⚔ Se protéger des patchs installant des tâches planifiées dans le système d’exploitation sur Windows
Introduction
Certains patchs non officiels ou malveillants exploitent les tâches planifiées pour exécuter des scripts nuisibles ou maintenir une persistance dans le système. Ce tutoriel explique comment protéger un système Windows contre de telles attaques. Nous utiliserons trois approches : surveiller et supprimer les tâches planifiées suspectes, configurer des stratégies pour empêcher l’ajout de nouvelles tâches, et utiliser des outils de surveillance pour détecter les modifications non autorisées.
Prérequis
• Accès administrateur sur le système Windows.
• Connaissance des commandes PowerShell et de l’éditeur de stratégie de groupe.
• Un logiciel de sécurité actif et à jour (Windows Defender ou autre).
• Capacité à utiliser des outils tiers pour surveiller les changements système.
Méthodologie
Introduction
• Nous utiliserons trois approches :
• Méthode 1 : Identifier et supprimer les tâches planifiées suspectes.
• Méthode 2 : Empêcher la création de nouvelles tâches via des stratégies de groupe.
• Méthode 3 : Surveiller les modifications dans les tâches planifiées avec des outils spécialisés.
Avantages
Avantage de la méthode 1 : Élimine immédiatement les tâches nuisibles déjà configurées.
Avantage de la méthode 2 : Prévient l’ajout de nouvelles tâches planifiées non autorisées.
Avantage de la méthode 3 : Détecte en temps réel les tentatives de modification des tâches planifiées.
Inconvénients
Inconvénient de la méthode 1 : Nécessite une surveillance régulière pour détecter de nouvelles tâches malveillantes.
Inconvénient de la méthode 2 : Peut bloquer des tâches légitimes si mal configurée.
Inconvénient de la méthode 3 : Les outils spécialisés peuvent générer des alertes excessives.
⚙ Étapes à suivre pour la méthode 1
• Ouvrez le planificateur de tâches :
• Parcourez les tâches pour repérer celles qui ne sont pas familières ou nécessaires.
• Supprimez une tâche suspecte :
• Utilisez PowerShell pour lister toutes les tâches planifiées :
• Désactivez une tâche suspecte identifiée :
Pour de plus amples informations
• Documentation du planificateur de tâches
⚙ Étapes à suivre pour la méthode 2
• Configurez des restrictions sur les tâches planifiées via gpedit.msc :
Accédez à Configuration ordinateur > Modèles d’administration > Système > Planificateur de tâches.
Activez la stratégie Refuser la création de nouvelles tâches planifiées.
• Pour désactiver complètement les scripts exécutés par des tâches planifiées :
• Bloquez les applications non autorisées liées au planificateur de tâches avec le pare-feu Windows :
Pour de plus amples informations
• Documentation sur les stratégies de groupe
⚙ Étapes à suivre pour la méthode 3
• Installez Sysmon pour surveiller les événements liés aux tâches planifiées :
• Configurez Sysmon pour enregistrer les modifications dans le planificateur de tâches :
• Analysez les journaux générés pour identifier les modifications suspectes :
• Installez un EDR (Endpoint Detection and Response) pour bloquer les modifications suspectes en temps réel.
Pour de plus amples informations
• Documentation Sysmon
Astuce
Utilisez un logiciel tiers comme Autoruns pour analyser les tâches et points de persistance liés aux patchs non officiels.
Pour de plus amples informations
• Documentation Autoruns
Mise en garde
La suppression ou la désactivation de tâches légitimes peut perturber le fonctionnement du système. Vérifiez toujours l’origine des tâches avant de les supprimer.
Conseil
Gardez votre système Windows à jour pour limiter les vulnérabilités exploitées par des patchs malveillants.
Pour de plus amples informations
• Mises à jour Windows
Solution alternative
Utilisez Windows Defender Application Control (WDAC) pour restreindre l’exécution des tâches planifiées par des applications non autorisées.
Pour de plus amples informations
• Documentation WDAC
Conclusion
En appliquant ces méthodes, vous protégerez efficacement votre système Windows contre les patchs malveillants utilisant des tâches planifiées. Une surveillance régulière et des configurations adaptées sont essentielles pour renforcer cette protection.
Source : Tutoriaux-Excalibur, merci de partager.
IntroductionCertains patchs non officiels ou malveillants exploitent les tâches planifiées pour exécuter des scripts nuisibles ou maintenir une persistance dans le système. Ce tutoriel explique comment protéger un système Windows contre de telles attaques. Nous utiliserons trois approches : surveiller et supprimer les tâches planifiées suspectes, configurer des stratégies pour empêcher l’ajout de nouvelles tâches, et utiliser des outils de surveillance pour détecter les modifications non autorisées.
Prérequis• Accès administrateur sur le système Windows.
• Connaissance des commandes PowerShell et de l’éditeur de stratégie de groupe.
• Un logiciel de sécurité actif et à jour (Windows Defender ou autre).
• Capacité à utiliser des outils tiers pour surveiller les changements système.
Méthodologie Introduction• Nous utiliserons trois approches :
• Méthode 1 : Identifier et supprimer les tâches planifiées suspectes.
• Méthode 2 : Empêcher la création de nouvelles tâches via des stratégies de groupe.
• Méthode 3 : Surveiller les modifications dans les tâches planifiées avec des outils spécialisés.
Avantages Avantage de la méthode 1 : Élimine immédiatement les tâches nuisibles déjà configurées. Avantage de la méthode 2 : Prévient l’ajout de nouvelles tâches planifiées non autorisées. Avantage de la méthode 3 : Détecte en temps réel les tentatives de modification des tâches planifiées. Inconvénients Inconvénient de la méthode 1 : Nécessite une surveillance régulière pour détecter de nouvelles tâches malveillantes. Inconvénient de la méthode 2 : Peut bloquer des tâches légitimes si mal configurée. Inconvénient de la méthode 3 : Les outils spécialisés peuvent générer des alertes excessives.⚙ Étapes à suivre pour la méthode 1
• Ouvrez le planificateur de tâches :
Code:
taskschd.msc• Parcourez les tâches pour repérer celles qui ne sont pas familières ou nécessaires.
• Supprimez une tâche suspecte :
Code:
schtasks /Delete /TN "NomTâcheSuspecte" /F• Utilisez PowerShell pour lister toutes les tâches planifiées :
Code:
Get-ScheduledTask | Where-Object {$_.TaskName -like "suspect"}• Désactivez une tâche suspecte identifiée :
Code:
Disable-ScheduledTask -TaskName "NomTâcheSuspecte"• Documentation du planificateur de tâches
⚙ Étapes à suivre pour la méthode 2
• Configurez des restrictions sur les tâches planifiées via gpedit.msc :
Accédez à Configuration ordinateur > Modèles d’administration > Système > Planificateur de tâches.
Activez la stratégie Refuser la création de nouvelles tâches planifiées.
• Pour désactiver complètement les scripts exécutés par des tâches planifiées :
Code:
Set-ExecutionPolicy Restricted• Bloquez les applications non autorisées liées au planificateur de tâches avec le pare-feu Windows :
Code:
New-NetFirewallRule -DisplayName "BlocageTâches" -Program "C:\Windows\System32\Taskmgr.exe" -Action Block• Documentation sur les stratégies de groupe
⚙ Étapes à suivre pour la méthode 3
• Installez Sysmon pour surveiller les événements liés aux tâches planifiées :
Code:
choco install sysmon• Configurez Sysmon pour enregistrer les modifications dans le planificateur de tâches :
Code:
sysmon -i config.xml• Analysez les journaux générés pour identifier les modifications suspectes :
Code:
Get-WinEvent -LogName Microsoft-Windows-Sysmon/Operational | Select-String "TaskScheduler"• Installez un EDR (Endpoint Detection and Response) pour bloquer les modifications suspectes en temps réel.
Pour de plus amples informations• Documentation Sysmon
AstuceUtilisez un logiciel tiers comme Autoruns pour analyser les tâches et points de persistance liés aux patchs non officiels.
Pour de plus amples informations• Documentation Autoruns
Mise en gardeLa suppression ou la désactivation de tâches légitimes peut perturber le fonctionnement du système. Vérifiez toujours l’origine des tâches avant de les supprimer.
ConseilGardez votre système Windows à jour pour limiter les vulnérabilités exploitées par des patchs malveillants.
Pour de plus amples informations• Mises à jour Windows
Solution alternativeUtilisez Windows Defender Application Control (WDAC) pour restreindre l’exécution des tâches planifiées par des applications non autorisées.
Pour de plus amples informations• Documentation WDAC
ConclusionEn appliquant ces méthodes, vous protégerez efficacement votre système Windows contre les patchs malveillants utilisant des tâches planifiées. Une surveillance régulière et des configurations adaptées sont essentielles pour renforcer cette protection.
Source : Tutoriaux-Excalibur, merci de partager.
