Pourquoi bloquer Powershell dans le parefeu de Windows

​Bonjour,

________________________________________________

D'abord.  Si la modération pourrait ne pas fermer ce topic, important pour la sécurité.
_________________________________________________

.

Le site de malekaI avec l'article "Les bons réglages", propose de bloquer des fichiers de Windows (Powershell, ..) dans le parefeu de Windows.

Explications.

Depuis quelques années les pirates ont innové avec les attaques "dites" sans fichiers (fileless).  Des fichiers "légitimes" de Windows (Powershell, Wscript, ..) sont utilisés par les pirates, ce qui complique davantage la tâche des antivirus. 

Aussi.  Pourquoi bloquer l'accès à Powershell à internet, que, dans le parefeu de Windows.  Parce que le parefeu de Windows (qui est majoritairement) utilisé dans sa config usine, autorise(par défaut) tout ce qu'il y a d'installé sur l'ordinateur (== les applications et les infections qui réussissent à s'installer) à communiquer librement sur internet.       ↓ Image ↓  

Ce qui se vérifie par le fait que les navigateurs n'ont aucune règles de créés, dans la fenêtre du trafic Sortant du Parefeu de Windows avec fonctions avancées ..  Pourquoi les installateurs des navigateurs, les antivirus et beaucoup d'autres logiciels créeraient des règles dans la fenêtre du trafic Sortant pour les autoriser, puisque tout est déjà autorisé (par défaut).  

À propos.

L'année dernière sur ce forum, il y a eu une vague de trojan-stealer de mots de passe et de trojan-downloader de ransomware.  Lesquels trojans étaient activés par Powershell.
Réf. 1 - https://threats.kaspersky.com/en/threat/Trojan-Downloader.PowerShell.Agent.gen/
Réf. 2 - https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Trojan%3APowerShell%2FStealer.SA&ThreatID=2147896176

.

Donc. 

Parce que le parefeu de Windows, comporte (par défaut) une super faille de sécurité.   

À défaut d'utiliser un autre parefeu complet.

Pour réduire les risques, de peut-être 30à50%, avec les attaques sans fichiers.

            ~~~~~~~~~~ La manip ~~~~~~~~~~

On peut créer soi-même les règles pour bloquer Powershell.exe et Wscript.exe, dans la fenêtre du trafic sortant du parefeu de Windows.  Ce qui n'est pas très compliqué.  Ces fichiers de windows sont dans C:\Windows\System32\..

Sinon.

"Les bons réglages" sont proposés avec un fichier .WFW à importer dans le parefeu.
Le problème.
En important ce .WFW, les réglages des parefeu des usagers sont réinitialisés.

Au lieu.
On utilise la commande Netsh, qui ajoute les règles sans altérer les réglages en place.

Ex.

• Ouvrir l'invite de commande (CMD) en tant qu'Administrateur.

• Copier / coller (par un clic-droit) la Citation dans CMD et valider.

netsh advfirewall firewall add rule name= ", Powershell.exe" dir=out program="C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" action=block
netsh advfirewall firewall add rule name= ", Wscript.exe" dir=out program="C:\Windows\System32\Wscript.exe" action=block

La citation peut être mise dans un fichier .BAT → à lancer en Administrateur.

La virgule en avant de Powershell et Wscript a pour effet de regrouper les règles créés, tout en haut de la fenêtre du trafic sortant.

​.

P.S.

Dans le fichier .WFW des bons réglages, les fichiers Mshta.exe et Rundll32.exe sont aussi bloqués dans le parefeu.