On ne va pas se mentir. Quand un ransomware passe, ce n’est pas juste « un PC en panne ». C’est souvent la panique, des fichiers chiffrés partout, des partages réseau touchés, et cette petite fenêtre qui te demande de payer vite.
La bonne nouvelle, c’est qu’on peut réduire énormément la casse avec quelques réglages Windows très concrets. Pas des promesses magiques. Juste des paramètres qui rendent l’attaque plus compliquée, et surtout qui évitent l’effet domino.
Dans l’esprit du BTS SIO2 SISR Tech Lab (oui, le blog, celui qu’on consulte quand on doit faire un truc propre et qu’on a 40 minutes de TP), je te propose 12 réglages orientés terrain. Tu peux les appliquer sur un poste Windows 10 ou 11, et certains via GPO en entreprise.
Objectif : limiter la propagation, protéger les données, et éviter que « un poste infecté » devienne « tout le réseau est HS ».
1) Activer la protection anti falsification (tamper protection)
Pourquoi c’est utile ? Parce que beaucoup de malwares essaient d’éteindre Microsoft Defender, ou de modifier ses réglages. La protection anti falsification empêche une partie de ces manipulations.
- Ouvrir Sécurité Windows
- Protection contre les virus et menaces
- Gérer les paramètres
- Activer Protection contre les falsifications
À noter : en environnement géré (Intune, GPO, etc.), c’est parfois contrôlé ailleurs. Mais sur un poste « solo », fais le.
2) Activer l’accès contrôlé aux dossiers (anti ransomware)
C’est un des réglages les plus efficaces côté Windows. Il bloque les applis non autorisées qui tentent de modifier des dossiers sensibles (Documents, Images, Bureau, etc.). Un ransomware adore chiffrer là. Donc on verrouille.
- Sécurité Windows
- Protection contre les virus et menaces
- Protection contre les ransomwares
- Activer Accès contrôlé aux dossiers
Ensuite, on ajoute les applis autorisées si besoin (certains logiciels métiers peuvent râler).
Conseil pratique : teste sur un poste pilote avant déploiement large. Et pense à documenter les exceptions, sinon tu vas te faire détester par les utilisateurs.
3) Activer Defender en mode « protection cloud » et blocage automatique
Le cloud protection de Defender, c’est ce qui permet de réagir vite à des menaces nouvelles, avec des signatures et des modèles comportementaux plus à jour.
Dans Sécurité Windows :
- Protection basée sur le cloud : activé
- Envoi automatique d’échantillons : activé
Si tu veux aller plus loin, il y a aussi les règles ASR (on en parle plus bas) qui font un gros boulot contre les chaînes d’infection.
4) Vérifier que le pare feu Windows est actif sur tous les profils
Ça paraît basique, mais on voit encore des postes avec le pare feu coupé « parce que ça bloquait un truc ». Et après on oublie de le rallumer. Le jour où un malware scanne le LAN, c’est open bar.
- Ouvrir Pare feu et protection réseau
- Vérifier : Domaine, Privé, Public sont tous en Activé
Astuce : sur un PC portable, le profil Public arrive vite (Wi-Fi, partage de connexion, etc.). Donc il doit être solide.
5) Désactiver SMBv1 (et vérifier SMB)
SMBv1, c’est ancien, fragile, et ça a déjà servi de tapis rouge à des attaques massives. Aujourd’hui, la règle c’est simple : si tu n’en as pas une nécessité absolue, tu le vires.
Sous Windows 10/11 :
- Panneau de configuration
- Programmes et fonctionnalités
- Activer ou désactiver des fonctionnalités Windows
- Décocher Support de partage de fichiers SMB 1.0/CIFS
En entreprise, tu peux contrôler ça via GPO ou scripts PowerShell.
Important : désactiver SMBv1 ne suffit pas à « arrêter les ransomwares », mais ça supprime une porte d’entrée et des vecteurs de propagation.
6) Bloquer RDP quand il n’est pas nécessaire, sinon le durcir
RDP est une autoroute pour les intrusions quand il est exposé ou mal géré. Beaucoup de compromissions ransomware démarrent par là : identifiants faibles, brute force, ou poste admin qui traîne.
Si tu n’en as pas besoin : désactive RDP.
Si tu en as besoin :
- Autoriser uniquement depuis un réseau admin (VPN, bastion, VLAN)
- Activer NLA (authentification au niveau du réseau)
- Limiter les utilisateurs autorisés
- Mettre MFA si possible (via solutions adaptées)
- Surveiller les logs (tentatives)
Et surtout : ne jamais exposer RDP directement sur Internet. Jamais.
7) Retirer les droits admin locaux aux utilisateurs (vraiment)
Alors oui, ça casse parfois des habitudes. Mais c’est un pivot énorme. Un ransomware qui s’exécute avec des droits admin, c’est plus de dégâts, plus de persistance, plus de désactivation de protections.
Ce qu’on vise :
- Utilisateurs : comptes standards
- Admin : compte séparé, utilisé uniquement quand nécessaire
- Déploiement logiciels : via outils, pas via « mets toi admin et installe »
En GPO / stratégie locale, tu peux contrôler les groupes locaux. Et pense aussi à LAPS (voir point 10).
8) Activer les règles ASR (attack surface reduction)
Les règles ASR de Microsoft Defender, c’est souvent sous exploité alors que c’est très efficace. En gros, ça bloque des comportements typiques : macros qui lancent du code, scripts douteux, exécution depuis des emplacements suspects, etc.
Exemples de règles intéressantes :
- Bloquer les contenus exécutables provenant des emails
- Bloquer l’exécution de scripts potentiellement obfusqués
- Bloquer les processus Office qui créent des processus enfants
Tu peux les activer via GPO, Intune, ou PowerShell.
Conseil : commence en mode audit sur un périmètre pilote. Regarde ce qui serait bloqué. Ensuite tu passes en blocage. Sinon tu risques de casser un vieux process métier, et ça va finir en « on désactive la sécurité parce que ça gêne ».
9) Désactiver les macros Office par défaut, et bloquer les fichiers Internet
C’est encore un grand classique : un mail, une pièce jointe, une macro, et c’est parti.
Côté Office, l’idée est de :
- Désactiver les macros par défaut
- Bloquer les macros provenant d’Internet
- Autoriser seulement les macros signées si l’entreprise en a réellement besoin
Même sur un poste isolé, c’est un réglage simple qui évite des infections idiotes. Et oui, ça fait partie de la « réduction de surface d’attaque », même si ça ne ressemble pas à un firewall.
10) Mettre en place LAPS (mots de passe admin locaux uniques)
LAPS, c’est le truc qui évite un scénario très moche : un ransomware vole le mot de passe admin local d’un PC, puis l’utilise pour se propager sur tout le parc parce que tout le monde a le même mot de passe local.
Avec LAPS :
- Chaque poste a un mot de passe admin local unique
- Il est stocké de manière contrôlée (AD ou Entra selon version)
- Il tourne régulièrement
Aujourd’hui, Microsoft propose Windows LAPS (nouvelle génération). Si tu es en environnement AD, ça se prépare et ça se déploie proprement, et ça change vraiment la donne.
Sur le BTS SIO2 SISR Tech Lab, ce genre de sujet tombe souvent dans les labs AD. Donc si tu veux une trame de mise en place, garde ça en tête pour un futur article ou TP.
11) Sauvegardes : activer l’historique des fichiers, et surtout penser « hors ligne »
Un ransomware, ce qu’il veut, c’est détruire la possibilité de revenir en arrière. Donc si ta sauvegarde est un disque USB branché en permanence, ou un partage accessible en écriture, elle peut aussi se faire chiffrer.
Pour un poste Windows :
- Activer Historique des fichiers (si possible)
- Utiliser une destination qui n’est pas toujours connectée
- Ou une solution de sauvegarde avec versions, immutabilité, snapshots
En entreprise, c’est la règle 3 2 1, avec au moins une copie isolée. Sinon tu joues à pile ou face.
12) Activer BitLocker (et protéger les clés de récupération)
On pense parfois que BitLocker ne sert « que » si on vole le PC. Oui. Mais pas seulement.
BitLocker protège les données au repos, et ça limite certains scénarios de manipulation hors ligne (démarrage sur un autre OS, extraction de disque, etc.). Dans une chaîne d’attaque ransomware, l’adversaire peut aussi chercher à voler avant de chiffrer. Donc chiffrer le disque, c’est un plus.
À faire :
- Activer BitLocker sur le disque système
- Stocker la clé de récupération dans un endroit sérieux (AD, Entra, coffre)
- Éviter la clé imprimée collée sous le PC. Vraiment.
Parce que oui, j’ai dit 12, mais dans la vraie vie on rajoute souvent quelques briques.
Activer les mises à jour automatiques et réduire les délais
Ce n’est pas « un réglage sexy », mais c’est une des meilleures défenses contre les exploits.
- Windows Update : actif
- Redémarrages planifiés
- Mise à jour des applis aussi (navigateur, lecteur PDF, Java si encore présent, etc.)
Désactiver l’exécution automatique (autorun)
Les clés USB « surprises », ça existe encore. Et autorun est une vieille source de problèmes.
Afficher les extensions de fichiers dans l’explorateur
Ça évite le classique facture.pdf.exe affiché comme « facture.pdf ». Oui, ça marche encore, et oui, des gens cliquent.
Si tu es en mode BTS SIO option SISR, la stratégie simple :
- Un poste de test.
- On applique 3 à 5 réglages.
- On observe les effets (compatibilité, faux positifs).
- On documente.
- On déploie via GPO ou script.
Tu n’as pas besoin de tout faire en une nuit. Mais tu dois éviter le « on ne fait rien parce que c’est long ». C’est là que les incidents naissent.
Si tu veux d’autres labs concrets dans ce style (GPO, LAPS, durcissement Defender, journaux Windows, supervision), pense à faire un tour sur https://sio1blog.blogspot.com/, le BTS SIO2 SISR Tech Lab. Il y a exactement ce côté « utile demain matin ».
- Protection anti falsification : activée
- Accès contrôlé aux dossiers : activé
- Protection cloud Defender : activée
- Pare feu Windows : actif sur domaine, privé, public
- SMBv1 : désactivé
- RDP : désactivé ou durci (NLA, filtrage, VPN)
- Utilisateurs : pas admin local
- Règles ASR : audit puis blocage
- Macros Office : bloquées (surtout Internet)
- LAPS : déployé (mots de passe locaux uniques)
- Sauvegardes : versions + copie hors ligne
- BitLocker : activé, clés stockées proprement
Conclusion
Un ransomware, c’est rarement « juste un fichier chiffré ». C’est une attaque qui profite de trois choses : trop de droits, trop de confiance, et trop de surface d’attaque.
Ces 12 réglages Windows ne remplacent pas une vraie stratégie de sécurité, ni une sensibilisation, ni de la supervision. Mais ils font un truc précieux : ils empêchent que ça parte en vrille en 10 minutes.
Et franchement, si tu devais n’en faire que deux aujourd’hui, là tout de suite : accès contrôlé aux dossiers et suppression des droits admin locaux. Tu vas déjà sentir la différence.
Questions fréquemment posées
Qu'est-ce que la protection anti falsification et pourquoi est-elle importante contre les ransomwares ?
La protection anti falsification (tamper protection) empêche les malwares de désactiver ou modifier les réglages de Microsoft Defender. Cela renforce la défense de votre PC en empêchant des manipulations malveillantes, rendant ainsi plus difficile l'infection par un ransomware.
Comment activer l'accès contrôlé aux dossiers pour protéger mes fichiers sensibles ?
Dans Sécurité Windows, sous Protection contre les virus et menaces, activez la fonctionnalité Accès contrôlé aux dossiers. Cela bloque les applications non autorisées qui tentent de modifier des dossiers importants comme Documents ou Bureau, limitant ainsi le chiffrement malveillant des fichiers par un ransomware.
Pourquoi activer la protection basée sur le cloud dans Microsoft Defender ?
La protection basée sur le cloud permet à Defender de réagir rapidement aux nouvelles menaces grâce à des signatures et modèles comportementaux constamment mis à jour. En activant aussi l'envoi automatique d'échantillons, vous contribuez à une détection plus efficace des ransomwares émergents.
Quel rôle joue le pare-feu Windows dans la prévention des attaques ransomware ?
Le pare-feu Windows contrôle le trafic réseau entrant et sortant. En s'assurant qu'il est activé sur tous les profils (Domaine, Privé, Public), on limite les possibilités pour un malware de scanner ou d'infecter d'autres machines sur le réseau local, réduisant ainsi la propagation d'un ransomware.
Pourquoi faut-il désactiver SMBv1 et comment cela aide-t-il contre les ransomwares ?
SMBv1 est un protocole ancien et vulnérable qui a déjà été exploité lors d'attaques massives. Le désactiver supprime une porte d'entrée souvent utilisée par les ransomwares pour se propager sur le réseau. Vous pouvez le désactiver via le Panneau de configuration sous 'Activer ou désactiver des fonctionnalités Windows'.
Comment gérer l'accès RDP pour sécuriser mon poste contre les intrusions ?
Si vous n'avez pas besoin du Bureau à distance (RDP), il est conseillé de le désactiver complètement. Sinon, il faut durcir sa configuration en limitant l'accès par des règles strictes, authentification forte et éventuellement VPN. RDP exposé ou mal configuré est une voie rapide pour une intrusion malveillante.
0 Commentaires