Pourquoi bloquer Powershell dans le parefeu de Windows
Wizdo
Messages postés131Date d'inscriptiondimanche 8 avril 2012StatutMembreDernière intervention20 août 2024
-
18 août 2024 à 15:02
Bonjour,
________________________________________________
D'abord. Si la modération pourrait ne pas fermer ce topic, important pour la sécurité.
_________________________________________________
.
Le site de malekaI avec l'article "Les bons réglages", propose de bloquer des fichiers de Windows (Powershell, ..) dans le parefeu de Windows.
Explications.
Depuis quelques années les pirates ont innové avec les attaques "dites" sans fichiers (fileless). Des fichiers "légitimes" de Windows (Powershell, Wscript, ..) sont utilisés par les pirates, ce qui complique davantage la tâche des antivirus.
Aussi. Pourquoi bloquer l'accès à Powershell à internet, que, dans le parefeu de Windows. Parce que le parefeu de Windows (qui est majoritairement) utilisé dans sa config usine, autorise(par défaut) tout ce qu'il y a d'installé sur l'ordinateur (== les applications et les infections qui réussissent à s'installer) à communiquer librement sur internet. ↓ Image ↓
Ce qui se vérifie par le fait que les navigateurs n'ont aucune règles de créés, dans la fenêtre du trafic Sortant du Parefeu de Windows avec fonctions avancées .. Pourquoi les installateurs des navigateurs, les antivirus et beaucoup d'autres logiciels créeraient des règles dans la fenêtre du trafic Sortant pour les autoriser, puisque tout est déjà autorisé (par défaut).
Parce que le parefeu de Windows, comporte (par défaut) une super faille de sécurité.
À défaut d'utiliser un autre parefeu complet.
Pour réduire les risques, de peut-être 30à50%, avec les attaques sans fichiers.
~~~~~~~~~~ La manip ~~~~~~~~~~
On peut créer soi-même les règles pour bloquer Powershell.exe et Wscript.exe, dans la fenêtre du trafic sortant du parefeu de Windows. Ce qui n'est pas très compliqué. Ces fichiers de windows sont dans C:\Windows\System32\..
Sinon.
"Les bons réglages" sont proposés avec un fichier .WFW à importer dans le parefeu.
Le problème.
En important ce .WFW, les réglages des parefeu des usagers sont réinitialisés.
Au lieu.
On utilise la commande Netsh, qui ajoute les règles sans altérer les réglages en place.
Ex.
• Ouvrir l'invite de commande (CMD) en tant qu'Administrateur.
• Copier / coller (par un clic-droit) la Citation dans CMD et valider.