Protégez-vous des attaques RDP – Gardez une longueur d’avance

Le guide ultime pour rester en sécurité sous Windows

Avec plus d’un milliard d’appareils l’exécutant dans le monde, Windows est le système d’exploitation informatique le plus populaire de la planète. Cependant, cette omniprésence s’accompagne d’une surveillance accrue de la part des cybercriminels cherchant à exploiter les systèmes Windows.

En tant qu’utilisateurs de Windows nous-mêmes, nous ressentons la responsabilité de donner à notre communauté les connaissances nécessaires pour contrecarrer les attaques. En internalisant les informations contenues dans ce guide complet, vous obtiendrez les outils nécessaires pour renforcer votre environnement Windows contre les intrusions et les accès non autorisés.

Utilisez des mots de passe forts et uniques

Même si cela peut paraître rudimentaire, une hygiène rigoureuse des mots de passe reste l’une des défenses les plus vitales contre les cyberattaques. Suivez ces bonnes pratiques :

• Utilisez des mots de passe contenant des lettres majuscules et minuscules, des chiffres et des symboles. Plus c’est complexe, mieux c’est.
• Évitez les mots de passe associés à des informations personnelles telles que des dates de naissance ou des noms.
• Ne réutilisez jamais les mots de passe sur plusieurs sites ou comptes.
• Changez les mots de passe fréquemment, au moins tous les 90 jours.
• Utilisez un gestionnaire de mots de passe pour générer et organiser des mots de passe.

Grâce à des mots de passe forts et uniques protégeant l’accès, le risque d’attaques par force brute diminue considérablement.

Qu’est-ce que la boîte à outils d’expérience d’atténuation améliorée (Emet) ?

La boîte à outils Enhanced Mitigation Experience (EMET) est un utilitaire qui aide à empêcher l’exploitation réussie des vulnérabilités des logiciels. EMET atteint cet objectif en utilisant des technologies d’atténuation de la sécurité. Ces technologies fonctionnent comme des protections et des obstacles spéciaux qu’un auteur d’exploit doit vaincre pour exploiter les vulnérabilités logicielles.

Emet prend-il en charge la protection contre les exploits ?

Les atténuations disponibles dans EMET sont incluses nativement dans Windows 10 (à partir de la version 1709), Windows 11 et Windows Server (à partir de la version 1803), sous protection contre les exploits.Le tableau de cette section indique la disponibilité et la prise en charge des atténuations natives entre EMET et la protection contre les exploits.

Activer l’authentification multifacteur

Améliorez les mots de passe avec une authentification multifacteur – nécessitant une étape supplémentaire comme un code SMS ou une analyse biométrique pour vous connecter. Cette couche de protection supplémentaire rend exponentiellement plus difficile pour les cybercriminels d’accéder aux comptes, même s’ils parviennent à voler un mot de passe.

Activez l’authentification multifacteur sur les comptes critiques tels que la messagerie électronique, les services bancaires et les réseaux sociaux. Pour plus de sécurité, exigez également une authentification multifacteur pour accéder à Windows.

Gardez le logiciel à jour

L’un des vecteurs d’attaque les plus courants exploite les vulnérabilités de logiciels obsolètes. Il est impératif de maintenir à jour les systèmes d’exploitation, les applications, les navigateurs, les plugins et les pilotes.

Activez les mises à jour automatiques dans la mesure du possible et recherchez périodiquement de nouvelles mises à jour. Méfiez-vous des notifications de correctifs de sécurité et installez-les immédiatement.

Les mises à jour corrigent non seulement les bugs, mais révisent également les fonctionnalités de sécurité dans la cyberguerre en cours. L’exécution du logiciel le plus récent comble les failles avant qu’elles ne puissent être exploitées contre vous.

Évitez les liens et pièces jointes suspects

Faites preuve de discrétion lorsque vous ouvrez des liens et des pièces jointes provenant de sources inconnues ou non fiables. Les attaquants diffusent généralement des logiciels malveillants en les déguisant en documents inoffensifs ou en compromettant des sites de confiance.

Comment désactiver SMEP sous Windows 8 ?

Avec l’émergence de la fonctionnalité Intel « Supervisor Mode Execution Prevention » et son inclusion sur Windows 8 comme système d’atténuation des exploits par défaut, il était nécessaire d’améliorer les techniques d’exploitation du noyau local pour être à jour. Comme technique bien connue, on peut citer la désactivation de SMEP par ROPing pour désactiver le 20ème bit du registre CR4.

Comment désactiver la protection des applications sous Windows 10 ?

Sur les appareils clients Windows 10, la fonctionnalité Application Guard est désactivée par défaut.> Ouvrez le Panneau de configuration, cliquez sur Programmes, puis cliquez sur Activer ou désactiver des fonctionnalités Windows. > Redémarrez l’appareil. Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender- ApplicationGuard > Redémarrez l’appareil.

Survolez les liens pour inspecter leur destination réelle avant de cliquer. Méfiez-vous des offres qui semblent trop belles pour être vraies et évitez les sites comportant des fautes de frappe ou d’orthographe. Fournissez uniquement des informations sensibles à des sites Web légitimes et cryptés.

En cas de doute sur un lien ou une pièce jointe, faites preuve de prudence. Contactez l’expéditeur directement via un canal connu pour vérifier la légitimité.

Limiter les privilèges d’administrateur

Le compte administrateur possède intrinsèquement un accès illimité pour apporter des modifications à l’ensemble du système. Réduisez l’exposition en réservant le compte administrateur lorsque des autorisations élevées sont absolument nécessaires.

Au lieu de cela, créez un compte utilisateur standard pour les activités générales telles que la navigation sur le Web et la vérification des e-mails. Les comptes standard fonctionnent avec des privilèges système réduits, limitant ainsi l’impact que les logiciels malveillants peuvent infliger en cas de compromission.

Sauvegarder les données critiques

Même si nous espérons que vous ne serez jamais victime d’un ransomware ou d’une perte permanente de données, il est sage de vous préparer aux pires scénarios. Développez un programme de sauvegarde régulière des documents, photos et autres données importants.

Stockez les sauvegardes sur un périphérique externe ou un service cloud déconnecté de votre système principal, où elles resteront intactes si votre ordinateur principal est touché. De cette façon, vous pouvez facilement restaurer les données en cas de catastrophe.

Que se passe-t-il si vous écrasez une page de garde dans Windows 10 ?

Si un attaquant tente d’écrire au-delà d’un bloc de mémoire (une technique courante connue sous le nom de débordement de tampon), l’attaquant devra écraser une page de garde. Toute tentative de modification d’une page de garde est considérée comme une corruption de mémoire, et Windows 10 répond par mettre fin instantanément à l’application.

Et si SMEP = 1 ?

Si SMAP = 1, le logiciel fonctionnant en mode superviseur ne peut pas accéder aux données aux adresses linéaires accessibles en mode utilisateur.être protégé contre les extractions d’instructions en mode superviseur. Si SMEP = 1, le logiciel fonctionnant en mode superviseur ne peut pas récupérer les instructions des adresses linéaires accessibles en mode utilisateur.

Utiliser un logiciel de sécurité

Les logiciels de sécurité offrent une protection inestimable contre les virus, les logiciels malveillants, les ransomwares et autres cybermenaces. Des solutions telles que Windows Defender Antivirus sont intégrées à Windows 10 pour une défense de première ligne robuste.

Vous pouvez renforcer encore davantage la protection grâce à une suite complète de sécurité Internet, fournissant des outils tels que des pare-feu, des contrôles parentaux, des VPN et une protection contre le vol d’identité. Combinez des solutions pour une sécurité à plusieurs niveaux capable de détecter les menaces.

Évitez les téléchargements suspects

Soyez prudent lorsque vous téléchargez des programmes et des fichiers depuis Internet. Installez uniquement des applications provenant de sources fiables comme le Microsoft Store. Méfiez-vous des sites de téléchargement regroupant des logiciels supplémentaires tels que des barres d’outils de navigateur qui peuvent héberger des logiciels publicitaires.

Analysez tous les fichiers téléchargés avec votre logiciel antivirus. Évitez les torrents violant les droits d’auteur et les logiciels illégaux qui distribuent fréquemment des logiciels malveillants. Configurez votre navigateur pour bloquer automatiquement les téléchargements dangereux.

Surveiller le trafic réseau

Obtenez une visibilité sur l’activité du réseau via des outils tels que Wireshark, en recherchant toute connexion suspecte. Surveillez les pics de trafic inhabituels, les tentatives fréquentes d’accès aux ports bloqués et les connexions à des adresses IP à risque.

Qu’est-ce que la prévention d’exécution en mode superviseur (SMEP) ?

Prévention de l’exécution en mode superviseur (SMEP) : Aide à empêcher le noyau (le « superviseur ») d’exécuter du code dans les pages utilisateur, une technique courante utilisée par les attaquants pour l’élévation de privilèges (EOP) du noyau local. Cette configuration nécessite la prise en charge des processeurs Intel Ivy Bridge ou versions ultérieures, ou ARM avec prise en charge PXN.

Qu’est-ce que le NTVDM et le SMEP ?

(L’activation de NTVDM diminue la protection contre le déréférencement Null et d’autres exploits.) Prévention de l’exécution en mode superviseur (SMEP) : aide à empêcher le noyau (le « superviseur ») d’exécuter du code dans les pages utilisateur, une technique courante utilisée par les attaquants pour l’élévation de privilèges du noyau local. (EOP).

Windows 10 souffre-t-il d’une grave faille de sécurité ?

Il est récemment apparu que Windows 10 souffre d’une très grave faille de sécurité cela empêche Windows Sandbox et Windows Defender Application Guard (WDAG) de s’ouvrir, ce qui rend certains PC vulnérables aux attaques.

Comment générer des politiques d’atténuation Emet pour Windows 10 ?

L’un des points forts d’EMET est qu’il vous permet d’importer et d’exporter les paramètres de configuration des atténuations EMET sous forme de fichier de paramètres XML pour un déploiement simple. Pour générer des stratégies d’atténuation pour Windows 10 à partir d’un fichier de paramètres XML EMET, vous pouvez installer le module PowerShell ProcessMitigations.

Examinez plus en profondeur le trafic douteux pour déterminer s’il indique un type d’attaque ou une tentative d’infiltration du réseau. Connaître vos schémas de trafic typiques fait ressortir les anomalies.

Sujets suggérés

Nous espérons que ces conseils vous permettront de verrouiller Windows et d’arrêter les cybercriminels dans leur élan. Vous cherchez plus de conseils pour sécuriser votre vie numérique ? Quelques articles connexes qui, selon nous, pourraient vous être utiles :

• Comment supprimer les logiciels malveillants de votre PC Windows
• Sécuriser votre réseau sans fil domestique
• Protéger vos enfants en ligne
• Affrontement du gestionnaire de mots de passe

Faites-nous savoir si vous avez d’autres sujets sur la sécurité Windows que vous aimeriez que nous abordions dans les commentaires ci-dessous ! Notre objectif est de fournir les informations les plus utiles pour aider notre communauté à rester en sécurité dans un monde numérique de plus en plus dangereux.

Les références

1. https://www.techrepublic.com/article/how-to-protect-your-remote-desktop-environment-from-brute-force-attacks/
2. https://www.techtarget.com/searchsecurity/tip/10-RDP-security-best-practices-to-prevent-cyberattacks

Comment configurer une politique d’atténuation à l’échelle du système ?

La politique d’atténuation à l’échelle du système peut être consultée et configurée avec l’interface utilisateur graphique d’EMET. Il n’est pas nécessaire de localiser et de déchiffrer les clés de registre ou d’exécuter des utilitaires dépendants de la plate-forme. Avec EMET, vous pouvez ajuster les paramètres avec une seule interface cohérente quelle que soit la plate-forme sous-jacente.