Hardentools - Pour se protéger des scripts et plus encore -Complément à l'article du site
Modérateur : Mods Windows
- Messages : 57
- Inscription : 03 oct. 2014 15:59
Hardentools - Pour se protéger des scripts et plus encore -Complément à l'article du site
Bonjour j'aime bien votre siteweb et souhaiterai avoir plus d'explication sur une page en particulier même si beaucoup d'autres parlent du ou des sujets concernés par ce même logiciel, mais un peu moins ou un peu plus sans en faire référence.
La page https://www.malekal.com/hardentools-sec ... onnalites/ mentionne quelques améliorations concernant la sécurité, j'utilise marmiton par-ce qu'il est bien conçus et permet surtout une whitelist car j'ai quelques scripts que je connais bien et souhaite avoir à disposition, le problème réside dans le choix des fonctionnalités de hardentoolset comment elle agissent exactement:
- windows script host: je suppose que la whitelist ne fonctionnera plus
-file associations: même chose ?, lesquelles et pourquoi en plus sans autres fonctionnalités...
-powershell and cmd: j'ai windows 8.1 et j'ai installé powershell mais il n'est pas censé être nativement dans la distribution, ensuite pourquoi cmd
-uac prompt, j'ai quelques script qui contournent volontairement par exemple avec le plânificateur de tâches certaines execution requérant l'attention de l'utilisateur, cela sera-t-il pénalisé aussi?
Je vois que le logiciel est en forum depuis 2011, j'aurais bien aimé un peu plus d'explications comme d'habitude on nous donne allègrement sinon j'aimerais bien les même choses comme les lecteurs, pardon mais je n'ai pas tout lu sur le site et je suis certain qu'il y a d'autres choses directement en relation ,veuillez ne pas en tenir compte puisque au final il ne s'agit que de ca :x
Merci aux intervenants.
La page https://www.malekal.com/hardentools-sec ... onnalites/ mentionne quelques améliorations concernant la sécurité, j'utilise marmiton par-ce qu'il est bien conçus et permet surtout une whitelist car j'ai quelques scripts que je connais bien et souhaite avoir à disposition, le problème réside dans le choix des fonctionnalités de hardentoolset comment elle agissent exactement:
- windows script host: je suppose que la whitelist ne fonctionnera plus
-file associations: même chose ?, lesquelles et pourquoi en plus sans autres fonctionnalités...
-powershell and cmd: j'ai windows 8.1 et j'ai installé powershell mais il n'est pas censé être nativement dans la distribution, ensuite pourquoi cmd
-uac prompt, j'ai quelques script qui contournent volontairement par exemple avec le plânificateur de tâches certaines execution requérant l'attention de l'utilisateur, cela sera-t-il pénalisé aussi?
Je vois que le logiciel est en forum depuis 2011, j'aurais bien aimé un peu plus d'explications comme d'habitude on nous donne allègrement sinon j'aimerais bien les même choses comme les lecteurs, pardon mais je n'ai pas tout lu sur le site et je suis certain qu'il y a d'autres choses directement en relation ,veuillez ne pas en tenir compte puisque au final il ne s'agit que de ca :x
Merci aux intervenants.
- Messages : 117003
- Inscription : 10 sept. 2005 13:57
Re: hardentools un peu plus ...
Salut,
Si tu désactives complètement Windows Script Host, oui tous tes scripts ne fonctionneront plus, donc il vaut mieux utiliser Marmiton.
Pareil pour les extensions.
S'il y a des options qui ne te vont pas dans HardenTools, ne les coche pas ou n'utilise pas HadenTools.
Edit : Marmiton n'existe plus donc utiliser HardenTools
Si tu désactives complètement Windows Script Host, oui tous tes scripts ne fonctionneront plus, donc il vaut mieux utiliser Marmiton.
Pareil pour les extensions.
S'il y a des options qui ne te vont pas dans HardenTools, ne les coche pas ou n'utilise pas HadenTools.
Edit : Marmiton n'existe plus donc utiliser HardenTools
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
➔ Comment protéger son PC des virus
➔ Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11
Comment demander de l'aide sur le forum
Evaluer le site malekal.com
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: hardentools un peu plus ...
En remplacement de Marmiton plus à jour et plus suivi
HARDENTOOLS
https://www.malekal.com/hardentools-securiser-windows/
Une version 2.0 a été finalisée (la taille du programme a doublé)
https://github.com/securitywithoutborde ... s/releases
Désormais au lancement on a cela et je conseille de cocher le menu expert
La présentation diffère et (enfin :-) powerShell et CMD sont dissociés
Il y a une "LSA Protection " qui a fait son apparition (La protection LSA empêche les utilisateurs ayant des informations d'identification non protégées de lire la mémoire et d'injecter du code.) Ce n'est pas coché par défaut (pas testé car je suppose que lié obligatoirement à des pilotes signés)
Par contre, il n y a toujours pas de liste blanche pour les utilisateurs de macros sous Office
Chez moi le fait de cocher "montrer les associations de fichiers ne fonctionne pas)
Ancienne version
Nouvelle version
HARDENTOOLS
https://www.malekal.com/hardentools-securiser-windows/
Une version 2.0 a été finalisée (la taille du programme a doublé)
https://github.com/securitywithoutborde ... s/releases
Désormais au lancement on a cela et je conseille de cocher le menu expert
La présentation diffère et (enfin :-) powerShell et CMD sont dissociés
Il y a une "LSA Protection " qui a fait son apparition (La protection LSA empêche les utilisateurs ayant des informations d'identification non protégées de lire la mémoire et d'injecter du code.) Ce n'est pas coché par défaut (pas testé car je suppose que lié obligatoirement à des pilotes signés)
Par contre, il n y a toujours pas de liste blanche pour les utilisateurs de macros sous Office
Chez moi le fait de cocher "montrer les associations de fichiers ne fonctionne pas)
Ancienne version
Nouvelle version
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: hardentools un peu plus ...
A ce jour Hardentools est en version Beta V2.2 Beta3 (donc proche de la finalisation)
Quelques différences depuis la version 2.0
- Mise à jour du cadre de l'interface utilisateur
- UAC avec invite de mot de passe maintenant
- s'assure maintenant que tous les autres paramètres de registre UAC sont correctement définis (ce qu'ils sont par défaut)
- Activation de Microsoft Defender PUA Protection ajoutée (activée par défaut)
- Client de ligne de commande supplémentaire (hardentools-cli) pour les cas d'utilisation particuliers
- Empêche les attaques de chargement latéral de dll dynamiques pour les charges de dll fyne.io
- Correction du renforcement des extensions de fichiers manquantes pour les utilisateurs non privilégiés
- Renforce désormais également la version non-DC d'Acrobat Reader 2020
On le voit déjà avec l'interface utilisateur qui a pris de l'embonpoint (j'ai étiré l'ancienne version pour mettre la meme taille)
Certaines nouvelles fonctions (ou modifiées) sont cochées par défaut
Quelques différences depuis la version 2.0
- Mise à jour du cadre de l'interface utilisateur
- UAC avec invite de mot de passe maintenant
- s'assure maintenant que tous les autres paramètres de registre UAC sont correctement définis (ce qu'ils sont par défaut)
- Activation de Microsoft Defender PUA Protection ajoutée (activée par défaut)
- Client de ligne de commande supplémentaire (hardentools-cli) pour les cas d'utilisation particuliers
- Empêche les attaques de chargement latéral de dll dynamiques pour les charges de dll fyne.io
- Correction du renforcement des extensions de fichiers manquantes pour les utilisateurs non privilégiés
- Renforce désormais également la version non-DC d'Acrobat Reader 2020
On le voit déjà avec l'interface utilisateur qui a pris de l'embonpoint (j'ai étiré l'ancienne version pour mettre la meme taille)
Certaines nouvelles fonctions (ou modifiées) sont cochées par défaut
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: hardentools un peu plus ...
Nouvelle version 2.3 en date de début octobre 2022
https://github.com/securitywithoutborders/hardentools
Depuis la beta voici les nouveautés
- Fonctionnalité supprimée dans "restaurer" qui supprimait les clés de registre qui n'avaient pas été enregistrées lors du durcissement.
Si vous avez renforcé votre système avec une (vraiment) ancienne version de hardentools, mieux vaut d'abord restaurer avec une version plus ancienne (<= 2.1), puis durcir à nouveau avec cette version.
- Compilé avec golang 1.18.3 pour inclure tous les correctifs de sécurité, même si hardentools ne semble pas être affecté (par exemple golang/go#52574 )
- Activation de Microsoft Defender PUA Protection ajoutée (activée par défaut)
- Version CLI améliorée
- UAC avec invite de mot de passe maintenant (voir #46 ) s'assure maintenant que tous les autres paramètres de registre UAC sont correctement définis (ce qu'ils sont par défaut)
https://github.com/securitywithoutborders/hardentools
Depuis la beta voici les nouveautés
- Fonctionnalité supprimée dans "restaurer" qui supprimait les clés de registre qui n'avaient pas été enregistrées lors du durcissement.
Si vous avez renforcé votre système avec une (vraiment) ancienne version de hardentools, mieux vaut d'abord restaurer avec une version plus ancienne (<= 2.1), puis durcir à nouveau avec cette version.
- Compilé avec golang 1.18.3 pour inclure tous les correctifs de sécurité, même si hardentools ne semble pas être affecté (par exemple golang/go#52574 )
- Activation de Microsoft Defender PUA Protection ajoutée (activée par défaut)
- Version CLI améliorée
- UAC avec invite de mot de passe maintenant (voir #46 ) s'assure maintenant que tous les autres paramètres de registre UAC sont correctement définis (ce qu'ils sont par défaut)
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: hardentools un peu plus ...
POUR RAPPEL !
La fonction USER ACCOUNT CONTROL est cochée par défaut, mettant le curseur de contrôle à fond
Dans l'aboslu c'est ce qui devrait être mais pour la moindre action l'UAC apparait à l'écran et cela devient pénible
Pire, si vous voulez diminuer d'un cran ce contrôle, en passant par les outils de Windows de contrôle de compte utilisateur il vous sera demandé votre mot de passe de connexion au démarrage de l'ordinateur
Si vous l'avez enlevé pour diverses raisons et que vous l'avez oublié c'est la cata. Il faudra passer par des fonctions tierces pas toujours simples et cela vous fera suer à grosse gouttes :-)
Certains malwares passent outre l'UAC, même si ils ne sont pas nombreux, il est quand même conseillé de laisser en place cette protection pour le tout venant
La solution du "'moindre emmerdement" est de positionner ce curseur à 75%
Si vous ne voulez pas relancer Hardentools et que vous connaissez votre mot de passe, voici la solution
Dans la boite de dialogue "Démarrer -----> Rechercher, tapoter "UAC et choisir ce qui figure sur la capture
Ensuite il suffit d'abaisser d'un cran la fonction
Nouvelle version 2.4 en date du 29 décembre 2022
L'auteur rappelle que :
NOUVEAUTES
Mise à jour de la convivialité avec des correctifs/nettoyages mineurs.
Aucune mise à jour concernant le durcissement, pas besoin de durcir à nouveau.
Détails:
La capture ci dessous indique la configuration par défaut
Pour modifier d'autres paramètres, il est impératif de cliquer sur "Show Experts settings" (Pour rappel si on désactive PowerShell on ne peut plus l exécuter, idem pour CMD)
Comme indiqué dans les indications de changement/amélioration (changelog), il y a maintenant une description pour chaque paramètre si on clique sur le "?" (point d'interrogation)
Dans l'exemple ci dessous la description est en lien avec "Windows Script Host"
On retrouve maintenant TOUS les descriptifs de paramètres dans le fichier HELP qui figure en tant que "?" sur l'écran de démarrage (hors "Show experts settings"'
Les captures ci dessous donnent une vue d'ensemble des paramètres, de ce qu'ils sont
En détails (traduction à l'arrache)
Source https://github.com/securitywithoutborde ... tools/wiki
FONCTIONNALITES QUI PEUVENT ETRE DESACTIVEES
Fonctionnalités génériques de Windows
Désactive l'hôte de script Windows . Windows Script Host permet l'exécution de fichiers VBScript et JavaScript sur les systèmes d'exploitation Windows. Ceci est très couramment utilisé par les logiciels malveillants ordinaires (tels que les rançongiciels) ainsi que par les logiciels malveillants ciblés.
Désactivation de l'exécution automatique et de la lecture automatique . Désactive AutoRun / AutoPlay pour tous les appareils. Cela empêche les applications de s'exécuter automatiquement lorsque vous branchez une clé USB sur votre ordinateur.
Désactive l'exécution de powershell.exe et powershell_ise.exe via l'Explorateur Windows . Cela empêche l'utilisation de PowerShell par un code malveillant essayant d'infecter le système. Vous ne pourrez plus ouvrir PowerShell directement.
Désactive l'exécution de cmd.exe via l'Explorateur Windows (facultatif) . Vous ne pourrez pas utiliser le terminal cmd et cela devrait empêcher un code malveillant d'essayer d'infecter le système en utilisant cmd.exe pour, par exemple, démarrer powershell.exe. Ce paramètre est facultatif car cmd.exe est utilisé assez souvent par les utilisateurs et les applications. Cela doit donc être activé manuellement dans la section des paramètres experts.
Définit le contrôle de compte d'utilisateur (UAC) pour toujours demander l'autorisation (même sur les modifications de configuration uniquement) et pour utiliser le "bureau sécurisé".
Désactivez les extensions de fichiers principalement utilisées à des fins malveillantes . Désactive les ".hta", ".js", ".JSE", ".WSH", ".WSF", ".scf", ".scr", ".vbs", ".vbe" et ".pif " extensions de fichier pour l'utilisateur actuel (et pour les valeurs par défaut à l'échelle du système, qui ne concernent que les utilisateurs nouvellement créés).
Affiche les extensions de fichiers et les fichiers cachés dans l'explorateur . Ceci est très utile pour détecter les fichiers prétendant être un autre type de fichier (par exemple, un fichier exe nommé comme iAmSimulatingToBeAPdf.pdf.exe)
Active la protection LSA supplémentaire (paramètre facultatif/expert) : lorsque ce paramètre est activé, Windows fournit une protection supplémentaire pour les processus LSA afin d'empêcher la lecture de la mémoire et l'injection de code par des processus non protégés. Cela offre une sécurité supplémentaire contre la lecture des informations d'identification par des processus malveillants.
Règles de réduction de la surface d'attaque (ASR) de Windows Defender . Active diverses corrections à l'aide des règles ASR à partir de Windows 10/1709. Pour être efficace, cela nécessite les prérequis suivants :
Version Windows 10 >= 1709,
Vous utilisez Windows Defender Antivirus comme seule application de protection antivirus,
La protection en temps réel est activée dans Windows Defender.
La protection cloud est activée dans Windows Defender (nécessaire uniquement pour certaines règles ASR)
Les règles ASR suivantes sont implémentées :
Bloquer le contenu exécutable du client de messagerie et du webmail
Empêcher les applications Office de créer des processus enfants
Empêchez les applications Office de créer du contenu exécutable et d'injecter du code dans d'autres processus
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
Bloquer l'exécution de scripts potentiellement obfusqués
Bloquer les appels d'API Win32 à partir de macros Office
Bloquer les processus non approuvés et non signés qui s'exécutent à partir d'USB
Utilisez une protection avancée contre les ransomwares
Bloquer les créations de processus provenant des commandes PSExec et WMI
Empêcher l'application de communication Office de créer des processus enfants
Empêcher Adobe Reader de créer des processus enfants
Bloquer la persistance via l'abonnement aux événements WMI
Bloquer le vol d'informations d'identification du sous-système de l'autorité de sécurité locale de Windows
Les règles ASR suivantes ne sont pas mises en œuvre pour le moment :
Bloquer l'exécution des fichiers exécutables à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de liste de confiance (en raison d'un impact trop important, par exemple, les hardentools pourraient être bloqués)
Microsoft Office
Désactivez les macros . Les macros sont parfois utilisées par les utilisateurs de Microsoft Office pour créer des scripts et automatiser certaines activités, en particulier les calculs avec Microsoft Excel. Cependant, les macros sont actuellement un fléau pour la sécurité et elles sont largement utilisées comme moyen de compromis. Avec Hardentools, les macros sont désactivées et la notification "Activer ce contenu" est également désactivée, pour éviter que les utilisateurs ne soient trompés.
Désactiver l'exécution de l'objet OLE . Les applications Microsoft Office sont capables d'intégrer des "objets OLE" et de les exécuter, parfois aussi automatiquement (par exemple via des animations PowerPoint). Les exécutables Windows, tels que les logiciels espions, peuvent également être intégrés et exécutés en tant qu'objet. C'est aussi une catastrophe sécuritaire dont on a pu observer qu'elle était utilisée à maintes reprises, notamment dans des attaques contre des militants dans des régions réprimées. Hardentools désactive entièrement cette fonctionnalité.
Désactiver ActiveX . Désactive les contrôles ActiveX pour toutes les applications Office. Les contrôles ActiveX peuvent fournir des fonctionnalités supplémentaires dans les documents et sont principalement utilisés dans les environnements d'entreprise. L'impact de ce paramètre est que les contrôles ActiveX ne s'initialisent pas et que vous n'êtes pas averti que les contrôles ActiveX sont désactivés. Remarque : cela ne désactive pas ActiveX dans Internet Explorer.
Désactivez les liens DDE et Excel . Désactive DDE pour Word, Excel et Outlook. Le protocole DDE permet d'envoyer des messages entre applications pour partager des données. Il s'agit d'un vecteur d'attaque si l'utilisateur ouvre un document malveillant. Les effets secondaires sont :
S'il existe des liens vers d'autres documents bureautiques (pour mettre à jour des données dans une feuille Excel par exemple), ces données ne sont plus mises à jour automatiquement. Si vous utilisez ce type de documents, vous devrez peut-être désactiver ce paramètre de renforcement.
Chaque document Excel est ouvert dans une instance Excel distincte s'il est ouvert à l'aide de l'explorateur Windows. Cela peut également avoir un impact sur le partage des données entre les documents et consommer plus de mémoire.
Lecteur Acrobat
Désactivez JavaScript dans les documents PDF . Acrobat Reader permet d'exécuter du code JavaScript à partir de documents PDF. Ceci est largement utilisé à des fins d'exploitation et d'activités malveillantes.
Désactiver l'exécution des objets incorporés dans les documents PDF . Acrobat Reader permet également d'exécuter des objets intégrés en les ouvrant. Cela déclencherait normalement une alerte de sécurité, mais étant donné que les utilisations légitimes de cela sont rares et limitées, Hardentools le désactive.
Activez le mode protégé . Lorsque le mode protégé est activé, Acrobat Reader suppose que tous les fichiers PDF sont potentiellement malveillants et confine tout traitement qu'ils invoquent à un bac à sable afin que les fichiers PDF malveillants ne puissent pas infecter l'ordinateur. (Ce paramètre est activé par défaut dans les versions actuelles d'Acrobat Reader.)
Activez la vue protégée pour tous les fichiers provenant de sources non fiables. En mode Affichage protégé, la plupart des fonctionnalités sont désactivées pour empêcher les fichiers PDF malveillants de nuire. Vous pouvez afficher le PDF, mais pas grand-chose d'autre. Une barre jaune s'affiche en haut de la fenêtre du lecteur. Cliquez sur Activer toutes les fonctionnalités pour quitter la vue protégée. mais faites-le avec prudence et uniquement pour les fichiers dont vous êtes vraiment sûr qu'ils proviennent d'une source fiable.
Activez la sécurité renforcée . Ce paramètre interdit aux fichiers PDF de récupérer des données à partir d'emplacements non fiables. (Ce paramètre est activé par défaut dans les versions actuelles d'Acrobat Reader.)
POINTS NEGATIFS
- Hardentools peut ne pas démarrer lorsqu'il est utilisé sur une machine virtuelle, s'il est utilisé à distance (par exemple avec RDP) ou sur une machine avec uniquement des pilotes graphiques très basiques (pas d'OpenGL 2.0)
- Il faut TOUJOURS cliquer sur RESTORE si on a déjà mis en place des paramètres, relancer l'ordinateur, pour ensuite accéder à TOUS les paramètres
MAIS si on utilise le script qui figure dans ce lien pour powershell (le plus usité) cela permet de réactiver sans pour cela relancer Hardentools
Comment désactiver PowerShell par le registre Windows (avec un script d'activation et désactivation powershell ET mshta
https://www.malekal.com/comment-desacti ... ell-mshta/
- Pas disponible en Français
La fonction USER ACCOUNT CONTROL est cochée par défaut, mettant le curseur de contrôle à fond
Dans l'aboslu c'est ce qui devrait être mais pour la moindre action l'UAC apparait à l'écran et cela devient pénible
Pire, si vous voulez diminuer d'un cran ce contrôle, en passant par les outils de Windows de contrôle de compte utilisateur il vous sera demandé votre mot de passe de connexion au démarrage de l'ordinateur
Si vous l'avez enlevé pour diverses raisons et que vous l'avez oublié c'est la cata. Il faudra passer par des fonctions tierces pas toujours simples et cela vous fera suer à grosse gouttes :-)
Certains malwares passent outre l'UAC, même si ils ne sont pas nombreux, il est quand même conseillé de laisser en place cette protection pour le tout venant
La solution du "'moindre emmerdement" est de positionner ce curseur à 75%
Si vous ne voulez pas relancer Hardentools et que vous connaissez votre mot de passe, voici la solution
Dans la boite de dialogue "Démarrer -----> Rechercher, tapoter "UAC et choisir ce qui figure sur la capture
Ensuite il suffit d'abaisser d'un cran la fonction
Nouvelle version 2.4 en date du 29 décembre 2022
L'auteur rappelle que :
Hardentools est destiné aux personnes à risque(s), qui pourraient souhaiter un niveau de sécurité supplémentaire au prix d' une certaine convivialité . Il n'est pas destiné aux environnements d'entreprise.
Les modifications apportées par Hardentools sont exclusivement contextuelles au compte utilisateur Windows utilisé pour exécuter l'outil.
Si vous souhaitez que Hardentools modifie également les paramètres pour d'autres utilisateurs Windows, vous devrez l'exécuter à partir de chacun d'eux connecté.
NOUVEAUTES
Mise à jour de la convivialité avec des correctifs/nettoyages mineurs.
Aucune mise à jour concernant le durcissement, pas besoin de durcir à nouveau.
Détails:
Code : Tout sélectionner
-Ajout des boutons d'aide et des textes d'aide pour chaque élément durci (sur l'écran principal et expert). Les recommandations des utilisateurs pour améliorer les textes d'aide sont les bienvenues !
- correction de l'écran de démarrage (affichant au hasard uniquement une fenêtre vide)
- correction de l'outil de blocage de la boîte de dialogue d'informations
- toutes les fenêtres sont maintenant centrées sur l'écran
- mise à jour des bibliothèques sauf fyne.io
- quelques nettoyages de code mineurs
La capture ci dessous indique la configuration par défaut
Pour modifier d'autres paramètres, il est impératif de cliquer sur "Show Experts settings" (Pour rappel si on désactive PowerShell on ne peut plus l exécuter, idem pour CMD)
Comme indiqué dans les indications de changement/amélioration (changelog), il y a maintenant une description pour chaque paramètre si on clique sur le "?" (point d'interrogation)
Dans l'exemple ci dessous la description est en lien avec "Windows Script Host"
On retrouve maintenant TOUS les descriptifs de paramètres dans le fichier HELP qui figure en tant que "?" sur l'écran de démarrage (hors "Show experts settings"'
Les captures ci dessous donnent une vue d'ensemble des paramètres, de ce qu'ils sont
En détails (traduction à l'arrache)
Source https://github.com/securitywithoutborde ... tools/wiki
FONCTIONNALITES QUI PEUVENT ETRE DESACTIVEES
Fonctionnalités génériques de Windows
Désactive l'hôte de script Windows . Windows Script Host permet l'exécution de fichiers VBScript et JavaScript sur les systèmes d'exploitation Windows. Ceci est très couramment utilisé par les logiciels malveillants ordinaires (tels que les rançongiciels) ainsi que par les logiciels malveillants ciblés.
Désactivation de l'exécution automatique et de la lecture automatique . Désactive AutoRun / AutoPlay pour tous les appareils. Cela empêche les applications de s'exécuter automatiquement lorsque vous branchez une clé USB sur votre ordinateur.
Désactive l'exécution de powershell.exe et powershell_ise.exe via l'Explorateur Windows . Cela empêche l'utilisation de PowerShell par un code malveillant essayant d'infecter le système. Vous ne pourrez plus ouvrir PowerShell directement.
Désactive l'exécution de cmd.exe via l'Explorateur Windows (facultatif) . Vous ne pourrez pas utiliser le terminal cmd et cela devrait empêcher un code malveillant d'essayer d'infecter le système en utilisant cmd.exe pour, par exemple, démarrer powershell.exe. Ce paramètre est facultatif car cmd.exe est utilisé assez souvent par les utilisateurs et les applications. Cela doit donc être activé manuellement dans la section des paramètres experts.
Définit le contrôle de compte d'utilisateur (UAC) pour toujours demander l'autorisation (même sur les modifications de configuration uniquement) et pour utiliser le "bureau sécurisé".
Désactivez les extensions de fichiers principalement utilisées à des fins malveillantes . Désactive les ".hta", ".js", ".JSE", ".WSH", ".WSF", ".scf", ".scr", ".vbs", ".vbe" et ".pif " extensions de fichier pour l'utilisateur actuel (et pour les valeurs par défaut à l'échelle du système, qui ne concernent que les utilisateurs nouvellement créés).
Affiche les extensions de fichiers et les fichiers cachés dans l'explorateur . Ceci est très utile pour détecter les fichiers prétendant être un autre type de fichier (par exemple, un fichier exe nommé comme iAmSimulatingToBeAPdf.pdf.exe)
Active la protection LSA supplémentaire (paramètre facultatif/expert) : lorsque ce paramètre est activé, Windows fournit une protection supplémentaire pour les processus LSA afin d'empêcher la lecture de la mémoire et l'injection de code par des processus non protégés. Cela offre une sécurité supplémentaire contre la lecture des informations d'identification par des processus malveillants.
Règles de réduction de la surface d'attaque (ASR) de Windows Defender . Active diverses corrections à l'aide des règles ASR à partir de Windows 10/1709. Pour être efficace, cela nécessite les prérequis suivants :
Version Windows 10 >= 1709,
Vous utilisez Windows Defender Antivirus comme seule application de protection antivirus,
La protection en temps réel est activée dans Windows Defender.
La protection cloud est activée dans Windows Defender (nécessaire uniquement pour certaines règles ASR)
Les règles ASR suivantes sont implémentées :
Bloquer le contenu exécutable du client de messagerie et du webmail
Empêcher les applications Office de créer des processus enfants
Empêchez les applications Office de créer du contenu exécutable et d'injecter du code dans d'autres processus
Empêcher JavaScript ou VBScript de lancer le contenu exécutable téléchargé
Bloquer l'exécution de scripts potentiellement obfusqués
Bloquer les appels d'API Win32 à partir de macros Office
Bloquer les processus non approuvés et non signés qui s'exécutent à partir d'USB
Utilisez une protection avancée contre les ransomwares
Bloquer les créations de processus provenant des commandes PSExec et WMI
Empêcher l'application de communication Office de créer des processus enfants
Empêcher Adobe Reader de créer des processus enfants
Bloquer la persistance via l'abonnement aux événements WMI
Bloquer le vol d'informations d'identification du sous-système de l'autorité de sécurité locale de Windows
Les règles ASR suivantes ne sont pas mises en œuvre pour le moment :
Bloquer l'exécution des fichiers exécutables à moins qu'ils ne répondent à un critère de prévalence, d'âge ou de liste de confiance (en raison d'un impact trop important, par exemple, les hardentools pourraient être bloqués)
Microsoft Office
Désactivez les macros . Les macros sont parfois utilisées par les utilisateurs de Microsoft Office pour créer des scripts et automatiser certaines activités, en particulier les calculs avec Microsoft Excel. Cependant, les macros sont actuellement un fléau pour la sécurité et elles sont largement utilisées comme moyen de compromis. Avec Hardentools, les macros sont désactivées et la notification "Activer ce contenu" est également désactivée, pour éviter que les utilisateurs ne soient trompés.
Désactiver l'exécution de l'objet OLE . Les applications Microsoft Office sont capables d'intégrer des "objets OLE" et de les exécuter, parfois aussi automatiquement (par exemple via des animations PowerPoint). Les exécutables Windows, tels que les logiciels espions, peuvent également être intégrés et exécutés en tant qu'objet. C'est aussi une catastrophe sécuritaire dont on a pu observer qu'elle était utilisée à maintes reprises, notamment dans des attaques contre des militants dans des régions réprimées. Hardentools désactive entièrement cette fonctionnalité.
Désactiver ActiveX . Désactive les contrôles ActiveX pour toutes les applications Office. Les contrôles ActiveX peuvent fournir des fonctionnalités supplémentaires dans les documents et sont principalement utilisés dans les environnements d'entreprise. L'impact de ce paramètre est que les contrôles ActiveX ne s'initialisent pas et que vous n'êtes pas averti que les contrôles ActiveX sont désactivés. Remarque : cela ne désactive pas ActiveX dans Internet Explorer.
Désactivez les liens DDE et Excel . Désactive DDE pour Word, Excel et Outlook. Le protocole DDE permet d'envoyer des messages entre applications pour partager des données. Il s'agit d'un vecteur d'attaque si l'utilisateur ouvre un document malveillant. Les effets secondaires sont :
S'il existe des liens vers d'autres documents bureautiques (pour mettre à jour des données dans une feuille Excel par exemple), ces données ne sont plus mises à jour automatiquement. Si vous utilisez ce type de documents, vous devrez peut-être désactiver ce paramètre de renforcement.
Chaque document Excel est ouvert dans une instance Excel distincte s'il est ouvert à l'aide de l'explorateur Windows. Cela peut également avoir un impact sur le partage des données entre les documents et consommer plus de mémoire.
Lecteur Acrobat
Désactivez JavaScript dans les documents PDF . Acrobat Reader permet d'exécuter du code JavaScript à partir de documents PDF. Ceci est largement utilisé à des fins d'exploitation et d'activités malveillantes.
Désactiver l'exécution des objets incorporés dans les documents PDF . Acrobat Reader permet également d'exécuter des objets intégrés en les ouvrant. Cela déclencherait normalement une alerte de sécurité, mais étant donné que les utilisations légitimes de cela sont rares et limitées, Hardentools le désactive.
Activez le mode protégé . Lorsque le mode protégé est activé, Acrobat Reader suppose que tous les fichiers PDF sont potentiellement malveillants et confine tout traitement qu'ils invoquent à un bac à sable afin que les fichiers PDF malveillants ne puissent pas infecter l'ordinateur. (Ce paramètre est activé par défaut dans les versions actuelles d'Acrobat Reader.)
Activez la vue protégée pour tous les fichiers provenant de sources non fiables. En mode Affichage protégé, la plupart des fonctionnalités sont désactivées pour empêcher les fichiers PDF malveillants de nuire. Vous pouvez afficher le PDF, mais pas grand-chose d'autre. Une barre jaune s'affiche en haut de la fenêtre du lecteur. Cliquez sur Activer toutes les fonctionnalités pour quitter la vue protégée. mais faites-le avec prudence et uniquement pour les fichiers dont vous êtes vraiment sûr qu'ils proviennent d'une source fiable.
Activez la sécurité renforcée . Ce paramètre interdit aux fichiers PDF de récupérer des données à partir d'emplacements non fiables. (Ce paramètre est activé par défaut dans les versions actuelles d'Acrobat Reader.)
POINTS NEGATIFS
- Hardentools peut ne pas démarrer lorsqu'il est utilisé sur une machine virtuelle, s'il est utilisé à distance (par exemple avec RDP) ou sur une machine avec uniquement des pilotes graphiques très basiques (pas d'OpenGL 2.0)
- Il faut TOUJOURS cliquer sur RESTORE si on a déjà mis en place des paramètres, relancer l'ordinateur, pour ensuite accéder à TOUS les paramètres
MAIS si on utilise le script qui figure dans ce lien pour powershell (le plus usité) cela permet de réactiver sans pour cela relancer Hardentools
Comment désactiver PowerShell par le registre Windows (avec un script d'activation et désactivation powershell ET mshta
https://www.malekal.com/comment-desacti ... ell-mshta/
- Pas disponible en Français
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Hardentools - Pour se protéger des scripts et plus encore
Petite info sur les macros Office
21 Janvier 2023 : Microsoft prévoit de supprimer la livraison de logiciels malveillants via les compléments Excel XLL (à priori en mars 2023)
Microsoft travaille sur l'ajout d'une protection complémentaire XLL pour les clients Microsoft 365 en incluant le blocage automatisé de tous ces fichiers téléchargés depuis Internet.
Cela aidera à lutter contre l'augmentation des campagnes de logiciels malveillants abusant de ce vecteur d'infection de manière croissante au cours des dernières années.
Les fichiers Excel XLL sont des bibliothèques de liens dynamiques (DLL) utilisées pour étendre les fonctionnalités de Microsoft Excel en fournissant des fonctionnalités supplémentaires, telles que des fonctions personnalisées, des boîtes de dialogue et des barres d'outils.
https://www.microsoft.com/en-us/microso ... rms=115485
Depuis juillet 2022, Microsoft a déclaré que les macros Office VBA seraient automatiquement bloquées dans les documents Office téléchargés, ce qui rendrait plus difficile leur activation dans les documents téléchargés depuis Internet dans plusieurs applications Office (Access, Excel, PowerPoint, Visio et Word).
En mars 2021, la société a ajouté la protection contre les macros XLM dans M365 en étendant la défense d'exécution fournie par l'intégration d'Office 365 avec l'interface d'analyse antimalware (AMSI) pour inclure l'analyse des macros Excel 4.0 (XLM).
Microsoft a commencé à désactiver les macros Excel 4.0 (XLM) par défaut lors de leur ouverture dans Microsoft 365 en janvier 2021.
Des années auparavant, en 2018 , Microsoft avait également étendu la prise en charge d'AMSI aux applications Office 365 pour défendre les clients contre les attaques utilisant des macros VBA.
--------
A noter que les malfaisants se dirigent vers OneNote
Dans les tentatives de phishing, les cybercriminels utilisent désormais les pièces jointes OneNote lors de l'envoi d'e-mails de phishing, les utilisateurs se méfiant de plus en plus des documents office (Word et Excel) avec des macros dissimulées.
Au début de l'année dernière, Microsoft avait promis de détruire le vecteur de diffusion des logiciels malveillants via des macros dans Office, mais déjà en décembre 2022, les cybercriminels ont commencé à contourner de nouvelles mesures de sécurité via le format XLL .
OneNote est pratique pour les hameçonneurs dans la mesure où cette application est incluse par défaut dans le package Microsoft Office / 365. Même si le propriétaire de l'appareil n'utilise pas ce logiciel, Microsoft OneNote sera lancé à l'ouverture du fichier correspondant.
OneNote ne prend pas en charge les macros comme Word et Excel, mais il vous permet de placer une pièce jointe malveillante dans un bloc-notes. Lorsque le fichier est lancé, le composant malveillant démarre également
Heureusement, lors du lancement de OneNote, le logiciel doit avertir l'utilisateur des risques possibles, mais la pratique montre que, dans la plupart des cas, les utilisateurs cliquent simplement sur OK, ne sachant pas les dangers liés
Continuent d'être utilisées, les pièces jointes ISO et VHD , ainsi que les archives ZIP protégées par mot de passe
Comme vous le savez, ces conteneurs permettent de contourner les antivirus et le mécanisme de protection Windows (Mark of the Web (MoTW) )
Un patch non officiel existe via la sté bien connue 0patch
Micropatchs gratuits pour contourner l'avertissement de sécurité MotW avec signature invalide (0day, maintenant CVE-2022-44698)
https://blog.0patch.com/2022/10/free-mi ... -motw.html
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Hardentools - Pour se protéger des scripts et plus encore
Compléments à Hardentools
Firewall les bons réglages avec un script prêt à l'emploi
https://www.malekal.com/firewall-window ... n-reglages
Comment désactiver PowerShell par le registre Windows (avec un script d'activation et désactivation powershell ET mshta
https://www.malekal.com/comment-desacti ... ell-mshta/
Pour savoir ce qu'est mshta
https://www.malekal.com/mshta-exe-fichier-hta-malwares/
Firewall les bons réglages avec un script prêt à l'emploi
https://www.malekal.com/firewall-window ... n-reglages
Comment désactiver PowerShell par le registre Windows (avec un script d'activation et désactivation powershell ET mshta
https://www.malekal.com/comment-desacti ... ell-mshta/
Pour savoir ce qu'est mshta
https://www.malekal.com/mshta-exe-fichier-hta-malwares/
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Hardentools - Pour se protéger des scripts et plus encore
HARDENTOOLS version 2.5
Téléchargement direct : https://github.com/securitywithoutborde ... ntools.exe
NOUVEAUTES ET CORRECTIONS
- Nouvelle fonctionnalité : Désactiver les pièces jointes OneNote
- Amélioration de la boîte de dialogue d'aide dans l'écran principal : répertorier toutes les fonctionnalités de durcissement possibles
- Mise à jour des dépendances, incl. correctifs de sécurité golang
- Correctifs #120 (textes d'aides manquants)
Problèmes connus:
Des parties de texte dans l'interface utilisateur sont affichées "floues" (bogue dans le cadre actuel de l'interface utilisateur fyne.io)
_________
Ps : Comme on le voit dans la capture je n'ai pas coché LSA protection...
https://learn.microsoft.com/fr-fr/windo ... protection
Je conseille également de décocher "user account control" sinon il sera réglé à fond et demander le mot de passe de Windows à chaque action (ce qui est pénible)
Il peut y avoir des erreurs qui apparaissent lors de l'exécution d'Hardentools
Par ex
C'est normal, surtout si vous utilisez un antivirus tiersWindows ASR Rules failed with error
Comme l'auteur le précise :
-------------------------------------------------------------
Vous devez désactiver votre antivirus et activer Windows Defender.
L'autre option consiste à désactiver les renforcements ASR dans la boîte de dialogue des paramètres experts de Hardentools.
_Windows Defender Attack Surface Reduction (ASR) permet diverses corrections à l'aide des règles ASR à partir de Windows 10/1709. Pour être efficace, cela nécessite les conditions préalables suivantes :
"Windows 10 version >= 1709,
You are using Windows Defender Antivirus as the sole antivirus protection app,
Real-time protection is enabled in Windows Defender.
Cloud protection is enabled in Windows Defender (only needed for some of the ASR rules)_
Ex de messages d'erreur "normaux"
Dans mon cas j' ai un AV tiers, et je n'utilise pas la protection Cloud de Windows Defender
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Hardentools - Pour se protéger des scripts et plus encore -Complément à l'article du site
Alors pas de lien avec Hardentools mais c'est à considérer dans le contexte "sécurité" contre les malwares
D'abord il y a cet article de Microsoft
Modifications apportées à la vérification de la signature Windows Authenticode
https://learn.microsoft.com/en-us/secur ... dfrom=MSDN
Où l'on apprend qu'il y a 2 clés de registre à appliquer car elles ne le sont pas par défaut
On peut se créer un .reg pour modifier automatiquement le registre en copiant coller ce qui figure ci dessous dans le bloc notes (Notepad) et en renommant le fichier en .reg
Code : Tout sélectionner
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\Software\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Cryptography\Wintrust\Config]
"EnableCertPaddingCheck"="1"
En fait ce n'est pas récent, la faille de sécurité existe depuis... 2012 (CVE-2020-1599 , CVE-2013-3900 et CVE-2012-0151) Microsoft a proposé un correctif en 2013, MAIS ne l'applique pas par défaut car cela pourrait entraver le fonctionnement de certains logiciels non signés avec Windows Authenticode (L'article décrit tous les cas de figure)
Perso chez moi c'est en place, et je n'ai pas noté de soucis aussi bien dans les 700 programmes (dont une grande partie de petits éditeurs ou devs individuels), même si je n'ai pas encore tout lancé, que les jeux
Le "Pourquoi appliquer cette modification de registre ?" est à mettre en corrélation avec l'exploitation de la faille comme par ex avec ce malware
https://www.bleepingcomputer.com/news/s ... -malware/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Hardentools - Pour se protéger des scripts et plus encore -Complément à l'article du site
En complément : Configure Defender et Hard Configurator pour Windows Defender avec des règles ASR par ex à .. cocher
viewtopic.php?t=65877
Par contre avec ce qu'il y a ci dessous, on va passer un cap...
PARTIE I
IMPORTANT : Ne pas appliquer comme un bourrin, il y a des conséquences
De plus il faut comme TOUTES les manipulations à risques, et surtout dès lors qu'on touche au registre, effecteur une SAUVEGARDE de celui ci et de compléter avec un point de restauration
Pour ceux qui ont lu l'article
Comment désactiver Powershell et Mshta
https://www.malekal.com/comment-desacti ... ell-mshta/
On y trouve 2 fichiers .reg à télécharger pour désactiver/activer PowerShell et Mshta
Pour désactiver
Code : Tout sélectionner
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="mshta.exe"
"2"="powershell.exe"
Code : Tout sélectionner
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"=-
"2"=-
-------------------------------------------------------------------
PARTIE II
Là l'optique est la même mais en plus approfondie, car sont listés tous les .exe utilisés par les malwares mais il faut bien faire attention
Comme l'indique Malekal
A vérifier donc (je testerais dans une quinzaine de jours à mon retour) Il y a obligatoirement des surprises de ce type à l'usage"bloquer rundll32.exe, n'est pas trop recommandé, NVIDIA l'utilisait par un moment au démarrage du PC, pour charger sa DLL."
A la base on a thalos qui avait évoqué
https://blog.talosintelligence.com/hunting-for-lolbins/
Ensuite il faut prendre le sujet Microsoft
https://learn.microsoft.com/en-us/windo ... ypass-wdac
Ce qui amène à cela
https://learn.microsoft.com/en-us/windo ... ailability
LA LISTE
Comme on le voit tout commence avec la clé de départ et son curseur
Code : Tout sélectionner
DisallowRun"=dword:00000001
mais cette clé est déjà en place si on a mis des restrictions à Powershell, Mshta comme avec les .reg du lien du sujet de Malekal
Si on l'a fait il faut changer la numérotation donc c'est le bazar et il faut faire des manipulations ou alors on remet tout en place en effaçant et on repart de zéro
Il faut savoir que si on veut quelque chose de propre, on ne peut pas changer un numéro de chaine, il faut l'effacer pour la recréer avec le numéro qu'on souhaite
Code : Tout sélectionner
add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "DisallowRun" /t REG_DWORD /d "1" /f
Code : Tout sélectionner
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "1" /t REG_SZ /d "addinprocess.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "2" /t REG_SZ /d "addinprocess32.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "3" /t REG_SZ /d "addinutil.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "4" /t REG_SZ /d "aspnet_compiler.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "5" /t REG_SZ /d "bash.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "6" /t REG_SZ /d "bginfo.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "7" /t REG_SZ /d "bitsadmin.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "8" /t REG_SZ /d "cdb.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "9" /t REG_SZ /d "certutil.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "10" /t REG_SZ /d "cipher.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "11" /t REG_SZ /d "cscript.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "12" /t REG_SZ /d "csi.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "13" /t REG_SZ /d "dbghost.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "14" /t REG_SZ /d "dnx.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "15" /t REG_SZ /d "dotnet.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "16" /t REG_SZ /d "finger.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "17" /t REG_SZ /d "fsi.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "18" /t REG_SZ /d "fsiAnyCpu.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "19" /t REG_SZ /d "ftp.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "20" /t REG_SZ /d "infdefaultinstall.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "21" /t REG_SZ /d "hh.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "22" /t REG_SZ /d "kd.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "23" /t REG_SZ /d "kill.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "24" /t REG_SZ /d "lxrun.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "25" /t REG_SZ /d "msbuild.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "26" /t REG_SZ /d "mshta.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "27" /t REG_SZ /d "msra.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "28" /t REG_SZ /d "nc.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "29" /t REG_SZ /d "nc64.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "30" /t REG_SZ /d "ntkd.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "31" /t REG_SZ /d "ntsd.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "32" /t REG_SZ /d "powershell.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "33" /t REG_SZ /d "powershell_ise.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "34" /t REG_SZ /d "powershellcustomhost.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "35" /t REG_SZ /d "psexec.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "36" /t REG_SZ /d "rcsi.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "37" /t REG_SZ /d "regsvr32.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "38" /t REG_SZ /d "rundll32.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "39" /t REG_SZ /d "runscripthelper.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "40" /t REG_SZ /d "scrcons.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "41" /t REG_SZ /d "texttransform.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "42" /t REG_SZ /d "visualuiaverifynative.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "43" /t REG_SZ /d "wbemtest.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "44" /t REG_SZ /d "wecutil.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "45" /t REG_SZ /d "werfault.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "46" /t REG_SZ /d "windbg.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "47" /t REG_SZ /d "winrm.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "48" /t REG_SZ /d "winrs.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "49" /t REG_SZ /d "wmic.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "50" /t REG_SZ /d "wscript.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "51" /t REG_SZ /d "wsl.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "52" /t REG_SZ /d "wslconfig.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "53" /t REG_SZ /d "wslhost.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "54" /t REG_SZ /d "findstr.exe" /f
reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun" /v "55" /t REG_SZ /d "pwsh.exe" /f
En fonction de ce que l'on met, on peut ensuite se créer des fichiets .reg personnalisés
Là par ex chez moi j'ai quelques fonctions qui sont en "DisalowRun"
Pour tout réactiver sans détailler :
Code : Tout sélectionner
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"=-
"2"=-
"3"=-
"4"=-
"5"=-
"6"=-
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- Messages : 19458
- Inscription : 02 juin 2012 20:48
- Localisation : Thomas Anderson : Je suis dans et en dehors de la matrice :-)
Re: Hardentools - Pour se protéger des scripts et plus encore -Complément à l'article du site
Exemple type d'une protection par Hardentools, ou les scritpts ne pourront pas s'exécuter, (si l'AV ne fait pas le boulot et si il ne le fait pas correctement comme avec Defender qui voit un trojan mais ne bloque pas le script Powershell derrière qui a sa petite tâche programmée)
Même si ce ransomware vise avant tout les entités publiques (Hopitaux etc) et Etatiques, les grandes sociétés, rien ne dit qu'une version ne sortira pas pour les particuliers
Il y a certaines choses à relativiser dans les liens ci-dessous, car nombre des cibles n'ont pas un parc à jour voire pas d'administrateurs derrière spécialisés en sécurité ou de contrat avec une sté tierce ou défaillante si c'est le cas
Néanmoins c'est l'exemple type pour qu'un outil comme Hardentools bloque la chose en amont puisque basé sur .. des scripts .vbs (VBS qui disparaitra du reste dans Windows 11 24H2)
Un antivirus à jour et efficace doit/devrait également bloquer ce ransomware (Les AV ne bloquent pas les scripts powershell, .vbs, ... dans l'absolu car ils ne savent pas si ceux ci sont exécutés par l'utilisateur ou pas. C'est par le biais d'autres moyens qu'ils stopperont le ou les scripts si malveillants comme dans ce cas précis)
Ex avec Kaspersky pour le ransomware ShrinLoccker qui utilise Bitlocker pour chiffrer les données
qui bloquera :
Code : Tout sélectionner
- cheval de Troie.VBS.SAgent.gen ;
- Trojan-Ransom.VBS.BitLock.gen ;
- Cheval de Troie.Win32.Generic.
Les ransomwares utilisant BitLocker pour chiffrer les ordinateurs ne sont pas nouveaux. Cela a déjà été vu depuis 2022
FONCTIONNEMENT
Kaspersky (qui l'a découvert) affirme que ShrinkLocker est doté de "fonctionnalités inédites permettant de maximiser les dégâts de l'attaque".
ShrinkLocker est écrit en Visual Basic Scripting (VBScript)
L'une de ses capacités consiste à détecter la version spécifique de Windows exécutée sur la machine cible à l'aide de Windows Management Instrumentation (WMI) avec la classe Win32_OperatingSystem.
L'attaque ne se poursuit que si des paramètres spécifiques sont remplis, tels que le domaine actuel correspondant à la cible et une version du système d'exploitation (OS) plus récente que Vista. Sinon, ShrinkLocker se termine automatiquement et se supprime.
Si la cible correspond aux exigences de l'attaque, le logiciel malveillant utilise l'utilitaire diskpart de Windows pour réduire chaque partition non démarrable de 100 Mo et divise l'espace non alloué en nouveaux volumes principaux de même taille.
Dans Windows 2008 et 2012, le ransomware ShrinkLocker a d'abord enregistré les fichiers de démarrage ainsi que l'index des autres volumes.
Les mêmes opérations de redimensionnement sont effectuées sur d'autres versions du système d'exploitation Windows mais avec un morceau de code différent, expliquent les chercheurs dans leur analyse technique .
Le malware utilise ensuite l'outil de ligne de commande BCDEdit pour réinstaller les fichiers de démarrage sur les partitions nouvellement créées.
ShrinkLocker modifie également les entrées de registre pour désactiver les connexions de bureau à distance ou activer le chiffrement BitLocker sur les hôtes sans module de plateforme sécurisée
Outre le chiffrement le ransomware apporte les modifications suivantes au registre :
fDenyTSConnections = 1 : désactive les connexions RDP
scforceoption = 1 : applique l'authentification par carte à puce
UseAdvancedStartup = 1 : nécessite l'utilisation du code PIN BitLocker pour l'authentification avant démarrage
EnableBDEWithNoTPM = 1 : autorise BitLocker sans puce TPM compatible
UseTPM = 2 : permet l'utilisation du TPM si disponible
UseTPMPIN = 2 : permet l'utilisation d'un code PIN de démarrage avec TPM si disponible
UseTPMKey = 2 : permet l'utilisation d'une clé de démarrage avec TPM si disponible
UseTPMKeyPIN = 2 : permet l'utilisation d'une clé de démarrage et d'un code PIN avec TPM si disponible
EnableNonTPM = 1 : autorise BitLocker sans puce TPM compatible, nécessite un mot de passe ou une clé de démarrage sur une clé USB
UsePartialEncryptionKey = 2 : nécessite l'utilisation d'une clé de démarrage avec TPM
UsePIN = 2 : nécessite l'utilisation d'un code PIN de démarrage avec TPM
L'acteur malveillant derrière ShrinkLocker ne dépose pas de fichier de rançon pour établir un canal de communication avec la victime. Au lieu de cela, ils fournissent une adresse e-mail de contact
Après avoir chiffré les lecteurs, l'acteur malveillant supprime les protecteurs BitLocker (par exemple TPM, code PIN, clé de démarrage, mot de passe, mot de passe de récupération, clé de récupération) pour refuser à la victime toute possibilité de récupérer la clé de chiffrement BitLocker, qui est envoyée à l'attaquant.
Dans la dernière étape de l'attaque, ShrinkLocker force le système à s'arrêter pour que toutes les modifications prennent effet et laisse l'utilisateur avec les lecteurs verrouillés et sans options de récupération BitLocker.
Sources :
https://www.bleepingcomputer.com/news/s ... our-files/
https://securelist.com/ransomware-abuse ... er/112643/
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
- Only Amiga... Was possible ! Lien https://forum.malekal.com/viewtopic.php?t=60830
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
- « Un problème sans solution est un problème mal posé. » (Albert Einstein)
- « Tous les patients mentent » (Théorème du Docteur House) Que ce soit consciemment ou inconsciemment
- Jeff Goldblum dans Informatic Park, professeur adepte de la théorie du chaos : « Vous utilisez un crack, un keygen ? Qu’est-ce qui pourrait mal tourner?? »
- Captcha : Il s'agit d'un ordinateur qui demande à un humain de prouver.. qu'il n'est pas un ordinateur ! (Les prémices du monde de demain)
- Dans le monde il y a deux sortes de gens : Ceux qui font des sauvegardes et .. Ceux qui vont faire des sauvegardes (Extrait du Credo.. Telle est la voie ! )
-
- Sujets similaires
- Réponses
- Vues
- Dernier message
-
- 0 Réponses
- 194 Vues
-
Dernier message par Parisien_entraide
-
-
MediaCreationTool.bat/ Universal MediaCreationTool - Complément à l'article du site
par Parisien_entraide » » dans Programmes utiles - 0 Réponses
- 184 Vues
-
Dernier message par Parisien_entraide
-
-
-
SimpleWall (WFP Tool) - Complément à l'article du site
par Parisien_entraide » » dans Programmes utiles - 0 Réponses
- 50 Vues
-
Dernier message par Parisien_entraide
-
-
-
Annuler modificatrions d'hardentools sur Windows 11
par fralap78 » » dans Windows : Résoudre les problèmes - 1 Réponses
- 48 Vues
-
Dernier message par Malekal_morte
-
-
-
Uninstalr 2.0 - Alternative à Revo Uninstaller, GeekUninstaller, ...Complément au tuto du site
par Parisien_entraide » » dans Programmes utiles - 3 Réponses
- 606 Vues
-
Dernier message par Parisien_entraide
-