⚔ Protection contre la création de comptes utilisateurs cachés sur Windows
Introduction
Ce tutoriel vous guide pour détecter et empêcher la création de comptes utilisateurs cachés sur un système Windows. Ces comptes sont souvent utilisés par des outils de contrefaçon malveillants pour prendre le contrôle d’un système. Nous explorerons trois approches : les outils intégrés de Windows, les scripts PowerShell, et la configuration du pare-feu pour bloquer les connexions suspectes.
Prérequis
• Droits d’administrateur sur le système.
• Compréhension de base des commandes PowerShell.
• Un antivirus ou un système EDR (Endpoint Detection and Response) opérationnel.
• PowerShell activé pour exécuter des scripts non signés, si nécessaire.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Vérification manuelle via l'outil "Gestion de l’ordinateur".
• Méthode 2 : Utilisation de PowerShell pour détecter et gérer les comptes.
• Méthode 3 : Blocage des outils malveillants avec des règles de pare-feu.
Avantages
Avantage de la méthode 1 : Facile à utiliser et visuellement intuitive.
Avantage de la méthode 2 : Permet une détection automatisée avec PowerShell.
Avantage de la méthode 3 : Empêche les logiciels malveillants de s’exécuter.
Inconvénients
Inconvénient de la méthode 1 : Peut ne pas identifier les comptes cachés complexes.
Inconvénient de la méthode 2 : Requiert des connaissances techniques en PowerShell.
Inconvénient de la méthode 3 : Les règles de pare-feu mal configurées peuvent bloquer des services légitimes.
⚙ Étapes à suivre pour la méthode 1
• Accédez à Gestion de l’ordinateur : Ouvrez le Panneau de configuration, puis Outils d’administration, et enfin Gestion de l’ordinateur.
• Cliquez sur Utilisateurs et groupes locaux.
• Vérifiez les comptes dans Utilisateurs pour identifier des noms suspects.
• Supprimez les comptes cachés ou douteux en effectuant un clic droit et en sélectionnant Supprimer.
Pour de plus amples informations
• Plus d'infos sur Microsoft Learn
• Informations additionnelles sur le support Microsoft
⚙ Étapes à suivre pour la méthode 2
• Ouvrez PowerShell en tant qu’administrateur.
• Exécutez la commande suivante pour lister tous les utilisateurs :
• Recherchez des utilisateurs avec des noms ou descriptions suspects.
• Pour supprimer un utilisateur spécifique, exécutez :
• Pour désactiver temporairement un compte, utilisez :
• Remplacez "NomUtilisateurSuspect" par le nom du compte.
Pour de plus amples informations
• Documentation sur PowerShell
⚙ Étapes à suivre pour la méthode 3
• Ouvrez Pare-feu Windows avec sécurité avancée via le menu Démarrer.
• Créez une nouvelle règle de sortie :
Sélectionnez Nouvelle règle > Programme.
Spécifiez le chemin des programmes suspects si connu.
Bloquez les connexions à tous les ports.
• Appliquez des règles pour bloquer les adresses IP des serveurs malveillants.
Pour de plus amples informations
• Tutoriel sur le pare-feu Windows
Astuce
Exécutez régulièrement un audit système pour surveiller les nouveaux comptes utilisateurs et les configurations réseau anormales.
Pour de plus amples informations
• Audit système Windows sur Google
Mise en garde
Les suppressions ou modifications de comptes doivent être effectuées avec prudence. Supprimer un compte système critique peut rendre le système instable.
Conseil
Maintenez votre système à jour et utilisez des outils de surveillance tiers pour des couches de sécurité supplémentaires.
Pour de plus amples informations
• Sécurité tiers Windows sur Google
Solution alternative
Envisagez d'utiliser des outils EDR ou SIEM professionnels pour détecter les activités suspectes et les utilisateurs non autorisés.
Pour de plus amples informations
• SIEM pour Windows sur Github
• SIEM pour Windows sur Google
Conclusion
En appliquant ces méthodes, vous pouvez réduire le risque de comptes utilisateurs cachés créés par des outils malveillants. Veillez à auditer régulièrement votre système et à garder vos outils de sécurité à jour.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionCe tutoriel vous guide pour détecter et empêcher la création de comptes utilisateurs cachés sur un système Windows. Ces comptes sont souvent utilisés par des outils de contrefaçon malveillants pour prendre le contrôle d’un système. Nous explorerons trois approches : les outils intégrés de Windows, les scripts PowerShell, et la configuration du pare-feu pour bloquer les connexions suspectes.
Prérequis• Droits d’administrateur sur le système.
• Compréhension de base des commandes PowerShell.
• Un antivirus ou un système EDR (Endpoint Detection and Response) opérationnel.
• PowerShell activé pour exécuter des scripts non signés, si nécessaire.
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Vérification manuelle via l'outil "Gestion de l’ordinateur".
• Méthode 2 : Utilisation de PowerShell pour détecter et gérer les comptes.
• Méthode 3 : Blocage des outils malveillants avec des règles de pare-feu.
Avantages Avantage de la méthode 1 : Facile à utiliser et visuellement intuitive. Avantage de la méthode 2 : Permet une détection automatisée avec PowerShell. Avantage de la méthode 3 : Empêche les logiciels malveillants de s’exécuter. Inconvénients Inconvénient de la méthode 1 : Peut ne pas identifier les comptes cachés complexes. Inconvénient de la méthode 2 : Requiert des connaissances techniques en PowerShell. Inconvénient de la méthode 3 : Les règles de pare-feu mal configurées peuvent bloquer des services légitimes.⚙ Étapes à suivre pour la méthode 1
• Accédez à Gestion de l’ordinateur : Ouvrez le Panneau de configuration, puis Outils d’administration, et enfin Gestion de l’ordinateur.
• Cliquez sur Utilisateurs et groupes locaux.
• Vérifiez les comptes dans Utilisateurs pour identifier des noms suspects.
• Supprimez les comptes cachés ou douteux en effectuant un clic droit et en sélectionnant Supprimer.
Pour de plus amples informations• Plus d'infos sur Microsoft Learn
• Informations additionnelles sur le support Microsoft
⚙ Étapes à suivre pour la méthode 2
• Ouvrez PowerShell en tant qu’administrateur.
• Exécutez la commande suivante pour lister tous les utilisateurs :
Code:
Get-LocalUser• Recherchez des utilisateurs avec des noms ou descriptions suspects.
• Pour supprimer un utilisateur spécifique, exécutez :
Code:
Remove-LocalUser -Name "NomUtilisateurSuspect"• Pour désactiver temporairement un compte, utilisez :
Code:
Disable-LocalUser -Name "NomUtilisateurSuspect"• Remplacez "NomUtilisateurSuspect" par le nom du compte.
Pour de plus amples informations• Documentation sur PowerShell
⚙ Étapes à suivre pour la méthode 3
• Ouvrez Pare-feu Windows avec sécurité avancée via le menu Démarrer.
• Créez une nouvelle règle de sortie :
Sélectionnez Nouvelle règle > Programme.
Spécifiez le chemin des programmes suspects si connu.
Bloquez les connexions à tous les ports.
• Appliquez des règles pour bloquer les adresses IP des serveurs malveillants.
Pour de plus amples informations• Tutoriel sur le pare-feu Windows
AstuceExécutez régulièrement un audit système pour surveiller les nouveaux comptes utilisateurs et les configurations réseau anormales.
Pour de plus amples informations• Audit système Windows sur Google
Mise en gardeLes suppressions ou modifications de comptes doivent être effectuées avec prudence. Supprimer un compte système critique peut rendre le système instable.
ConseilMaintenez votre système à jour et utilisez des outils de surveillance tiers pour des couches de sécurité supplémentaires.
Pour de plus amples informations• Sécurité tiers Windows sur Google
Solution alternativeEnvisagez d'utiliser des outils EDR ou SIEM professionnels pour détecter les activités suspectes et les utilisateurs non autorisés.
Pour de plus amples informations• SIEM pour Windows sur Github
• SIEM pour Windows sur Google
ConclusionEn appliquant ces méthodes, vous pouvez réduire le risque de comptes utilisateurs cachés créés par des outils malveillants. Veillez à auditer régulièrement votre système et à garder vos outils de sécurité à jour.
Source : Tutoriaux-Excalibur, merci de partager.
