Table des matières :
- Pourquoi le renforcement de la sécurité des terminaux est-il important ?
- En quoi consiste le renforcement de la sécurité des terminaux :
- Automatiser le renforcement de la sécurité des terminaux :
- Ajouter un script personnalisé à NinjaOne :
- Cinq façons d'automatiser le renforcement de la sécurité des terminaux :
- Déployer les configurations de sécurité des terminaux lors de leur configuration
- Activer les pare-feu des appareils et bloquer les connexions sortantes
- Activer, étendre et analyser les journaux
- Créer un compte administrateur local et automatiser la rotation des mots de passe
- Détecter et supprimer les logiciels potentiellement malveillants
- Ressources
- Glossaire
Pourquoi le renforcement des terminaux est-il important ?
Fondamentalement, le renforcement des terminaux (c'est-à-dire des appareils) est le concept global visant à renforcer la sécurité au niveau des appareils. La sécurisation de vos terminaux étant fondamentale pour toutes les autres mesures de sécurité que vous prenez, l'investissement que vous y consacrez aura un retour sur investissement supérieur à celui de presque toutes les autres mesures. Si vous ne le faites pas correctement, toutes les autres solutions et mesures que vous mettrez en œuvre devront être plus efficaces, plus rigoureuses et présenter moins de failles.
Malheureusement, selon le rapport 2022 sur la défense numérique de Microsoft, de nombreuses organisations ne prennent pas les mesures de base nécessaires pour soutenir un renforcement complet des terminaux. Voici quelques exemples de problèmes clés qui ont eu un impact négatif sur la cyber-résilience :
Si les mesures de sécurité avancées sont importantes, il est essentiel de garder à l'esprit que les fondamentaux doivent encore être améliorés. Dans ce même rapport, Microsoft a constaté que les « bonnes pratiques » de sécurité de base protègent contre 98 % des attaques. En mettant en œuvre de bonnes pratiques de sécurité, vous pouvez commencer à renforcer ces couches de sécurité et réduire les opportunités d'attaque pour les acteurs malveillants.
Le tableau ci-dessous présente les recommandations techniques en matière de cybersécurité formulées par les principaux gouvernements anglophones à l'intention des petites et moyennes entreprises. Les investissements dans ce domaine (dont beaucoup concernent le renforcement de la sécurité des appareils) offrent la meilleure valeur ajoutée.
Ce que comprend le renforcement de la sécurité des appareils :
Le renforcement de la sécurité des appareils comprend toutes les modifications que vous apportez à un appareil afin d'améliorer sa sécurité.
Voici quelques exemples :
Protection de l'accès aux comptes
- Activer et appliquer l'authentification multifactorielle (MFA).
- Supprimez les comptes superflus.
- Modifiez les comptes administrateur par défaut.
- Appliquez le principe du moindre privilège pour tous les comptes utilisateurs.
- Empêchez les utilisateurs finaux d'installer des applications.
- Imposer des mots de passe forts.
Configuration des appareils
- Activer le démarrage sécurisé.
- Désactivez les ports USB.
- Chiffrer les disques.
- Bloquez les appels réseau provenant des applications (Notepad, wscript, cscript, etc.).
- Réduire l'exposition des ports.
- Activer et étendre la journalisation.
- Désactivez les protocoles non sécurisés tels que SMBv1, Telnet et HTTP.
- Protéger le BIOS/UEFI par mot de passe.
Gestion des logiciels
- Supprimez les applications potentiellement malveillantes.
- Supprimez les logiciels non pris en charge.
- Déployez un antivirus / EDR.
- Déployer des solutions de gestion des mots de passe.
- Activer le pare-feu.
- Supprimez les anciens fichiers exécutables.
- Empêcher les utilisateurs finaux d'installer des applications.
Audit
- Auditez le renforcement de la sécurité des appareils.
Notez qu'il ne s'agit pas d'une liste exhaustive, mais d'un point de départ pour les organisations qui cherchent à franchir une nouvelle étape dans leur processus de renforcement de la sécurité des terminaux. Toutes les mesures de renforcement de la sécurité des terminaux ne s'appliquent pas à tous les environnements et beaucoup doivent être adaptées à votre propre environnement. Lorsque vous améliorez la sécurité des terminaux, n'oubliez pas que les normes de référence évoluent constamment ; les approches de sécurité doivent donc toujours être évaluées et mises à jour régulièrement.
Il est également important de noter qu'il existe un certain nombre de mesures essentielles que vous pouvez prendre pour renforcer la sécurité de votre organisation, mais qui ne sont pas incluses dans le renforcement de la sécurité des terminaux, notamment :
- La gestion des identités et des accès.
- Les solutions de sécurité avancées (SIEM, antivirus avancés, etc.).
- Formation à la sensibilisation à la sécurité pour les utilisateurs finaux.
- Stratégie réseau.
- Sécurité des applications cloud.
- Protection contre les menaces mobiles.
Toutes ces mesures sont essentielles pour garantir la sécurité, mais ne ciblent pas spécifiquement la sécurité au niveau des terminaux.
Automatisation du renforcement des terminaux :
Avant de passer à quelques exemples illustrant comment les entreprises peuvent utiliser NinjaOne pour renforcer et simplifier leur approche du renforcement des terminaux, parlons un peu plus de l'automatisation.
En général, l'automatisation informatique :
- Réduit le risque d'erreur humaine.
- Réduit le temps consacré aux tâches manuelles.
- Réduit les coûts.
- Standardise la gestion des appareils et la prestation de services.
- Améliore la satisfaction des employés informatiques.
- Améliore l'expérience utilisateur.
- Contribue au respect de la conformité.
En tirant parti des avantages de l'automatisation, le processus de renforcement de la sécurité des terminaux devient beaucoup plus simple, plus efficace et moins coûteux à long terme. De plus, comme les processus sont configurés pour s'exécuter automatiquement, les organisations peuvent limiter plus rapidement leur exposition à toute vulnérabilité potentielle. Moins un appareil est exposé, mieux c'est.
NinjaOne propose divers mécanismes qui aident les entreprises à mettre en œuvre facilement un workflow informatique automatisé. Dans la section suivante, nous présenterons cinq exemples illustrant comment les entreprises peuvent utiliser les outils d'automatisation de NinjaOne pour améliorer la sécurité des appareils, notamment :
- Les automatisations planifiées — Lorsque vous souhaitez prendre des mesures à l'encontre des appareils d'une politique à un ou plusieurs moments précis.
- Tâches planifiées — Lorsque vous souhaitez prendre des mesures à l'encontre des appareils d'un groupe à un ou plusieurs moments précis.
- Conditions de résultat de script — Lorsque vous souhaitez vérifier régulièrement les informations sur un appareil et prendre des mesures en fonction des résultats renvoyés.
- Script déclenché par une condition — Lorsque vous souhaitez réagir immédiatement à un changement d'état sur un appareil d
. - Script déclenché par un champ personnalisé — Lorsque vous avez besoin d'informations que NinjaOne ne collecte pas par défaut ou pour des automatisations en plusieurs étapes / complexes.
Documentation associée :
- Politiques : Automatisations planifiées
- Tâches planifiées
- Politiques : configuration des conditions
- Champs personnalisés et documentation : CLI et scripts
Ajouter un script personnalisé à NinjaOne :
Étant donné que de nombreuses automatisations doivent être adaptées à chaque environnement, les scripts personnalisés sont essentiels à l'automatisation dans NinjaOne. Il est donc important de savoir comment ajouter de nouveaux scripts à votre bibliothèque d'automatisations au sein de la plateforme NinjaOne. Pour ajouter un nouveau script, plusieurs options s'offrent à vous. Vous pouvez soit :
- Ajouter un nouveau script à l'aide de l'éditeur de scripts.
- Importer un nouveau script à l'aide de la bibliothèque de modèles.
- Importer un nouveau script depuis votre ordinateur.
Pour ceux qui ont besoin d'aide concernant les scripts personnalisés, le dossier « Script Share » de notre Dojo (notre communauté de clients NinjaOne) regorge de scripts mis en ligne par d'autres utilisateurs de NinjaOne.
Une fois le script « Activer BitLocker » ajouté à votre bibliothèque, vous pourrez le rechercher lorsque vous ajouterez des scripts/automatisations à la tâche planifiée. Voici à quoi ressemble la liste des scripts disponibles :
Une fois le calendrier des tâches défini et l'automatisation sélectionnée, accédez à Cibles et ajoutez une nouvelle cible sur le côté droit. Vous pouvez choisir entre une organisation, un appareil ou un groupe. Dans ce cas, nous sélectionnerons Groupe et rechercherons le groupe dynamique « BitLocker désactivé » créé précédemment.
Parmi les autres exemples d'utilisation des groupes dynamiques avec des automatisations planifiées, on peut citer la désactivation des périphériques de stockage de masse, la configuration de l'UAC, etc. Dans la bibliothèque de modèles de la console NinjaOne, vous trouverez un certain nombre de modèles d'automatisation prêts à l'emploi.
Activer les pare-feu des appareils et bloquer les connexions sortantes
Deux options différentes s'affichent sous le menu déroulant Condition. Cliquez sur Ajouter à côté de « La valeur du champ personnalisé doit répondre à toutes les conditions » pour générer deux nouveaux menus déroulants.
Dans le premier menu déroulant, sélectionnez le champ personnalisé « État du pare-feu » que vous avez créé. Dans le deuxième menu déroulant, sélectionnez « contient ». Sous ces deux menus déroulants, saisissez « false » dans le champ de texte (ce qui signifie que le pare-feu est désactivé).
Cliquez sur « Appliquer », puis sur « Ajouter » à droite de « Automatisations » dans la fenêtre contextuelle « Condition ». Recherchez et sélectionnez « Set-WindowsFirewall » pour l'appliquer à la condition.
Pour renforcer la protection du pare-feu, vous pouvez également ajouter un script personnalisé afin de bloquer les communications réseau sortantes.
Dans ce script personnalisé, ajoutez les applications pour lesquelles vous souhaitez bloquer l’accès à Internet. Par exemple, il est peu probable que la calculatrice Windows ou le Bloc-notes aient besoin d’un accès à Internet (mais ils peuvent être usurpés et utilisés comme vecteurs d’attaque), vous pouvez donc les ajouter à la liste des applications au sein même du script personnalisé. Pour cet exemple, nous avons utilisé ce script PowerShell « Block Outbound NetConns for win32 ». (Il ne s'agit pas d'un script NinjaOne officiel, veuillez donc le tester de manière approfondie avant de l'utiliser !)
Une fois ajouté à la bibliothèque d'automatisation, vous pouvez l'ajouter à la même condition « Check Firewall » à laquelle vous avez ajouté le script « Set-WindowsFirewall ».
Activer, développer et analyser les journaux
Dans cet exemple, nous allons déclencher une automatisation lors de la configuration de l'appareil pour modifier sa configuration.
La qualité de la configuration d'un appareil dépend des informations que vous en tirez, et c'est là que les journaux d'événements entrent en jeu. Les journaux vous aident à comprendre ce qui se passe sur l'appareil, et certains journaux peuvent nécessiter d'être développés afin que vous puissiez obtenir une vue précise de l'état de santé et de la sécurité de votre environnement.
Avant de passer à l'étape suivante, vous devrez ajouter un nouveau script personnalisé à votre bibliothèque, spécialement conçu pour développer ces journaux d'événements. Vous pouvez utiliser notre dossier Script Share ou d'autres scripts fournis par la communauté à cette fin. **Avertissement — NinjaOne ne vérifie ni ne teste les scripts publiés dans ces articles. Nous vous recommandons de tester tous les scripts personnalisés sur un petit ensemble d'appareils avant de les exécuter à grande échelle.**
Une fois que vous avez ajouté votre script personnalisé « Expand Event Logging » à la bibliothèque d'automatisation, retournez à la page de la politique choisie et ouvrez l'onglet « Scheduled Automations ».
Cet exemple utilise la cadence « Exécuter une fois immédiatement », qui s'applique à tous les appareils concernés par la politique choisie. La planification « Exécuter une fois immédiatement » s'exécute lorsque les appareils sont en ligne, lorsque des appareils hors ligne se reconnectent, et sur tout nouvel appareil en ligne qui rejoint la politique.
Une fois que vous avez choisi votre planification préférée, ajoutez votre script personnalisé « Expand Event Logging » sur le côté droit. À partir de là, vous pouvez appliquer ce script planifié et il s'exécutera immédiatement.
En plus de l'extension des journaux, la surveillance de votre observateur d'événements contre l'escalade de privilèges est un autre moyen d'ajouter une couche de sécurité aux terminaux.
Ajoutez une nouvelle condition à partir de l'onglet Conditions de la stratégie et choisissez « Événement Windows » pour ajouter une source et les ID d'événement spécifiques que vous souhaitez surveiller.
Dès qu'un des ID d'événement se déclenche, vous serez alerté de tout changement concernant un utilisateur particulier et pourrez prendre des mesures. Ce guide ne propose pas de remédiation spécifique, mais vous avez la possibilité d'ajouter une remédiation dans les étapes d'automatisation à l'aide de champs personnalisés.
Créer un compte d'administrateur local et automatiser la rotation des mots de passe
Dans cet exemple, nous allons déclencher une automatisation lors de la configuration de l'appareil, puis exécuter une automatisation régulière pour modifier un mot de passe administrateur. Windows intègre une fonctionnalité dont vous pouvez tirer parti dans NinjaOne pour faciliter la rotation et la protection des mots de passe. Créez un script personnalisé à cet effet et ajoutez-le à une automatisation planifiée dans la politique de votre choix, puis configurez-le pour qu'il s'exécute selon le calendrier souhaité.
Pour cela, retournez dans votre menu Champs personnalisés globaux (Administration > Appareils) et ajoutez un nouveau champ. Dans ce nouveau champ, donnez-lui le même nom que celui que vous avez défini dans le script personnalisé de rotation des mots de passe (c'est-à-dire « localAdminPassword » par défaut) et sélectionnez le type de champ « Sécurisé » dans le menu déroulant.
Un champ personnalisé « sécurisé » est spécialement conçu pour gérer les identifiants en toute sécurité : il n’est pas visible en texte clair, nécessite une authentification multifactorielle (MFA) pour être consulté et est entièrement chiffré. Un système d’audit permet également de voir qui a accès au champ personnalisé « sécurisé » qui a été ajouté.
Une fois que vous aurez cliqué sur Créer, vous verrez apparaître des champs déroulants supplémentaires. Vous devrez régler le menu déroulant « Automations » sur « Écriture seule » et le menu déroulant « Technicien » sur « Lecture seule », car ce script crée un compte de service, génère une chaîne de caractères alphanumériques aléatoire comme mot de passe et l'ajoute en tant que champ personnalisé « sécurisé ». Une fois le mot de passe généré, le script l'enregistre dans le champ personnalisé « sécurisé ».
Cela signifie que vous n'avez pas de mots de passe standardisés à tous les niveaux et que vous pouvez accéder à chaque appareil individuellement pour consulter le mot de passe localAdminPassword sous l'onglet Champs personnalisés du tableau de bord de l'appareil (image 24).
Détecter et supprimer les logiciels potentiellement malveillants
Dans cet exemple, nous allons utiliser une condition de politique pour détecter un changement d’état (logiciel installé) et déclencher une automatisation afin de résoudre le problème.
Vous pouvez utiliser les outils d’automatisation de NinjaOne pour détecter et supprimer facilement les logiciels malveillants ou indésirables des terminaux. Avant de créer la condition de détection de logiciel, vous devrez ajouter un script personnalisé « Uninstall Application » à la bibliothèque d’automatisation de NinjaOne. Vous pouvez utiliser notre dossier « Script Share » ou d’autres scripts fournis par la communauté à cette fin. **Avertissement — NinjaOne ne vérifie ni ne teste les scripts publiés dans ces articles. Nous vous recommandons de tester tous les scripts personnalisés sur un petit ensemble d'appareils avant de les exécuter à grande échelle.**
Une fois ce script personnalisé ajouté, retournez dans la politique que vous souhaitez mettre à jour et ouvrez l'onglet Conditions. Ajoutez une nouvelle condition et choisissez « Logiciel » dans le menu déroulant Condition. Sélectionnez « Existe » dans le menu déroulant Présence qui s'affiche et saisissez le nom du logiciel que vous souhaitez détecter dans le champ Noms.
Si vous ajoutez des astérisques autour du nom du logiciel, cela inclura tout ce qui utilise ce nom dans le titre du logiciel, et pas seulement les correspondances exactes.
Cliquez sur Appliquer, puis ajoutez l'automatisation dans la partie droite de la fenêtre modale de configuration de la condition.
Pour vous assurer que vous résolvez complètement vos problèmes, testez et vérifiez que ce script PowerShell ou ce programme de désinstallation supprime bien l'application avant de procéder au déploiement complet.
Ressources
Le renforcement de la sécurité des terminaux est essentiel, et avec une automatisation adéquate, il peut être facile à mettre en œuvre et à maintenir. Si vous recherchez un outil pour vous aider à automatiser votre workflow informatique, accédez à un essai gratuit de NinjaOne ici :
https://www.ninjaone.com/freetrialform/
Nous avons également dressé une liste de quelques cadres de sécurité que vous pouvez utiliser pour sécuriser votre réseau et vos appareils :
- Guide du NIST sur la sécurité générale des serveurs
- Critères CIS pour les postes de travail Microsoft Windows
- Base de connaissances de sécurité MITRE ATT&CK
Glossaire
Vous trouverez ci-dessous les définitions des acronymes utilisés dans cet article. Pour plus de définitions, veuillez consulter la terminologie NinjaOne.
| Terme | Définition |
|---|---|
| API | Interface de programmation d'application |
| AV | Antivirus |
| BIOS | Système d'entrée-sortie de base |
| EDR | Détection et réponse aux menaces au niveau des terminaux |
| HTTP | Protocole de transfert hypertexte |
| MFA | Authentification multifactorielle |
| SIEM | Gestion des informations et des événements de sécurité |
| SMBv1 | Server Message Block (v1) |
| Telnet | Réseau télex |
| UAC | Contrôle des comptes utilisateurs |
| UEFI | Interface firmware extensible unifiée |
| USB | Bus série universel |