threatmodel Windows FR - edamametechnologies/threatmodels GitHub Wiki
Windows Modèle de Menace (FR)
Contents
- EDAMAME Helper inactif
- Activation de la mise en cache des identifiants de connexion
- Pas d'antivirus activé
- Pas de gestionnaire de mots de passe installé
- Encryption du disque désactivée
- Contrôle de compte d'utilisateur désactivé
- Connexion automatique activée
- Adresse e-mail potentiellement compromise
- Environement réseau non vérifié ou non sécurisé
- Windows Script Host activé
- Protocole de Bureau à distance (RDP) activé
- Mise à jour Windows désactivée
- Compte Invité activé
- Compte administrateur intégré activé
- Pare-feu Windows désactivé
- Service Registre Distant activé
- Protocoles LM et NTLMv1 activés
- Protection du processus Lsass.exe désactivée
- La stratégie d'exécution de PowerShell n'est pas sécurisée
- Navigateur Chrome non à jour
- Protocole SMBv1 activé
- Aucune option de connexion activée
- Windows Hello n'est pas disponible
- Le verrouillage de l'économiseur d'écran n'est pas correctement configuré
- Règle métier non respectée
EDAMAME Helper inactif
Menace
Dimension : system services / Sévérité : 5
Le logiciel d'assistance d'EDAMAME n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | helper_check |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | https://github.com/edamametechnologies/edamame_helper/releases/download |
Retour en arrière
https://github.com/edamametechnologies/edamame_helper
Activation de la mise en cache des identifiants de connexion
Menace
Dimension : credentials / Sévérité : 4
Tags : CIS Benchmark Level 1,Interactive logon: Number of previous logons to cache
Les identifiants de connexion mis en cache représentent un risque pour la sécurité car ils peuvent être utilisés par des pirates pour accéder à votre système. Ils sont stockés sur votre système et peuvent être récupérés par des pirates qui accèdent à votre ordinateur ou à votre réseau. Nous vous recommandons de désactiver les identifiants de connexion mis en cache afin de renforcer la sécurité de votre système.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if(((Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI' -Name 'DisablePasswordCaching' -ErrorAction SilentlyContinue).DisablePasswordCaching) -ne 1) { 'Password caching is not disabled' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI /v DisablePasswordCaching /t REG_DWORD /d 1 /f |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI /v DisablePasswordCaching /t REG_DWORD /d 0 /f |
Pas d'antivirus activé
Menace
Dimension : applications / Sévérité : 5
Tags : CIS Benchmark Level 1,Configure Microsoft Defender Antivirus, ISO 27001/2,A.12.2.1-Malware Controls, SOC 2,CC6.8-Malware Protection
Vous n'avez pas d'antivirus installé (Windows Defender, Sentinel One...). Nous vous recommandons d'en activer un.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | Function Get-AVStatus { [cmdletbinding()] Param() Process { $AV = Get-CimInstance -Namespace 'root/SecurityCenter2' -ClassName 'AntivirusProduct'; $enabledAVs = $AV | Where-Object { $productState = '0x{0:x}' -f $_.ProductState; $enabled = $productState.Substring(3, 2) -match '10|11'; return $enabled }; if (-not $enabledAVs) { Write-Output 'epp_disabled' } } }; Get-AVStatus |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | ms-settings:windowsdefender |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | ms-settings:windowsdefender |
Pas de gestionnaire de mots de passe installé
Menace
Dimension : credentials / Sévérité : 4
Vous n'avez pas de gestionnaire de mots de passe installé. Nous vous recommandons d'en installer un.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | admin | $installed = @(Get-ItemProperty HKLM:\Software\Microsoft\Windows\CurrentVersion\Uninstall\*, HKLM:\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\* -ErrorAction SilentlyContinue | Where-Object { $_.DisplayName -match '1Password|LastPass|KeePass|Bitwarden|Dashlane' }).Count; if ($installed -eq 0) { Write-Output 'No password manager installed' } |
Remédiation
https://fr.wikipedia.org/wiki/Gestionnaire_de_mots_de_passe
Retour en arrière
https://fr.wikipedia.org/wiki/Gestionnaire_de_mots_de_passe
Encryption du disque désactivée
Menace
Dimension : system services / Sévérité : 4
Tags : CIS Benchmark Level 1,Configure BitLocker Drive Encryption, ISO 27001/2,A.8.3.1-Media Protection, SOC 2,CC6.7-Data Protection
Votre stockage principal n'est pas crypté. Bien qu'il y ait un petit impact sur les performances en l'activant, nous vous invitons vraiment à le configurer. Sans cela, toute personne accédant physiquement à votre ordinateur peut accéder à vos données.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | admin | if ((Get-WmiObject -Class Win32_ComputerSystem).Model -notmatch 'Virtual') { if ((Get-BitLockerVolume).ProtectionStatus -eq 'Off') { Write-Output 'File system not encrypted' } } |
Remédiation
https://support.microsoft.com/fr-fr/windows/activer-le-chiffrement-de-l-appareil-0c453637-bc88-7d95-5074-dc66c78d6d5b
Retour en arrière
https://support.microsoft.com/fr-fr/windows/d%C3%A9sactiver-bitlocker-c98bb8d0-0fe7-88d8-7436-c29e90abef0c
Contrôle de compte d'utilisateur désactivé
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,User Account Control: Admin Approval Mode
Le Contrôle de compte d'utilisateur (UAC) est une fonctionnalité de sécurité dans Windows qui aide à prévenir les modifications non autorisées sur votre ordinateur. Si UAC est désactivé, il est plus facile pour les logiciels malveillants de faire des changements sur votre système sans votre connaissance. Vous devez activer UAC pour protéger votre système contre de telles attaques.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -ErrorAction SilentlyContinue).EnableLUA -eq 0) { 'UAC disabled' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLUA -Value 1 -Type DWord |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLUA -Value 0 -Type DWord |
Connexion automatique activée
Menace
Dimension : credentials / Sévérité : 4
Tags : CIS Benchmark Level 1,Disable Automatic Logon
La connexion automatique permet au système de connecter automatiquement un utilisateur après le démarrage. Cela peut être un risque pour la sécurité si le système n'est pas physiquement sécurisé car n'importe qui peut accéder au système sans fournir de credentials. Il est recommandé de désactiver la connexion automatique.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -ErrorAction SilentlyContinue).AutoAdminLogon -eq '1') { 'Automatic logon enabled' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name AutoAdminLogon -Value 0 |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name AutoAdminLogon -Value 1 |
Adresse e-mail potentiellement compromise
Menace
Dimension : credentials / Sévérité : 1
Tags : Personal Posture
Vérifiez si votre adresse e-mail est peut-être apparue récemment dans une fuite de données.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | pwned -i 365 |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | digitalidentity_manager |
Retour en arrière
https://www.futura-sciences.com/tech/actualites/internet-voici-savoir-si-vos-donnees-personnelles-internet-ont-ete-piratees-103095/
Environement réseau non vérifié ou non sécurisé
Menace
Dimension : network / Sévérité : 1
Tags : Personal Posture
Le réseau auquel vous êtes connecté n'est pas connu ou contient des appareils non sécurisés. Si vous êtes autorisé à scanner ce réseau, allez dans l'onglet réseau et vérifiez la présence de périphériques potentiellement dangereux.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | lanscan |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | network_manager |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | network_manager |
Windows Script Host activé
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Disable Windows Script Host
Windows Script Host est un environnement de script Windows intégré qui permet l'exécution de VBScript, JScript et d'autres langages de script. Le désactiver peut aider à atténuer certains types d'attaques de logiciels malveillants.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows Script Host\Settings' -Name Enabled -ErrorAction SilentlyContinue).Enabled -eq 1) { 'Windows Script Host enabled' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft\'Windows Script Host'\Settings /v Enabled /t REG_DWORD /d 0 /f |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft\'Windows Script Host'\Settings /v Enabled /t REG_DWORD /d 1 /f |
Protocole de Bureau à distance (RDP) activé
Menace
Dimension : network / Sévérité : 4
Tags : CIS Benchmark Level 1,Ensure Remote Desktop Protocol is Configured
RDP permet aux utilisateurs d'accéder à distance et de contrôler un ordinateur Windows à partir d'un autre emplacement. Bien que cela puisse être pratique, cela présente également un risque de sécurité important s'il est laissé activé et non protégé. Un attaquant pourrait potentiellement accéder à votre ordinateur et compromettre vos données sensibles ou même prendre le contrôle de votre système.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -ErrorAction SilentlyContinue).fDenyTSConnections -eq 0) { 'Terminal Services connections allowed' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 1 |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0 |
Mise à jour Windows désactivée
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Configure Automatic Updates
La désactivation de la mise à jour de Windows empêche l'installation des correctifs et des mises à jour de sécurité critiques sur votre système, laissant votre système vulnérable aux exploits et menaces connus. Il est fortement recommandé d'activer la mise à jour de Windows pour garantir que votre système est à jour avec les derniers correctifs de sécurité.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | $registryPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU'; $noAutoUpdate = (Get-ItemProperty -Path $registryPath -Name NoAutoUpdate -ErrorAction SilentlyContinue).NoAutoUpdate; $useWUServer = (Get-ItemProperty -Path $registryPath -Name UseWUServer -ErrorAction SilentlyContinue).UseWUServer; Write-Output ($(if ($noAutoUpdate -eq 0 -or $useWUServer -eq 1) { '' } else { $messages = @(); if ($noAutoUpdate -ne 0) {$messages += 'NoAutoUpdate is set.'}; if ($useWUServer -ne 1) {$messages += 'Updates are not managed through GPO.'}; $messages -join ' ' })) |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /t REG_DWORD /d 0 /f |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /t REG_DWORD /d 1 /f |
Compte Invité activé
Menace
Dimension : credentials / Sévérité : 4
Tags : CIS Benchmark Level 1,Ensure Guest account status is disabled
Le compte Invité est un compte par défaut dans Windows, qui permet aux utilisateurs d'accéder au système avec des privilèges limités. Il est recommandé de désactiver ce compte pour empêcher tout accès non autorisé à votre système et à vos données.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | $guestAccount = Get-LocalUser | Where-Object {$_.SID -like '*-501'}; if ($guestAccount.Enabled) {'Guest account is active'} else {''} |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | $guestAccount = Get-LocalUser | Where-Object {$_.SID -like '*-501'}; if ($guestAccount.Enabled) {Disable-LocalUser -Name $guestAccount.Name} |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | $guestAccount = Get-LocalUser | Where-Object {$_.SID -like '*-501'}; if (-not $guestAccount.Enabled) {Enable-LocalUser -Name $guestAccount.Name} |
Compte administrateur intégré activé
Menace
Dimension : credentials / Sévérité : 5
Tags : CIS Benchmark Level 1,Built-in Administrator account status
Le compte administrateur intégré est un compte puissant qui a un accès complet au système. Avoir ce compte activé représente un risque de sécurité car c'est une cible courante pour les attaquants. Il devrait être désactivé sauf s'il est absolument nécessaire de l'activer.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | $adminAccount = Get-LocalUser | Where-Object {$_.SID -like '*-500'}; if ($adminAccount.Enabled) {'Built-in Administrator account enabled'} else {''} |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | $adminAccount = Get-LocalUser | Where-Object {$_.SID -like '*-500'}; if ($adminAccount.Enabled) {Disable-LocalUser -Name $adminAccount.Name} |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | $adminAccount = Get-LocalUser | Where-Object {$_.SID -like '*-500'}; if (-not $adminAccount.Enabled) {Enable-LocalUser -Name $adminAccount.Name} |
Pare-feu Windows désactivé
Menace
Dimension : network / Sévérité : 5
Tags : CIS Benchmark Level 1,Ensure Windows Firewall is Enabled
Le pare-feu Windows est une fonctionnalité intégrée de Windows qui aide à protéger votre ordinateur contre les accès non autorisés. Lorsqu'il est désactivé, votre ordinateur est vulnérable aux attaques en provenance du réseau. Nous vous recommandons de l'activer.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-NetFirewallProfile -All | Where-Object { $_.Enabled -eq 'False' })) { 'One or more firewall profiles are disabled' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False |
Service Registre Distant activé
Menace
Dimension : system services / Sévérité : 3
Tags : CIS Benchmark Level 1,Ensure Remote Registry Service is disabled
Le Service Registre Distant permet l'accès distant au Registre de Windows. Cela peut être un risque de sécurité si cela n'est pas correctement sécurisé.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-Service -Name RemoteRegistry).Status -eq 'Running') { 'RemoteRegistry service is running' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | (sc.exe config RemoteRegistry start= disabled) -and (sc.exe stop RemoteRegistry) |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | (sc.exe config RemoteRegistry start= auto) -and (sc.exe start RemoteRegistry) |
Protocoles LM et NTLMv1 activés
Menace
Dimension : credentials / Sévérité : 5
Tags : CIS Benchmark Level 1,Network security: LAN Manager authentication level
Les protocoles LM et NTLMv1 sont des protocoles d'authentification obsolètes et peu sûrs. Ils doivent être désactivés pour prévenir les menaces potentielles à la sécurité. Le fait de laisser ces protocoles activés peut permettre à des attaquants de déchiffrer des mots de passe et d'obtenir un accès non autorisé à des informations sensibles.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 0 | Ligne de commande | user | if(((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA' -ErrorAction SilentlyContinue).LMCompatibilityLevel -lt 5) -or ((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -ErrorAction SilentlyContinue).NtlmMinClientSec -lt 537395200) -or ((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -ErrorAction SilentlyContinue).NtlmMinServerSec -lt 537395200)) { 'Weak NTLM settings' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 0 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA' -Name 'LMCompatibilityLevel' -Value '5' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinClientSec' -Value '537395200' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinServerSec' -Value '537395200' -Type DWord |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 0 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA' -Name 'LmCompatibilityLevel' -Value '1' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinClientSec' -Value '262144' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinServerSec' -Value '537395200' -Type DWord |
Protection du processus Lsass.exe désactivée
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Ensure LSASS is configured to run as a Protected Process
Lsass.exe est un processus système essentiel qui gère l'authentification de l'utilisateur. Il contient des informations sensibles telles que des mots de passe et des jetons de sécurité. Si ce processus est compromis, cela peut entraîner une violation de sécurité. L'activation de la protection du processus Lsass.exe aide à prévenir les attaques contre ce processus. Ce contenu vous montrera comment activer la protection du processus Lsass.exe.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name 'RunAsPPL' -ErrorAction SilentlyContinue).RunAsPPL -eq 0) { 'RunAsPPL is a REG_DWORD with value 0' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 1 /f |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 0 /f |
La stratégie d'exécution de PowerShell n'est pas sécurisée
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Ensure PowerShell Execution Policy is set to RemoteSigned
PowerShell est un outil en ligne de commande puissant intégré à Windows, souvent utilisé par des attaquants pour effectuer des activités malveillantes. La stratégie d'exécution détermine les scripts autorisés à s'exécuter sur un système Windows. Si la stratégie d'exécution est pas définie sur Unrestricted, cela pourrait permettre à un attaquant d'exécuter des scripts malveillants sur votre système.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | $currentUserPolicy= Get-ExecutionPolicy -Scope CurrentUser; if($currentUserPolicy -eq 'Unrestricted') { 'Execution Policy is unrestricted' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | restart | Set-ExecutionPolicy -ExecutionPolicy Default -Scope CurrentUser -Force |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | restart | Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser -Force |
Navigateur Chrome non à jour
Menace
Dimension : applications / Sévérité : 3
Votre navigateur Google Chrome n'est pas à jour. Exécuter la dernière version garantit que vous disposez des dernières fonctionnalités de sécurité et des améliorations de performance.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | $path = 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome'; if (Test-Path $path) { $local_version = (Get-ItemProperty -Path $path).DisplayVersion; $web_content = Invoke-WebRequest -UseBasicParsing 'https://chromiumdash.appspot.com/fetch_releases?channel=Stable&platform=Windows&num=1'; $latest_version = ($web_content.Content | ConvertFrom-Json)[0].version; if ([version]$latest_version -le [version]$local_version) { Write-Output '' } else { Write-Output 'Chrome is not up to date (Installed: $local_version, Latest: $latest_version)'; } } else { Write-Output '' } |
Remédiation
https://support.google.com/chrome/answer/95414?hl=fr
Retour en arrière
https://support.google.com/chrome/a/answer/6350036?hl=fr
Protocole SMBv1 activé
Menace
Dimension : network / Sévérité : 5
Tags : CIS Benchmark Level 1,Ensure SMBv1 protocol is disabled
Le protocole SMBv1 est activé sur votre système. Ce protocole est obsolète et présente des vulnérabilités connues qui peuvent permettre aux attaquants de prendre le contrôle de votre système. Il devrait être désactivé pour améliorer la sécurité de votre système.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if((Get-SmbServerConfiguration).EnableSMB1Protocol -eq $true) { 'SMBv1 enabled' } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | restart | Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -norestart |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | restart | Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -norestart |
Aucune option de connexion activée
Menace
Dimension : credentials / Sévérité : 5
Votre système n'a actuellement activé aucune option de connexion. Il est important d'activer des options de connexion telles que des mots de passe, un code PIN ou Windows Hello pour assurer la protection sécurisée de votre appareil.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | $lastLoggedOnProvider = (Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI' -Name 'LastLoggedOnProvider' -ErrorAction SilentlyContinue).LastLoggedOnProvider; if ($null -eq $lastLoggedOnProvider) { 'Registry entry not present' } elseif ($lastLoggedOnProvider -like '*NgcPin*') { $pinLength = (Get-ItemProperty -Path 'HKLM:\SOFTWARE\Policies\Microsoft\PassportForWork\PINComplexity' -Name 'MinimumPINLength' -ErrorAction SilentlyContinue).MinimumPINLength; if ($pinLength -lt 6) { 'Windows Hello PIN does not meet the minimum length requirement.' } else { '' } } else { '' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | ms-settings:signinoptions |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | ms-settings:signinoptions |
Windows Hello n'est pas disponible
Menace
Dimension : credentials / Sévérité : 5
Windows Hello, une fonctionnalité de sécurité essentielle, n'est pas disponible sur votre système. L'activer fournit des mécanismes de sécurité avancés tels que l'authentification par PIN et biométrique.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | if (Test-Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Ngc\Status') { '' } else { 'Windows Hello is not available.' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | ms-settings:signinoptions |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | ms-settings:signinoptions |
Le verrouillage de l'économiseur d'écran n'est pas correctement configuré
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Machine inactivity limit, ISO 27001/2,A.11.2.8-Unattended User Equipment, SOC 2,CC6.1-Logical Access
Les paramètres de verrouillage de l'économiseur d'écran ne sont pas correctement configurés. Assurer un économiseur d'écran sécurisé et actif avec un délai raisonnable améliore la sécurité physique de votre système.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | $screensaverTimeout = (Get-ItemProperty -Path 'HKCU:\Control Panel\Desktop' -Name 'ScreenSaveTimeOut' -ErrorAction SilentlyContinue).ScreenSaveTimeOut; $screensaverActive = (Get-ItemProperty -Path 'HKCU:\Control Panel\Desktop' -Name 'ScreenSaveActive' -ErrorAction SilentlyContinue).ScreenSaveActive; $secureScreensaver = (Get-ItemProperty -Path 'HKCU:\Control Panel\Desktop' -Name 'ScreenSaverIsSecure' -ErrorAction SilentlyContinue).ScreenSaverIsSecure; if ($screensaverActive -eq '1' -and $secureScreensaver -eq '1' -and $screensaverTimeout -le 600) { '' } else { 'Screensaver lock is not properly configured.' } |
Remédiation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKCU:\Control Panel\Desktop' -Name 'ScreenSaveTimeOut' -Value 600; Set-ItemProperty -Path 'HKCU:\Control Panel\Desktop' -Name 'ScreenSaveActive' -Value 1; Set-ItemProperty -Path 'HKCU:\Control Panel\Desktop' -Name 'ScreenSaverIsSecure' -Value 1 |
Retour en arrière
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | ms-settings:lockscreen |
Règle métier non respectée
Menace
Dimension : applications / Sévérité : 1
Une ou plusieurs règles métier ne sont pas respectées. Veuillez vérifier la sortie de la commande pour plus de détails.
Implémentation
| Testé pour | Action | Elevation | Script |
|---|---|---|---|
| Windows 10 | Ligne de commande | user | business_rules |
Remédiation
Consultez la documentation des règles métier pour plus de détails.
Retour en arrière
Consultez la documentation des règles métier pour plus de détails.