Les stations d’administrations ne devraient normalement pas accéder à internet : il s’agit d’une mesure de protection élémentaire qui permet d’éviter une primo-infection sur un poste disposant d’accès sensible. Cette GPO vous permettra de l’interdire directement au niveau du poste : elle vient en complément d’une stratégie au niveau du réseau (vlan d’administration dédié par Tiers) et fait parti d’une stratégie pour les PAW nomades.
Attention : cette explication n’est applicable que si l’on respecte les valeurs standards pour les plans d’adressage public et privé. Dans le cas contraire, il faudra l’adapter
Prérequis
Tout d’abord, créez une nouvelle GPO et nommez-la en fonction de votre convention (dans cette exemple : Sec_Paw_denyInternet). Configurez ensuite la GPO pour qu’elle ne s’applique qu’à vos stations d’administrations (par l’appartenance à un groupe par exemple). Une fois cela fait, éditer la GPO.
Première étape : interdire la communication réseau directe vers internet.
- Allez dans la section Configuration Ordinateur | Paramètres Windows | Paramètres de sécurité | Parefeu Windows Defender avec fonctions avancées
- Faites un clic-droit sur Règles de Trafic Sortant puis sélectionnez Nouvelle Règle…
![Stratégie SEC_PAW denylnternet
v Configuration ordinateur
v Stratégies
Paramètres du logiciel
v Paramètres Windows
Stratégie de résolution de noms
Scripts (démarrage/arrêt)
Imprimantes déployées
Paramètres de sécurité
Stratégies de comptes
Stratégies locales
Journal des événements
Groupes restreints
Services système
Registre
Système de fichiers
Stratégies de réseau filaire (IEEE 802 3)
Pare-feu Windows Defender avec fonctions avanc
Pare-feu Windows Defender avec fonctions av
Règles de trafic entrant
Règles de trafic so
Règles de sécurité
Stratégies du gestionnaire
Stratégies de réseau sans
Stratégies de clé publique
Stratégies de restriction la
Stratégies de contrôle de I
Stratégies de sécurité IP s
Configuration avancée de
Qas basée sur la stratégie
Modèles d'administration : défin-
Préférences
Nouvelle règle...
Filtrer par profil
Filtrer par état
Filtrer par groupe
Affichage
Actualiser
Exporter la liste...](https://mssec.fr/wp-content/uploads/2021/04/image.png)
- Sélectionnez Personnalisée et cliquez sur Suivant
- Sélectionnez Tous les Programmes et cliquez sur Suivant
- Sélectionnez Tout Type de Protocole et cliquez sur Suivant
- Dans la section A Quelles Adresses IP Distantes Cette Règle s’Applique-t-Elle ?, sélectionnez Ces Adresses IP et cliquez sur Ajouter…
- Sélectionnez Cette Plage d’Adresse IP et ajouter toutes les plages ci-dessous :
DE | A |
---|---|
0.0.0.1 | 9.255.255.255 |
11.0.0.0 | 126.255.255.255 |
169.255.0.0 | 172.15.255.255 |
172.32.0.0 | 192.167.255.255 |
192.169.0.0 | 198.17.255.255 |
198.20.0.0 | 255.255.255.254 |
![Assistant Nouvelle règle de trafic sortant
Etendue
Spécifiez les adresses IP locales et distantes auxquelles s applique cette règle
Type de règle
Programme
Protocole et ports
Èendue
Action
Profil
Nom
A IP loc*s c*te ?
@ Toute adresse IP
C) Ces adresses IP
Personnaliser les types d interfaces auxquels cette règle s applique
A IP c*te ?
C) Toute adresse IP
@ Ces adresses IP
000 1*255255255
ISS 2550 M72 15255255
172320 MS2 255255
0-255255255254
Aouter](https://mssec.fr/wp-content/uploads/2021/04/image-1.png)
- Cliquez sur Suivant
- Sélectionnez Bloquer la Connexion et cliquer sur Suivant
- Sélectionnez tous les profiles et cliquer sur Suivant
- Nommez la règle selon vos convention et ajouter un commentaire si nécessaire
- Cliquez sur Terminer
Seconde étape : forcer un proxy sur les paramètres IE pour bloquer une évasion via un mandataire dans le réseau local
- Allez dans la section Configuration Utilisateur | Préférences | Paramètres du Panneau de Configuration
- Faites un clic-droit sur Paramètres Internet et sélectionnez Nouveau | Internet Explorer 10
![Stratégie SEC_PAW denylnternet
v Configuration ordinateur
Stratégies
Préférences
v Configuration utilisateur
Stratégies
v Préférences
Paramètres Windows
v Paramètres du Panneau de configuration
Sources de données
Périphériques
Options des dossiers
Paramètres Interne
Utilisateurs et gra
Options réseau
Options d'alimen
Imprimantes
Options régional
Têches planifiées
Menu D
emarrer
Toutes les tiches
Affichage
Copier
Imprimer
Actualiser
Exporter la liste...
Paramètr
Traitement en cours
Internet Explorer 5 et 6
Internet Explorer 7
Internet Explorer 8 et g
Internet Explorer 10](https://mssec.fr/wp-content/uploads/2021/04/image-2.png)
- Sélectionnez Connexions puis Paramètres Réseau
- Dans le section Serveur Proxy, saisissez l’adresse 127.0.0.1 et le port 3128, puis cochez la case Ignorer le Serveur Proxy pour les Adresses Locales
![Serveur proxy
Lltliser un serveur proxy pour votre réseau local. (Ces paramètres ne
[Z] s'appliqueront pas à des connexions deccès à distance ni à des connexions
VPN.)
Adresse: 127.0.0.1
esses locales,](https://mssec.fr/wp-content/uploads/2021/04/image-3.png)
- Cliquez sur OK deux fois pour revenir à l’écran principal
Dernière étape : interdire la modification des paramètres de proxy par l’utilisateur (et donc un by-pass)
- Allez dans la section Configuration Utilisateur | Stratégies | Modèles d’administration | Composants Windows | Internet Explorer
- Identifiez le paramètre Désactiver la Modification des Paramètres de Connexion et activez-le
![Console de gestion Microsoft
Contenu claud
Dossiers de travail
Emplacement et capteurs
Exécution de l'application
Explorateur de fichiers
Flux RSS
Gadgets du Sureau
Gestionnaire de fenêtres du Sureau
Gestionnaire de piècesjointes
Interface utilisateur d'informations d'identifica
Interface utilisateur latérale
Internet Explorer
Magnétophone
Microsoft Edge
Paramètre
Désactiver la fonction de zoom
Désactiver la fonctionnalité Aperçu mosaïque
Désactiver la fonctionnalité de saisie semi-automatique des .
Désactiver la fonctionnalité de saisie semi-automatique des „
Désactiver la fonctionnalité de vérification des paramètres
Désactiver la fonctionnalité Rétablir les paramètres Web
Désactiver la géolocalisatian du navigateur
Désactiver la gestion des fenêtres publicitaires
Désactiver la gestion du filtre SmartScreen pour Internet Exp...
Désactiver la mise en cache des scripts de proxy automatiqu...
Désactiver la modification de la page d'accueil
Désactiver la modification des parametres d'accessibilité
Désactiver le mcclificeticn paramètres cie ccnnexicn
Désactiver la modification CIES parametres CIE couleurs
État
Non configuré
Non configuré
Non configuré
Nan configuré
Non configuré
Non configuré
Non configuré
Non configuré
Non configuré
Non configuré
Non configuré
Nan configuré
Activé
Non ccnfiquré
Commentaire
Nan
Nan
Nan
Nan
Nan
N cn
Non](https://mssec.fr/wp-content/uploads/2021/04/image-4.png)
Conclusion
Fermez la GPO puis appliquez-la dans votre environnement afin de la tester avant la mise en production ! Si vous utilisez des navigateurs complémentaires (firefox, chrome, …), pensez à reproduire la configuration du proxy pour chacun d’eux.