Baselines de sécurité (CIS, STIG, Microsoft)¶

Microsoft Security Baseline¶

Contenu du package¶

La Microsoft Security Baseline est distribuée dans le Security Compliance Toolkit (SCT), téléchargeable gratuitement sur le Microsoft Download Center.

URL officielle : Security Compliance Toolkit

Chaque baseline couvre une version spécifique de Windows. Les packages disponibles incluent :

Chaque package contient trois éléments distincts :

1. Un dossier GPOs\ — des GPOs prêtes à importer dans GPMC, au format GPT (GUID + GptTmpl.inf + registry.pol)
2. LGPO.exe — l'outil Microsoft d'application locale (voir chapitre 21 — LGPO)
3. Baseline-LocalInstall.ps1 — le script d'application autonome pour machines hors domaine ou golden images

Structure d'un package SCT¶

Windows 11 v23H2 Security Baseline\
├── Documentation\
│   └── Windows 11 v23H2 Security Baseline.xlsx
├── GPOs\
│   ├── MSFT Windows 11 - Computer\
│   │   ├── {GUID}\
│   │   │   ├── GPT.INI
│   │   │   ├── Machine\
│   │   │   │   ├── Registry.pol
│   │   │   │   └── Microsoft\Windows NT\SecEdit\GptTmpl.inf
│   │   │   └── User\
│   │   │       └── Registry.pol
│   │   └── Backup.xml
│   ├── MSFT Windows 11 - User\
│   └── MSFT Windows 11 - Domain Security\
├── Scripts\
│   ├── Baseline-LocalInstall.ps1
│   ├── MapGuidsToGpoNames.ps1
│   └── LGPO.exe
└── Templates\
    └── PolicyDefinitions\
        ├── *.admx
        └── en-US\*.adml

Baseline-LocalInstall.ps1 : ce qui se passe réellement¶

Le script Baseline-LocalInstall.ps1 est le point d'entrée pour appliquer une baseline sur une machine autonome.

Voici exactement ce qu'il exécute, dans l'ordre :

Étape 1 — Préparation de l'environnement : Le script vérifie que LGPO.exe est présent dans le même dossier que lui. Il monte les ADMX/ADML de la baseline dans %SystemRoot%\PolicyDefinitions\ si le paramètre -installADMX est passé.

Étape 2 — Application via LGPO.exe : Pour chaque GPO du dossier GPOs\, le script appelle LGPO.exe /g <chemin-gpo>. Cette commande importe le contenu complet d'une GPO (registry.pol + GptTmpl.inf) dans la Local Group Policy.

Étape 3 — Import GPMC (optionnel) : Si la machine est jointe à un domaine et que -installGPOs est passé, le script utilise Import-GPO pour importer les GPOs dans GPMC.

# Run from the Scripts\ folder of the SCT package, elevated
# Apply baseline to Local Policy only (standalone / golden image)
.\Baseline-LocalInstall.ps1

# Apply baseline AND import GPOs into GPMC (domain-joined machine, GPMC installed)
.\Baseline-LocalInstall.ps1 -installGPOs

# Apply baseline AND copy ADMX/ADML templates to PolicyDefinitions
.\Baseline-LocalInstall.ps1 -installADMX

Applying machine settings via LGPO...
LGPO.exe — version 3.0.2004.13001
Command line: LGPO.exe /g "C:\SCT\GPOs\MSFT Windows 11 - Computer\{GUID}"
...
Applying user settings via LGPO...
Command line: LGPO.exe /g "C:\SCT\GPOs\MSFT Windows 11 - User\{GUID}"
...
Done. Machine must be rebooted for all settings to take effect.

Importer les GPOs dans GPMC¶

Pour importer manuellement les GPOs d'une baseline dans GPMC, sans passer par le script :

# Import the Computer baseline GPO into GPMC
# Requires the GPMC module and domain connectivity
Import-Module GroupPolicy

$backupPath = "C:\SCT\GPOs\MSFT Windows 11 - Computer"
$gpoName    = "MSFT Windows 11 v23H2 - Computer"
$domain     = (Get-ADDomain).DNSRoot

# Create a new GPO with the target name, then import the backup into it
$gpo = New-GPO -Name $gpoName -Domain $domain
Import-GPO -BackupGpoName "MSFT Windows 11 - Computer" `
           -Path $backupPath `
           -TargetName $gpoName `
           -Domain $domain

CIS Benchmarks¶

Structure d'un benchmark CIS¶

Les CIS Benchmarks (Center for Internet Security) sont des guides de configuration publiés par une organisation à but non lucratif et révisés par une communauté internationale de praticiens.

Chaque benchmark est un document PDF (et un fichier XCCDF pour l'automatisation) organisé en chapitres. Chaque règle suit le schéma :

<Numéro> <Titre>
  Profile Applicability: Level 1 ou Level 2
  Description: pourquoi ce paramètre est important
  Rationale: justification sécurité
  Audit: comment vérifier l'état courant
  Remediation: comment corriger (via GPO ou registre)
  Default Value: valeur par défaut de Windows
  References: mapping CVE, STIG, NIST SP 800-53

Le mapping règle CIS → chemin GPO → clé de registre est explicite dans chaque règle. Il n'y a pas d'ambiguïté.

Level 1 vs Level 2¶

10 paramètres CIS L1 représentatifs (Windows 11)¶

Mapping CIS → chemin GPO¶

Chaque règle CIS mentionne explicitement le chemin dans l'éditeur GPO sous la forme :

Computer Configuration\Policies\Windows Settings\Security Settings\
  Local Policies\Security Options\
    Network security: LAN Manager authentication level

Ce chemin correspond directement à un nœud de gpedit.msc ou GPMC. Le fichier de stockage peut être GptTmpl.inf (pour les Security Settings) ou registry.pol (pour les Administrative Templates).

:material-army: STIG (Security Technical Implementation Guide)¶

Format et origine¶

Les STIG sont publiés par la DISA (Defense Information Systems Agency, département de la Défense américain). Ils définissent les exigences de configuration pour les systèmes déployés dans les réseaux du DoD américain.

Bien que d'origine DoD, les STIG sont publiquement accessibles et adoptés par certaines entreprises européennes dans des contextes de haute assurance (banques, opérateurs d'importance vitale, industries de défense).

URL officielle : https://public.cyber.mil/stigs/

Chaque STIG est un fichier XCCDF (Extensible Configuration Checklist Description Format) — un XML structuré décrivant les règles, leur sévérité, et les procédures de vérification.

Niveaux de sévérité STIG¶

STIG Viewer¶

STIG Viewer est l'outil officiel DISA pour consulter et gérer les STIG. Il s'agit d'une application Java desktop téléchargeable sur public.cyber.mil.

STIG Viewer permet de :

1. Charger un fichier XCCDF — importez le STIG ZIP directement depuis l'interface
2. Créer une checklist — instanciez le STIG pour une machine cible, documentez l'état de chaque règle (Open, Not a Finding, Not Applicable, Not Reviewed)
3. Exporter une checklist — format .ckl (XML) utilisable par les outils d'automatisation DISA et les scanners de conformité

# Parse a STIG Viewer checklist (.ckl) to extract non-compliant rules
[xml]$checklist = Get-Content "C:\Audit\Win11-STIG.ckl"

$results = $checklist.CHECKLIST.STIGS.iSTIG.VULN | ForEach-Object {
    $status    = ($_.STATUS)
    $vulnId    = ($_.STIG_DATA | Where-Object { $_.VULN_ATTRIBUTE -eq "Vuln_Num" }).ATTRIBUTE_DATA
    $severity  = ($_.STIG_DATA | Where-Object { $_.VULN_ATTRIBUTE -eq "Severity" }).ATTRIBUTE_DATA
    $ruleTitle = ($_.STIG_DATA | Where-Object { $_.VULN_ATTRIBUTE -eq "Rule_Title" }).ATTRIBUTE_DATA

    [PSCustomObject]@{
        VulnID    = $vulnId
        Severity  = $severity
        Status    = $status
        Title     = $ruleTitle
    }
}

# Show only Open findings (non-compliant)
$openFindings = $results | Where-Object { $_.Status -eq "Open" }
$openFindings | Sort-Object Severity | Format-Table -AutoSize

VulnID    Severity Status Title
------    -------- ------ -----
V-253260  high     Open   Windows 11 accounts must require passwords.
V-253262  medium   Open   Windows 11 must be configured to audit Account Logon...
V-253301  medium   Open   Windows 11 AutoPlay must be disabled for all drives.

Mapping STIG → clés de registre et Event IDs¶

Chaque règle STIG inclut une section Check décrivant la procédure de vérification. Pour les paramètres de registre, elle spécifie :

• Le chemin de clé exact (HKLM\...)
• La valeur attendue
• L'Event ID associé si applicable

Exemple de règle STIG (extraite de la section Check) :

Rule: V-253260 — WN11-AC-000040
Check: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
       Value Name: EnableSmartScreen
       Value Type: REG_DWORD
       Value: 1

Event ID associé: 4657 (modification d'une valeur de registre auditée)

Comparaison des trois référentiels¶

Workflow enterprise d'application d'une baseline¶

Les quatre phases¶

L'application d'une baseline en production ne se fait pas en une seule opération. Elle suit un workflow structuré en quatre phases.

Phase 1 — Audit de l'état courant : Capturez la configuration réelle des machines de référence. Exportez les registry.pol existants via LGPO.exe /parse. Documentez les dérogations déjà en place.

Phase 2 — Gap analysis : Comparez l'état courant avec les valeurs cibles de la baseline. Identifiez les paramètres qui différent. Classez-les par criticité (paramètres de sécurité critiques vs. paramètres de confort).

Phase 3 — Application par ring progressif : Déployez sur un ring de lab (machines de test sans données production), puis sur un ring de staging (machines pilotes avec utilisateurs volontaires), puis en production par vague contrôlée.

Phase 4 — Surveillance de conformité continue : Mesurez l'écart de conformité en continu. Toute GPO ou script qui modifie un paramètre couvert par la baseline doit être tracé.

Les rings de déploiement¶

Outils de mesure de conformité¶

Script PowerShell de gap analysis¶

Ce script compare un ensemble de valeurs de registre cibles (définies dans un CSV ou une hashtable) avec les valeurs réellement présentes sur la machine.

# Baseline Gap Analysis Script
# Compare current registry values against a defined baseline

# Define the baseline as an array of target settings
# Format: Path, ValueName, ExpectedData, ValueType (REG_DWORD | REG_SZ | REG_QWORD)
$baselineTargets = @(
    # CIS L1 / Microsoft Baseline — sample parameters
    [PSCustomObject]@{
        Path     = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU'
        Name     = 'NoAutoUpdate'
        Expected = 0
        Type     = 'DWORD'
        RuleRef  = 'CIS 18.9.101.2'
    },
    [PSCustomObject]@{
        Path     = 'HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters'
        Name     = 'SMB1'
        Expected = 0
        Type     = 'DWORD'
        RuleRef  = 'CIS 18.3.3 / STIG V-253381'
    },
    [PSCustomObject]@{
        Path     = 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa'
        Name     = 'LmCompatibilityLevel'
        Expected = 5
        Type     = 'DWORD'
        RuleRef  = 'CIS 2.3.11.7 / MSFT Baseline'
    },
    [PSCustomObject]@{
        Path     = 'HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services'
        Name     = 'fAllowToGetHelp'
        Expected = 0
        Type     = 'DWORD'
        RuleRef  = 'CIS 18.9.77.11'
    },
    [PSCustomObject]@{
        Path     = 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System'
        Name     = 'EnableSmartScreen'
        Expected = 1
        Type     = 'DWORD'
        RuleRef  = 'STIG V-253260'
    },
    [PSCustomObject]@{
        Path     = 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa'
        Name     = 'RestrictAnonymous'
        Expected = 1
        Type     = 'DWORD'
        RuleRef  = 'CIS 2.3.10.2 / MSFT Baseline'
    }
)

# Run the gap analysis
$results = foreach ($target in $baselineTargets) {
    $currentValue = $null
    $status       = 'UNKNOWN'

    try {
        $regItem = Get-ItemProperty -Path $target.Path -Name $target.Name -ErrorAction Stop
        $currentValue = $regItem.($target.Name)

        $status = if ($currentValue -eq $target.Expected) { 'COMPLIANT' } else { 'NON-COMPLIANT' }
    }
    catch [System.Management.Automation.ItemNotFoundException] {
        $status       = 'MISSING'
        $currentValue = '(key or value not found)'
    }

    [PSCustomObject]@{
        Rule        = $target.RuleRef
        Path        = $target.Path -replace 'HKLM:\\', 'HKLM\'
        ValueName   = $target.Name
        Expected    = $target.Expected
        Current     = $currentValue
        Status      = $status
    }
}

# Display summary
$compliant    = ($results | Where-Object Status -eq 'COMPLIANT').Count
$nonCompliant = ($results | Where-Object Status -eq 'NON-COMPLIANT').Count
$missing      = ($results | Where-Object Status -eq 'MISSING').Count

Write-Host "`n=== Gap Analysis Results ===" -ForegroundColor Cyan
Write-Host "  Compliant     : $compliant" -ForegroundColor Green
Write-Host "  Non-Compliant : $nonCompliant" -ForegroundColor Red
Write-Host "  Missing       : $missing" -ForegroundColor Yellow
Write-Host ""

$results | Sort-Object Status | Format-Table Rule, ValueName, Expected, Current, Status -AutoSize

# Export to CSV for reporting
$reportPath = "C:\Audit\gap-analysis-$(Get-Date -Format 'yyyyMMdd-HHmmss').csv"
$results | Export-Csv -Path $reportPath -NoTypeInformation -Encoding UTF8
Write-Host "Report exported to: $reportPath"

=== Gap Analysis Results ===
  Compliant     : 4
  Non-Compliant : 1
  Missing       : 1

Rule                        ValueName              Expected Current  Status
----                        ---------              -------- -------  ------
CIS 18.3.3 / STIG V-253381  SMB1                   0        0        COMPLIANT
CIS 18.9.101.2              NoAutoUpdate           0        0        COMPLIANT
CIS 18.9.77.11              fAllowToGetHelp        0        0        COMPLIANT
STIG V-253260               EnableSmartScreen      1        0        NON-COMPLIANT
CIS 2.3.10.2 / MSFT Baseline RestrictAnonymous    1        (key..)  MISSING
CIS 2.3.11.7 / MSFT Baseline LmCompatibilityLevel 5        5        COMPLIANT

Report exported to: C:\Audit\gap-analysis-20240315-142301.csv

Appliquer une baseline sans GPMC : LGPO.exe /g¶

Cas d'usage¶

LGPO.exe /g est la commande centrale pour appliquer une baseline Microsoft sur une machine sans domaine Active Directory et sans GPMC installé.

Cas d'usage typiques : - Machine autonome (workgroup, laptop de terrain) - Préparation d'une golden image avant sysprep - Pipeline CI/CD de validation de configuration (VM provisionnée, baseline appliquée, tests, snapshot) - Poste nouvellement installé avant jonction de domaine

Syntaxe de LGPO.exe /g¶

REM Apply a full GPO backup folder to the Local Group Policy
REM The folder must contain a valid GPT structure (GPT.INI + Machine\ or User\)
LGPO.exe /g "C:\SCT\GPOs\MSFT Windows 11 - Computer\{GUID}"

REM Apply multiple GPOs in sequence
LGPO.exe /g "C:\SCT\GPOs\MSFT Windows 11 - Computer\{GUID}"
LGPO.exe /g "C:\SCT\GPOs\MSFT Windows 11 - User\{GUID}"
LGPO.exe /g "C:\SCT\GPOs\MSFT Windows 11 - Domain Security\{GUID}"

La commande /g lit le dossier GPO (au format GPT, avec GPT.INI et les sous-dossiers Machine\ et/ou User\) et applique son contenu à la Local Group Policy via les mêmes mécanismes que si la GPO était liée à l'OU de la machine.

Internals de Baseline-LocalInstall.ps1¶

Voici la logique centrale du script, reconstituée pour comprendre ce qu'il fait réellement :

# Core logic of Baseline-LocalInstall.ps1 — simplified for clarity
param(
    [switch]$installGPOs,
    [switch]$installADMX
)

$scriptDir = Split-Path -Parent $MyInvocation.MyCommand.Path
$lgpoExe   = Join-Path $scriptDir "LGPO.exe"
$gposDir   = Join-Path $scriptDir "..\GPOs"

# Verify LGPO.exe is present
if (-not (Test-Path $lgpoExe)) {
    Write-Error "LGPO.exe not found at $lgpoExe. Aborting."
    exit 1
}

# Optionally install ADMX templates
if ($installADMX) {
    $templateSrc = Join-Path $scriptDir "..\Templates\PolicyDefinitions"
    $templateDst = "$env:SystemRoot\PolicyDefinitions"
    Copy-Item -Path "$templateSrc\*" -Destination $templateDst -Recurse -Force
    Write-Host "ADMX templates installed to $templateDst"
}

# Apply each GPO folder via LGPO.exe /g
Get-ChildItem -Path $gposDir -Directory | ForEach-Object {
    $gpoFolder = $_.FullName
    # Each GPO backup contains a subfolder named with the GPO's GUID
    $guidFolders = Get-ChildItem -Path $gpoFolder -Directory -Filter '{*}'

    foreach ($guidFolder in $guidFolders) {
        Write-Host "Applying: $($_.Name) [$($guidFolder.Name)]"
        & $lgpoExe /g $guidFolder.FullName
        if ($LASTEXITCODE -ne 0) {
            Write-Warning "LGPO.exe returned exit code $LASTEXITCODE for $($guidFolder.FullName)"
        }
    }
}

Write-Host "Baseline application complete. Reboot required."

# Optionally import GPOs into GPMC (domain-joined only)
if ($installGPOs) {
    Import-Module GroupPolicy -ErrorAction Stop
    # [Import logic — calls Import-GPO for each GPO folder]
}

Diagramme : cycle de vie du déploiement d'une baseline¶

flowchart TD
    A([Téléchargement SCT\nMicrosoft Security Baseline]) --> B[Inventaire des GPOs\net fichiers inclus]
    B --> C{Type de\ndéploiement ?}
    C -->|Machine autonome / golden image| D[LGPO.exe /g\nBaseline-LocalInstall.ps1]
    C -->|Domaine Active Directory| E[Import-GPO dans GPMC\nLiaison NON appliquée]

    D --> F[Audit état courant\nLGPO.exe /parse + registry.pol]
    E --> F

    F --> G[Gap Analysis\nScript PowerShell\nRegistre cible vs. valeur courante]

    G --> H{Paramètres\nnon conformes ?}
    H -->|Oui| I[Triage : critique / impactant / négligeable]
    H -->|Non| P

    I --> J[Documentation des dérogations\nPOA&M ou exception formelle]
    J --> K

    I --> K[Ring LAB\nVMs de test — 48h minimum]
    K --> L{Régressions\nfonctionnelles ?}
    L -->|Oui| M[Ajustement de la baseline\nExclusion ou surcharge du paramètre]
    M --> K
    L -->|Non| N[Ring STAGING\n5-10 % des postes — 1 semaine]

    N --> O{Tickets support\nouvert ?}
    O -->|Oui| M
    O -->|Non| P[Ring PRODUCTION Wave 1\n20 % des postes]

    P --> Q[Surveillance de conformité continue\nNessus / Tenable / SCC / PowerShell]
    Q --> R{Drift\ndétecté ?}
    R -->|Oui| S[Remédiation ciblée\ngpupdate /force ou LGPO.exe]
    S --> Q
    R -->|Non| T[Ring PRODUCTION Wave 2\n80 % restants]
    T --> Q

Références croisées¶

• 13 — Stratégies de sécurité — Les paramètres GptTmpl.inf (mot de passe, audit, droits utilisateur, options de sécurité) sont au cœur de toute baseline. Les baselines Microsoft et CIS les configurent massivement.
• 21 — LGPO et stratégies locales multiples — LGPO.exe est l'outil d'application des baselines sur machines autonomes. Ce chapitre couvre le format LGPO.txt, les couches MLGPO et les cas d'usage de golden image.
• ../gpo-pour-les-admins/06-audit-conformite.md — Mesurer la conformité à une baseline en environnement de domaine : RSoP, rapports GPMC, intégration Nessus.