Sécurité Windows Avancée : Guide des Commandes Netsh et Gestion des Mots de Passe

La sécurisation des systèmes Windows est un aspect crucial de la cybersécurité. Ce guide explore les techniques avancées de configuration et de protection.

1. Configuration du Pare-feu avec Netsh

Configuration de Base

# Activation du pare-feu
netsh advfirewall set allprofiles state on

# Configuration des profils
netsh advfirewall set allprofiles firewallpolicy blockinbound,allowoutbound

# Configuration des notifications
netsh advfirewall set allprofiles notifications on

Règles Avancées

# Création d'une règle pour un service spécifique
netsh advfirewall firewall add rule name="Allow RDP" dir=in action=allow protocol=TCP localport=3389

# Règle pour bloquer une adresse IP
netsh advfirewall firewall add rule name="Block Malicious IP" dir=in action=block remoteip=192.168.1.100

# Règle pour un programme spécifique
netsh advfirewall firewall add rule name="Allow Chrome" dir=out action=allow program="C:\Program Files\Google\Chrome\Application\chrome.exe"

2. Gestion des Mots de Passe

Politique de Mots de Passe

# Configuration de la politique de mots de passe
net accounts /minpwlen:12 /maxpwage:90 /minpwage:1 /uniquepw:24

# Activation de la complexité des mots de passe
secedit /configure /cfg C:\Windows\Security\templates\secsetup.inf /areas SECURITYPOLICY

Gestion des Comptes

# Création d'un compte avec mot de passe complexe
$password = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
New-LocalUser -Name "User1" -Password $password -PasswordNeverExpires $false

# Modification du mot de passe
Set-LocalUser -Name "User1" -Password $password

3. Sécurisation du Réseau

Configuration IPsec

# Création d'une politique IPsec
netsh ipsec static add policy name="SecurePolicy" description="Politique sécurisée"

# Ajout d'une règle de filtrage
netsh ipsec static add filterlist name="SecureList"
netsh ipsec static add filter filterlist="SecureList" srcaddr=any dstaddr=any protocol=TCP srcport=0 dstport=0

# Configuration de l'action de sécurité
netsh ipsec static add filteraction name="SecureAction" qmsecmethods=esp:sha1+3des

Configuration du DNS

# Configuration DNS sécurisée
netsh interface ipv4 set dns name="Ethernet" static 8.8.8.8
netsh interface ipv4 add dns name="Ethernet" 8.8.4.4 index=2

# Activation de DNSSEC
netsh interface ipv4 set dnssec name="Ethernet" enable

4. Sécurisation des Services

Gestion des Services

# Désactivation des services non essentiels
sc config RemoteRegistry start= disabled
sc config Telnet start= disabled
sc config TFTP start= disabled

# Configuration des permissions
sc sdset RemoteRegistry D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)

Configuration des Ports

# Blocage des ports non utilisés
netsh advfirewall firewall add rule name="Block Port 445" dir=in action=block protocol=TCP localport=445
netsh advfirewall firewall add rule name="Block Port 3389" dir=in action=block protocol=TCP localport=3389

5. Audit et Monitoring

Configuration de l’Audit

# Activation de l'audit des événements
auditpol /set /category:"Account Logon" /success:enable /failure:enable
auditpol /set /category:"Logon Events" /success:enable /failure:enable
auditpol /set /category:"Object Access" /success:enable /failure:enable

# Configuration des logs
wevtutil sl Security /maxsize:4294967296 /retention:true

Monitoring des Événements

# Création d'une tâche de monitoring
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-File C:\Scripts\MonitorEvents.ps1"
$trigger = New-ScheduledTaskTrigger -Daily -At 9AM
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "Security Monitoring"

6. Scripts de Sécurité

Vérification de Sécurité

# Script de vérification de sécurité
function Test-SecuritySettings {
    # Vérification du pare-feu
    $firewall = Get-NetFirewallProfile
    Write-Host "État du pare-feu:"
    $firewall | Format-Table Name, Enabled

    # Vérification des services
    $services = Get-Service | Where-Object {$_.Status -eq "Running"}
    Write-Host "Services en cours d'exécution:"
    $services | Format-Table Name, Status

    # Vérification des ports ouverts
    $ports = netstat -an | findstr "LISTENING"
    Write-Host "Ports en écoute:"
    $ports
}

Maintenance de Sécurité

# Script de maintenance
function Update-SecuritySettings {
    # Mise à jour des règles de pare-feu
    netsh advfirewall firewall delete rule name=all
    netsh advfirewall firewall add rule name="Allow RDP" dir=in action=allow protocol=TCP localport=3389

    # Vérification des comptes
    $accounts = Get-LocalUser | Where-Object {$_.Enabled -eq $true}
    foreach ($account in $accounts) {
        if ($account.PasswordRequired -eq $false) {
            Set-LocalUser -Name $account.Name -PasswordRequired $true
        }
    }
}

7. Bonnes Pratiques

Configuration Système

# Désactivation des fonctionnalités non essentielles
Disable-WindowsOptionalFeature -Online -FeatureName "Windows Media Player"
Disable-WindowsOptionalFeature -Online -FeatureName "Internet Explorer"

# Configuration de la politique de sécurité
secedit /configure /cfg C:\Windows\Security\templates\secsetup.inf /areas SECURITYPOLICY

Gestion des Mises à Jour

# Configuration de Windows Update
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update" -Name "AUOptions" -Value 4

# Planification des mises à jour
$action = New-ScheduledTaskAction -Execute "wuauclt.exe" -Argument "/detectnow"
$trigger = New-ScheduledTaskTrigger -Weekly -DaysOfWeek Sunday -At 3AM
Register-ScheduledTask -Action $action -Trigger $trigger -TaskName "Windows Update"

Conclusion

La sécurisation de Windows nécessite :

• Une configuration appropriée du pare-feu
• Une gestion stricte des mots de passe
• Une surveillance constante
• Des mises à jour régulières
• Une documentation précise

Points clés à retenir :

• Utiliser des mots de passe complexes
• Maintenir le pare-feu actif
• Surveiller les événements de sécurité
• Effectuer des audits réguliers
• Suivre les bonnes pratiques de sécurité