Se protéger des ransomwares

De WIKI Les fourmis du libre
Révision de 10 mars 2016 à 13:19 par Simon (discussion | contributions) (Bloquer les Macro Word)

Aller à : navigation, rechercher

Nous allons vois ici comment bloquer des extension, exe, msi, cab ... La plupart des ransomwares utilise des exe ou des msi ou des cab


Bloquer les téléchargements des exe avec squid3

Ajouter l'acl correspondante:

 acl url_exe url_regex -i \.exe$ \.msi$ \.dll$

Avec le http_access

 http_access deny url_exe

Cette solution est pas mal mais elle ne bloque pas le téléchargement lorsque le lien est en https et n’empêche pas les zip car bloquer les zip c'est compliqué

Masquer les exe dans les partage samba

Dans votre smb.conf (ou include), rajouter la ligne hide files (dernière ligne) :

 [homes]
 comment = Répertoire personnel %U
 browseable = no
 path = /SMP/users/%U
 read only = no
 create mask = 0700
 directory mask = 0700
 valid users = %S
 hide files = /Desktop.ini/*.exe/

Cette méthode méthode est bien mais elle fonctionne uniquement si l'exe est exécutée depuis un partage

Interdire l’exécution des exe avec les GPO

Stratégie de sécurité pour bloquer les applications malicieuses

C'est la meilleur méthode a mon goût. Je part sur le principe qu'un utilisateur n'a pas l'autorisation d’exécuter un exe dans un répertoire dans lequel il a les droits en écriture.

Cette méthode permet également de garder les utilisateurs si nécessaire administrateur de leur postes tout en leur interdisant l’exécution des exe, msi ...

Présentation

La Stratégie de Restriction Logiciel (ou SRP : Software Restriction Policy ) est un mécanisme introduit avec Windows Server 2000 et Windows XP.

Il permet de limiter l’exécution d'application non autorisés par l'administrateur système par une règle de sécurité.

Image001.jpg

Configuration

La configuration se déroule dans l'édition de stratégies de groupes sur votre contrôleur de domaine.

2 solutions sont possibles :

  • Soit vous appliquez cette solution aux ordinateur, ce a quoi tous les utilisateurs y compris locaux sont soumis aux restrictions
  • Soit vous appliquez cette solution aux utilisateur, auquel cas seulement les utilisateurs domaine seront impactés.
 Configuration ordinateur  -> Paramètres de Windows -> Paramètres de sécurité
 Configuration utilisateur -> Paramètres de Windows -> Paramètres de sécurité


Contrôle obligatoire

Le contrôle obligatoire vous permet d'activer ou non le contrôle sur vos DLL.

Par défaut le contrôle des DLL n'est pas activé pour éviter un ralentissement du système car sinon, la stratégie sera testée systématiquement à chaque appel de DLL, ce qui nuiras largement au temps de réponse de votre système.

SRP-1.PNG

Types de fichiers désignés

-


Dans ce paramétrage, activez les extensions .js


SRP-3.PNG

Règles Supplémentaires

Par défaut donc certains chemins sont ajoutés dans ce repertoire (C:\Windows\System32\ et ProgramFiles ).

Ces règles vont fonctionner comme une WhiteList qui va définir les chemins UNC a autoriser et comme une BlackList qui va définir les chemins a restreindre.

La NSA (National Security Agency), agence nationale de la sécurité Américaine, définit dans une de ses recommandations les différents chemins par défaut a restreindre : Application Whitelisting using Software Restriction Policies

Les voici sous forme de tableau :

Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Debug
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\PCHEALTH\ERRORREP
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Registration
Clé restreinte/Non autorisé  %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\catroot2
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\com\dmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\FxsTmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\drivers\color
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\PRINTERS
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\SERVERS
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\Tasks
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\com\dmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\FxsTmp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\Tasks
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Temp
Clé restreinte/Non autorisé %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\tracing
Clé restreinte/Non autorisé runas.exe

Une fois mis en application ça donne ça, en plus des chemins réseaux Non restreint SRP-2.PNG

Je rajoute Egalement \\serveur\sysvol\

Bloquer les Macro Word

Des mes établissements, les macro word ne sont pas utilisée, d'ailleurs mes utilisateurs ne savant même pas ce que c'est ...

Pour un Active Directory windows serveur ou samba 4

Télécharger les administrative Template files (ADMX/ADML) sur le site officiel de microsoft:


Pour office 2007 : https://www.microsoft.com/fr-fr/download/details.aspx?id=22666 Pour office 2010 : https://www.microsoft.com/en-us/download/details.aspx?id=18968 Pour office 2013 : https://www.microsoft.com/en-us/download/details.aspx?id=35554 Pour office 2016 : https://www.microsoft.com/en-us/download/details.aspx?id=49030

Lors de l'installation, indiquer le bureau.

Vous allez ensuite trouver un dossier admx sur votre bureau

- Il faut ensuite copier le contenue du dossier admx et leur dossier de language dans le dossier \\votread\sysvol\votrenomdedomaine\Policies\PolicyDefinitions de votre AD (sans supprimer le dossier FR)


Ensuite lors de l'édition d'une gpo, dans model d’administration, vous verrez apparaître ceci :

Gpooffice.png


Puis allez dans :


Gpooffice2.png


Puis basculer le « Paramètre de notification de Macro VBA » a « Désactiver tout sans notification »


Gpooffice3.png


Vous pouvez le faire pour les autres composants Office Excel ...

Attention a ne pas désactiver complètement le VBA, cela peut paraître être une bonne idée mais si cela est activer les formule mathématique ne fonctionnerons plus.

Poste pour lequel les gpo ne sont pas disponible (scribe, samba3, poste isolée)

Télécharger les administrative Template files (ADMX/ADML) sur le site officiel de microsoft:

Pour office 2007 : https://www.microsoft.com/fr-fr/download/details.aspx?id=22666 Pour office 2010 : https://www.microsoft.com/en-us/download/details.aspx?id=18968 Pour office 2013 : https://www.microsoft.com/en-us/download/details.aspx?id=35554 Pour office 2016 : https://www.microsoft.com/en-us/download/details.aspx?id=49030

Lors de l'installation, indiquer le bureau.

Vous allez ensuite trouver un dossier admx sur votre bureau

- Il faut ensuite copier le contenue du dossier admx et leur dossier de language dans le dossier C:\Windows\PolicyDefinitions de votre Ordinateur (sans supprimer le dossier FR)

Exécuter ensuite la commande gpedit.msc pour accéder a l'edition des groupe Policy local.

Dans model d’administration, vous verrez apparaître ceci :

Gpooffice.png


Puis allez dans :


Gpooffice2.png


Puis basculer le « Paramètre de notification de Macro VBA » a « Désactiver tout sans notification »

Copie des gpo local

Pour copier ensuite cette configuration d'un poste a l'autre, il suffit de copier le dossier C:\Windows\PolicyDefinitions sur le pc qui n'a pas cette configuration.

Cette copie peux être automatisée avec un paquet wapt ou un script de démarrage. (ne pas oublier de faire un gpupdate /force pour forcer l'application des paramètres)