

Les Inconvénients

• Étape #1 : Risque de faux positifs

• Étape #2 : Suppression manuelle chronophage

• Étape #3 : Configuration complexe des GPO

• Étape #4 : Dépendance à un outil SIEM

• Étape #5 : Surveillance à maintenir sur le long terme

---

Étape #1

Lister toutes les tâches planifiées locales

schtasks /query /fo LIST /v

Identifier les tâches avec des chemins vers des scripts inconnus ou suspects

Examiner les créateurs et les déclencheurs de chaque tâche

Noter les tâches inconnues pour une analyse approfondie

---

Étape #2

Supprimer chaque tâche malveillante identifiée

schtasks /delete /tn "NomDeLaTâche" /f

Supprimer les fichiers liés à la charge utile si présents

Utiliser

Autoruns

pour vérifier les points de persistance associés

Redémarrer le poste et vérifier que la tâche ne réapparaît pas

---

Étape #3

Créer une GPO pour désactiver la création de tâches planifiées

Naviguer dans

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de contrôle d'accès

Restreindre l'accès au dossier

C:\Windows\System32\Tasks

Retirer les autorisations d’écriture pour les groupes non-administrateurs

---

Étape #4

Activer la journalisation des événements liés aux tâches planifiées

Microsoft-Windows-TaskScheduler/Operational

Créer une alerte SIEM ou un script pour chaque tâche inconnue

Configurer une alerte automatique sur les actions suspectes

Conserver un historique des tâches supprimées pour analyse future

---

Étape #5

Utiliser

Applocker

pour restreindre l’exécution de scripts depuis des chemins inhabituels

Appliquer les stratégies sur l’ensemble des postes via GPO

Surveiller les contournements ou échecs d’application

Effectuer des audits mensuels des tâches planifiées

---

Astuce

Utilisez l'observateur d'événements avec le filtre

Event ID 106

pour détecter la création de tâche suspecte en temps réel.

---

Mise en garde

La suppression de tâches planifiées peut perturber des fonctions légitimes du système si les noms sont génériques. Toujours vérifier leur origine avant suppression.

---

Conseil

Implémentez une politique d'audit périodique pour les répertoires

Tasks

et utilisez Applocker pour limiter la persistance par exécution automatisée.

---

Solutions alternatives

• Détecter tâche planifiée malveillante

• Applocker tâches planifiées

• GPO protection tâches planifiées

---

Références utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

La détection et le blocage des tâches planifiées malveillantes sont essentiels pour neutraliser les tentatives de persistance. En combinant audits réguliers, suppression manuelle, restrictions via GPO et journalisation centralisée, cette méthode offre une défense robuste contre ce vecteur discret d’intrusion.