Protéger les PC et les serveurs Windows du domaine avec les SRP

Pourquoi utiliser les SRP avec les GPO permises avec Active Directory ?

Tranquil IT utilise les SRP chez tous ses clients en infogérance afin d’empêcher l’exécution de tout logiciel ou de tout exécutable inconnu.

La mise en place de ce type de méthode demande un peu de temps et de l’écoute, car il faut bien nettoyer le parc existant des logiciels et exécutables inconnus. Une fois les SRP bien maîtrisées, les rançongiciels et autre virus ne peuvent plus être lancés par les utilisateurs et vous avez une vision sûre de ce qui est déployé sur les machines de votre parc.

Les logiciels légitimes pour l’entreprise pourront alors être déployés avec l”outil de déploiement logiciel WAPT.

Chez Tranquil IT, nous avons trouvé que 2 GPO SRP apportaient un bon rapport entre complexité et efficacité :

  • SRP_light : mode Liste Noire pour bloquer les applications, chemins d’exécution et extensions non approuvées.

  • SRP_hard : mode Liste Blanche pour n’autoriser que les applications, chemins d’exécution et extensions approuvées.

La stratégie consistera à placer dans un premier temps vos utilisateurs dans une UO SRP_light, puis petit à petit de les basculer dans une UO SRP_hard.

Mettre en place les SRP

  • Créer les 2 UO SRP_light et SRP_hard.

SRP_light

  • Créer l’OU SRP_light :

    Créer une nouvelle Unité Organisationnelle

    Créer une nouvelle Unité Organisationnelle

  • Nommer votre Unité Organisationnelle SRP_LIGHT:

    Nommer l'Unité Organisationnelle

    Nommer l’Unité Organisationnelle

  • Créer la GPO de stratégie de restriction utilisateur :

    Créer une nouvelle GPO

    Créer une nouvelle GPO

  • Aller sur le module RSAT de gestion des GPO, Configuration Utilisateur -> Stratégies -> Paramètres Windows -> Paramètres de Sécurité -> Stratégies de Restriction logicielle.

  • Ensuite, Click droit -> Nouvelle Stratégie de restriction logicielle :

    Créer une nouvelle règle SRP

    Créer une nouvelle règle SRP

  • Dans -> Niveau de Sécurité, laisser le niveau de sécurité sur Non Restreint :

    Créer une nouvelle GPO

    Créer une nouvelle GPO

  • Dans -> Règles Supplémentaires, ajouter en restreint :

    • .js

    • %USERPROFILE%Download*

    Exemple avec .js, créer une nouvelle règle de chemin dans -> Règles Supplémentaires

    Nouvelle règle de chemin sur la GPO SRP

    Nouvelle règle de chemin sur la GPO SRP

    Le chemin accepte les joker *, pour les extensions .js cela va nous servir.

    Option pour la nouvelle règle de chemin vers les .js dans la GPO SRP

    Option pour la nouvelle règle de chemin vers les .js dans la GPO SRP

    Il est également possible d’utiliser des variables d’environnement tel que %USERPROFILE% pour appliquer à tous les utilisateurs.

    Option pour la nouvelle règle s'appliquant aux profils Utilisateurs sur la GPO SRP

    Option pour la nouvelle règle s’appliquant aux profils Utilisateurs sur la GPO SRP

SRP_hard

  • Aller sur le module RSAT de gestion des GPO, Configuration Utilisateur -> Stratégies -> Paramètres Windows -> Paramètres de Sécurité -> Stratégies de Restriction logicielle.

  • Ensuite, Click droit -> Nouvelle Stratégie de restriction logicielle :

    Créer une nouvelle règle SRP

    Créer une nouvelle règle SRP

  • Dans -> Niveau de Sécurité, passer le niveau de sécurité sur Non Autorisé ;

    Créer une nouvelle règle SRP

    Créer une nouvelle règle SRP

Stratégies de restrictions logicielles et Types de fichiers

  • Ajouter .js dans la liste :

    Ajout des extensions .js dans la liste interdites dans le SRP en mode durci

    Ajout des extensions .js dans la liste interdites dans le SRP en mode durci

  • Ajouter ps1 dans la liste de la même manière que pour .js.

  • Supprimer .lnk de la liste (sinon problème avec Windows XP) :

    Suppression de l'extention .Lnk pour les machine en Windows XP

    Suppression de l’extention .Lnk pour les machine en Windows XP

Stratégies de restrictions logicielles et Règles supplémentaires

  • Pour les répertoires courants et connus, ajouter ces règles en non restreint (Ajouter tout répertoire où des exécutables autorisés se trouvent) :

    %allusersprofile%
%LOGONSERVER%
%public%
%tmp%\getpath.cmd
\\ipsrvad
\\srvads.domaine.local
\\srvads
\\applicationmetier

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramW6432Dir%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir (x86)%

  • Pour les dossiers à ajouter dans la liste interdite :

    C:\Windows\Temp\*

  • Pour les clés de registre à potentiellement restreindre (ne pas appliquer pour le moment) :

    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Debug
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\PCHEALTH\ERRORREP
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Registration
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\catroot2
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\com\dmp
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\FxsTmp
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\drivers\color
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\PRINTERS
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\spool\SERVERS
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\Tasks
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\com\dmp
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\FxsTmp
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\SysWOW64\Tasks
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\Tasks
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\tracing

Logiciels métiers

  • Ajouter à la liste non-restreint les chemins vers les logiciels métier utilisés dans votre Organisation. La liste ci dessous est fournie à titre d”EXEMPLE :

    C:\AFICEGI
C:\AFISRV
C:\AFIWEB2
C:\Arpege
C:\Carteplus
C:\Cilw

  • Ajouter à la liste non-restreint les chemins vers les logiciels que vous devez absolument utiliser mais qui s’extraient dans Local Settings sous Windows XP, exemple avec l’applet LogMeIn :

    %userprofile%\Local Settings\Application Data\LogMeIn Rescue Applet\

    Note

    Il est préférable autant que possible d’utiliser des installeurs qui extraient les binaires dans les répertoires système prévus, tels C:\Program Files(x86)\ ou C:\Program Files\.

Utiliser des règles de hashage

Il est possible d’ajouter des hash de fichiers pour des exécutables sur clé USB par exemple :

  • Copier / coller le binaire sur un partage.

  • Rapatrier le binaire sur la machine de management.

  • Créer une nouvelle règle de hachage :

    Nouvelle règle de hachage

    Nouvelle règle de hachage

  • Sélectionner le binaire :

    Sélectionner le binaire

    Sélectionner le binaire

  • Les informations de l’exécutable va automatiquement se remplir :

    Hash ajouté à la règle SRP

    Hash ajouté à la règle SRP

  • La nouvelle règle de hash avec l’exécutable va apparaître dans la liste :

    Liste des règles SRP durcies

    Liste des règles SRP durcies

  • Répéter jusqu’à ce que l’exécutable se lance convenablement (exemple TISHelp ou Berger Levrault Paie).

Utiliser des règles de certificats

Il est nécessaire d’utiliser une règle GPO pour forcer le contrôle des certificats avant d’exécuter un logiciel (baisse des performances). Cela nécessite une phase de tests préalable sur une UO témoin.

Allez dans Configuration de l’ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité et activez Paramètres système -> Utiliser les règles de certificat sur les exécutables Windows :

Enclencher la vérification des certificats

Enclencher la vérification des certificats

Procédure de debug lors de blocages

  • Placer tous les utilisateurs dans l’UO SRP_light.

  • Placer vous avec votre compte restreint dans l’UO SRP et lancer toute les applications possibles de tous les serveurs possibles.

  • Sur les TSE rechercher les .exe dans C:\Users.

  • Sur le serveur de fichiers rechercher dans les partage les .exe.

  • Analyser dans l’observateur d’événements eventvwr de chaque serveur ou poste de travail les potentielles choses bloquées et ajouter si besoin le chemin dans les règles supplémentaires.

  • Déplacer ensuite quelques utilisateurs volontaires dans l’UO SRP_hard et laissez le temps faire son oeuvre.

  • En fonction des problèmes et des méthodes de résolution que vous appliquer, déplacer les utilisateurs petit à petit dans SRP_hard :

    Enclencher la vérification des certificats

    Enclencher la vérification des certificats

Itérer les changement rapidement

En cas de blocage et de correction, il n’y a pas besoin de redémarrer le poste, il faut juste rentrer un gpupdate /force en contexte utilisateur.

Cela permet de réappliquer les nouveaux paramètres de GPO sans redémarrer la session.