none
Comment empêcher la création/modification des raccourcis pour les utilisateurs (domaine Active Directory) ? RRS feed

  • Question

  • Bonjour à tous !

    Voici donc ma première question à la communauté : Comment fait-on pour empêcher la création et/ou la modification des raccourcis par les utilisateurs d'un domaine Active Directory ?

    Pourquoi ?

    Eh bien afin d’empêcher, entres autres, les attaques de type ransomware.

    Vous savez, ces petits fichiers qu'un utilisateur (ne possédant pas d'antivirus à jour) télécharge via sa boite mail et qui, aujourd'hui, s'amuse à cacher vos dossiers. Puis, change le chemin des raccourcis existant (ou en les créant) de manière à diriger quiconque vers l’exécutable diabolique.

    Votre aide me serait réellement précieuse !

    Je vous remercie.

    mercredi 19 avril 2017 14:38

Réponses

  • Bonjour,

    Même si je ne penses pas que cela soit la bonne orientation à adopter pour traiter ce problème, vous avez la possibilité de changer une clé de registre sur vos postes clients qui empêchera la création de raccourcis.

    cf : http://www.askvg.com/how-to-enable-disable-new-shortcut-menu-in-windows-xp-and-vista/

    Cependant je doute très fortement que cela empêche réellement les malwares d'effectuer l'action de création ou de modification de vos raccourcis.

    En effet, ils utilisent plus du code qui appel directement les librairies .NET pour effectuer cela. Donc cette restriction ne sera effective que pour vos utilisateurs.

    J’orienterais plus votre recherche de protection avec la solution Microsoft SRP et AppLooker https://technet.microsoft.com/fr-fr/itpro/windows/keep-secure/use-applocker-and-software-restriction-policies-in-the-same-domain

    J’espère que cela vous aidera


    Cordialement, Yann Biez http://www.adminsysteme.fr

    mercredi 19 avril 2017 15:06
  • Bonjour,

    La mesure qui permet de se prémunir des ransomware aujourd'hui est le filtrage de fichier notament. Cela correspond à la feature FSRM qui s'installe sur un serveur pour ce qui est partage de fichier. Le principe est d'interdire les fichiers portants certains type d'extention.

    Voici un tuto

    https://www.it-connect.fr/fsrm-proteger-son-serveur-de-fichiers-des-ransomwares/

    Cela ne protège cependant pas les postes de travail où il est nécessaire d'avoir par exemple un antivirus capable de gérer ce genre de menace ou des solution de type windows defender ATP

    https://blogs.technet.microsoft.com/mmpc/2017/01/30/averting-ransomware-epidemics-in-corporate-networks-with-windows-defender-atp/

    Dans tous les cas, il faut réussir à sensibiliser les utilisateurs à ne pas ouvrir les mails dont on ignore la provenance quitte à devoir renforcer la sécurité au niveau des spams...


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mercredi 19 avril 2017 16:55

Toutes les réponses

  • Bonjour,

    Même si je ne penses pas que cela soit la bonne orientation à adopter pour traiter ce problème, vous avez la possibilité de changer une clé de registre sur vos postes clients qui empêchera la création de raccourcis.

    cf : http://www.askvg.com/how-to-enable-disable-new-shortcut-menu-in-windows-xp-and-vista/

    Cependant je doute très fortement que cela empêche réellement les malwares d'effectuer l'action de création ou de modification de vos raccourcis.

    En effet, ils utilisent plus du code qui appel directement les librairies .NET pour effectuer cela. Donc cette restriction ne sera effective que pour vos utilisateurs.

    J’orienterais plus votre recherche de protection avec la solution Microsoft SRP et AppLooker https://technet.microsoft.com/fr-fr/itpro/windows/keep-secure/use-applocker-and-software-restriction-policies-in-the-same-domain

    J’espère que cela vous aidera


    Cordialement, Yann Biez http://www.adminsysteme.fr

    mercredi 19 avril 2017 15:06
  • Bonjour,

    La mesure qui permet de se prémunir des ransomware aujourd'hui est le filtrage de fichier notament. Cela correspond à la feature FSRM qui s'installe sur un serveur pour ce qui est partage de fichier. Le principe est d'interdire les fichiers portants certains type d'extention.

    Voici un tuto

    https://www.it-connect.fr/fsrm-proteger-son-serveur-de-fichiers-des-ransomwares/

    Cela ne protège cependant pas les postes de travail où il est nécessaire d'avoir par exemple un antivirus capable de gérer ce genre de menace ou des solution de type windows defender ATP

    https://blogs.technet.microsoft.com/mmpc/2017/01/30/averting-ransomware-epidemics-in-corporate-networks-with-windows-defender-atp/

    Dans tous les cas, il faut réussir à sensibiliser les utilisateurs à ne pas ouvrir les mails dont on ignore la provenance quitte à devoir renforcer la sécurité au niveau des spams...


    Merci de marquer comme réponse les sujets qui vous ont permis d'avancer afin que cela puisse être bénéfique aux personnes qui rencontrent le même problème.

    mercredi 19 avril 2017 16:55