Comment se protéger des malwares ?

• Tout d’abord avoir un antivirus actif et à jour. Même si les concepteurs de virus ont plusieurs techniques pour repackager et chiffrer leurs virus pour rendre leur identification plus difficile, un antivirus à jour vous permet de réduire considérablement les risques d’infection.

• Sensibiliser vos utilisateurs sur les différentes attaques couramment utilisées (phishing, ouverture de pièces jointes dans les mails (la pièce jointe provenant de mon contact semble-t-elle légitime ?), utilisation d’une clé USB inconnue sur à son ordinateur, etc.).

• Mettre à jour régulièrement son poste de travail et ses applications tierces pour éviter les attaques de type Drive-By Download. Pour rappel, une attaque de type Drive-By Download consiste à utiliser des failles dans votre navigateur ou les applications tierces installées (Adobe Flash, Java, etc.) pour exécuter du code malveillant lors de la consultation d’une page web piégée (sachant que celle-ci peut très bien se trouver sur un site totalement légitime mais qui aura été piraté et dont le code aura été modifié). Cela fait donc aussi parti d’un des thèmes à traiter lors de la sensibilisation utilisateur.

• Faire des sauvegardes de ses données importantes et les stocker sur un média accessible ponctuellement.

• Limiter les accès en écriture à vos utilisateurs sur les partages de fichiers, etc… (ce qui aurait évité dans ce type d’attaque que les données contenues sur le réseau soient chiffrées par un utilisateur infecté).

• Un point également très efficace et qui est à prendre en compte, consiste à interdire explicitement le lancement d’exécutables dans des répertoires couramment utilisés par les malwares. Nous allons détailler cette configuration ci-après.

Configuration des restrictions applicatives génériques dans Windows

Les malwares/virus utilisent la plupart du temps les mêmes procédés pour s’exécuter sur les systèmes d’exploitation Windows. Ces techniques varient peu et les fonctionnalités de restrictions logicielles vous seront d’une grande aide pour protéger efficacement vos postes de travail contre ce type d’attaque.

Si vous appliquez les restrictions au sein des répertoires suivants, vous baisserez significativement les risques de voir un virus s’exécuter avec succès sur vos ordinateurs.

La méthode n’est bien sûr pas infaillible mais a le mérite de couvrir un éventail assez large des procédés utilisés par les logiciels malveillants.

Il existe depuis Windows XP la possibilité d’interdire l’exécution d’applications directement par stratégie de groupe. Sous Windows XP, il s’agit de la « stratégie de restriction logicielle » (plus d’infos sur sa mise en œuvre ici).

Depuis Windows 7, cela s’appelle Applocker (Plus d’infos sur sa mise en œuvre ici).
Vous pourrez alors définir des règles de filtrage.

• Sous Windows XP ces règles se configurent au niveau de Configuration de l’ordinateur- Paramètres-Windows- Paramètres de sécurité – Stratégies de Restriction logicielle.

• Sous Windows Vista et versions suivantes, il faut aller au niveau du paramètre Configuration ordinateur – Stratégies – Paramètres Windows – Paramètres de sécurité – Stratégie de contrôle de l’application – AppLocker.

Les règles de filtrage sont les suivantes :

• Blocage de l’exécution de fichiers dangereux dans %AppData% et sous-dossiers :

%Appdata%\*.exe
%Appdata%\*.sys
%Appdata%\*.dll
%Appdata%\*\*.exe
%Appdata%\*\*.sys
%Appdata%\*\*.dll
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.exe
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.sys
C:\DOCUME~1\*\LOCALS~1\APPLIC~1\*.dll

• Blocage de l’exécution de fichiers depuis des archives WinRar, 7Zip, WinZip et le support Zip intégré à Windows. Très utile pour empêcher l’exécution d’exécutables se trouvant dans des fichiers compressés et récemment téléchargés au travers du navigateur. Il s’agit d’un procédé classique utilisé par les malwares lorsqu’ils utilisent une faille de votre navigateur ou des plugins chargés :

% Temp%\Rar*\*.exe
%Temp%\7z*\*.exe
%Temp%\wz*\*.exe
%Temp%\*.zip\*.exe

• Blocage de l’exécution de fichiers dangereux dans %LocalAppData% et ses sous-dossiers (pour Windows Vista et versions suivantes uniquement) :

%LocalAppData%\*.exe
%LocalAppData%\*.sys
%LocalAppData%\*.dll
%LocalAppData%\*\*.exe
%LocalAppData%\*\*.sys
%LocalAppData%\*\*.dll

Vous pourrez trouver un fichier regroupant l’ensemble de ces paramètres déjà définis dans des GPOs ainsi qu’un guide vous indiquant comment les mettre en œuvre sur vos environnements.

Rendez-vous ici pour récupérer ce fichier.

Je ne peux que vous conseiller de mettre en œuvre cette stratégie, au moins sur un périmètre pilote dans un premier temps, car cela apportera une amélioration significative de la sécurité de vos postes de travail.

Pour vous convaincre de l’efficacité de cette solution, mais également identifier les effets de bord éventuels, vous pouvez auditer les évènements 866 indiquant les exécutables bloqués par la stratégie de groupe.

Ces évènements vous permettent aussi d’identifier les faux positifs ou les besoins spécifiques légitimes à exclure (mais il ne devrait pas y en avoir tant que cela).
Si les bonnes pratiques indiquées dans cet article sont respectées, vous pourrez pallier un virus non encore identifié par votre antivirus et ainsi être protégé contre bon nombre de malwares.

Ce thème ainsi que plusieurs autres (DAC, Hyper-V, Bitlocker, VPN, etc.) sont notamment abordés dans mon dernier livre Windows Server 2012 R2 – Administration avancée (paru chez ENI Editions).