• Note pour les visiteurs de Tutoriaux-Excalibur

    Vous trouvez Tutoriaux-Excalibur intéressant ?

    Nous espérons que vous avez trouvé les tutoriels sur Tutoriaux-Excalibur utiles et instructifs. Votre avis est trÚs important pour nous !

    Si vous avez apprécié votre expérience, nous vous invitons à partager vos commentaires sur notre page Trustpilot.

    Cliquez ici pour partager votre expérience sur Trustpilot.

    Merci de votre soutien !

Protection đŸ“ EmpĂȘcher l'exĂ©cution dĂ©tournĂ©e via raccourcis .url malveillants

Sylvain*

Sylvain*

Administrateur
Membre VIP
Membre présenté
Membre
📝 EmpĂȘcher l'exĂ©cution dĂ©tournĂ©e via raccourcis .url malveillants

🔩 Introduction

Le filtre Windows SmartScreen est conçu pour empĂȘcher l’exĂ©cution d’applications potentiellement malveillantes, notamment celles tĂ©lĂ©chargĂ©es depuis Internet. Toutefois, des attaquants exploitent des fichiers de raccourcis .url pour contourner cette protection et exĂ©cuter des contenus malveillants via des scripts ou des binaires distants. Ce tutoriel dĂ©taille les mesures de protection permettant de bloquer ce vecteur d’attaque au sein de systĂšmes Windows 10 et 11, en restreignant l’utilisation dĂ©tournĂ©e des fichiers .url.


🔬 PrĂ©requis

‱ Connaissance approfondie de Windows

‱ FamiliaritĂ© avec les outils systĂšmes Windows

‱ Droits administrateurs nĂ©cessaires


📈 Niveau de difficultĂ©

‱ Étape #1 : Moyen

‱ Étape #2 : Moyen

‱ Étape #3 : AvancĂ©

‱ Étape #4 : AvancĂ©

‱ Étape #5 : Moyen


👍 Les Avantages

‱ Étape #1 : RĂ©duction de la surface d’attaque exploitĂ©e par les .url

‱ Étape #2 : EmpĂȘche les contournements de SmartScreen par des exĂ©cutables distants

‱ Étape #3 : Renforcement des contrĂŽles via la stratĂ©gie de groupe

‱ Étape #4 : PossibilitĂ© de centralisation avec Active Directory

‱ Étape #5 : Mise en place durable et peu intrusive


👎 Les InconvĂ©nients

‱ Étape #1 : Risque de faux positifs sur des liens lĂ©gitimes

‱ Étape #2 : Peut bloquer des flux internes ou des scripts automatisĂ©s

‱ Étape #3 : NĂ©cessite une gestion fine des extensions de fichiers

‱ Étape #4 : ComplexitĂ© accrue en environnement non maĂźtrisĂ©

‱ Étape #5 : Non rĂ©troactif sur les fichiers existants


⚙ Étape #1

1ïžâƒŁ Ouvrir l’éditeur de stratĂ©gie locale avec gpedit.msc

2ïžâƒŁ Naviguer vers Configuration utilisateur > ModĂšles d’administration > Composants Windows > Explorateur de fichiers

3ïžâƒŁ Activer la stratĂ©gie Ne pas autoriser l’exĂ©cution de raccourcis Internet (.url)

4ïžâƒŁ Cliquer sur ActivĂ© puis sur OK pour valider


⚙ Étape #2

1ïžâƒŁ Utiliser l’éditeur du Registre pour bloquer l’ouverture automatique des fichiers .url

2ïžâƒŁ Lancer regedit.exe avec les droits administrateurs

3ïžâƒŁ AccĂ©der Ă  la clĂ© suivante

Code: 
HKEY_CLASSES_ROOT.url

4ïžâƒŁ Modifier la valeur Content Type en la supprimant ou la neutralisant


⚙ Étape #3

1ïžâƒŁ Mettre en place une rĂšgle AppLocker ou WDAC ciblant les fichiers .url

2ïžâƒŁ CrĂ©er une rĂšgle de type Chemin de fichier interdit pour

Code: 
*.url

3ïžâƒŁ Appliquer la stratĂ©gie Ă  tous les utilisateurs sauf les administrateurs

4ïžâƒŁ Forcer une actualisation avec

Code: 
gpupdate /force


⚙ Étape #4

1ïžâƒŁ Activer l’audit AppLocker pour vĂ©rifier les impacts avant blocage

2ïžâƒŁ Lancer l’Observateur d’évĂ©nements

3ïžâƒŁ Surveiller les Ă©vĂ©nements dans

Code: 
Microsoft-Windows-AppLocker/EXE and DLL

4ïžâƒŁ Adapter les rĂšgles selon les rĂ©sultats constatĂ©s


⚙ Étape #5

1ïžâƒŁ DĂ©ployer une GPO interdisant l’association automatique de .url Ă  Internet Explorer

2ïžâƒŁ Aller dans Configuration utilisateur > PrĂ©fĂ©rences > ParamĂštres du panneau de configuration > ParamĂštres Internet

3ïžâƒŁ Forcer un navigateur moderne par dĂ©faut sans prise en charge des .url

4ïžâƒŁ Valider et tester avec un poste utilisateur


💡 Astuce

Pour renforcer la protection, il est recommandĂ© d’utiliser les rĂšgles de contrĂŽle d’accĂšs logiciel comme AppLocker ou WDAC en ciblant les types de fichiers associĂ©s Ă  des exĂ©cutions dĂ©tournĂ©es comme les
Code: 
.url
Code: 
.lnk
Code: 
.hta


🚹 Mise en garde

Toute mauvaise manipulation des clés de registre ou des stratégies de sécurité peut entraßner des blocages non désirés. Testez toujours les rÚgles dans un environnement isolé avant déploiement.


🔖 Conseil

Utilisez ProcMon pour analyser les comportements systĂšme lors de l’ouverture de fichiers suspects et identifier les contournements Ă©ventuels de SmartScreen en ciblant les processus associĂ©s Ă  explorer.exe et rundll32.exe.


🔎 Solutions alternatives

‱ Blocage fichiers .url Windows

‱ AppLocker .url protection

‱ Windows WDAC url filtering


🔗 RĂ©fĂ©rences utiles

‱ Support Microsoft

‱ Microsoft Learn

‱ Recherche GitHub


💬 Conclusion

Le blocage des fichiers .url constitue une contre-mesure efficace pour empĂȘcher les attaques contournant SmartScreen. En combinant les stratĂ©gies de groupe, la configuration du registre et le contrĂŽle d’accĂšs via AppLocker ou WDAC, les administrateurs peuvent considĂ©rablement rĂ©duire les risques liĂ©s Ă  l’utilisation malveillante de ces raccourcis. L’adoption de ces mĂ©thodes s’inscrit dans une dĂ©marche proactive de durcissement de la posture de sĂ©curitĂ© Windows.
 
Identifiez-vous ou inscrivez-vous pour participer.

Campagne de dons

Dons pour T-E

Campagne de dons pour T-E
Objectif
300.00 $
Reçu
125.81 $
Cette collecte de dons se termine dans
0 heures, 0 minutes, 0 seconds
  41.9%
Faire un don

Messages récents

En ligne

Total: 56 (membres: 1, visiteurs: 55)
Stats de fréquentation maximale en ligne:
Membres: 7 le 27 Mar 2025
Invités: 746 le 3 Mar 2025
Le nombre record de visiteurs en ligne Ă©tait: 746 , le 3 Mar 2025

Statistiques des forums

Discussions
18 938
Messages
30 291
Membres
357
Dernier inscrit
Walshyn

Nouveaux membres

Anniversaires

Partager cette page

Retour
Haut Bas