Skip to content

Windows Security

Sécurisation et audit des systèmes Windows (Blue Team).

Vue d'Ensemble

Windows Security Stack Layers

Guides de Sécurité

Guide Description Niveau
Firewall & Defender Windows Firewall, Defender AV, règles et exclusions Débutant
LAPS Local Administrator Password Solution - Rotation automatique Intermédiaire
BitLocker Chiffrement disque, TPM, Network Unlock Intermédiaire
PKI Bootstrap Certificats machine offline, ECDSA P-384, VPN pre-join Avancé
Hardening ANSSI GPO hardening, audit, conformité SecNumCloud Avancé

Checklist Rapide SecNumCloud

Critique (P0)

  • [ ] SMBv1 désactivé - Disable-WindowsOptionalFeature -FeatureName SMB1Protocol
  • [ ] LLMNR désactivé - Registre EnableMulticast=0
  • [ ] NBT-NS désactivé - SetTcpipNetbios(2) sur toutes interfaces
  • [ ] Print Spooler désactivé - Set-Service Spooler -StartupType Disabled
  • [ ] LAPS déployé - Rotation mots de passe Admin local

Important (P1)

  • [ ] BitLocker activé - Chiffrement AES-256 (XtsAes256)
  • [ ] TLS 1.0/1.1 désactivés - Forcer TLS 1.2+
  • [ ] Kerberos AES-256 - Désactiver RC4/DES
  • [ ] Event ID 4688 activé - Audit Process Creation avec ligne de commande

Recommandé (P2)

  • [ ] Network Unlock - BitLocker auto-unlock sur LAN
  • [ ] Session timeouts RDP - 15 min inactivité max
  • [ ] Télémétrie désactivée - Tâches CEIP désactivées

Commandes Essentielles

# === ÉTAT SÉCURITÉ ===
Get-MpComputerStatus                    # Defender status
Get-BitLockerVolume                     # BitLocker status
Get-NetFirewallProfile                  # Firewall status

# === AUDIT RAPIDE ===
Get-WindowsOptionalFeature -Online -FeatureName SMB1Protocol  # SMBv1 ?
Get-SmbServerConfiguration | Select EnableSMB1Protocol
auditpol /get /category:*               # Audit policies

# === EVENTS SÉCURITÉ ===
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4625} -MaxEvents 10  # Failed logons
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4720} -MaxEvents 10  # User created

Ressources