threatmodel Windows FR - edamametechnologies/threatmodels GitHub Wiki
Windows Modèle de Menace (FR)
Contents
- EDAMAME Helper inactif
- Activation de la mise en cache des identifiants de connexion
- Pas d'antivirus activé
- Encryption du disque désactivée
- Contrôle de compte d'utilisateur désactivé
- Connexion automatique activée
- Adresse e-mail potentiellement compromise
- Environement réseau non vérifié
- Windows Script Host activé
- Protocole de Bureau à distance (RDP) activé
- Mise à jour Windows désactivée
- Compte Invité activé
- Compte administrateur intégré activé
- Pare-feu Windows désactivé
- Service Registre Distant activé
- Protocoles LM et NTLMv1 activés
- Protection du processus Lsass.exe désactivée
- La stratégie d'exécution de PowerShell n'est pas sécurisée
- Navigateur Chrome non à jour
- Protocole SMBv1 activé
EDAMAME Helper inactif
Menace
Dimension : system services / Sévérité : 5
Le logiciel d'assistance d'EDAMAME n'est pas en cours d'exécution ou a besoin d'être mis à jour. Il est requis pour une analyse complète du score de sécurité.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 12 | Ligne de commande | user | helper_check |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 12 | Ligne de commande | user | https://github.com/edamametechnologies/edamame_helper/releases/download |
Retour en arrière
https://www.youtube.com/watch?v=cOmJt_U8WMs
Activation de la mise en cache des identifiants de connexion
Menace
Dimension : credentials / Sévérité : 4
Tags : ISO 27001/2,Access Control, PCI-DSS,Requirement-8.2.3, SOC 2,CC-Logical Access Controls
Les identifiants de connexion mis en cache représentent un risque pour la sécurité car ils peuvent être utilisés par des pirates pour accéder à votre système. Ils sont stockés sur votre système et peuvent être récupérés par des pirates qui accèdent à votre ordinateur ou à votre réseau. Nous vous recommandons de désactiver les identifiants de connexion mis en cache afin de renforcer la sécurité de votre système.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if(((Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI' -Name 'DisablePasswordCaching' -ErrorAction SilentlyContinue).DisablePasswordCaching) -ne 1) { 'Password caching is not disabled' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI /v DisablePasswordCaching /t REG_DWORD /d 1 /f |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\CredUI /v DisablePasswordCaching /t REG_DWORD /d 0 /f |
Pas d'antivirus activé
Menace
Dimension : applications / Sévérité : 5
Tags : CIS Benchmark Level 1,Security Configuration Benchmarks, ISO 27001/2,Malware Protection, PCI-DSS,Requirement-5, SOC 2,CC-Malware Protection
Vous n'avez pas d'antivirus installé (Windows Defender, Sentinel One...). Nous vous recommandons d'en activer un.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | Function Get-AVStatus { [cmdletbinding()] Param() Process { $AV = Get-CimInstance -Namespace 'root/SecurityCenter2' -ClassName 'AntivirusProduct'; $enabledAVs = $AV | Where-Object { $productState = '0x{0:x}' -f $_.ProductState; $enabled = $productState.Substring(3, 2) -match '10|11'; return $enabled }; if (-not $enabledAVs) { Write-Output 'no epp' } } }; Get-AVStatus |
Remédiation
Retour en arrière
Encryption du disque désactivée
Menace
Dimension : system services / Sévérité : 4
Tags : CIS Benchmark Level 1,windows_security/bitlocker_enforce, ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-3.4, SOC 2,CC-Data Protection
Votre stockage principal n'est pas crypté. Bien qu'il y ait un petit impact sur les performances en l'activant, nous vous invitons vraiment à le configurer. Sans cela, toute personne accédant physiquement à votre ordinateur peut accéder à vos données.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | admin | manage-bde -status | findstr 'Protection Off' |
Remédiation
https://www.youtube.com/watch?v=RqWzTzUVYaM
Retour en arrière
https://www.youtube.com/watch?v=Cj4UUMxm6D8
Contrôle de compte d'utilisateur désactivé
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 2,Section: 1.1.1, ISO 27001/2,Control: A.9.4.4, PCI-DSS,Requirement-7.1, SOC 2,CC-User Access
Le Contrôle de compte d'utilisateur (UAC) est une fonctionnalité de sécurité dans Windows qui aide à prévenir les modifications non autorisées sur votre ordinateur. Si UAC est désactivé, il est plus facile pour les logiciels malveillants de faire des changements sur votre système sans votre connaissance. Vous devez activer UAC pour protéger votre système contre de telles attaques.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -ErrorAction SilentlyContinue).EnableLUA -eq 0) { 'UAC disabled' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLUA -Value 1 -Type DWord |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System' -Name EnableLUA -Value 0 -Type DWord |
Connexion automatique activée
Menace
Dimension : credentials / Sévérité : 4
Tags : CIS Benchmark Level 2,Section: 2.3.1.1, ISO 27001/2,Control: A.9.3.1, PCI-DSS,Requirement-8.1.5, SOC 2,CC-User Authentication
La connexion automatique permet au système de connecter automatiquement un utilisateur après le démarrage. Cela peut être un risque pour la sécurité si le système n'est pas physiquement sécurisé car n'importe qui peut accéder au système sans fournir de credentials. Il est recommandé de désactiver la connexion automatique.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -ErrorAction SilentlyContinue).AutoAdminLogon -eq '1') { 'Automatic logon enabled' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name AutoAdminLogon -Value 0 |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name AutoAdminLogon -Value 1 |
Adresse e-mail potentiellement compromise
Menace
Dimension : credentials / Sévérité : 1
Tags : ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-12.10, SOC 2,CC-Incident Response, Personal Posture
Votre adresse e-mail est peut-être apparue récemment dans une fuite de données. Renseignez votre email dans le tab Identité, examinez les fuites éventuelles et suivez les instructions.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 12 | Ligne de commande | user | pwned -i 365 |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 12 | Ligne de commande | digitalidentity_manager |
Retour en arrière
Environement réseau non vérifié
Menace
Dimension : network / Sévérité : 1
Tags : ISO 27001/2,Information Security Incident Management, PCI-DSS,Requirement-12.10, SOC 2,CC-Incident Response, Personal Posture
Le réseau auquel vous êtes connecté n'est pas connu. Si vous êtes autorisé à scanner ce réseau, allez dans l'onglet réseau et vérifiez la présence de périphériques potentiellement dangereux.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | lanscan |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | network_manager |
Retour en arrière
https://fr.wikipedia.org/wiki/Balayage_de_ports
Windows Script Host activé
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Section: 9.1.2, ISO 27001/2,Control: A.12.2.1, PCI-DSS,Requirement-2.2.2, SOC 2,CC-Malicious Code Prevention
Windows Script Host est un environnement de script Windows intégré qui permet l'exécution de VBScript, JScript et d'autres langages de script. Le désactiver peut aider à atténuer certains types d'attaques de logiciels malveillants.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows Script Host\Settings' -Name Enabled -ErrorAction SilentlyContinue).Enabled -eq 1) { 'Windows Script Host enabled' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft'Windows Script Host'\Settings /v Enabled /t REG_DWORD /d 0 /f |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Microsoft'Windows Script Host'\Settings /v Enabled /t REG_DWORD /d 1 /f |
Protocole de Bureau à distance (RDP) activé
Menace
Dimension : network / Sévérité : 4
Tags : CIS Benchmark Level 1,Section: 8.1.1, ISO 27001/2,Control: A.13.7.1, PCI-DSS,Requirement-2.3, SOC 2,CC-Network Security
RDP permet aux utilisateurs d'accéder à distance et de contrôler un ordinateur Windows à partir d'un autre emplacement. Bien que cela puisse être pratique, cela présente également un risque de sécurité important s'il est laissé activé et non protégé. Un attaquant pourrait potentiellement accéder à votre ordinateur et compromettre vos données sensibles ou même prendre le contrôle de votre système.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -ErrorAction SilentlyContinue).fDenyTSConnections -eq 0) { 'Terminal Services connections allowed' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 1 |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -Name fDenyTSConnections -Value 0 |
Mise à jour Windows désactivée
Menace
Dimension : system integrity / Sévérité : 5
Tags : CIS Benchmark Level 1,Section: 2.3.1, ISO 27001/2,Control: A.12.6.1, PCI-DSS,Requirement-6.1, SOC 2,CC-System Monitoring
La désactivation de la mise à jour de Windows empêche l'installation des correctifs et des mises à jour de sécurité critiques sur votre système, laissant votre système vulnérable aux exploits et menaces connus. Il est fortement recommandé d'activer la mise à jour de Windows pour garantir que votre système est à jour avec les derniers correctifs de sécurité.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | $registryPath = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU'; $noAutoUpdate = (Get-ItemProperty -Path $registryPath -Name NoAutoUpdate -ErrorAction SilentlyContinue).NoAutoUpdate; $useWUServer = (Get-ItemProperty -Path $registryPath -Name UseWUServer -ErrorAction SilentlyContinue).UseWUServer; Write-Output ($(if ($noAutoUpdate -eq 0 -or $useWUServer -eq 1) { '' } else { $messages = @(); if ($noAutoUpdate -ne 0) {$messages += 'NoAutoUpdate is set.'}; if ($useWUServer -ne 1) {$messages += 'Updates are not managed through GPO.'}; $messages -join ' ' })) |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /t REG_DWORD /d 0 /f |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU /v NoAutoUpdate /t REG_DWORD /d 1 /f |
Compte Invité activé
Menace
Dimension : credentials / Sévérité : 4
Tags : CIS Benchmark Level 1,Section: 1.1.2, ISO 27001/2,Control: A.9.2.1, PCI-DSS,Requirement-8.1.6, SOC 2,CC-User Access
Le compte Invité est un compte par défaut dans Windows, qui permet aux utilisateurs d'accéder au système avec des privilèges limités. Il est recommandé de désactiver ce compte pour empêcher tout accès non autorisé à votre système et à vos données.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | $guestAccount = Get-LocalUser | Where-Object {$_.SID -like '*-501'}; if ($guestAccount.Enabled) {'Guest account is active'} else {''} |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | $guestAccount = Get-LocalUser | Where-Object {$_.SID -like '*-501'}; if ($guestAccount.Enabled) {Disable-LocalUser -Name $guestAccount.Name} |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | $guestAccount = Get-LocalUser | Where-Object {$_.SID -like '*-501'}; if (-not $guestAccount.Enabled) {Enable-LocalUser -Name $guestAccount.Name} |
Compte administrateur intégré activé
Menace
Dimension : credentials / Sévérité : 5
Tags : CIS Benchmark Level 1,Section: 1.1.1, ISO 27001/2,Control: A.9.4.2, PCI-DSS,Requirement-2.3, SOC 2,CC-User Access
Le compte administrateur intégré est un compte puissant qui a un accès complet au système. Avoir ce compte activé représente un risque de sécurité car c'est une cible courante pour les attaquants. Il devrait être désactivé sauf s'il est absolument nécessaire de l'activer.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | $adminAccount = Get-LocalUser | Where-Object {$_.SID -like '*-500'}; if ($adminAccount.Enabled) {'Built-in Administrator account enabled'} else {''} |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | $adminAccount = Get-LocalUser | Where-Object {$_.SID -like '*-500'}; if ($adminAccount.Enabled) {Disable-LocalUser -Name $adminAccount.Name} |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | $adminAccount = Get-LocalUser | Where-Object {$_.SID -like '*-500'}; if (-not $adminAccount.Enabled) {Enable-LocalUser -Name $adminAccount.Name} |
Pare-feu Windows désactivé
Menace
Dimension : network / Sévérité : 5
Tags : CIS Benchmark Level 1,Section: 9.3.1, ISO 27001/2,Control: A.13.1.1, PCI-DSS,Requirement-1.4, SOC 2,CC-Network Security
Le pare-feu Windows est une fonctionnalité intégrée de Windows qui aide à protéger votre ordinateur contre les accès non autorisés. Lorsqu'il est désactivé, votre ordinateur est vulnérable aux attaques en provenance du réseau. Nous vous recommandons de l'activer.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-NetFirewallProfile -All | Where-Object { $_.Enabled -eq 'False' })) { 'One or more firewall profiles are disabled' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled True |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False |
Service Registre Distant activé
Menace
Dimension : system services / Sévérité : 3
Tags : CIS Benchmark Level 1,Section: 2.2.4, ISO 27001/2,Control: A.9.4.1, PCI-DSS,Requirement-2.2, SOC 2,CC-System Configuration and Maintenance
Le Service Registre Distant permet l'accès distant au Registre de Windows. Cela peut être un risque de sécurité si cela n'est pas correctement sécurisé.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-Service -Name RemoteRegistry).Status -eq 'Running') { 'RemoteRegistry service is running' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | (sc.exe config RemoteRegistry start= disabled) -and (sc.exe stop RemoteRegistry) |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | (sc.exe config RemoteRegistry start= auto) -and (sc.exe start RemoteRegistry) |
Protocoles LM et NTLMv1 activés
Menace
Dimension : credentials / Sévérité : 5
Tags : CIS Benchmark Level 1,Section: 2.3.11.9, ISO 27001/2,Control: A.9.2.3, PCI-DSS,Requirement-8.2.1, SOC 2,CC-User Authentication
Les protocoles LM et NTLMv1 sont des protocoles d'authentification obsolètes et peu sûrs. Ils doivent être désactivés pour prévenir les menaces potentielles à la sécurité. Le fait de laisser ces protocoles activés peut permettre à des attaquants de déchiffrer des mots de passe et d'obtenir un accès non autorisé à des informations sensibles.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 0 | Ligne de commande | user | if(((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA' -ErrorAction SilentlyContinue).LMCompatibilityLevel -lt 5) -or ((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -ErrorAction SilentlyContinue).NtlmMinClientSec -lt 537395200) -or ((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -ErrorAction SilentlyContinue).NtlmMinServerSec -lt 537395200)) { 'Weak NTLM settings' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 0 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA' -Name 'LMCompatibilityLevel' -Value '5' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinClientSec' -Value '537395200' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinServerSec' -Value '537395200' -Type DWord |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 0 | Ligne de commande | system | Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA' -Name 'LmCompatibilityLevel' -Value '1' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinClientSec' -Value '262144' -Type DWord; Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\LSA\MSV1_0' -Name 'NtlmMinServerSec' -Value '537395200' -Type DWord |
Protection du processus Lsass.exe désactivée
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Section: 2.2.39, ISO 27001/2,Control: A.12.1.2, PCI-DSS,Requirement-6.2, SOC 2,CC-System Integrity
Lsass.exe est un processus système essentiel qui gère l'authentification de l'utilisateur. Il contient des informations sensibles telles que des mots de passe et des jetons de sécurité. Si ce processus est compromis, cela peut entraîner une violation de sécurité. L'activation de la protection du processus Lsass.exe aide à prévenir les attaques contre ce processus. Ce contenu vous montrera comment activer la protection du processus Lsass.exe.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name 'RunAsPPL' -ErrorAction SilentlyContinue).RunAsPPL -eq 0) { 'RunAsPPL is a REG_DWORD with value 0' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 1 /f |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v RunAsPPL /t REG_DWORD /d 0 /f |
La stratégie d'exécution de PowerShell n'est pas sécurisée
Menace
Dimension : system integrity / Sévérité : 4
Tags : CIS Benchmark Level 1,Section: 1.1.3, ISO 27001/2,Control: A.12.4.2, PCI-DSS,Requirement-2.2.4, SOC 2,CC-System Hardening
PowerShell est un outil en ligne de commande puissant intégré à Windows, souvent utilisé par des attaquants pour effectuer des activités malveillantes. La stratégie d'exécution détermine les scripts autorisés à s'exécuter sur un système Windows. Si la stratégie d'exécution est pas définie sur Unrestricted, cela pourrait permettre à un attaquant d'exécuter des scripts malveillants sur votre système.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | $currentUserPolicy= Get-ExecutionPolicy -Scope CurrentUser; if($currentUserPolicy -eq 'Unrestricted') { 'Execution Policy is unrestricted' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ExecutionPolicy -ExecutionPolicy Default -Scope CurrentUser -Force |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Set-ExecutionPolicy -ExecutionPolicy Unrestricted -Scope CurrentUser -Force |
Navigateur Chrome non à jour
Menace
Dimension : applications / Sévérité : 3
Tags : ISO 27001/2,Application Security, PCI-DSS,Requirement-6, SOC 2,CC-System Operations
Votre navigateur Google Chrome n'est pas à jour. Exécuter la dernière version garantit que vous disposez des dernières fonctionnalités de sécurité et des améliorations de performance.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | $path = 'HKLM:\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Google Chrome'; if (Test-Path $path) { $local_version = (Get-ItemProperty -Path $path).DisplayVersion; $web_content = Invoke-WebRequest -UseBasicParsing 'https://chromiumdash.appspot.com/fetch_releases?channel=Stable&platform=Windows&num=1'; $latest_version = ($web_content.Content | ConvertFrom-Json)[0].version; if ([version]$latest_version -le [version]$local_version) { Write-Output '' } else { Write-Output "Chrome is not up to date (Installed: $local_version, Latest: $latest_version)"; } } else { Write-Output '' } |
Remédiation
https://support.google.com/chrome/answer/95414?hl=fr
Retour en arrière
https://support.google.com/chrome/a/answer/6350036?hl=fr
Protocole SMBv1 activé
Menace
Dimension : network / Sévérité : 5
Tags : CIS Benchmark Level 1,windows_security/smb1_protocol_disabled
Le protocole SMBv1 est activé sur votre système. Ce protocole est obsolète et présente des vulnérabilités connues qui peuvent permettre aux attaquants de prendre le contrôle de votre système. Il devrait être désactivé pour améliorer la sécurité de votre système.
Implémentation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | user | if((Get-SmbServerConfiguration).EnableSMB1Protocol -eq $true) { 'SMBv1 enabled' } else { '' } |
Remédiation
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -norestart |
Retour en arrière
Testé pour | Action | Elevation | Script |
---|---|---|---|
Windows 10 | Ligne de commande | system | Enable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -norestart |