Comment durcir les poste de travail Windows 10 ?

homme sur ordinateur avec mot securité

Comment protéger ses postes de travail?

Voici comment durcir les postes de travail Windows 10.

 

Précautions d’installation des OS

Déploiement des postes de travail Windows 10

Les procédures de déploiement des postes de travail doivent être soumises à un processus de validation afin de réduire les risques dus à des erreurs d’utilisation ou de malveillance. L’environnement dans lequel le master Windows 10 est stocké ainsi que les éléments permettant sa configuration doit être sécurisée : serveur cloisonné, accès restreints et tracés.

Afin d’assurer l’intégrité des composants installés, réaliser une empreinte cryptographique du master Windows 10 et des éléments permettant sa configuration. La vérification de ces empreintes doit être intégrée au processus d’installation et de déploiement de toute nouvelle machine sous Windows 10.

Cloisonnement lors de l’installation

Dans la mesure du possible et si le contexte technique le permet, le poste de travail doit être positionné temporairement dans une zone de confiance non exposée aux réseaux de production lors de son installation. Penser également à cloisonner les interfaces de management.

Remarque : Non applicable lorsque la politique de sécurité du poste de travail est issue d’un contrôleur de domaine en production.

Audit de sécurité avant mise en production

Le système installé doit faire l’objet d’une vérification du niveau de sécurité avant sa mise en production afin de s’assurer que l’ensemble des mesures ont été appliquées.

Dans le cas où la politique de sécurité est issue d’un contrôleur de domaine, la vérification peut être effectuée une fois le système installé avant toute utilisation par un utilisateur.

 Configuration mots de passe (interface de management)

L’interface de management, lorsqu’elle existe, doit être cloisonnée et protégée par un login et un mot de passe différent du mot de passe par défaut. La gestion du mot de passe et sa complexité doivent être conformes aux politiques internes liées la sécurisation des mots de passe.

 Configuration du boot

 Utilisation de l’UEFI avec le mode Secure Boot

Dans la mesure du possible, le démarrage du poste de travail doit être effectué à l’aide de l’UEFI en mode Secure Boot. Lorsque supportée par le matériel, activer l’option UEFI ELAM (Early Launch Antimalware) qui va permettre la vérification de l’intégrité des drivers avant leur lancement. Cette recommandation vise à limiter les possibilités d’une attaque de type rootkit par exemple, provoquant la compromission du processus de boot.

 

Notes informatives sur la mise en place

Computer Configuration\Policies\Administrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy : Enable (liste blanche à configurer)

Configuration des mots de passe (UEFI)

L’accès à l’UEFI sur les postes de travail doit être sécurisé à l’aide d’un mot de passe d’administration complexe détenu exclusivement par les personnels en charge de l’administration et de l’exploitation du poste. La gestion du mot de passe, son unicité et sa complexité doivent être conformes aux politiques internes liées à la sécurisation des mots de passe.

 Ordre d’amorçage des périphériques

L’ordre de démarrage des périphériques doit mettre en priorité la plus haute le périphérique sur lequel est installé le système final. Figer le périphérique d’amorçage en tant que périphérique unique de démarrage de façon à ne pas faire intervenir les autres périphériques dans la chaîne de démarrage.

Remarque :

Si le boot PXE est nécessaire lors du processus de déploiement des machines, pensé à supprimer le boot PXE dans la chaine de démarrage une fois l’installation terminée.

Désactivation des périphériques non utilisés

Dans le respect du principe de minimisation des éléments, désactiver les périphériques et connecteurs non utilisés (contrôleurs wifi, bluetooth, ports séries, …) de façon à ne pas les exposer au système d’exploitation.

 

Les autres articles sur le durcissement

Best practice WMI : durcissement du ‘rang’ de port

Durcissement Red Hat (RHEL 7.2)

Comment durcissement Windows Server 2012R2 ?

Bientôt Durcissement Windows Server 2016 dans l'espace membre

 

Hardening : la tracabilité fait partie du durcissement à prévoir

Erreur FIPS

Add ADMX file for Windows Server 2016 hardening

 

Mesures d’audit post durci pour poste de travail Windows 10

 

 

2 thoughts on “Comment durcir les poste de travail Windows 10 ?”

Laisser un commentaire