Site Officiel MSSEC
Site Officiel MSSEC

Bloquer l’accès à internet d’un poste en Tier 0

Loic Veirman

Les stations d’administrations ne devraient normalement pas accéder à internet : il s’agit d’une mesure de protection élémentaire qui permet d’éviter une primo-infection sur un poste disposant d’accès sensible. Cette GPO vous permettra de l’interdire directement au niveau du poste : elle vient en complément d’une stratégie au niveau du réseau (vlan d’administration dédié par Tiers) et fait parti d’une stratégie pour les PAW nomades.

Attention : cette explication n’est applicable que si l’on respecte les valeurs standards pour les plans d’adressage public et privé. Dans le cas contraire, il faudra l’adapter

Prérequis

Tout d’abord, créez une nouvelle GPO et nommez-la en fonction de votre convention (dans cette exemple : Sec_Paw_denyInternet).  Configurez ensuite la GPO pour qu’elle ne s’applique qu’à vos stations d’administrations (par l’appartenance à un groupe par exemple). Une fois cela fait, éditer la GPO.

Première étape : interdire la communication réseau directe vers internet.

  • Allez dans la section Configuration Ordinateur | Paramètres Windows | Paramètres de sécurité | Parefeu Windows Defender avec fonctions avancées
  • Faites un clic-droit sur Règles de Trafic Sortant puis sélectionnez Nouvelle Règle…
Stratégie SEC_PAW denylnternet v Configuration ordinateur v Stratégies Paramètres du logiciel v Paramètres Windows Stratégie de résolution de noms Scripts (démarrage/arrêt) Imprimantes déployées Paramètres de sécurité Stratégies de comptes Stratégies locales Journal des événements Groupes restreints Services système Registre Système de fichiers Stratégies de réseau filaire (IEEE 802 3) Pare-feu Windows Defender avec fonctions avanc Pare-feu Windows Defender avec fonctions av Règles de trafic entrant Règles de trafic so Règles de sécurité Stratégies du gestionnaire Stratégies de réseau sans Stratégies de clé publique Stratégies de restriction la Stratégies de contrôle de I Stratégies de sécurité IP s Configuration avancée de Qas basée sur la stratégie Modèles d'administration : défin- Préférences Nouvelle règle... Filtrer par profil Filtrer par état Filtrer par groupe Affichage Actualiser Exporter la liste...
Création d’une nouvelle règle de pare-feu pour un trafic sortant
  • Sélectionnez Personnalisée et cliquez sur Suivant
  • Sélectionnez Tous les Programmes et cliquez sur Suivant
  • Sélectionnez Tout Type de Protocole et cliquez sur Suivant
  • Dans la section A Quelles Adresses IP Distantes Cette Règle s’Applique-t-Elle ?, sélectionnez Ces Adresses IP et cliquez sur Ajouter…
  • Sélectionnez Cette Plage d’Adresse IP et ajouter toutes les plages ci-dessous :
DEA
0.0.0.19.255.255.255
11.0.0.0126.255.255.255
169.255.0.0172.15.255.255
172.32.0.0192.167.255.255
192.169.0.0198.17.255.255
198.20.0.0255.255.255.254
Plan d’adressage IP à bloquer
Assistant Nouvelle règle de trafic sortant Etendue Spécifiez les adresses IP locales et distantes auxquelles s applique cette règle Type de règle Programme Protocole et ports Èendue Action Profil Nom A IP loc*s c*te ? @ Toute adresse IP C) Ces adresses IP Personnaliser les types d interfaces auxquels cette règle s applique A IP c*te ? C) Toute adresse IP @ Ces adresses IP 000 1*255255255 ISS 2550 M72 15255255 172320 MS2 255255 0-255255255254 Aouter
Filtrer les IP
  • Cliquez sur Suivant
  • Sélectionnez Bloquer la Connexion et cliquer sur Suivant
  • Sélectionnez tous les profiles et cliquer sur Suivant
  • Nommez la règle selon vos convention et ajouter un commentaire si nécessaire
  • Cliquez sur Terminer

Seconde étape : forcer un proxy sur les paramètres IE pour bloquer une évasion via un mandataire dans le réseau local

  • Allez dans la section Configuration Utilisateur | Préférences | Paramètres du Panneau de Configuration
  • Faites un clic-droit sur Paramètres Internet et sélectionnez Nouveau | Internet Explorer 10
Stratégie SEC_PAW denylnternet v Configuration ordinateur Stratégies Préférences v Configuration utilisateur Stratégies v Préférences Paramètres Windows v Paramètres du Panneau de configuration Sources de données Périphériques Options des dossiers Paramètres Interne Utilisateurs et gra Options réseau Options d'alimen Imprimantes Options régional Têches planifiées Menu D emarrer Toutes les tiches Affichage Copier Imprimer Actualiser Exporter la liste... Paramètr Traitement en cours Internet Explorer 5 et 6 Internet Explorer 7 Internet Explorer 8 et g Internet Explorer 10
Personnaliser IE
  • Sélectionnez Connexions puis Paramètres Réseau
  • Dans le section Serveur Proxy, saisissez l’adresse 127.0.0.1 et le port 3128, puis cochez la case Ignorer le Serveur Proxy pour les Adresses Locales
Serveur proxy Lltliser un serveur proxy pour votre réseau local. (Ces paramètres ne [Z] s'appliqueront pas à des connexions deccès à distance ni à des connexions VPN.) Adresse: 127.0.0.1 esses locales,
Configuration du Proxy
  • Cliquez sur OK deux fois pour revenir à l’écran principal

Dernière étape : interdire la modification des paramètres de proxy par l’utilisateur (et donc un by-pass)

  • Allez dans la section Configuration Utilisateur | Stratégies | Modèles d’administration | Composants Windows | Internet Explorer
  • Identifiez le paramètre Désactiver la Modification des Paramètres de Connexion et activez-le
Console de gestion Microsoft Contenu claud Dossiers de travail Emplacement et capteurs Exécution de l'application Explorateur de fichiers Flux RSS Gadgets du Sureau Gestionnaire de fenêtres du Sureau Gestionnaire de piècesjointes Interface utilisateur d'informations d'identifica Interface utilisateur latérale Internet Explorer Magnétophone Microsoft Edge Paramètre Désactiver la fonction de zoom Désactiver la fonctionnalité Aperçu mosaïque Désactiver la fonctionnalité de saisie semi-automatique des . Désactiver la fonctionnalité de saisie semi-automatique des „ Désactiver la fonctionnalité de vérification des paramètres Désactiver la fonctionnalité Rétablir les paramètres Web Désactiver la géolocalisatian du navigateur Désactiver la gestion des fenêtres publicitaires Désactiver la gestion du filtre SmartScreen pour Internet Exp... Désactiver la mise en cache des scripts de proxy automatiqu... Désactiver la modification de la page d'accueil Désactiver la modification des parametres d'accessibilité Désactiver le mcclificeticn paramètres cie ccnnexicn Désactiver la modification CIES parametres CIE couleurs État Non configuré Non configuré Non configuré Nan configuré Non configuré Non configuré Non configuré Non configuré Non configuré Non configuré Non configuré Nan configuré Activé Non ccnfiquré Commentaire Nan Nan Nan Nan Nan N cn Non
Paramètre de blocage de la modification

Conclusion

Fermez la GPO puis appliquez-la dans votre environnement afin de la tester avant la mise en production ! Si vous utilisez des navigateurs complémentaires (firefox, chrome, …), pensez à reproduire la configuration du proxy pour chacun d’eux.

Related Posts