Protection 📝 Empêcher l’extraction d’identifiants avec Mimikatz sous Windows 10/11

[Sylvain*]

Empêcher l’extraction d’identifiants avec Mimikatz sous Windows 10/11

Introduction

L’outil Mimikatz est largement utilisé par les attaquants pour extraire des identifiants, mots de passe en clair, hachés, tickets Kerberos ou encore des clés à partir de la mémoire du système. Ce tutoriel propose une approche complète pour durcir un système Windows 10/11 contre ce type d’outil en mettant en œuvre des protections concrètes et avancées au niveau du système, des services, et des stratégies de sécurité.

---

Prérequis

• Connaissance approfondie de Windows

• Maîtrise de Stratégie de sécurité locale et Stratégie de groupe

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Facile

• Étape #2 : Intermédiaire

• Étape #3 : Avancé

• Étape #4 : Avancé

• Étape #5 : Avancé

---

Les Avantages

• Réduction drastique de l’exposition aux outils d’extraction de credentials

• Amélioration du niveau de sécurité globale du système

• Prévention proactive contre les attaques par élévation de privilèges

• Alignement sur les recommandations CIS Benchmark et ANSSI

• Intégration avec les politiques Active Directory

---

Les Inconvénients

• Certaines restrictions peuvent bloquer des outils légitimes

• Complexité de configuration en environnement non homogène

• Nécessite des tests de compatibilité applicative

• Surveillance et journalisation accrues requises

• Risques de déconnexion des utilisateurs mal paramétrés

---

Étape #1

Activer Credential Guard

bcdedit /set hypervisorlaunchtype auto

Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-Device-Guard -All

Redémarrer le système

Vérifier la protection avec

systeminfo

---

Étape #2

Désactiver l'accès aux processus LSASS

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f

Redémarrer pour appliquer la protection LSASS Protected Process Light

Tester via un outil externe ou vérification du statut via Process Explorer

---

Étape #3

Définir des politiques de restriction d’exécution via AppLocker

Interdire l’exécution de mimikatz.exe et ses variantes

Exemple de règle :

path != *:*\mimikatz.exe

Appliquer à tous les utilisateurs sauf les administrateurs sécurité

---

Étape #4

Activer la journalisation des accès mémoire LSASS via Audit de sécurité avancée

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

Surveiller les événements

4688

dans le Observateur d’événements

Déployer Sysmon avec règles personnalisées pour capturer les appels à lsass.exe

Intégrer dans une solution SIEM pour corrélation et alerting

---

Étape #5

Bloquer les outils connus via Microsoft Defender Attack Surface Reduction (ASR)

Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enabled

Interdire l’exécution de scripts non signés

Set-ExecutionPolicy AllSigned

Surveiller la présence de binaires suspects dans C:\Windows\Temp, %AppData%, %ProgramData%

Implémenter Defender for Endpoint ou une EDR équivalente

---

Astuce

La mise en place de Credential Guard désactive automatiquement l’émulation de NTLMv1 et l’accès aux credentials en clair depuis la mémoire, un moyen efficace de bloquer l’attaque même si Mimikatz est injecté.

---

Mise en garde

Certaines applications tierces ou scripts internes peuvent cesser de fonctionner si l’accès à LSASS est restreint ou si les politiques d’exécution sont trop strictes. Il est crucial de tester toutes les configurations en préproduction.

---

Conseil

Mettre en œuvre une segmentation réseau avec des VLANs, restreindre les comptes administrateurs locaux, et activer LAPS pour sécuriser les mots de passe locaux. Ces stratégies complémentaires limitent la propagation latérale après compromission.

---

Solutions alternatives

• LSASS mimikatz protection Microsoft Learn

• Windows Credential Guard Documentation

• ASR Rules Defender GitHub

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

La protection contre Mimikatz passe par une défense en profondeur : sécurisation des processus critiques, restrictions d’exécution, durcissement de la mémoire, journalisation avancée et solutions EDR. Ce tutoriel offre une base robuste pour empêcher l’extraction malveillante d’identifiants sous Windows 10/11.