Guide de défense des terminaux : sécuriser les appareils

Sujet

Cet article est une copie du guide des meilleures pratiques NinjaOne issu de notre Centre de ressources NinjaOne. Vous pouvez télécharger le document au format PDF au bas de cette page.

Environnement

Gestion des terminaux NinjaOne

Description

Index

Sélectionnez un sujet pour en savoir plus.

• Pourquoi le renforcement de la sécurité des terminaux est-il important ?
• Ce que comprend le renforcement de la sécurité des terminaux :
• Automatiser le renforcement de la sécurité des terminaux :
• Ajouter un script personnalisé à NinjaOne :
• Cinq façons d'automatiser le renforcement de la sécurité des terminaux :
  • Déployer les configurations de sécurité des terminaux lors de leur configuration
  • Activer les pare-feu des appareils et bloquer les connexions sortantes
  • Activer, étendre et analyser les journaux
  • Créer un compte administrateur local et automatiser la rotation des mots de passe
  • Détecter et supprimer les logiciels potentiellement malveillants
• Ressources
• Glossaire

Pourquoi le renforcement des terminaux est-il important ?

Fondamentalement, le renforcement de la sécurité des terminaux est le concept global visant à renforcer la sécurité au niveau des appareils. La sécurisation de vos terminaux étant essentielle à toutes les autres mesures de sécurité que vous prenez, l'investissement que vous y consacrez aura un retour sur investissement supérieur à celui de presque toutes les autres mesures. Si vous ne le faites pas correctement, toutes les autres solutions et mesures que vous mettrez en œuvre devront être plus efficaces, plus rigoureuses et présenter moins de failles.

Selon le rapport 2022 de Microsoft sur la défense numérique, de nombreuses organisations ne prennent pas les mesures de base nécessaires pour mettre en place un renforcement complet des terminaux. La figure 1 ci-dessous présente quelques exemples de problèmes clés qui ont un impact négatif sur la cyber-résilience :

Si les mesures de sécurité avancées sont importantes, il est essentiel de garder à l'esprit que les fondamentaux doivent encore être améliorés. Dans ce même rapport, Microsoft a constaté que la sécurité de base protège contre 98 % des attaques. En mettant en œuvre de bonnes pratiques de sécurité, vous pouvez commencer à renforcer ces couches de sécurité et réduire les opportunités d'attaque pour les acteurs malveillants.

La figure 2 met en évidence les recommandations techniques en matière de cybersécurité formulées par les principaux gouvernements anglophones à l'intention des petites et moyennes entreprises. Les investissements dans ce domaine (dont beaucoup concernent le renforcement de la sécurité des appareils) offrent la meilleure valeur ajoutée.

En quoi consiste le renforcement de la sécurité des appareils

Le renforcement de la sécurité des appareils comprend toutes les modifications que vous apporteriez à un appareil pour améliorer sa sécurité.

Voici quelques exemples :

Ce tableau ne constitue pas une liste exhaustive, mais un point de départ pour les organisations qui cherchent à définir les prochaines étapes de leur processus de renforcement de la sécurité des terminaux. Toutes les mesures de renforcement de la sécurité des terminaux ne s'appliquent pas à tous les environnements, et beaucoup doivent être adaptées à votre propre environnement. Lorsque vous améliorez la sécurité des terminaux, n'oubliez pas que les normes de référence évoluent constamment ; les approches de sécurité doivent donc toujours être évaluées et mises à jour régulièrement.

Il est également important de noter qu'il existe un certain nombre de mesures essentielles que vous pouvez prendre pour renforcer la sécurité de votre organisation, mais qui ne sont pas incluses dans le renforcement de la sécurité des terminaux, notamment :

• La gestion des identités et des accès
• Solutions de sécurité avancées (SIEM, antivirus avancés et autres)
• Formation à la sensibilisation à la sécurité pour les utilisateurs finaux
• Stratégie réseau
• Sécurité des applications cloud
• Protection contre les menaces mobiles

Toutes ces mesures sont essentielles pour garantir la sécurité, mais ne ciblent pas spécifiquement la sécurité au niveau des terminaux.

Automatisation du renforcement des terminaux

Avant de passer à quelques exemples illustrant comment les entreprises peuvent utiliser NinjaOne pour renforcer et simplifier leur approche du renforcement des terminaux, parlons un peu plus de l'automatisation.

En général, l'automatisation informatique :

• Réduit le risque d'erreur humaine
• Réduit le temps consacré aux tâches manuelles
• Réduit les coûts
• Standardise la gestion des appareils et la prestation de services
• Améliore la satisfaction des employés informatiques
• Améliore l'expérience utilisateur
• Contribue au respect de la conformité

En tirant parti des avantages de l'automatisation, le processus de renforcement de la sécurité des terminaux devient beaucoup plus simple, plus efficace et moins coûteux à long terme. De plus, en configurant ces processus pour qu'ils s'exécutent automatiquement, les organisations peuvent limiter plus rapidement leur exposition à toute vulnérabilité potentielle.

Au sein de NinjaOne, divers mécanismes aident les organisations à mettre en œuvre facilement un workflow informatique automatisé. Dans la section suivante, nous présenterons cinq exemples illustrant comment les organisations peuvent utiliser les outils d'automatisation de NinjaOne pour améliorer la sécurité des appareils, notamment :

• Automatisations planifiées: lorsque vous souhaitez prendre des mesures sur les appareils d'une politique à un moment précis.
• Tâches planifiées: lorsque vous souhaitez prendre des mesures à l'encontre des appareils d'un groupe à un moment précis.
• Conditions de résultat de script: lorsque vous souhaitez vérifier régulièrement les informations relatives à un appareil et prendre des mesures en fonction des résultats renvoyés.
• Script déclenché par une condition: lorsque vous souhaitez réagir immédiatement à un changement d'état sur un appareil d
  .
• Script déclenché par un champ personnalisé: lorsque vous avez besoin d'informations que NinjaOne ne collecte pas par défaut, ou pour des automatisations en plusieurs étapes ou complexes.

Documentation associée :

• NinjaOne Endpoint Management : automatisations planifiées
• NinjaOne Endpoint Management : Tâches planifiées
• NinjaOne Endpoint Management : configuration des conditions de stratégie
• Interface de ligne de commande (CLI) : champs personnalisés et scriptage de la documentation

Ajouter un script personnalisé à NinjaOne

Étant donné que de nombreuses automatisations nécessitent une personnalisation en fonction des environnements individuels, les scripts personnalisés sont essentiels à l'automatisation dans NinjaOne. Il est donc important de savoir comment ajouter de nouveaux scripts à votre bibliothèque d'automatisation au sein de la plateforme NinjaOne. Pour ajouter un nouveau script, plusieurs options s'offrent à vous. Vous pouvez soit :

• Ajouter un nouveau script à l'aide de l'éditeur de scripts, ou importer un nouveau script depuis votre ordinateur avec NinjaOne Endpoint Management : Premiers pas avec les scripts d'automatisation.
• Importer un nouveau script à l'aide de la bibliothèque de modèles avec NinjaOne Endpoint Management : Modèles de scripts d'automatisation.

Cinq façons d'automatiser le renforcement de la sécurité des terminaux

Cette liste de méthodes n'est pas exhaustive, mais elle offre un bon aperçu de ce que vous pouvez faire dans NinjaOne pour automatiser et prendre en charge le renforcement de la sécurité des terminaux.

Déployez des configurations de sécurité des appareils lors de leur configuration

Dans cet exemple, nous utiliserons le mécanisme des tâches planifiées pour automatiser en dehors des politiques.

Lors de la configuration de nouveaux appareils, vous pouvez utiliser les outils intégrés aux versions récentes de Windows pour améliorer la sécurité des appareils. Dans cet exemple, nous utiliserons BitLocker, qui est inclus sur tous les postes de travail Windows 10 et 11. Avec NinjaOne, vous pouvez suivre nativement l'état de BitLocker, identifier les appareils sur lesquels BitLocker est désactivé et le réactiver à l'aide d'un script personnalisé.

Si vous n'avez pas encore ajouté le script d'activation de BitLocker à la bibliothèque d'automatisation NinjaOne, suivez les instructions de notre article NinjaOne Endpoint Management : Prise en main des scripts d'automatisation. Ensuite, procédez comme suit :

1. Ouvrez « Périphériques » dans le menu latéral et cliquez sur « Plus de filtres ». Sélectionnez « État de BitLocker ».
2. Cochez la case Désactivé.
3. Cliquez sur « Créer un groupe » pour créer un groupe dynamique de périphériques sur lesquels BitLocker est désactivé. Pour des instructions détaillées, consultez l’article « NinjaOne Endpoint Management : Enregistrer et charger des groupes de recherche ».

Les groupes dynamiques affichent toujours des informations à jour. Lorsque vous activez BitLocker sur ces appareils, ceux-ci sont retirés de ce groupe. Lorsque vous intégrez de nouveaux terminaux sur lesquels BitLocker n’est pas activé, ceux-ci apparaissent automatiquement dans ce groupe. Vous souhaiterez probablement ajouter une correction automatisée à ce processus ; pour ce faire, consultez notre article

D'autres exemples d'utilisation des groupes dynamiques avec des automatisations planifiées peuvent inclure la désactivation des périphériques de stockage de masse ou la configuration de l'UAC. Dans la bibliothèque de modèles de NinjaOne, vous trouverez un certain nombre de modèles d'automatisation prêts à l'emploi.

Activer les pare-feu des appareils et bloquer les connexions sortantes

Dans l'exemple suivant, nous utiliserons des champs personnalisés et des conditions de stratégie pour détecter l'état d'un périphérique et déclencher une automatisation. Pour savoir comment ajouter un nouveau champ personnalisé, consultez la section Champs personnalisés NinjaOne : prise en main.

Pour vérifier l'état du pare-feu de l'appareil dans NinjaOne, nous proposons le champ personnalisé suivant et des mécanismes d'automatisation planifiée. Vous pouvez utiliser les champs personnalisés de différentes manières ; dans cette méthode particulière, ils stockeront la sortie d'un script PowerShell :

1. Accédez à Administration → Appareils → Champs personnalisés de l'appareil.
2. Cliquez sur +Ajouter un champ personnalisé et sélectionnez Texte.
3. Saisissez « État du pare-feu » dans le champ Libellé.
4. Configurez l'héritage et les détails selon vos préférences.
5. Dans la section Autorisations*, sélectionnez Lecture/Écriture dans les menus déroulants Automatisations* et API *. Vous pouvez définir le champ Accès sur Lecture seule.
6. Accédez à Administration → Politiques et sélectionnez une politique à laquelle vous souhaitez ajouter ce champ personnalisé. (Si vous n'êtes pas familier avec la configuration des politiques, consultez NinjaOne Policies : Catalogue de ressources.)
7. Dans la section Conditions, cliquez sur Ajouter une condition.

8. Dans la boîte de dialogue Condition, cliquez sur Sélectionner une condition, puis sélectionnez Condition de résultat de script dans le menu déroulant Condition.
9. Cliquez sur Sélectionner un script d'évaluation, puis sélectionnez Pare-feu - État d'audit. Si vous n'avez pas encore ajouté le script personnalisé, suivez les instructions de la section NinjaOne Endpoint Management : Prise en main des scripts d'automatisation.

10. Cliquez sur Appliquer. Cliquez sur Ajouter. Cliquez sur Enregistrer.
11. Dans la section Conditions, cliquez sur Ajouter une condition.
12. Cliquez sur Sélectionner une condition et choisissez Champs personnalisés dans le menu déroulant.
13. Cliquez sur Ajouter à côté de « La valeur du champ personnalisé doit répondre à toutes les conditions » pour faire apparaître deux nouveaux menus déroulants.
14. Dans le premier menu déroulant, sélectionnez le champ personnalisé « État du pare-feu » que vous avez créé. Dans le deuxième menu déroulant, sélectionnez « contient ». Saisissez « false » dans le champ de texte (cela permettra de rechercher les pare-feu désactivés).

15. Cliquez sur Appliquer, puis sur Ajouter dans la section Automatisations de la boîte de dialogue Condition. Recherchez et sélectionnez Set-WindowsFirewall pour l'appliquer à la condition.

Utilisation de scripts personnalisés avec des conditions

Pour renforcer la protection du pare-feu, vous pouvez également ajouter un script personnalisé afin de bloquer les communications réseau sortantes.

Dans ce script personnalisé, ajoutez les applications pour lesquelles vous souhaitez bloquer l'accès à Internet. Par exemple, il est peu probable que la calculatrice Windows ou le Bloc-notes aient besoin d'un accès à Internet (mais ils peuvent être usurpés et utilisés comme vecteurs d'attaque), vous pouvez donc les ajouter à la liste des applications au sein du script personnalisé lui-même. Pour cet exemple, nous avons utilisé ce script PowerShell « Block Outbound NetConns for win32 » (lien externe). Cette ressource n'est pas un script NinjaOne officiel, donc testez-la de manière approfondie avant de l'utiliser !

Après avoir ajouté le script à la bibliothèque d'automatisation, vous pouvez l'ajouter à la même condition « Check Firewall » à laquelle vous avez ajouté le script « Set-WindowsFirewall ».

Activer, développer et analyser les journaux

Dans cet exemple, nous allons déclencher une automatisation lors de la configuration de l'appareil pour modifier sa configuration.

La qualité de la configuration d'un appareil dépend des informations que vous en tirez, et c'est là que les journaux d'événements entrent en jeu. Les journaux vous aident à comprendre ce qui se passe sur l'appareil, et vous devrez peut-être développer certains journaux afin d'obtenir une vue précise de l'état de santé et de la sécurité de votre environnement.

Avant de passer à l'étape suivante, vous devrez ajouter un nouveau script personnalisé à votre bibliothèque, spécialement conçu pour développer ces journaux d'événements. Vous pouvez utiliser notre dossier

Une fois que vous avez choisi votre planification préférée, ajoutez votre script personnalisé « Expand Event Logging ». À partir de là, vous pouvez appliquer ce script planifié, et il s'exécutera immédiatement.

Outre l'extension des journaux, la surveillance de votre observateur d'événements avec élévation de privilèges constitue un autre moyen de renforcer la sécurité des terminaux : ajoutez une nouvelle condition à partir de l'onglet Conditions de la stratégie et sélectionnez Événement Windows pour ajouter une source et les ID d'événement spécifiques que vous souhaitez surveiller. Lorsque l'un des ID d'événement se déclenche, vous serez alerté de tout changement concernant un utilisateur particulier et pourrez prendre des mesures. Ce guide ne propose pas de mesures correctives spécifiques, mais vous avez la possibilité d'ajouter des mesures correctives dans les étapes d'automatisation à l'aide de champs personnalisés.

Créer un compte administrateur local et automatiser la rotation des mots de passe

Dans cet exemple, nous allons déclencher une automatisation lors de la configuration de l'appareil, puis exécuter une automatisation régulière pour modifier un mot de passe administrateur. Windows intègre une fonctionnalité dont vous pouvez tirer parti dans NinjaOne pour faciliter la rotation et la protection des mots de passe. Créez un script personnalisé à cette fin et ajoutez-le à une automatisation planifiée dans la politique de votre choix, puis configurez-le pour qu'il s'exécute selon le calendrier souhaité.

Pour ce faire, accédez à Administration → Appareils et ajoutez un nouveau champ. Dans ce nouveau champ, attribuez-lui le même nom que celui que vous avez défini dans le script personnalisé de rotation des mots de passe (localAdminPassword par défaut) et sélectionnez le typeSecurefield dans le menu déroulant.

Un champ personnalisé de typeSecurefield est spécialement conçu pour gérer les identifiants en toute sécurité ; il n'est pas visible en texte clair, nécessite une authentification multifactorielle (MFA) pour être consulté et est entièrement chiffré. NinjaOne fournit des rapports d'audit permettant de voir qui a accès au champ personnalisé de typeSecurefield.

Une fois que vous aurez cliqué sur Créer, vous remarquerez des menus déroulants supplémentaires. Vous devrez définir le menu déroulant Automatisations sur Écriture seule et le menu déroulant Technicien sur Lecture seule, car ce script crée un compte de service, génère une chaîne de caractères alphanumériques aléatoire comme mot de passe et l'ajoute en tant que champ personnalisé de typeSecurefield. Une fois le mot de passe généré, le script l'enregistre dans le champ personnalisé de typeSecurefield. Cela signifie que vous n'avez pas de mots de passe standardisés à tous les niveaux et que vous pouvez accéder à chaque appareil pour consulter le mot de passe localAdminPassword depuis l'onglet « Personnalisé » du tableau de bord de l'appareil.

Détecter et supprimer les logiciels potentiellement malveillants

Dans cet exemple, nous utiliserons une condition de stratégie pour détecter un changement d'état (logiciel installé) et déclencher une automatisation afin de résoudre le problème.

Vous pouvez utiliser les outils d'automatisation de NinjaOne pour détecter et supprimer facilement les logiciels malveillants ou indésirables des terminaux. Avant de créer la condition de détection de logiciel, vous devrez ajouter un script personnalisé « Uninstall Application » à la bibliothèque d'automatisation NinjaOne. Vous pouvez utiliser notre dossier « Script Share » ou d'autres scripts fournis par la communauté à cette fin.

1. Une fois ce script personnalisé ajouté, accédez à la politique que vous souhaitez mettre à jour et ouvrez l'onglet Conditions.
2. Ajoutez une nouvelle condition et sélectionnez « Logiciel » dans le menu déroulant « Condition ».
3. Sélectionnez « Exists » (Existe) dans le menu déroulant « Presence » (Présence ) qui s'affiche, puis saisissez le nom du logiciel que vous souhaitez détecter dans le champ « Names » (Noms). Si vous ajoutez des astérisques autour du nom du logiciel, le système inclura tout ce qui utilise ce nom dans le titre du logiciel, et pas seulement les correspondances exactes.
4. Cliquez sur Appliquer, puis ajoutez l'automatisation.

Pour vous assurer que vous résolvez complètement vos problèmes, testez et vérifiez que ce script PowerShell ou ce programme de désinstallation supprime correctement l'application avant de le déployer complètement.

Ressources

Le renforcement de la sécurité des terminaux est essentiel, et grâce à une automatisation adéquate, vous pouvez facilement le mettre en œuvre et le maintenir. Si vous recherchez un outil pour vous aider à automatiser votre workflow informatique, accédez à un essai gratuit de NinjaOne ici :

https://www.ninjaone.com/freetrialform/

Nous avons dressé une liste de quelques cadres de sécurité que vous pouvez utiliser pour sécuriser votre réseau et vos appareils :

• Guide du NIST sur la sécurité générale des serveurs (lien externe)
• Critères CIS pour les postes de travail Microsoft Windows (lien externe)
• Base de connaissances de sécurité MITRE ATT&CK (lien externe)

Glossaire

Le tableau suivant fournit les définitions des acronymes utilisés tout au long de cet article. Pour plus de définitions, consultez la terminologie NinjaOne.