Windows AppLocker : bloquer les exécutables et Scripts

Dans la continuité du sujet Comment se protéger des scripts malicieux sur Windows, Microsoft a intégré depuis Windows Server 2008, une fonctionnalité du nom de AppLocker qui permet de créer des règles de restrictions d’exécutable au sein d’un domaine.
Ces règles peuvent s’appliquer à un utilisateur ou groupe d’utilisateurs et permettent de bloquer des exécutables ou scripts à partir d’un emplacement, un éditeur spécifique ou un hash.
A ces règles, il est aussi possible d’ajouter des règles d’exception afin de pouvoir autoriser l’exécution que certaines applications/scripts.

La page de Microsoft Tech concernant Windows AppLocker : Windows AppLocker

La page de gestion des stratégie de contrôle de l’application (AppLocker).
Windows_AppLocker_page_principale

Dans la configuration des règles, vous pouvez appliquer les règles, ou simplement auditer.

Windows_AppLocker_page_principale_2Comme le mentionne aussi l’encart, le service identité de l’application (AppIDSvc) doit être en cours d’exécution sur l’ordinateur, sinon les règles ne s’appliqueront pas.

Windows_AppLocker_identite_application

Quelques exemples, ci-dessous, on interdit l’exécution d’exécutable depuis TEMP et AppData et ses sous-répertoires. Les règles prennent les variables et les wildcards.
Vous pouvez par exemple bloquer PowerShell : %SYSTEM32%\Windows\PowerShell\* – par exemple pour les Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit
Windows_AppLocker

Les événements de blocages sont enregistrés dans l’observateur d’événements :

Windows_AppLocker_2

Même chose avec les scripts (extension .ps1 .bat .cmd .vbs .js) – ci-dessous avec un script malicieux sur le bureau :

Windows_AppLocker_scripts_2

Même chose l’événement est enregistré.

Windows_AppLocker_scripts_3

Une fonctionnalité intéressante, notamment contre les Web ExploitKit puisque ces derniers ont tendance à placer le dropper dans %TEMP% ou %TEMP%\Low
Certains droppers ont aussi tendance à écrire dans ces dossiers ou dans %APPDATA%
Pensez aussi à interdire le dossier Windows\Temp

Il faudrait aussi tester, si bloquer l’exécution de vssadmin est possible pour les utilisateurs sans conséquence sur le fonctionne.
En effet, tous les crypto-ransomware utilisent vssadmin pour supprimer les shadow copies (versions précédentes) avant de chiffrer les documents.

Si vous n’avez pas de domaine, le programme Marmiton fait un peu la même chose.

Comment lire d'autres tutoriels de malekal.com ?

Si le site vous a aidé, svp, débloquez les bloqueurs de publicités, n'hésitez pas non plus à partager l'article ou le site sur les réseaux sociaux.

Pour pouvoir lire plus d'articles et tutoriels, utilisez le menu en haut du site. Plein d'articles et tutos utiles vous attendent !

Besoin d'aide ?

Posez votre question ou soumettez votre problème sur le forum malekal.com pour obtenir une aide efficace : Aller sur le forum malekal.com
(Visited 489 times, 2 visits today)

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *