
Les attaques en 2026 ne se limitent plus à “un virus”. Les scénarios réels incluent : vol d’identifiants (LSASS), contournement MFA via sessions volées, exécution de payloads en mémoire, mouvements latéraux SMB/RDP/WMI, abus d’outils natifs (Living off the Land), détournement de GPO, et chiffrement ransomware.
Ce guide de hardening Windows est conçu comme une méthode complète : réduire la surface d’attaque, protéger les identités, durcir l’hôte, verrouiller le réseau, renforcer l’audit, et mettre en place une détection exploitable. Le but n’est pas “zéro risque”, mais un système beaucoup plus difficile à compromettre et plus facile à surveiller.
Pré-requis et stratégie (à lire avant de modifier quoi que ce soit)
1) Définir un niveau de sécurité cible
Un hardening efficace dépend de l’usage :
- Poste utilisateur (Windows 11) : risque phishing, macro, vol de session, vol de navigateur, accès VPN.
- Serveur applicatif : exposition réseau, services, comptes de service, dépendances.
- Serveur AD / infrastructure : cible n°1, nécessite des règles plus strictes.
2) Construire une baseline + exceptions
Le piège classique : activer des règles “au hasard” et casser des applications. La bonne approche :
- Appliquer une baseline (GPO / Intune / politique locale).
- Mesurer l’impact (logs, tickets).
- Gérer les exceptions par groupes (unités d’organisation, groupes Intune, etc.).
3) Prioriser par “kill chain”
Priorité aux étapes les plus rentables pour un attaquant :
- Exécution initiale (macros, scripts, téléchargements)
- Vol d’identifiants (LSASS, NTLM, tokens)
- Mouvement latéral (SMB, RDP, WMI, WinRM)
- Persistance (services, tâches planifiées, clés Run)
- Chiffrement / impact (ransomware)
1. Patch Management avancé : corriger vite et proprement
Les correctifs Windows et pilotes comblent des failles exploitées en masse. Le problème n’est pas “mettre à jour”, mais mettre à jour vite sans casser la prod.
Bonnes pratiques
- Canal “pilot” (petit groupe) puis déploiement général.
- Fenêtre d’urgence pour CVE critiques (0-day, RCE, AD).
- Inclure : Windows, Microsoft Defender, Edge, .NET, pilotes, firmwares (si possible).
Commandes utiles
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"Sur serveur : planifier un reboot contrôlé. Un système “patché mais jamais redémarré” est un classique en audit.
2. Baselines de sécurité : partir d’un standard sérieux
Appliquer une baseline cohérente (Microsoft Security Baselines / recommandations CIS si vous les suivez). Cela normalise :
- Paramètres de mot de passe / verrouillage
- Contrôles réseau et SMB
- Réglages Defender / ASR
- Audits avancés
Approche recommandée : baseline “standard” + baseline “high security” pour serveurs sensibles.
3. Réduction de surface d’attaque : retirer ce qui n’est pas nécessaire
3.1 Désactiver les protocoles hérités
SMBv1 (à supprimer)
dism /online /Disable-Feature /FeatureName:SMB1ProtocolPourquoi : SMBv1 a été historiquement exploité par des vers et ransomware. En 2026, il n’a plus sa place en entreprise.
LLMNR / mDNS (limiter selon contexte)
LLMNR est souvent abusé pour des attaques de type empoisonnement (poisoning) en réseau interne.
Désactivation via GPO : Turn off Multicast Name Resolution.
NetBIOS (si non requis)
NetBIOS augmente la surface d’attaque et facilite certaines reconnaissances réseau.
3.2 Désactiver les services “à risque” selon rôle
Sur serveurs non concernés, désactiver :
- Print Spooler (impression) : vecteur historique de failles et d’élévations.
- Remote Registry : facilite certaines actions à distance.
- Fonctions grand public : Xbox, services inutiles.
Outil :
services.mscApproche avancée : établir une liste “services autorisés” par type de serveur (web, SQL, AD, fileserver).
4. Identités et privilèges : là où se gagne la guerre
Le hardening Windows échoue souvent parce que les identités sont faibles : comptes admin partagés, mots de passe réutilisés, sessions admin sur postes utilisateurs, etc.
4.1 Principe du moindre privilège
- Pas d’utilisateur “admin local permanent” sur postes.
- Comptes admin séparés (un compte user, un compte admin).
- Éviter d’ouvrir une session admin sur un poste non maîtrisé.
4.2 LAPS / gestion des mots de passe admin local
LAPS (ou Windows LAPS) stocke un mot de passe unique par machine, automatiquement rotaté. Cela empêche un attaquant de réutiliser un mot de passe admin local sur tout le parc.
Impact sécurité : réduit fortement le mouvement latéral “pass-the-hash” via admin local.
4.3 Verrouillage et politiques de mots de passe
Objectif : limiter le bruteforce et la pulvérisation de mot de passe (password spraying).
- Seuil de verrouillage (ex. 5 tentatives)
- Durée de verrouillage (ex. 15 min)
- Mots de passe longs (passphrases)
Outil :
secpol.msc5. Protection des identifiants (LSASS, NTLM, tokens) : anti-vol d’accès
Beaucoup d’attaques réussissent après le premier accès, via vol d’identifiants. Windows stocke des secrets et tickets ; si l’attaquant les extrait, il se propage.
5.1 Protéger LSASS (RunAsPPL)
LSASS est une cible majeure. Activer la protection réduit certains dumps et attaques en mémoire.
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 1 /f5.2 Credential Guard (VBS)
Credential Guard isole certains secrets dans un environnement virtualisé (VBS), rendant plus difficile leur extraction. Cela exige souvent des prérequis matériels (virtualisation, TPM).
Activation via GPO : Device Guard / Virtualization Based Security.
5.3 Réduire NTLM (progressivement)
NTLM est encore présent dans beaucoup d’environnements. Le désactiver brutalement peut casser des apps. Approche :
- Mode audit → observer les usages NTLM
- Exemptions contrôlées
- Réduction progressive
6. Hardening PowerShell : stopper le “Living off the Land”
PowerShell est un outil admin puissant. Les attaquants l’aiment parce qu’il est natif. La solution n’est pas “désactiver PowerShell” (souvent impossible), mais contrôler, journaliser, durcir.
6.1 Désactiver PowerShell v2
PSv2 manque de protections et de logs modernes.
Disable-WindowsOptionalFeature -Online -FeatureName MicrosoftWindowsPowerShellV26.2 Execution Policy (à comprendre)
ExecutionPolicy n’est pas une barrière absolue (contournable), mais utile contre l’exécution accidentelle. En entreprise :
Set-ExecutionPolicy AllSigned6.3 Activer les logs PowerShell (détection)
Activer :
- Script Block Logging
- Module Logging
- Transcription (selon politique)
But : détecter les chaînes suspectes (downloadstring, iwr/curl, base64, etc.).
7. Microsoft Defender : configuration “pro” (pas seulement activé)
Defender en 2026 peut être très efficace si configuré. Les paramètres importants :
7.1 Protection cloud et blocage agressif
- Protection cloud ON
- Automatic sample submission ON
- Potentially unwanted applications (PUA) ON
7.2 Controlled Folder Access (anti-ransomware)
Set-MpPreference -EnableControlledFolderAccess EnabledExplication : empêche des processus non autorisés de chiffrer des dossiers protégés. Il faut gérer les exclusions proprement (apps métiers).
7.3 ASR Rules (Attack Surface Reduction) : l’arme sous-utilisée
Les règles ASR réduisent drastiquement les vecteurs d’attaque (Office, scripts, enfants de processus). Stratégie :
- Déployer en mode Audit
- Analyser les impacts
- Basculer en Block sur règles à forte valeur
Exemples de catégories couvertes : Office → scripts, exécution depuis email, scripts obfusqués.
8. Pare-feu Windows : modèle “default deny” (avancé)
Beaucoup d’environnements laissent le pare-feu “par défaut”. Approche recommandée sur serveurs :
- Bloquer entrant par défaut
- Autoriser seulement les ports nécessaires
- Journaliser les paquets bloqués
- Limiter sortant pour serveurs critiques (option avancée)
Outil :
wf.mscAstuce pro : créer des règles par service plutôt que par port quand c’est possible, et lier à des groupes de machines.
9. RDP (accès distant) : verrouillage anti-bruteforce + anti-mouvement latéral
RDP est un vecteur majeur. Objectif : réduire exposition et abuser le moins possible.
9.1 Activer NLA
Network Level Authentication force une authentification avant session complète.
9.2 Restreindre via IP / VPN / bastion
Ne pas exposer RDP à Internet. Utiliser :
- VPN + MFA
- Jump server / bastion
- Règles firewall IP allowlist
9.3 Logs et alertes
Surveiller :
- Échecs de connexion répétés
- Connexions hors horaires
- Connexions depuis postes inhabituels
10. Chiffrement disque : BitLocker + TPM + stratégie de récupération
BitLocker protège les données en cas de vol de machine / accès physique. En entreprise, ce n’est pas “optionnel”.
10.1 Vérifier l’état
manage-bde -status10.2 Activer (exemple)
Enable-BitLocker -MountPoint "C:" -EncryptionMethod XtsAes256Important : gérer les clés de récupération (AD / Intune) et tester la procédure de récupération.
11. Exploit Protection, VBS, HVCI : durcissement mémoire (ultra utile)
Les protections basées sur la virtualisation (VBS) et l’intégrité du code (HVCI) réduisent des classes d’attaques mémoire et drivers.
À viser :
- VBS activé
- Memory Integrity (HVCI) si compatible
- Exploit Protection (DEP, ASLR, CFG) renforcé
Note : vérifier compatibilité drivers. Déployer progressivement.
12. Journaux et audit : rendre la compromission visible
Hardening sans audit = vous serez aveugle. Objectif : logs exploitables, pas juste “ON”.
12.1 Activer l’audit avancé
auditpol /set /category:* /success:enable /failure:enable12.2 Événements à surveiller (exemples)
- Connexions (succès/échec), verrouillages
- Ajout d’un utilisateur à un groupe admin
- Création de service / tâche planifiée
- Exécution PowerShell suspecte
- Modification règles firewall
Approche pro : centraliser dans un SIEM (ou au minimum un collecteur) et mettre des alertes actionnables.
13. Application Control (niveau expert) : bloquer l’exécution non autorisée
Le moyen le plus puissant pour stopper malwares et ransomwares est de contrôler ce qui peut s’exécuter :
- WDAC (Windows Defender Application Control) : niveau enterprise, très robuste.
- AppLocker : plus simple, utile selon éditions.
Stratégie recommandée :
- Mode Audit d’abord
- Créer des règles “publisher” (signatures éditeurs)
- Bloquer exécution depuis profils utilisateur (Downloads, AppData) si possible
- Basculer en Enforcement une fois stable
14. Durcissement spécifique Windows Server (selon rôle)
14.1 Serveur Web (IIS)
- Installer seulement les rôles/features nécessaires
- Désactiver modules inutiles
- Mettre des comptes de service dédiés
- Logs IIS + alertes
14.2 Serveur fichiers
- SMB signing si possible
- Accès basé sur groupes, pas sur utilisateurs isolés
- Auditer accès dossiers sensibles
14.3 Serveur AD (si applicable)
AD mérite un guide complet à part (tiering, PAWs, delegation, etc.). Pour un minimum :
- Pas de navigation web / mails sur DC
- Limiter qui peut se connecter localement
- Surveiller changements GPO / comptes à privilèges
15. Checklist de Hardening Windows (Ultra Avancée)
- Mises à jour rapides + reboots contrôlés
- Baseline sécurité appliquée + exceptions maîtrisées
- SMBv1 supprimé, LLMNR réduit
- LAPS déployé (mots de passe admin locaux uniques)
- Credential Guard + LSASS protection activés
- Réduction progressive de NTLM (audit → restriction)
- PowerShell v2 désactivé + logs activés
- Defender durci : Cloud, PUA, CFA, ASR (audit → block)
- Pare-feu strict + journalisation
- RDP sécurisé (NLA, VPN/bastion, allowlist IP)
- BitLocker + gestion de clés de récupération
- VBS/HVCI + Exploit Protection (déploiement progressif)
- Audit avancé + centralisation des logs
- WDAC/AppLocker en audit puis enforcement
Conclusion
Le hardening Windows en 2026 n’est pas une liste “magique”. C’est une stratégie : réduire la surface, protéger les identités, contrôler l’exécution, et rendre l’attaque visible. Les environnements les plus résistants ne sont pas ceux qui “installent un antivirus”, mais ceux qui combinent durcissement, contrôle et détection.
Si vous voulez aller encore plus loin, la prochaine étape logique est un hardening complet Active Directory (tiering, PAW, delegation, protection Kerberos, monitoring), car la majorité des compromissions graves finissent par viser l’AD.



