Blocage de la commande -executionpolicy bypass en powershell

Question

Bonjour,

Je suis à la recherche d'une solution pour bloquer efficacement l'utilisation de la commande executionpolicy -bypass avec powershell car cela crée une faille de sécurité énorme. J'avoue avoir du mal à comprendre le principe de cette commande qui fonctionne même en execution policy allsigned ou restricted. n'importe qui peut dès lors exécuter un script malveillant en bypassant les sécurités facilement.

D'avance bloquer l'utilisation complète de powershell n'est malheureusement pas une option envisageable.

Si vous pouviez m'aider avec ce soucis, cela m'aiderait beaucoup.

Merci d'avance pour votre réponse.

Answer 1

Il est en effet important de bien gérer l’utilisation de PowerShell, notamment la commande -ExecutionPolicy Bypass, car cela permet de contourner certaines restrictions de sécurité et peut potentiellement exposer un système à des risques si des scripts malveillants sont exécutés.

Malheureusement, bloquer cette commande spécifique tout en laissant PowerShell fonctionnel est assez délicat, mais il existe plusieurs méthodes pour limiter son utilisation et améliorer la sécurité dans l'environnement de travail. Voici quelques stratégies que tu peux adopter pour mieux sécuriser PowerShell tout en évitant une désactivation complète :

Restreindre les scripts via les GPO (Stratégies de groupe)

Si tu gères un réseau d'ordinateurs ou si tu as un serveur Windows, tu peux utiliser Group Policy pour appliquer des restrictions supplémentaires sur PowerShell.

• Ouvre l'éditeur de stratégie de groupe en tapant gpedit.msc dans la barre de recherche et en appuyant sur Entrée.
• Navigue jusqu'à :

    Configuration utilisateur > Modèles d'administration > Composants Windows > Windows PowerShell
  

• Tu y trouveras des options comme :
  • Empêcher l'exécution de scripts PowerShell : Si tu ne souhaites pas que les utilisateurs exécutent des scripts, tu peux désactiver cette option, bien que cela désactive toute exécution de script, ce qui pourrait ne pas être idéal.
  • Autoriser uniquement les scripts signés : Cela peut être une bonne option pour éviter l'exécution de scripts non fiables.

Cette méthode permet de définir des restrictions basées sur les politiques d'entreprise ou d'organisation, empêchant ainsi l'exécution non autorisée de scripts via PowerShell.

Utiliser AppLocker

AppLocker est un outil puissant pour les administrateurs système, qui permet de contrôler quelles applications peuvent être exécutées, y compris PowerShell et les scripts PowerShell. Cela peut être une bonne solution pour bloquer l'exécution de commandes spécifiques comme -ExecutionPolicy Bypass.

Voici les étapes pour configurer AppLocker :

• Ouvre gpedit.msc (Éditeur de stratégie de groupe).
• Navigue vers Configuration ordinateur > Stratégies > Paramètres de sécurité > Contrôle des applications > AppLocker.
• Crée des règles pour PowerShell :
  • Dans Règles d'exécution de script, tu peux ajouter une règle pour interdire l'exécution de PowerShell en cas de commande spécifique (comme -ExecutionPolicy Bypass).
  • Dans Règles de fichier exécuté, tu peux aussi bloquer certains exécutables PowerShell en fonction de leur signature ou de leur emplacement.

AppLocker peut te permettre de spécifier des restrictions plus fines sur l'exécution des scripts PowerShell et d'autres types de fichiers exécutables.

Surveiller les scripts PowerShell avec des outils de surveillance

Si tu veux seulement surveiller l’utilisation de PowerShell et détecter les tentatives d’exécution de commandes malveillantes, tu peux activer la journaux d’audit de PowerShell. Cela ne bloquera pas la commande en elle-même, mais te permettra de suivre et d'analyser les tentatives d'utilisation de la commande -ExecutionPolicy Bypass.

Pour activer la journalisation de PowerShell, voici ce que tu peux faire :

• Activer l’audit des scripts PowerShell :
  1. Ouvre PowerShell en mode administrateur.
  2. Exécute la commande suivante pour activer la journalisation des commandes PowerShell :

      Set-ExecutionPolicy RemoteSigned -Scope LocalMachine
      Set-ItemProperty -Path "HKLM:\Software\Microsoft\PowerShell\1\ShellIds\Microsoft.PowerShell" -Name "ExecutionPolicy" -Value "RemoteSigned"
     

  3. Utilise Event Viewer pour consulter les journaux d'audit et rechercher les événements relatifs aux scripts PowerShell.

Cette méthode permet de détecter les actions, mais cela ne prévient pas directement leur exécution.

Restreindre l’accès à PowerShell via les permissions

Une autre approche consiste à restreindre l'accès à PowerShell en modifiant les permissions des fichiers exécutables PowerShell.

• Localise le fichier exécutable PowerShell (powershell.exe et pwsh.exe pour PowerShell Core) sur ton système.
• Restreins les autorisations d'accès en utilisant les paramètres de sécurité de Windows.

Cette méthode permet de limiter l’accès à PowerShell pour des utilisateurs non autorisés, mais elle peut nuire à l’administration système.

Utiliser des outils tiers de sécurité

Des logiciels de sécurité tiers peuvent également fournir des options pour détecter ou bloquer les exécutions non autorisées de scripts PowerShell. Des solutions comme Antivirus ou EDR (Endpoint Detection and Response) peuvent analyser et bloquer les tentatives d’exécution malveillante en temps réel.

Recommandations supplémentaires

• Limiter les droits d’administrateur : Les utilisateurs ayant des droits d'administrateur peuvent contourner beaucoup de ces protections. Restreindre les privilèges administratifs des utilisateurs est un bon moyen de limiter les risques.
• Utiliser Windows Defender : L'activation de Windows Defender Application Control (WDAC) peut ajouter une couche supplémentaire de protection en validant la signature des applications avant leur exécution.

---

En résumé, voici les approches possibles pour bloquer ou limiter l’utilisation de la commande ExecutionPolicy -Bypass :

1. Utiliser les stratégies de groupe (GPO) pour imposer des restrictions sur l'exécution des scripts PowerShell.
2. Configurer AppLocker pour contrôler les scripts PowerShell autorisés.
3. Activer la surveillance des événements PowerShell pour détecter les utilisations indésirables.
4. Restreindre l'accès à PowerShell en modifiant les permissions sur les fichiers exécutables.
5. Utiliser des outils de sécurité tiers pour surveiller et bloquer les menaces.

Chacune de ces options peut aider à limiter les risques associés à l'exécution non autorisée de commandes PowerShell tout en permettant une gestion administrative contrôlée.

Si tu as des questions supplémentaires ou si tu rencontres des problèmes avec l’une de ces solutions, n’hésite pas à me le faire savoir !

Answer 2

Bonjour,

Merci d'avoir répondu, malheureusement j'avais moi aussi demander à ChatGPT avant de venir sur le forum donc cette réponse ne m'aide pas plus que ça.

Mais quand même merci d'avoir pris le temps de répondre. Si quelqu'un à une autre réponse que celle d'une IA elle est la bienvenue.

Answer 3

Bonjour Nicokeer

Tu as raison, moi aussi je suis sceptique sur les solutions proposés par le couple III Pixel II et ces réponses basées sur le résultat de Copilot.

Pour avoir davantage de chance d'obtenir une réponse correcte, tu devrais poser ta question, directement, sur le forum plus spécialisé :

Microsoft Q&A : Site en Francais : https://learn.microsoft.com/fr-fr/answers/

Site US en Anglais : https://learn.microsoft.com/en-us/answers/

Tous les détails pour l'utilisation de ce nouveau site de Microsoft, sont sur cette page : https://learn.microsoft.com/fr-fr/answers/support/ 

Il s'agit de sites d'experts et d'utilisateurs expérimentés plus à même de t'éclairer à ce sujet.

Bonne continuation