Hardening Windows — Registre & GPO¶
Durcir un poste Windows ne s'improvise pas. Ce livre relie les clés de registre, les GPO et les baselines de sécurité en une approche cohérente, testée sur le terrain.
A qui s'adresse ce livre ?¶
Administrateurs systèmes, ingénieurs sécurité et équipes SOC qui veulent aller au-delà de "cocher les cases CIS" et comprendre pourquoi chaque paramètre existe, où il s'écrit dans le registre et comment le déployer via GPO.
Prérequis utiles : connaître Active Directory, manipuler Regedit sans stress, avoir déjà créé une GPO.
Ce que vous allez maîtriser¶
- Lire et appliquer une baseline CIS, STIG ou ANSSI sans se perdre
- Protéger les credentials (LSASS, WDigest, Credential Guard)
- Durcir SMB, RDP, le réseau et le firewall
- Déployer AppLocker, WDAC et les règles ASR
- Gérer LAPS, BitLocker et Windows Hello for Business par GPO
- Durcir Active Directory : Kerberos, délégations, LDAP et tiering
- Construire une checklist de durcissement par niveau (workstation / serveur / DC)
- Auditer la dérive de configuration dans le temps
Parcours de lecture suggéré¶
Démarrage rapide (posture de base)¶
Lecture ciblée par besoin¶
| Je veux... | Aller au chapitre |
|---|---|
| Comprendre les baselines CIS/ANSSI/STIG | 02 - Baselines |
| Protéger LSASS et les mots de passe | 03 - Credential protection |
| Durcir SMB et les partages | 05 - SMB hardening |
| Sécuriser RDP | 06 - RDP hardening |
| Contrôler les applications | 07 - AppLocker / WDAC |
| Réduire la surface d'attaque Defender | 08 - ASR rules |
| Configurer les audits et les logs | 09 - Audit & Event Log |
| Gérer les comptes locaux et LAPS | 11 - LAPS & comptes locaux |
| Déployer BitLocker | 12 - BitLocker |
| Avoir une checklist prête à l'emploi | 18 - Checklist par niveau |
| Surveiller la dérive dans le temps | 20 - Maintien dans le temps |
| Durcir Active Directory | 21 - Active Directory hardening |
Tous les chapitres¶
| # | Chapitre | Thème |
|---|---|---|
| 01 | Philosophie du hardening | Fondations |
| 02 | Baselines : CIS, STIG, ANSSI, Microsoft | Référentiels |
| 03 | Credential protection | Identités |
| 04 | UAC et privilèges | Élévation |
| 05 | SMB hardening | Réseau |
| 06 | RDP hardening | Accès distant |
| 07 | AppLocker et WDAC | Contrôle applicatif |
| 08 | Attack Surface Reduction | Defender |
| 09 | Audit policies et Event Log | Visibilité |
| 10 | PowerShell Constrained Language Mode | Scripts |
| 11 | LAPS et comptes locaux | Comptes |
| 12 | BitLocker via GPO/registre | Chiffrement |
| 13 | Windows Firewall | Filtrage réseau |
| 14 | Windows Hello for Business | Authentification |
| 15 | Secured-Core PC | Firmware |
| 16 | Defender et antivirus via GPO | EDR |
| 17 | Réseau : LLMNR, NBT-NS, DoH | Protocoles |
| 18 | Checklist hardening par niveau | Référence terrain |
| 19 | Audit de conformité et RSoP | Conformité |
| 20 | Maintien dans le temps | Durabilité |
| 21 | Active Directory hardening | Active Directory |
Par où commencer ?
Lisez 01 et 02 pour cadrer la démarche, puis allez directement au chapitre qui correspond à votre risque prioritaire. La checklist du chapitre 18 est un bon point d'entrée si vous avez un audit imminent.