• Note pour les visiteurs de Tutoriaux-Excalibur

    Vous trouvez Tutoriaux-Excalibur intéressant ?

    Nous espérons que vous avez trouvé les tutoriels sur Tutoriaux-Excalibur utiles et instructifs. Votre avis est trÚs important pour nous !

    Si vous avez apprécié votre expérience, nous vous invitons à partager vos commentaires sur notre page Trustpilot.

    Cliquez ici pour partager votre expérience sur Trustpilot.

    Merci de votre soutien !

Protection đŸ“ Bloquer l’abus des disques durs USB autoexĂ©cutables sous Windows 11

Sylvain*

Sylvain*

Administrateur
Membre VIP
Membre présenté
Membre
📝 Bloquer l’abus des disques durs USB autoexĂ©cutables sous Windows 11

🔩 Introduction

Les disques durs USB peuvent ĂȘtre configurĂ©s pour lancer automatiquement des programmes malveillants dĂšs leur connexion Ă  un systĂšme Windows. Ces attaques exploitent des fonctions comme l’exĂ©cution automatique ou l’[b’émulation HID/CD-ROM virtuel][/b] pour contourner les protections classiques. Un fichier autorun.inf, un exĂ©cutable dĂ©guisĂ© ou une partition cachĂ©e peuvent contenir le vecteur d’infection. Ce tutoriel dĂ©taille les mĂ©thodes pour neutraliser efficacement ces attaques sur Windows 11.


🔬 PrĂ©requis

‱ Connaissance de l’infrastructure des volumes Windows

‱ Accùs administrateur local ou via GPO

‱ FamiliaritĂ© avec Gpedit.msc, Regedit, Sysmon, Defender


📈 Niveau de difficultĂ©

‱ Étape #1 : DĂ©sactiver l’exĂ©cution automatique sur tous les lecteurs

‱ Étape #2 : Bloquer les pĂ©riphĂ©riques USB non approuvĂ©s

‱ Étape #3 : Surveiller les fichiers autorun et exĂ©cutables au montage

‱ Étape #4 : Appliquer une politique de contrĂŽle d’exĂ©cution

‱ Étape #5 : Restreindre les droits d’accùs aux lettres de lecteur amovible


👍 Les Avantages

‱ Étape #1 : Élimination immĂ©diate du risque d’auto-exĂ©cution

‱ Étape #2 : ContrĂŽle prĂ©cis des pĂ©riphĂ©riques USB

‱ Étape #3 : DĂ©tection rapide de tentatives de propagation

‱ Étape #4 : Blocage des programmes malveillants au montage

‱ Étape #5 : ConformitĂ© aux politiques de sĂ©curitĂ© avancĂ©e


👎 Les InconvĂ©nients

‱ Étape #1 : Impact sur les flux de travail si des supports lĂ©gitimes sont utilisĂ©s

‱ Étape #2 : NĂ©cessite une gestion rigoureuse des pĂ©riphĂ©riques approuvĂ©s

‱ Étape #3 : Risque de faux positifs avec certains utilitaires portables

‱ Étape #4 : Configuration technique requise (WDAC/AppLocker)

‱ Étape #5 : Maintenance en environnement multi-utilisateur


⚙ Étape #1

1ïžâƒŁ Ouvrir Gpedit.msc

2ïžâƒŁ Aller dans :

Code: 
Configuration ordinateur > ModĂšles d’administration > Composants Windows > StratĂ©gies d’exĂ©cution automatique

3ïžâƒŁ Activer la stratĂ©gie :

Code: 
DĂ©sactiver l’exĂ©cution automatique sur tous les lecteurs

4ïžâƒŁ SĂ©lectionner :

Code: 
Tous les lecteurs


⚙ Étape #2

1ïžâƒŁ Ouvrir Gestionnaire de pĂ©riphĂ©riques > Lecteurs de disque

2ïžâƒŁ Identifier le VID/PID des pĂ©riphĂ©riques Ă  bloquer

3ïžâƒŁ Aller dans :

Code: 
Gpedit.msc > SystĂšme > Installation de pĂ©riphĂ©riques > Restrictions d’installation

4ïžâƒŁ Activer :

Code: 
EmpĂȘcher l’installation de pĂ©riphĂ©riques correspondant Ă  ces ID


⚙ Étape #3

1ïžâƒŁ Activer Sysmon avec les rĂšgles suivantes :

Code: 
ID 11 : Création de fichier

2ïžâƒŁ Filtrer les crĂ©ations de :

Code: 
autorun.inf

Code: 
.exe

Code: 
.vbs

3ïžâƒŁ Superviser les Ă©critures dans les lettres suivantes :

Code: 
E:, F:, G:, etc.

4ïžâƒŁ Automatiser l’analyse avec Defender for Endpoint ou un SIEM


⚙ Étape #4

1ïžâƒŁ Appliquer une politique WDAC ou AppLocker

2ïžâƒŁ Bloquer l’exĂ©cution d’applications depuis :

Code: 
X:\autorun.inf

Code: 
X:*.exe

3ïžâƒŁ Restreindre les lecteurs amovibles Ă  la lecture seule si nĂ©cessaire

4ïžâƒŁ Signer tous les exĂ©cutables internes pour la liste blanche


⚙ Étape #5

1ïžâƒŁ Appliquer des ACL restrictives sur les lecteurs dĂ©tectĂ©s comme amovibles

2ïžâƒŁ Utiliser :

Code: 
icacls X:\ /deny users:(RX,W)

3ïžâƒŁ DĂ©sactiver les services de montage automatique si inutiles :

Code: 
services.msc > Shell Hardware Detection

4ïžâƒŁ Ne pas autoriser l’exĂ©cution des fichiers depuis le cache USB temporaire


💡 Astuce

Formatez toujours les disques USB en mode manuel (avec suppression de partition) pour neutraliser les sections masquées pouvant contenir du code malveillant.


🚹 Mise en garde

Les attaques par disques autoexĂ©cutables contournent les protections traditionnelles si les stratĂ©gies de groupe ne sont pas appliquĂ©es. Elles peuvent rester actives mĂȘme aprĂšs un redĂ©marrage.


🔖 Conseil

PrivilĂ©giez l’usage de disques USB chiffrĂ©s, signĂ©s et attribuĂ©s par l’administrateur dans les environnements professionnels pour rĂ©duire le risque d’introduction d’exĂ©cutables piĂ©gĂ©s.


🔎 Solutions alternatives

‱ disable usb autorun windows 11 gpo

‱ sysmon detect autorun inf

‱ wdac block usb execution


🔗 RĂ©fĂ©rences utiles

‱ Microsoft – WDAC

‱ Microsoft – Sysmon

‱ Microsoft – KB967715 (DĂ©sactivation de l’exĂ©cution automatique)


💬 Conclusion

L’abus des disques durs USB autoexĂ©cutables reste un vecteur d’infection redoutable et silencieux. En dĂ©sactivant l’exĂ©cution automatique, en surveillant les fichiers suspects et en restreignant l’accĂšs aux pĂ©riphĂ©riques amovibles, vous protĂ©gez efficacement les systĂšmes Windows 11 contre ce type d’attaque.
 
Identifiez-vous ou inscrivez-vous pour participer.

Campagne de dons

Dons pour T-E

Campagne de dons pour T-E
Objectif
300.00 $
Reçu
125.81 $
Cette collecte de dons se termine dans
0 heures, 0 minutes, 0 seconds
  41.9%
Faire un don

Messages récents

En ligne

Total: 74 (membres: 1, visiteurs: 73)
Stats de fréquentation maximale en ligne:
Membres: 7 le 27 Mar 2025
Invités: 746 le 3 Mar 2025
Le nombre record de visiteurs en ligne Ă©tait: 746 , le 3 Mar 2025

Statistiques des forums

Discussions
18 893
Messages
30 245
Membres
357
Dernier inscrit
Walshyn

Nouveaux membres

Partager cette page

Retour
Haut Bas