La suite de ce blog se situe par ici :
https://www.altf4-formation.fr/
À bientôt,
Guillaume
À bientôt,
Guillaume
mardi 12 octobre 2021
mardi 26 février 2019
Windows Defender et powershell - Protection réseau
Bien le bonjour,
Sixième billet sur Windows Defender : Protection réseau
Salutation,
Guillaume
Sixième billet sur Windows Defender : Protection réseau
La protection du réseau étend la portée de
WindowsDefenderSmartScreen pour bloquer tout trafic HTTP sortant qui tente de
se connecter à des sources de mauvaise réputation (sur la base du domaine ou du
nom d’hôte)
#Activer la
protection réseau
Set-MpPreference
-EnableNetworkProtection Enabled
#Définir la
protection réseau en mode audit (génère des journaux d'événements)
Set-MpPreference
-EnableNetworkProtection AuditMode
Evénements
5007 Événement lors de la modification des
paramètres
1125 Événement lorsque la protection du réseau
se déclenche en mode audit
1126 Événement lors du déclenche de la
protection du réseau en mode blocage
#Désactiver
la protection réseau
Set-MpPreference
-EnableNetworkProtection DisabledSalutation,
Guillaume
dimanche 24 février 2019
Windows Defender et powershell - Accès contrôlés aux dossiers
Bien le bonjour,
Cinquième billet sur Windows Defender : Accès contrôlés aux dossiers
Salutation,
Guillaume
Cinquième billet sur Windows Defender : Accès contrôlés aux dossiers
La
fonctionnalité Accès contrôlé aux dossiers permet de protéger vos données
importantes des applications malveillantes et autres menaces comme les
ransomware.
Il est nécessaire d'indiquer les dossiers à protéger et les applications autorisées à apporter des modifications sur ces dossiers
Il est nécessaire d'indiquer les dossiers à protéger et les applications autorisées à apporter des modifications sur ces dossiers
#Activer
l'accès contrôlés aux dossiers
Set-MpPreference
-EnableControlledFolderAccess Enabled
#Désactiver
l'accès contrôlés aux dossiers
Set-MpPreference
-EnableControlledFolderAccess Disabled
#Définir
l'accès contrôlés aux dossiers en mode audit
Set-MpPreference
-EnableControlledFolderAccess AuditMode
#Ajouter
des dossiers contrôlés
add-MpPreference
-ControlledFolderAccessProtectedFolders C:\demo\
#Ajouter
les applications autorisées à accéder aux dossiers contrôlés
Add-MpPreference
-ControlledFolderAccessAllowedApplications "c:\apps\test.exe"Salutation,
Guillaume
jeudi 21 février 2019
Windows Defender et powershell - Exploit protection
Bien le bonjour,
Quatrième billet sur Windows Defender : Exploit protection
Salutation,
Guillaume
Quatrième billet sur Windows Defender : Exploit protection
Protection contre
les exploits (anciennement EMET) permet de protéger les appareils contre les programmes malveillants qui
utilisent des attaques pour se propager et infecter les appareils.
Il se compose de plusieurs atténuations qui peuvent être appliquées au niveau du système d’exploitation ou d’une application individuelle.
Il se compose de plusieurs atténuations qui peuvent être appliquées au niveau du système d’exploitation ou d’une application individuelle.
#Exporter
la configuration
Get-ProcessMitigation
-RegistryConfigFilePath filename.xml
#Importer
une configuration. Microsoft propose une configuration de base ProcessMitigation.xml
$url = 'https://demo.wd.microsoft.com/Content/ProcessMitigation.xml'
Invoke-WebRequest
$url -OutFile ProcessMitigation.xml
Set-ProcessMitigation
-PolicyFilePath ProcessMitigation.xml
#Afficher
la configuration d'exploit protection pour un processus
Get-ProcessMitigation
-Name processName.exe
Il est
possible de configurer en powershell pour chaque processus les sécurités à
mettre en place.
#Page de
test des sécurités Windows defender
https://demo.wd.microsoft.com/?ocid=cx-wddocs-testgroundSalutation,
Guillaume
mardi 19 février 2019
Windows Defender et powershell - Scan et ménaces
Bien le bonjour,
Troisième billet sur Windows Defender : analyse et gestion des menaces
#Retourne l’historique des menaces détectées sur le poste de travail
Salutation,
Guillaume
Troisième billet sur Windows Defender : analyse et gestion des menaces
#Mise à jour des définitions
Update-MpSignature
#Mise à jour des définitions à distance
Update-MpSignature -CimSession pc1
#Retourne le catalogue des définitions des logiciels malveillants
Get-MpThreatCatalog
#Lancer un scan rapide
Start-MpScan -ScanType QuickScan
#Lancer un scan complet
Start-MpScan -ScanType FullScan
#Lancer un scan personnalisé
Start-MpScan -ScanPath C:\Users\guillaume\Downloads
#Lancer un scan hors ligne (redémarre dans un mode protégé spécifique à Defender, scan et redémarre le poste normalement)
Start-MpWDOScan
#Retourne l’historique des menaces détectées sur le poste de travail
Get-MpThreat
#Afficher
le nom des menaces détectées
(Get-MpThreat).ThreatName
#Récupérer l’historique des menaces détectées à distance
Get-MpThreat -CimSession pc1
CategoryID
0 Invalid
1 Adware
2 Spyware
3 Passwordstealer
4 Trojandownloader
5 Worm
6 Backdoor
7 Remoteaccesstrojan
8 Trojan
9 Emailflooder
10 Keylogger
11 Dialer
12 Monitoringsoftware
13 Browsermodifier
14 Cookie
15 Browserplugin
16 Aolexploit
17 Nuker
18 Securitydisabler
19 Jokeprogram
20 Hostileactivexcontrol
21 Softwarebundler
22 Stealthnotifier
23 Settingsmodifier
24 Toolbar
25 Remotecontrolsoftware
26 Trojanftp
27 Potentialunwantedsoftware
28 Icqexploit
29 Trojantelnet
30 Filesharingprogram
31 Malware_Creation_Tool
32 Remote_Control_Software
33 Tool
34 Trojan_Denialofservice
36 Trojan_Dropper
37 Trojan_Massmailer
38 Trojan_Monitoringsoftware
39 Trojan_Proxyserver
40 Virus
42 Known
43 Unknown
44 Spp
45 Behavior
46 Vulnerability
47 Policy
SeverityID
0 Unknown
1 Low
2 Moderate
4 High
5 Severe
TypeID
ID Identification method
0 Known bad threat
1 Behavior monitoring
2 Unknown threat
3 Known good threat
4 Network Inspection System (NIS)
threat
#Récupérer
toutes les détections des logiciels malveillants lors
des analyses...
Get-MpThreatDetection
#Récupère
toutes les détections à distance
Get-MpThreatDetection
-CimSession pc1
#Supprime
toutes les menaces détectées
Remove-MpThreat
Guillaume
samedi 16 février 2019
Windows Defender et powershell - options de sécurité
Bien le bonjour,
Un deuxième billet sur les options de sécurité de Windows Defender
#Afficher les paramètres désactivables
Get-MpPreference | fl disable*
#Activer l’analyse des médias amovibles
Set-MpPreference -DisableRemovableDriveScanning $false
#Activer l’analyse des archives
Set-MpPreference -DisableArchiveScanning $false
#Activer l’analyse des mails
Set-MpPreference -DisableEmailScanning $false
#Activer l’analyse des support amovibles
Set-MpPreference -DisableRemovableDriveScanning $false
#Activer la protection contre les intrusions réseaux
Set-MpPreference -DisableIntrusionPreventionSystem $false
#Forcer la mise à jour des définitions virales avant une analyse Windows Defender
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true
#Activation de PUA (Potentially Unwanted Application), en charge des rogues (scareware)
Set-MpPreference -PUAProtection enabled
#Activer le blocage de fichiers avant leurs exécutions (Bloc at first seen), vérification en temps réel via Microsoft Active Protection Service (cloud)
Set-MpPreference -DisableBlockAtFirstSeen $false
#Définir la protection cloud à 'High'"
Set-MpPreference -CloudBlockLevel High
#Définir le timeout de vérification dans le cloud à 40 secondes (10 par défaut + 30)
Set-MpPreference -CloudExtendedTimeout 30
#Définir le niveau de reporting
Set-MpPreference -MAPSReporting Advanced
#Activer le moniteur de comportement, il surveille les processus de fichier, les modifications au niveau des fichiers et du Registre, et d’autres événements, en recherchant des activités malveillantes connues et suspectes
Set-MpPreference -DisableBehaviorMonitoring $false
#Activer l'analyse des fichiers téléchargés
Set-MpPreference -DisableIOAVProtection $false
#Ne pas permettre à un utilisateur de voir l'historique des détections
Set-MpPreference -DisablePrivacyMode $false
Salutation,
Guillaume
Un deuxième billet sur les options de sécurité de Windows Defender
#Afficher les paramètres désactivables
Get-MpPreference | fl disable*
#Activer l’analyse des médias amovibles
Set-MpPreference -DisableRemovableDriveScanning $false
#Activer l’analyse des archives
Set-MpPreference -DisableArchiveScanning $false
#Activer l’analyse des mails
Set-MpPreference -DisableEmailScanning $false
#Activer l’analyse des support amovibles
Set-MpPreference -DisableRemovableDriveScanning $false
#Activer la protection contre les intrusions réseaux
Set-MpPreference -DisableIntrusionPreventionSystem $false
#Forcer la mise à jour des définitions virales avant une analyse Windows Defender
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true
#Activation de PUA (Potentially Unwanted Application), en charge des rogues (scareware)
Set-MpPreference -PUAProtection enabled
#Activer le blocage de fichiers avant leurs exécutions (Bloc at first seen), vérification en temps réel via Microsoft Active Protection Service (cloud)
Set-MpPreference -DisableBlockAtFirstSeen $false
#Définir la protection cloud à 'High'"
Set-MpPreference -CloudBlockLevel High
#Définir le timeout de vérification dans le cloud à 40 secondes (10 par défaut + 30)
Set-MpPreference -CloudExtendedTimeout 30
#Définir le niveau de reporting
Set-MpPreference -MAPSReporting Advanced
#Activer le moniteur de comportement, il surveille les processus de fichier, les modifications au niveau des fichiers et du Registre, et d’autres événements, en recherchant des activités malveillantes connues et suspectes
Set-MpPreference -DisableBehaviorMonitoring $false
#Activer l'analyse des fichiers téléchargés
Set-MpPreference -DisableIOAVProtection $false
#Ne pas permettre à un utilisateur de voir l'historique des détections
Set-MpPreference -DisablePrivacyMode $false
Salutation,
Guillaume
jeudi 14 février 2019
Windows Defender et powershell - préférence et status
Bien le bonjour,
#Ajouter des chemins à exclure de l’analyse
Add-MpPreference -ExclusionPath "D:\Video", "D:\vm"
#Ajouter des extensions à exclure de l’analyse
Add-MpPreference -ExclusionExtension ".ps1",".psd1",".psm1"
#Ajouter des processus à exclure de l’analyse
Add-MpPreference -ExclusionProcess "mailpv.exe"
#Afficher les exclusions
Get-MpPreference | fl exclusion*
#Supprimer une exclusion
Remove-MpPreference -ExclusionPath C:\install
Salutation,
Guillaume
Je n'avais jamais fait trop le point sur Windows Defender, hormis les améliorations apportées avec Windows 1709 (protection des dossiers, protection, exploit guard...) car je ne croise jamais de clients utilisant cette solution.
Mais voilà, le jour J est arrivé, du coup un petit tour de ce que propose Defender en plusieurs billets.
#Lister les
commandes powershell
Get-Command
-Module Defender
#Etat du
service
Get-Service
WinDefend
#Désactiver
Defender
Set-MpPreference
-DisableRealtimeMonitoring $true
#Activer
Defender
Set-MpPreference
-DisableRealtimeMonitoring $false
#Afficher
le status de Defender
Get-MpComputerStatus
| Select-Object -Property Antivirusenabled,AMServiceEnabled, AntispywareEnabled,
BehaviorMonitorEnabled, IoavProtectionEnabled, NISEnabled,OnAccessProtectionEnabled,
RealTimeProtectionEnabled, AntivirusSignatureLastUpdated
#Afficher le
status de Defender à distance
Get-MpComputerStatus -cimsession
pc1
#Affiche
l’ensemble des paramètres de Windows Defender
Get-MpPreference
#Affiche
l’ensemble des paramètres de Windows Defender à distance
Get-MpPreference
-cimsession pc1#Ajouter des chemins à exclure de l’analyse
Add-MpPreference -ExclusionPath "D:\Video", "D:\vm"
#Ajouter des extensions à exclure de l’analyse
Add-MpPreference -ExclusionExtension ".ps1",".psd1",".psm1"
#Ajouter des processus à exclure de l’analyse
Add-MpPreference -ExclusionProcess "mailpv.exe"
#Afficher les exclusions
Get-MpPreference | fl exclusion*
#Supprimer une exclusion
Remove-MpPreference -ExclusionPath C:\install
Salutation,
Guillaume
dimanche 10 février 2019
Afficher le code powershell dans l’explorateur
Bien le bonjour,
Voici comment afficher le code powershell dans le volet de visualisation de l'explorateur
$extensions = ".psm1",".psd1",".ps1"
foreach ( $extension in $extensions ) {
if (!(Test-Path "HKCU:\Software\Classes\$extension")) {
New-Item "HKCU:\Software\Classes\$extension" }
}
Get-Item HKCU:\Software\Classes\* -Include $extensions | Set-ItemProperty -Name PerceivedType -Value text
Salutation,
Guillaume
Voici comment afficher le code powershell dans le volet de visualisation de l'explorateur
$extensions = ".psm1",".psd1",".ps1"
foreach ( $extension in $extensions ) {
if (!(Test-Path "HKCU:\Software\Classes\$extension")) {
New-Item "HKCU:\Software\Classes\$extension" }
}
Get-Item HKCU:\Software\Classes\* -Include $extensions | Set-ItemProperty -Name PerceivedType -Value text
Guillaume
samedi 9 février 2019
Lister les URI ms-settings en powershell
Bien le bonjour,
Microsoft a mis en place sur Windows 10 des URI (Uniform Resource Identifier) permettant d'accéder directement à des sections dans paramètres.
Par exemple en cliquant sur ms-settings:notifications, la section de configuration des notifications dans paramètres va s'ouvrir.
La référence complète est ici et évolue à chaque version de Windows 10 :
https://docs.microsoft.com/fr-fr/windows/uwp/launch-resume/launch-settings-app#ms-settings-uri-scheme-reference
Si vous souhaitez obtenir la liste des URI directement à partir de votre système et via powershell, téléchargez la fonction powershell suivante :
https://www.powershellgallery.com/packages/PowerSploit/1.0.0.0/Content/ReverseEngineering%5CGet-Strings.ps1
Chargez la fonction et exécutez la commande powershell suivante :
Get-Strings C:\Windows\ImmersiveControlPanel\SystemSettings.dll -Encoding Unicode | select-string "ms-setting"
Salutations,
Guillaume
Microsoft a mis en place sur Windows 10 des URI (Uniform Resource Identifier) permettant d'accéder directement à des sections dans paramètres.
Par exemple en cliquant sur ms-settings:notifications, la section de configuration des notifications dans paramètres va s'ouvrir.
Vous pouvez aussi taper ms-settings:notifications dans exécuter ou dans la barre d'adresse de l'explorateur
https://docs.microsoft.com/fr-fr/windows/uwp/launch-resume/launch-settings-app#ms-settings-uri-scheme-reference
Si vous souhaitez obtenir la liste des URI directement à partir de votre système et via powershell, téléchargez la fonction powershell suivante :
https://www.powershellgallery.com/packages/PowerSploit/1.0.0.0/Content/ReverseEngineering%5CGet-Strings.ps1
Chargez la fonction et exécutez la commande powershell suivante :
Get-Strings C:\Windows\ImmersiveControlPanel\SystemSettings.dll -Encoding Unicode | select-string "ms-setting"
Salutations,
Guillaume
mardi 5 février 2019
Get-pnpdevice et get-pnpdeviceproperty
Powershell dispose de 2 commandes qui permettent de jouer avec les périphériques: Get-pnpdevice et get-pnpdeviceproperty
Afficher tous les périphériques (même ceux qui ne sont plus connectés)
get-pnpdevice
Afficher uniquement les périphériques en ligne
get-pnpdevice -PresentOnly
Afficher uniquement les périphériques USB en ligne
get-PnpDevice -Class usb -PresentOnly | ft -AutoSize
Afficher les périphériques présents et en erreur
get-pnpdevice -Status error,degraded -PresentOnly | ft -AutoSize
Afficher les périphériques désactivés
Get-PnpDevice | where "problem" -eq "CM_PROB_DISABLED" | ft -AutoSize
Désactiver un périphérique
Get-PnpDevice | where "FriendlyName" -eq "BCM20702A0" | Disable-PnpDevice
Activer un périphérique
Get-PnpDevice | where "FriendlyName" -eq "BCM20702A0" | enable-PnpDevice -Confirm:$false
Afficher toutes les propriétés d'un périphérique
Get-PnpDevice | where "FriendlyName" -eq "BCM20702A0" | Get-PnpDeviceProperty | ft -AutoSize
Afficher tous les périphériques (même ceux qui ne sont plus connectés)
get-pnpdevice
Afficher uniquement les périphériques en ligne
get-pnpdevice -PresentOnly
Afficher uniquement les périphériques USB en ligne
get-PnpDevice -Class usb -PresentOnly | ft -AutoSize
Afficher les périphériques présents et en erreur
get-pnpdevice -Status error,degraded -PresentOnly | ft -AutoSize
Afficher les périphériques désactivés
Get-PnpDevice | where "problem" -eq "CM_PROB_DISABLED" | ft -AutoSize
Désactiver un périphérique
Get-PnpDevice | where "FriendlyName" -eq "BCM20702A0" | Disable-PnpDevice
Activer un périphérique
Get-PnpDevice | where "FriendlyName" -eq "BCM20702A0" | enable-PnpDevice -Confirm:$false
Afficher toutes les propriétés d'un périphérique
Get-PnpDevice | where "FriendlyName" -eq "BCM20702A0" | Get-PnpDeviceProperty | ft -AutoSize
dimanche 3 février 2019
Pnputil sous Windows 10
Pnputil a été amélioré sous windows avec la possibilité d'exporter et l'option subdirs utile à l'ajout de pilote.
Pour rappel, pnputil permet d'ajouter des pilotes dans le magasin de pilotes, de supprimer des pilotes de ce dernier ou de lister les pilotes tierces (non natif à Windows 10)
Ajouter le package de pilotes
pnputil /add-driver x:\driver.inf
Ajouter plusieurs packages de pilotes
pnputil /add-driver c:backup\*.inf /subdirs
Ajouter et installer le package de pilote
pnputil /add-driver device.inf /install
Énumérer les packages de pilotes OEM
pnputil /enum-drivers
Supprimer le package de pilotes
pnputil /delete-driver oem0.inf
Forcer la suppression du package de pilotes
pnputil /delete-driver oem1.inf /force
Exporter le package de pilotes
pnputil /export-driver oem6.inf .
Exporter tous les packages de pilotes tierces
pnputil /export-driver * c:\backup
vendredi 1 février 2019
Les différents types de démarrage des services
•Les services peuvent être démarrés, arrêtés ou redémarrés en graphique via le gestionnaire des tâches ou la console service (services.msc), en ligne de commande via les commandes net, sc ou powershell
•Les services peuvent être désactivés/activés en graphique via la console service ou msconfig, en ligne de commande via les commandes net, sc ou powershell
Type de démarrage :
- Automatique : Exécuté au démarrage de windows
- Automatique (début différé) : Exécuté au démarrage de windows mais avec un peu de retard
- Manuel : Service démarré si nécessaire (par un service ou un programme)
- Manuel (déclencher le démarrage) : Service démarré lors d'un événement particulier (connexion périphérique usb…) : sc qtriggerinfo appidsvc
- Automatique (déclencher le démarrage) : Service démarré au démarrage de Windows ou lors d'un événement s'il est arrêté.
- Désactivé : Service non démarré et démarrable
Les services par utilisateur (exemple : PrintWorkflowUserSvc_1256c2a) sont créés au login d'un utilisateur, puis arrêtés et supprimés à sa déconnection.
mercredi 30 janvier 2019
Gérer le magasin de composant - WinSxS
Ce dossier "C:\Windows\WinSxS", appalé magasin de composant (ou Windows Side by Side) est utilisé :
- Par Windows update pour l'installation de nouveau composants
- Pour activer ou désactiver des rôles ou fonctionnalités
- Déplacer le système entre les différentes versions de Windows
- Récupération système venant de corruption de fichier
- Désinstallation de mise à jour problématiques
Afficher la taille réelle de WinSxS (l'utilisation de hardlink rend cette tâche difficile via l'explorateur ou un cmd)
dism /online /cleanup-image /analyzecomponentstore
Ce dossier ne doit pas être supprimer mais peut être nettoyé
Dism.exe /online /Cleanup-Image /StartComponentCleanup
#Ou la tâche planifiée suivante (En cas d’exécution automatique, la tâche patiente au moins 30 jours après l’installation d’un composant mis à jour avant de désinstaller les versions précédentes du composant) :
schtasks.exe /Run /TN "\Microsoft\Windows\Servicing\StartComponentCleanup"
/ResetBase avec le paramètre /StartComponentCleanup supprime toutes les versions obsolètes de chaque composant dans le magasin de composants. Les mises à jour existantes ne peuvent plus être désinstallés
Dism.exe /online /Cleanup-Image /StartComponentCleanup /ResetBase
L’argument /ScanHealth permet d’analyser l’image et vérifier si elle est endommagée ou non.
Dism /Online /Cleanup-Image /ScanHealth
•L’argument /CheckHealth permet de déterminer si l’image est intègre, réparable ou non réparable.
Dism /Online /Cleanup-Image /CheckHealth
•Réparer le magasin de composant
Dism /online /cleanup-image /restorehealth /Source:D:\sources\install.wim:1 /limitaccess
#ou
Dism /Online /Cleanup-Image /RestoreHealth /Source:wim:D:\sources\install.wim:1 /LimitAccess
Note: /limitaccess indique de ne pas utiliser Windows update
L'équivalent en powershell :
Repair-WindowsImage -Online -ScanHealth
Repair-WindowsImage -Online -CheckHealth
Repair-WindowsImage -Online -RestoreHealth
#ou
Repair-WindowsImage –Online -RestoreHealth `
-Source "wim:D:\sources\install.wim:1" -LimitAccess
•Vous pouvez utiliser la stratégie de groupe pour spécifier une source de réparation d’image système Windows à utiliser au sein de votre réseau. La source de réparation peut être utilisée pour restaurer des fonctionnalités Windows ou pour réparer une image système Windows endommagée.
•Créer une GPO :
Configuration ordinateur\Modèles d’administration\Système\Spécifier des paramètres pour l’installation des composants facultatifs et la réparation de composants.
•Indiquez :
•A partir d'une image iso
\\serveur\partage\sources\SxS
•A partir d'une image wim
Wim:\\serveur\sources\install.wim:1
mardi 29 janvier 2019
Gestion des mises à niveau
Depuis Windows 10, 1803, il est possible de gérer les mises à niveau via dism
Revenir à une version antérieur d'une mise à niveau
DISM /Online /Initiate-OSUninstall
Supprimer la possibilité de revenir à une version antérieur de Windows
DISM /Online /Remove-OSUninstall
Afficher le nombre de jours (de 2 à 60) restant durant lesquels il est possible de revenir en arrière
DISM /Online /Get-OSUninstallWindow
Définir le nombre de jours restant durant lesquels il est possible de revenir en arrière (par défaut : 10)
DISM /Online /Set-OSUninstallWindow /value:30
Source :
Inscription à :
Articles (Atom)