Meilleures pratiques de durcissement ("hardening") pour Windows 11 en PME

TL;DR:

Windows 11 impose TPM 2.0 et Secure Boot, ce qui pose une base matérielle solide. Sur beaucoup d’appareils récents, la sécurité par virtualisation (VBS) et l’intégrité de mémoire HVCI sont activées par défaut, renforçant la protection du noyau. Microsoft Microsoft Learn+1
Depuis 24H2, la signature SMB est requise par défaut sur la plupart des éditions, ce qui coupe court aux relais d’identités et attaques de type man-in-the-middle sur les partages réseau. Microsoft Learn+1
Le chiffrement de disque basé sur BitLocker est automatiquement activé sur de nombreux appareils neufs compatibles avec la fonction Device Encryption. Ce n’est pas universel, mais très fréquent sur le parc moderne. Microsoft Learn
Windows Hello for Business permet l’authentification sans mot de passe avec des clés asymétriques protégées par le TPM. Les données biométriques restent locales. Intégration naturelle avec Microsoft Entra ID pour la gestion centralisée. Microsoft Learn
Déployez des baselines prêtes à l’emploi: Microsoft Security Baselines pour Windows 11 et, si besoin, les Benchmarks CIS. Automatisez avec Intune, GPO, et PowerShell DSC. Reddit

1. Pourquoi le hardening Windows 11 compte pour les PME du Québec

Les menaces évoluent rapidement et les PME sont ciblées autant que les grandes organisations. Windows 11 apporte une base matérielle et logicielle plus robuste: TPM 2.0, Secure Boot, VBS et HVCI selon le matériel. Résultat: on complique sérieusement la vie aux malwares et aux attaquants qui visent le noyau ou l’authentification. Microsoft Microsoft Learn

2. Les piliers de la sécurité moderne sur Windows 11

TPM 2.0 et Secure Boot

TPM 2.0 est requis par Windows 11 et protège des clés cryptographiques, l’intégrité de démarrage et des fonctions comme BitLocker et Hello. Activez-le dans l’UEFI si besoin. Microsoft Support Microsoft
Secure Boot empêche le chargement de code malveillant au boot. Microsoft Support

VBS et HVCI (Memory Integrity)

VBS isole des composants sensibles via l’hyperviseur. HVCI empêche le chargement de pilotes non fiables dans le noyau. Sur de nombreux appareils récents, HVCI est actif par défaut. Microsoft Learn+1
Chemin de configuration: Sécurité Windows > Sécurité de l’appareil > Isolement du noyau > Intégrité de la mémoire. Microsoft Learn

Protection des identifiants

LSA Protection (RunAsPPL) renforce lsass.exe contre le vol d’identifiants. Activez et vérifiez le statut sur vos postes managés.

Chiffrement des données

Device Encryption/BitLocker: sur beaucoup d’appareils récents, le chiffrement se met en place automatiquement. Pour un parc hétérogène, standardisez et escroyez les clés de récupération via Intune ou GPO. Microsoft Learn

3. Authentification moderne et sans mot de passe

Windows Hello for Business utilise des clés asymétriques protégées par le TPM. La biométrie sert à déverrouiller la clé locale, aucune empreinte n’est transmise au serveur. Combiné à Entra ID et, au besoin, à des clés FIDO2, vous réduisez fortement l’hameçonnage et le stuffing. Microsoft Learn

4. Réseau et protocoles sécurisés

SMB et protocoles hérités

SMB signing requis par défaut avec 24H2 sur la plupart des éditions. Si des NAS tiers ne supportent pas la signature, corrigez côté NAS plutôt que d’affaiblir Windows. Microsoft Learn+1
SMBv1 est obsolète et non installé par défaut sur Windows 11. S’il est présent pour compatibilité, retirez-le.
PowerShell:
```
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol
```

Réduire la surface d’attaque locale

Désactivez LLMNR via GPO et NetBIOS over TCP/IP via configuration réseau ou DHCP pour limiter l’empoisonnement de résolutions. Tenable®Microsoft Learn

Pare-feu Windows Defender

Utilisez des GPO pour des règles granulaires par profil réseau. Activez la journalisation (paquets rejetés et connexions réussies) et centralisez les logs. Chemin et options détaillés ci-dessous. Microsoft Learn+1

5. Déploiement et automatisation à l’échelle

Baselines prêtes à l’emploi

Microsoft Security Baselines pour Windows 11: point de départ solide, testées par Microsoft. Appliquez, puis ajustez selon vos risques et votre environnement. Reddit

PowerShell DSC et Intune

DSC permet de déclarer l’état désiré et de l’imposer sur le parc. Combinez avec Intune et GPO pour les politiques. Microsoft Learn
Des modules communautaires CIS pour DSC existent si vous suivez les Benchmarks CIS. Évaluez attentivement avant prod. powershellgallery.com

6. Surveillance et audit

Journaux et audit avancé

Activez la journalisation du pare-feu et les Advanced Audit Policies pour suivre connexions, changements de comptes et accès à des ressources sensibles. Microsoft Learn+1
Centralisez avec Windows Event Forwarding ou votre SIEM.

Détection et réponse

Pour les PME, Microsoft Defender for Business (inclus dans Microsoft 365 Business Premium) apporte EDR et réduction de surface d’attaque avec une console simplifiée. Les environnements plus exigeants opteront pour Defender for Endpoint. Microsoft Learn+1

7. Check-list Blue Fox en 10 actions

Vérifier TPM 2.0 activé et Secure Boot. Microsoft Support
Confirmer VBS et HVCI actifs sur le matériel compatible. Microsoft Learn
Standardiser le chiffrement: Device Encryption et BitLocker gérés, clés escroquées. Microsoft Learn
Activer Windows Hello for Business et viser le passwordless avec Entra ID lorsque disponible pour l'organisation Microsoft Learn
Appliquer les Microsoft Security Baselines Windows 11. Reddit
S’assurer que SMB signing est effectif partout, corriger les NAS au besoin. Microsoft Learn
Supprimer SMBv1, désactiver LLMNR et NetBIOS. Tenable®
Renforcer LSA Protection.
Activer et centraliser la journalisation du pare-feu et l’audit avancé. Microsoft Learn+1
Déployer un EDR adapté: Defender for Business ou Defender for Endpoint. Microsoft Learn+1

Annexes pratiques

GPO et journaux du pare-feu

GPMC: Ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Pare-feu Windows Defender avec fonctions avancées de sécurité > Propriétés
Onglet Domaine/Privé/Public > Journalisation > Personnaliser
Fichier log par défaut: %windir%\system32\logfiles\firewall\pfirewall.log Microsoft Learn

LLMNR et NetBIOS

LLMNR: GPO Ordinateur > Modèles d’administration > Réseau > Client DNS > Désactiver la résolution de noms multicast
NetBIOS: désactiver NetBIOS over TCP/IP dans les propriétés IPv4 ou via option DHCP 001. Microsoft Learn

SMB signing, vérification rapide

Get-SmbClientConfiguration | FL RequireSecuritySignature Get-SmbServerConfiguration | FL RequireSecuritySignature

Microsoft Learn

Le mot de Blue Fox

Chez Blue Fox, on vise la sécurité qui se fait oublier: forte par défaut, simple à gérer, et documentée. On vous accompagne pour transformer ces principes en politiques concrètes, avec des déploiements reproductibles, des baselines adaptées à votre risque, et des automatisations propres.

#CyberSécurité #Windows11 #PME #Québec #Hardening #BlueFox #TPM #BitLocker #PowerShell

Sources vérifiées et utiles

Exigences Windows 11 et TPM 2.0. Microsoft Microsoft Support
VBS et HVCI. Microsoft Learn+1
Device Encryption et BitLocker sur appareils compatibles. Microsoft Learn
Windows Hello for Business, stockage local des clés. Microsoft Learn
Baselines de sécurité Windows 11. Reddit
SMB signing par défaut en 24H2. Microsoft Learn+1
SMBv1 retiré par défaut, commande de désactivation.
LSA Protection.
Journalisation du pare-feu et configuration GPO. Microsoft Learn
Audit Policy recommandations. Microsoft Learn
DSC et module communautaire CISDSC. Microsoft Learn powershellgallery.com
Defender for Business et Defender for Endpoint. Microsoft Learn+1

Produits Adobe: vie privée, modèle de licences et alternatives à Acrobat, Photoshop, Illustrator, InDesign