Lire en anglais

Partager via


Renforcement de l’application utilisateur Essential Huit

Les adversaires ciblent souvent des stations de travail à l’aide de sites web malveillants, d’e-mails ou de supports amovibles pour tenter d’extraire des informations sensibles. Le renforcement des applications sur les stations de travail est un élément important de la réduction de ce risque. En raison de son efficacité, le renforcement des applications utilisateur est l’un des 8 éléments essentiels des stratégies d’atténuation des incidents de cybersécurité de l’ACSC.

Les adversaires tentent souvent d’exploiter les vulnérabilités détectées dans les versions antérieures et non prises en charge des applications. Les versions plus récentes des produits Microsoft offrent des améliorations significatives dans les fonctionnalités de sécurité et offrent une stabilité accrue. C’est souvent l’absence de fonctionnalités de sécurité améliorées qui permet à un adversaire de compromettre facilement les anciennes versions des applications. Pour réduire ce risque, vous devez utiliser la dernière version prise en charge des produits Microsoft.

Ressources et références

Pour faciliter les références, Intune nécessite que les stratégies suivantes soient déployées pour le contrôle associé :

Les navigateurs web ne traitent pas Java à partir d’Internet

Java n’est pas installé par défaut sur Windows 10 ou Windows 11.

Contrôle ISM Sep 2024 Atténuation
1486 Java n’est pas installé par défaut sur Windows 10 ou Windows 11.

Les navigateurs web ne traitent pas les publicités web à partir d’Internet

Toutes les options de configuration disponibles pour désactiver les publicités dans Microsoft Edge sont configurées lors du déploiement de la base de référence de sécurité Microsoft Edge et du renforcement ACSC pour Microsoft Edge.

Vous pouvez obtenir davantage de blocage à l’aide d’extensions tierces pour Microsoft Edge, du filtrage réseau au niveau de la passerelle ou de l’utilisation d’un service DNS protégé. Toutefois, l’implémentation de ces éléments est en dehors du cadre de ce document.

Contrôle ISM Sep 2024 Atténuation
1485 La stratégie « Paramètre de publicités pour les sites avec des publicités intrusives » a été configurée sur Activer.

Internet Explorer 11 est désactivé ou supprimé

Internet Explorer 11 n’est pas présent sur Windows 11.

Le 15 juin 2022, Microsoft a mis hors service Internet Explorer 11. Pour une organization qui nécessite toujours des Explorer Internet pour la compatibilité héritée, le mode Internet Explorer (mode IE) dans Microsoft Edge offre une expérience de navigateur unique transparente. Les utilisateurs peuvent accéder aux applications héritées à partir de Microsoft Edge sans avoir à revenir à Internet Explorer 11.

Une fois que l’administrateur a configuré le mode Internet Explorer, les organisations peuvent désactiver Internet Explorer 11 en tant que navigateur autonome. Les icônes Internet Explorer 11 dans le menu Démarrer et dans la barre des tâches sont supprimées. Les utilisateurs sont redirigés vers Microsoft Edge lorsqu’ils tentent de lancer des raccourcis ou des associations de fichiers qui utilisent Internet Explorer 11 ou lorsqu’ils appellent directement le iexplore.exe binaire.

Pour configurer Internet Explorer à ouvrir directement dans Microsoft Edge pour des sites web spécifiques, configurez des stratégies de mode IE. Pour plus d’informations, consultez Configurer des stratégies en mode Internet Explorer.

Détails de l’implémentation de la désactivation d’Internet Explorer 11

Pour utiliser Intune pour désactiver Internet Explorer 11 en tant que navigateur autonome pour les appareils Windows 10 :

  1. Créez une stratégie de catalogue de paramètres.
  2. Parcourez par catégorie et recherchez : Désactivez Internet Explorer 11 en tant que navigateur autonome (utilisateur).
  3. Accédez à *Modèles d’administration\Composants Windows\Internet Explorer et sélectionnez le paramètre : Désactiver Internet Explorer 11 en tant que navigateur autonome (utilisateur) .
  4. Activez le paramètre Désactiver Internet Explorer 11 en tant que navigateur autonome (utilisateur).
  5. Déployez la stratégie sur un ensemble d’appareils ou d’utilisateurs.

En outre, pour supprimer complètement Internet Explorer 11 :

  1. Ajoutez le UserApplicationHardening-RemoveFeatures.ps1en tant que script PowerShell avec les options suivantes :
  • Exécutez ce script à l’aide des informations d’identification de connexion : Non
  • Appliquer la signature de script case activée : Non
  • Exécuter le script dans l’hôte PowerShell 64 bits : Non
  1. Affectez le script à un groupe de déploiement.

Notes

Ce script désactive également .NET Framework 3.5 (inclut .NET 2.0 et 3.0) et Windows PowerShell 2.0.

Contrôle ISM Sep 2024 Atténuation
1666 La stratégie « Configurer la liste des sites en mode Entreprise » est configurée avec une liste de organization sites web spécifiques. Internet Explorer 11 a été supprimé par la stratégie « Désactiver Internet Explorer 11 en tant que navigateur autonome » configurée sur Activer ou supprimée à l’aide d’un script.

Microsoft Office ne peut pas créer des processus enfants

Vous pouvez empêcher Microsoft Office de créer des processus enfants via une stratégie de sécurité de la réduction de la surface d’attaque (ASR), déployée via Intune.

Microsoft a mis à disposition une implémentation Intune de l’AcSC Windows Hardening Guidance sur GitHub. Larègle ASR pour empêcher Microsoft Office de créer des processus enfants est contenue dans ce guide.

Détails de l’implémentation pour bloquer la création de processus enfants

Pour implémenter le blocage de la création de processus enfants :

  1. Accédez à Graph Explorer et authentifiez-vous.
  2. Créez une requête POST en utilisant le schéma bêta pour le point de terminaison de stratégie Réduction de la surface d’attaque : https://graph.microsoft.com/beta/deviceManagement/templates/0e237410-1367-4844-bd7f-15fb0f08943b/createInstance.
  3. Copiez le code JSON dans la stratégie de renforcement de windows acsc Guidelines-Attack réduction de la surface et collez-le dans le corps de la demande.
  4. (Facultatif) modifiez la valeur du nom si nécessaire.

Cette stratégie de sécurité du point de terminaison ASR contient la règle ASR spécifique : Empêcher toutes les applications Office de créer des processus enfants (D4F940AB-401B-4EFC-AADC-AD5F3C50688A).

Notes

En important ce profil de règle ASR, Microsoft Office ne peut pas créer du contenu exécutable (3B576869-A4EC-4529-8536-B80A7769E899) et injecter du code dans un autre processus (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84).

Notes

Cette stratégie de réduction de la surface d’attaque (ASR) configure chacune des règles ASR recommandées par l’ACSC en mode audit. Les règles ASR doivent être testées pour les problèmes de compatibilité dans n’importe quel environnement avant leur application.

Contrôle ISM Sep 2024 Atténuation
1667 La règle ASR « Empêcher toutes les applications Office de créer des processus enfants » a été activée.

Microsoft Office ne peut pas créer de contenu exécutable

Vous pouvez empêcher Microsoft Office de créer des processus enfants (3B576869-A4EC-4529-8536-B80A7769E899) via une stratégie de sécurité de réduction de la surface d’attaque (ASR), déployée via Intune.

Contrôle ISM Sep 2024 Atténuation
1668 La règle ASR « Empêcher les applications Office de créer du contenu exécutable » a été activée.

Microsoft Office ne peut pas injecter du code dans d’autres processus

Vous pouvez empêcher Microsoft Office de créer des processus enfants (75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84) via une stratégie de sécurité du point de terminaison de réduction de la surface d’attaque (ASR), déployée via Intune.

Contrôle ISM Sep 2024 Atténuation
1669 La règle ASR « Bloquer les applications Office d’injecter du code dans d’autres processus » a été activée.

Microsoft Office est configuré pour empêcher l’activation des packages OLE

Déployez le script PowerShell OfficeMacroHardening-PreventActivationofOLE.ps1pour importer les clés de Registre qui bloquent l’activation des packages OLE dans Excel, PowerPoint et Word.

Détails de l’implémentation pour empêcher l’activation des packages OLE

Pour implémenter la prévention de l’activation des packages OLE :

  1. Ajoutez OfficeMacroHardening-PreventActivationofOLE.ps1en tant que script PowerShell avec les options suivantes :
  • Exécutez ce script à l’aide des informations d’identification de connexion : Oui
  • Appliquer la signature de script case activée : Non
  • Exécuter le script dans l’hôte PowerShell 64 bits : Non
  1. Affectez le script à un groupe de déploiement.

Notes

Ce script PowerShell est spécifiquement destiné à Office 2016 et versions ultérieures. Un script pour empêcher l’activation d’OLE pour Office 2013 est fourni ici : OfficeMacroHardening-PreventActivationofOLE-Office2013.ps1.

Le script n’est pas signé. Si vous avez besoin d’une signature de script, consultez la documentation suivante pour signer le script afin qu’il puisse être exécuté sur vos appareils Windows : Méthodes de signature des scripts et remplacez le case activée Appliquer la signature de script par : Oui

Contrôle ISM Sep 2024 Atténuation
1542 L’activation des packages OLE a été empêchée via un script.

Les logiciels PDF ne peuvent pas créer des processus enfants

Microsoft Edge est configuré en tant que visionneuse PDF par défaut sur Windows 10 et Windows 11. L’affichage PDF peut être renforcé avec les stratégies incluses pour les conseils acsc ou de renforcement des fournisseurs pour les navigateurs web.

Si votre organization utilise Adobe Reader comme logiciel PDF par défaut, configurez la règle de réduction de la surface d’attaque appropriée pour empêcher Adobe Reader de créer des processus enfants, en procédant comme suit :

  1. Dans Intune, accédez à Réduction de lasurface d’attaque desécurité> du point de terminaison.
  2. Créez (ou modifiez) une stratégie de sécurité de point de terminaison de réduction de la surface d’attaque.
  3. Définissez Empêcher Adobe Reader de créer des processus enfants sur Activer.
  4. Affectez la stratégie De réduction de la surface d’attaque à un groupe.
Contrôle ISM Sep 2024 Atténuation
1670 La règle ASR « Empêcher Adobe Reader de créer des processus enfants » a été activée.

Conseils de renforcement des navigateurs web, des logiciels Microsoft Office et PDF

Navigateur web et logiciel PDF avec Microsoft Edge

Microsoft Edge est installé par défaut sur Windows 10 et Windows 11 et est le navigateur web recommandé. Microsoft Edge est à la fois le navigateur par défaut et la visionneuse PDF, sauf configuration contraire.

Microsoft et ACSC ont fourni des conseils et des stratégies spécifiques pour renforcer Microsoft Edge. Les deux ensembles d’instructions doivent être déployés simultanément.

Détails de l’implémentation à l’aide de la base de référence de sécurité Microsoft Edge

Pour implémenter la base de référence de sécurité :

  1. Accédez à Bases de référence de sécurité de la sécurité>des points> determinaison Base de référence Microsoft Edge.
  2. Créez une base de référence Microsoft Edge en sélectionnant Créer un profil.
  3. Passez en revue la configuration et affectez la base de référence de sécurité à un groupe.

Détails de l’implémentation pour les conseils de sécurisation renforcée de Microsoft Edge

Pour implémenter des conseils de renforcement :

  1. Enregistrez la stratégie ACSC Microsoft Edge Hardening Guidelines sur votre appareil local.
  2. Accédez à la console Microsoft Intune.
  3. Importer une stratégie, sous Appareils Profils >> de configuration Windows > Créer une > stratégie d’importation
  4. Nommez la stratégie, sélectionnez Rechercher des fichiers sous Fichier de stratégie et accédez à la stratégie enregistrée à l’étape 1.
  5. Sélectionnez Enregistrer

Notes

Microsoft a également publié Intune stratégies qui ont été mises en place pour aider les organisations à se conformer aux directives de renforcement des Windows 10 de l’Australian Cyber Security Centre (ACSC). Les stratégies de renforcement recommandées par ACSC pour Microsoft Edge sont également contenues dans ces stratégies.

Contrôle ISM Sep 2024 Atténuation
1412, 1860 - Déployer la base de référence de sécurité Microsoft Edge
- Déployez les conseils de renforcement de Microsoft Edge ACSC.

Microsoft Office : Microsoft Apps entreprise

Microsoft Apps entreprise renforcée avec les paramètres recommandés pour renforcer Microsoft 365, Office 2021, Office 2019 et Office 2016 à partir de l’ACSC, dans le cadre du pilier Essential 8 Configurer les paramètres de macro Microsoft Office.

Contrôle ISM Sep 2024 Atténuation
1859 Déployez les instructions de renforcement de l’ACSC Office.

Les paramètres de sécurité du navigateur web, de Microsoft Office et des logiciels PDF ne peuvent pas être modifiés par les utilisateurs

Lorsque les stratégies fournies dans ce document sont déployées via Intune, les paramètres qu’elles contiennent sont appliqués et ne peuvent pas être modifiés par les utilisateurs standard.

Contrôle ISM Sep 2024 Atténuation
1585 Lorsque les stratégies fournies dans ce document sont déployées via Intune, les paramètres qu’elles contiennent sont appliqués et ne peuvent pas être modifiés par les utilisateurs standard.

.NET Framework 3.5 (inclut .NET 2.0 et 3.0) est désactivé ou supprimé

Le déploiement du script PowerShellUserApplicationHardening-RemoveFeatures.ps1 désactive la fonctionnalité .NET Framework 3.5 (inclut .NET 2.0 et 3.0), si elle est installée.

Contrôle ISM Sep 2024 Atténuation
ISM-1655 .NET Framework 3.5 (inclut .NET 2.0 et 3.0) est désactivé ou supprimé.

Windows PowerShell 2.0 est désactivé ou supprimé

Le déploiement du script PowerShell UserApplicationHardening-RemoveFeatures.ps1 désactive la fonctionnalité Windows PowerShell 2.0, si elle est installée.

Contrôle ISM Sep 2024 Atténuation
1612 Windows PowerShell 2.0 est désactivé ou supprimé à l’aide du script fourni.

PowerShell est configuré pour utiliser le mode de langage limité

Le mode de langage limité est activé dans le cadre du document de stratégie d’atténuation du contrôle d’application Essential Huit.

Les exécutions de scripts PowerShell bloquées sont journalisées et protégées contre les modifications et suppressions non autorisées, surveillées pour détecter des signes de compromission et traitées lorsque des événements de cybersécurité sont détectés

Microsoft Defender pour point de terminaison (MDE) peut être utilisé pour obtenir et conserver des journaux à partir de points de terminaison qui peuvent être utilisés pour la détection des événements de cybersécurité.

L’exécution du script peut être auditée en mode natif dans Microsoft Defender pour point de terminaison repérage avancé. Microsoft Defender pour point de terminaison fonctionnalité Advanced Hunting enregistre plusieurs événements Application Control, y compris l’ID d’événement 8029, qui signale les scripts bloqués ou appliqués pour s’exécuter en mode de langage contraint.

Vous pouvez également utiliser le transfert d’événements WDAC pour les surveiller dans une solution de supervision tierce.

Références:

Présentation des ID d’événement Application Control (Windows) - Sécurité | WindowsInterroger des événements de contrôle d’application avec la chasse avancée (Windows) - Sécurité Windows

Intune permet d’intégrer en toute transparence des appareils à MDE.

Les événements de création de processus de ligne de commande sont consignés de manière centralisée

Comme pour les exécutions de scripts PowerShell bloquées, les événements de création de processus de ligne de commande qui sont des précurseurs pour les indications de compromission sont collectés lorsqu’un appareil est inscrit dans Defender pour point de terminaison. Les événements peuvent être affichés dans le portail Defender pour point de terminaison, sur la page de l’appareil sous Chronologie.

Détails de l’implémentation de l’intégration des points de terminaison dans Microsoft Defender pour point de terminaison

Pour implémenter des points de terminaison d’intégration dans MDE :

  1. Créez un profil de configuration Windows avec un type de modèle>Microsoft Defender pour point de terminaison (appareils de bureau exécutant Windows 10 ou version ultérieure).
  2. Définissez Accélérer la fréquence des rapports de télémétrie sur Activer.
  3. Affectez la stratégie à un groupe de déploiement.

Une fois que les appareils sont intégrés à MDE, les exécutions PowerShell sont capturées pour être examinées et des actions peuvent être prises si nécessaire. Pour plus d’informations, consultez Effectuer des actions de réponse sur un appareil dans Microsoft Defender pour point de terminaison.

Contrôle ISM Sep 2024 Atténuation
1664, 1665, 1405 Les ID d’événement Application Control sont capturés par Defender pour point de terminaison lorsque les appareils sont inscrits dans Defender pour point de terminaison.
1899 Les événements de création de processus de ligne de commande qui sont des précurseurs pour les indications de compromission sont capturés par Defender pour point de terminaison lorsque les appareils sont inscrits dans Defender pour point de terminaison.