Protection 📝 Se protéger contre le vol de mots de passe Windows stockés localement

[Sylvain*]

Se protéger contre le vol de mots de passe Windows stockés localement

Introduction

Le vol de mots de passe Windows stockés localement est une méthode fréquente d’attaque utilisée par les cybercriminels pour obtenir un accès non autorisé à un système. En ciblant les identifiants présents dans la base SAM ou en mémoire vive, l’attaquant peut élever ses privilèges ou se propager latéralement sur un réseau. Ce tutoriel présente les mesures essentielles pour sécuriser les mots de passe stockés localement sous Windows 10/11.

---

Prérequis

• Connaissance approfondie de Windows

• Familiarité avec les outils systèmes Windows

• Droits administrateurs nécessaires

---

Niveau de difficulté

• Étape #1 : Moyenne

• Étape #2 : Moyenne

• Étape #3 : Élevée

• Étape #4 : Moyenne

• Étape #5 : Moyenne

---

Les Avantages

• Étape #1 : Réduction du risque d’extraction des mots de passe

• Étape #2 : Renforcement de la sécurité du système

• Étape #3 : Protection contre les attaques par mémoire

• Étape #4 : Respect des bonnes pratiques Microsoft

• Étape #5 : Prévention des élévations de privilèges

---

Les Inconvénients

• Étape #1 : Peut bloquer certains outils d’administration

• Étape #2 : Complexité accrue de la configuration

• Étape #3 : Impact possible sur la performance

• Étape #4 : Nécessite une surveillance continue

• Étape #5 : Moins de flexibilité pour certains utilisateurs

---

Étape #1

Activer la sécurité LSA pour bloquer les outils comme Mimikatz

Ouvrir Éditeur du Registre

Accéder à

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Créer ou modifier la valeur DWORD

RunAsPPL

à

1

---

Étape #2

Utiliser BitLocker pour chiffrer les disques système

Accéder à Panneau de configuration > Système et sécurité > Chiffrement de lecteur BitLocker

Activer le chiffrement sur lecteur C:

Sauvegarder la clé de récupération dans un emplacement sécurisé

---

Étape #3

Activer Credential Guard via GPO

Ouvrir Éditeur de stratégie de groupe locale

Aller à

Configuration ordinateur > Modèles d'administration > Système > Device Guard

Activer Activer Credential Guard avec UEFI Lock

---

Étape #4

Restreindre les droits d’accès à la base SAM

Ouvrir Éditeur de stratégie de sécurité locale

Aller à

Stratégies locales > Attribution des droits utilisateur

Retirer les utilisateurs non essentiels de Sauvegarder les fichiers et répertoires

---

Étape #5

Désactiver le stockage des mots de passe en clair

Ouvrir Éditeur de stratégie de groupe locale

Aller à

Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Options de sécurité

Activer Ne pas stocker les mots de passe LAN Manager en clair dans la mémoire suivante d'ouverture de session

---

Astuce

La combinaison de LSA Protection, BitLocker et Credential Guard renforce significativement la défense contre l’extraction locale de mots de passe, même face à des outils d’attaque avancés.

---

Mise en garde

Certaines de ces protections nécessitent un matériel compatible (UEFI, TPM) et peuvent interférer avec des outils d’administration ou de dépannage légitimes.

---

Conseil

Toujours effectuer une sauvegarde du système et tester les modifications sur un environnement isolé avant de les appliquer en production.

---

Solutions alternatives

• protéger fichier SAM Windows

• Credential Guard Windows 10 11

• LSA Protection Windows

---

Liens utiles

• Support Microsoft

• Microsoft Learn

• Recherche GitHub

---

Conclusion

La protection des mots de passe Windows stockés localement est essentielle pour empêcher l’élévation de privilèges et les mouvements latéraux dans un environnement réseau. En mettant en œuvre les recommandations de ce guide, vous renforcez significativement la résilience de vos postes de travail Windows face aux techniques d’extraction de credentials.