Windows 10 : plus sécurisé en version 2022 ?

Clément Bohic,
Linkedin
Windows 10 22H2 sécurité

Windows 10 22H2, c’est une baseline de sécurité mise à jour et des GPO supplémentaires. Voici quelques morceaux choisis.

Windows 10, un peu mieux protégé contre PrintNightmare ? L’un des correctifs est en tout cas désormais activable par l’intermédiaire du modèle Security Guide (SecGuide.admx). Il empêche l’exploitation de la faille CVE-2021-36958.

Cette dernière repose sur la directive CopyFiles, détournée pour copier et exécuter des DLL malveillantes lors du traitement de profils de couleurs. Le correctif – pas encore natif à l’OS, donc – n’autorise son usage qu’avec une bibliothèque légitime (mscms.dll).

En parallèle, un autre paramètre « impression » de SecGuide devient officiellement obsolète, car intégré à Windows 10 22H2. En l’occurrence, celui qui permet de limiter aux admins l’installation de pilotes.

Avec Windows 10 22H2, la baseline de sécurité fait évoluer un autre paramètre « impression » de SecGuide : celui qui permet de gérer la sécurité au niveau des paquets RPC. Le voilà activé par défaut, en rempart contre la faille CVE-2021-1678.

Parmi les ajouts au niveau OS, le service d’impression permet dorénavant de paramétrer Redirection Guard. Activé, il empêche l’usage de primitives de redirection non créées par des admins.

D’autres GPO font leur apparition avec Windows 10 22H2. Elles concernent :

– Les applications HTML, dont on peut bloquer ou autoriser l’exécution (via inetres.admx)

– La redirection WebAuthn, qu’on peut interdire (via terminalserver.admx)
Cette redirection – autorisée par défaut – permet aux utilisateurs de se connecter sur des sessions RDP en se servant de l’identification locale.

– La redirection pour le spouleur d’impression (via printing.admx)
Il s’agit en fait du paramètre Redirection Guard. Avec, hormis les options « activé » et « désactivé », une option « log » qui autorise les redirections et les journalise.

– Les exclusions, dont on peut régler pour les admins locaux, la visibilité ou le masquage dans PowerShell et dans l’application Sécurité Windows (via windowsdefender.admx)

À noter aussi l’activation par défaut, avec Windows 10 22H2, de la protection additionnelle de l’autorité de sécurité locale (LSA). Arrivée avec Windows 8.1, elle isole le processus, entre autres pour éviter l’injection de code.

Illustration © Microsoft