H ecran base.jpg
Si on souhaite aller plus loin avec d'autres outils de l'auteur de "Configure Defender" , il existe
HARD CONFIGURATOR
Nota : SRP = Software Restriction Policies soit en Français, les politiques de restriction logicielles
Il est à noter que sur le site de l'auteur que "Configure Defender"' n'existe plus en tant que programme à télécharger "seul" mais est inclus dans le package de Hard Configurator, avec d'autres programmes
On peut donc continuer à les utiliser indépendamment les uns des autres
SITES ET TELECHARGEMENT
Site auteur
https://github.com/AndyFul/Hard_Configurator
Lien de téléchargement direct :
https://github.com/AndyFul/Hard_Configu ... .1.1.1.exe
Pour suivre les évolutions, les discussions (et dernière page) :
https://malwaretips.com/threads/hard_co ... tor.66416/
Pour les nombreuses mises à jour depuis le tuto du site
https://github.com/AndyFul/Hard_Configu ... is_new.txt
On peut noter deux principaux avertissements de l'auteur
On voit que cette version 22H2 apporte pas mal de soucis, et pas seulement avec les pilotes de certains constructeurs qui doivent être mise à jour entre la 22H1 et la 22H2
!
|
La version actuelle de Windows 11 ver. 22H2 (installation propre) n'est pas entièrement compatible avec Hard_Configurator.
Le SRP dans Hard Configurator, fonctionnera bien si Windows a été mis à niveau à partir de Windows 10 ou mis à jour à partir de la version 21H2 (ou de la version précédente).
Malheureusement, SRP ne fonctionne pas actuellement sur les installations propres de Windows 11 ver. 22H2 |
et
!
|
Les politiques de restriction logicielle intégrées à Windows sont incompatibles avec le compte enfant activé sur Windows 10 et 11 via Microsoft Family Safety.
Un tel compte désactive la plupart des restrictions SRP.
Ce problème persiste même après la suppression du compte enfant.
Pour récupérer la fonctionnalité SRP, Windows doit être actualisé ou réinitialisé.
Hard_Configurator utilise les fonctionnalités intégrées de Windows.
Certains d'entre eux peuvent être supprimés ou ajoutés par Microsoft dans les futures mises à jour majeures de Windows. |
Donc lors des mises à jour de Windows (et ce n'est pas propre qu'à Hard Configurator) certains paramètres peuvent être modifiés/supprimésou d'autres ajoutés par Microsoft
En règle générale lors de mises à jour il faut relancer le programme et appliquer à nouveau ce que l'on avait mis en place car outre ce qui est modifié/supprimé, Microsoft en profite pour remettre par défaut des fonctions, services, paramètres (généralement en lien avec la télémétrie mais pas que)
Pour le reste (cas présent décrit) ca sera lié à une nouvelle version de Hard Configurator (mais vu que l'auteur fait partie des "Insider" tout sera prêt lors d'une version définitive de Windows)
En plus tous les problèmes de Windows Defender ne sont pas le fait du programme Hard Configurator
Dans l'actualité "relativement" récente
viewtopic.php?t=71175
PRESENTATION SOMMAIRE
Hard Configurator sécurise Windows 10 et 11 afin de mieux protéger votre PC contre les virus.
Cependant on peut l'utiliser à partir de Windows 7/Vista mais avec quelques restrictions (Smartscreen, monitorés et pas bloqués etc) et lors du test sous Windows 7, "Configure Defender indiquait ne pas fonctionner et qu'il lui fallait Windows 10
Ce dernier permet de configurer automatiquement Windows avec un maximum de protections. Idéal donc pour les débutants.
Mais pour les experts, vous pouvez aussi effectuer des configurations manuelles.
Il s'agit avant tout d'une Interface graphique pour gérer les politiques de restriction logicielle (SRP)
A travers son interface générale, le programme permet en un seul clic de procéder aux réglages par défaut (idéal débutants) , mais permet AUSSI de lancer à la fois
- Configure Defender
- Firewall Hardening
Avec en plus d'autres détails pour qui voudrait Affiner/Compléter les restrictions (le côté " Expert")
Il y a également d'autres outils à disposition (voir plus bas)
Hard Configurator se sert de (Via la modification de la base de registre)
Code : Tout sélectionner
- SRP
- Du service de réputation d'application (SmartScreen forcé)
- Des paramètres de renforcement de Windows (restreignant les fonctionnalités vulnérables).
Ce qu'il fait :
Pour rappel la GPO ne fonctionne pas par défaut sur Windows Home. mais..(le script est valable pour Win10 et 11)
https://www.malekal.com/comment-activer ... indows-11/
Code : Tout sélectionner
- Activation des stratégies de restriction logicielle dans les éditions Windows Home.
- Modification des niveaux de sécurité SRP, des options d'application et des types de fichiers désignés.
- Liste blanche des fichiers dans SRP par chemin (également avec des caractères génériques) et par hachage.
- Blocage des exécutables système vulnérables via SRP (liste noire des videurs).
- Protection (refuser l'exécution) des sous-dossiers inscriptibles dans le dossier "C:\Windows" (via SRP).
- Restreindre l'exécution des raccourcis à certains dossiers uniquement (via SRP).
- Activation des paramètres avancés de Windows Defender, tels que la protection PUA, les règles ASR, la protection réseau, etc.
- Protection contre les documents militarisés, lorsque MS Office et Adobe Acrobat Reader XI/DC sont utilisés pour les ouvrir.
- Activation de "Exécuter en tant qu'administrateur" pour les fichiers MSI.
- Renforcement du pare-feu Windows en bloquant l'accès Internet aux LOLBins.
- Désactivation de l'exécution du script PowerShell (Windows 7+).
- Sécurisation de PowerShell par le mode langage contraint (SRP, PowerShell 5.0+)
- Désactivation de l'exécution des scripts gérés par Windows Script Host.
- Suppression de l'option "Exécuter en tant qu'administrateur" du menu contextuel du clic droit de l'explorateur.
- Forcer SmartScreen à vérifier les fichiers sans 'Mark Of The Web' (Windows 8+) et empêcher le piratage DLL de SmartScreen.
- Désactivation du bureau à distance, de l'assistance à distance, du shell à distance et du registre à distance.
- Désactivation de l'exécution des applications 16 bits.
- Sécurisation des extensions de shell.
- Désactivation des protocoles SMB.
- Désactivation de l'élévation du programme sur le compte d'utilisateur standard.
- Activation de la validation des signatures du code administrateur (paramètre UAC).
- Désactivation des connexions en cache.
- Forcer la séquence d'attention sécurisée avant l'invite de contrôle de compte d'utilisateur.
- Filtrage du journal des événements Windows pour les événements d'exécution de fichiers bloqués (Nirsoft FullEventLogView).
- Filtrer les exécutions automatiques depuis l'espace utilisateur et les exécutions automatiques de scripts depuis n'importe où (Sysinternals Autorunsc).
- Activation et filtrage de la journalisation SRP avancée.
- Activation/désactivation de toutes les restrictions ci-dessus.
- Restauration des paramètres par défaut de Windows.
- Création d'un point de restauration du système.
- Utilisation de profils de paramètres prédéfinis pour Windows 7, Windows 8 et Windows 10.
- Enregistrement des restrictions choisies en tant que profil et restauration si nécessaire.
- Gestion des sauvegardes pour Profile Base (profils de liste blanche et profils de paramétrage).
- Modification de la peau de l'interface graphique.
- Application de mise à jour.
- Désinstallation de l'application (paramètres par défaut de Windows restaurés).
DOSSIER D'INSTALLATION
Il y a quelques "goodies" si on parcourt le dossier d'installation qui se trouve non pas dans les dossiers habituels (program files etc) mais.. Dans Windows
Déjà il y a une documentation très complète (En anglais) que je conseille de lire
- Hard_Configurator - Manual.pdf et une autre en complément, en 3 parties, pour tout bien comprendre
- Part 1, 2, 3 - How do Software Restriction Policies work.pdf
Il existe aussi une documentation en lien avec un programme à part qui s'appelle DocumentsAntiExploits, et qui permet sans lancer l'interface d'accéder de suite aux réglages liés aux documenta Adobe (.pdf) mais également à MS Office (dont les accès aux fameuses Macros VBS )
- DocumentsAntiExploit tool - Manual.pdf
Ce programme influe directement pour l'utilisateur en cours ou pour TOUS les utilisateurs
Dans le dossier
"Configuration", il y a des modèles de scripts, et ce même, par exemple pour les utilisateurs de Windows 7 avec ...AVAST
Dans le dossier "Tools" on retrouve les programmes qui apparaissaient lors de l'installation (7zip, Autoruns, FullEvents)
Je conseille du reste lors de l'installation de ne rien décocher, et ce même si vous possédez déjà ces utilitaires
Suivant ce que l'on fait, via l'interface, le programme va chercher directement dans ce dossier ce dont il a besoin
On trouve également l"outil "RunBySmartScreen"
Explication ici
https://github.com/AndyFul/Run-By-Smartscreen
COMMENT CELA FONCTIONNE ? - TUTO
Je ne vais pas entrer dans les détails car tout ce qui touche à la présentation et surtout configuration est traité sur le site
Hard configurator : Sécuriser Windows 10 contre les virus
https://www.malekal.com/hard-configurat ... tre-virus/
Qui est en lien pour tout ce qui touche au Firewall avec :
Firewall Windows Defender : les bon réglages
https://www.malekal.com/firewall-window ... -reglages/
Dans Hard Configurator, on retrouve le script des réglages Firewall que propose Malekal dans le lien ci dessus
_______________________
L'INSTALLATION
L outil est propre, et lors de l'installation il procède à un point de restauration (pour les distraits)
Par la suite tout peut être déconstruit pour revenir aux paramètres par défaut
On ne touche pas à ce qui apparait à l'écran lors de l 'installation, ce sont des outils nécessaire au bon fonctionnement
HC_Install.jpg
Du reste on voit la nécessité de suite avant la fin de l'installation du programme Autoruns (il est conseillé de cliquer sur "OUI")
HC-Anakyse apres point de restauraiton.jpg
Sur un des PC j'ai eu droit à cet avertissement, mais c'est du fait que j'ai Syshardener qui est déjà configuré et pour l'autre Hardentools qui ont leurs propres réglages
2023-01-21_161244.jpg
Toujours avant finalisation il est là aussi conseillé de cliquer sur "OUI"
HC_Premier lancement.jpg
Au lancement un avertissement au sujet de l 'UAC (Je l' avais désactivé pour le test) Si c'est le cas il faut cliquer sur "OUI" car il ne faut surtout pas désactiver cela
UAC désasctivé.jpg
Ensuite il suffit de se lancer (voir le tuto de Malekal) mais on retrouve les outils
HC_Outils.jpg
Celui qui figure également en tant qu'outil indépendant dans le dossier d'installation (anti exploits)
anti ex.jpg
anti exploits.jpg
SwitchDefaultDeny est un outil compagnon de Hard_Configurator.
Cela ne fonctionne que lorsque les stratégies de restrictions logicielles sont définies sur refus par défaut dans Hard_Configurator
Cela peut aider à résoudre les problèmes d'installation / de mise à jour des applications. dates, sans exécuter Hard_Configurator.
Après installation son icone apparait sur le bureau (tous les détails dans la doc)
HC-2 icones.jpg
Les réglages de Configure Defender (également autonome dans le dossier) avec cette fonction qui permet d'avoir des informations via un script PowerShell
HC_Via configure defender version base.jpg
Sinon on retrouve les réglages habituels dans Configure Defender
HC_Regagfels configure defender.jpg
Pour la partie Firewall (voir tuto de Malekal) on peut automatiquement ajouter des règles, idem pour ce qui est spécifiques aux applications Adobe et Ms Office (si vous les détenez sinon il y aura un message d'erreur) et même des listes externes (format défini dans la doc)
C'est là que l'on voit qu'il y a parfois des subtilités dans l'usage des programmes. Normalement la configuration de Hard Configurator, s'occupe des scripts mais à ne sait pas toujours à quel niveau ni l'impact/efficacité sauf à lire la doc de fond en comble
Je sais par ex que si j'utilise Syshardener,
https://www.malekal.com/syshardener-sec ... ows-virus/ c'est beaucoup plus restrictif sur certains points, mais vu la complexité de la chose (du moins la foule de réglages) il n'est pas toujours facile de déterminer lors d'un problème (cela peut apparaitre lors d'une mise à jour comme avec les réglages du reste de O&O Shutup) QUI est en cause, QUEL programme, QUELS paramètres
Perso j'ai ajouté Hardentools,
https://www.malekal.com/hardentools-securiser-windows/ et des points de détails et améliorations depuis le tuto
viewtopic.php?t=60030 qui lui au moins bloquera les scripts sans m'avertir que je ne possède pas les applications, et dont je connais l'efficacité (testé avec des .pdf ou .doc/docX reçus en mail par ex ou à l'ouverture d'un document .pdf foireux)
De plus il n'a JAMAIS interféré avec des programmes, mise à jour de Windows etc Il se laisse donc oublier au quotidien et c'est AUSSI ce que je recherche
On peut ajouter ses propres règles,
HC_Firewall hardening.jpg
IMPACT SUR LE FONCTIONNEMENT
Hard_Configurator est basé sur la sécurité intégrée de Windows
Il n'est donc pas nécessaire de désactiver les restrictions du programme pour installer les mises à jour Windows, Applications universelles du Windows Store et effectuez les tâches planifiées du système.
A savoir si vous utiliser Windows Firewall Control https://www.malekal.com/windows-firewal ... -defender/
Les règles FirewallHardening fonctionnent indépendamment de Windoxs Firewall Control, , il n'est donc pas nécessaire de les ajouter dans Windows Firewall Control
---------------------------------------------------------------
AUTRES
Documentation Microsoft sur les restrictions logicielles
https://learn.microsoft.com/en-us/windo ... n-policies
Il n'existe pas de véritable alternatives
On peut cependant s'en approcher avec Syshardener et accessoirement avec le plus simple Hardentools mais on est loin d'avoir le même éventail de possibilités et l('approche est différente
Tout ces outils se complètent en fait
Si vous voulez du payant
il y a
BLAKFOG
2023-01-21_181748.jpg
qui fait surtout pour le milieu pro mais également pour les particuliers mais c'est du 40$ par an et par poste
https://www.blackfog.com/blackfog-privacy/
Version d'essai
https://www.blackfog.com/downloads/
La version d'essai est entièrement fonctionnelle pendant 30 jours et elle s'affichera ensuite avec une boîte de dialogue de licence. Il n'y a aucune restriction
Hors site du vendeur la discussion au sujet de ce programme et ou un développeur intervient et qui explique à travers les questions/réponses des gens le fonctionnement
https://www.wilderssecurity.com/threads ... cy.400343/
Bon après dans le process il y a un VPN (normal dans l'absolu puisque pour de l'efficacité il faut jouer le role de l'homme du milieu) , donc reste la confiance dans la sté
Bref voila de quoi vous occuper pendant les temps d'hiver :-)
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.