Les services Windows incluent des fonctionnalités par défaut qui, bien que pratiques, peuvent nuire à la confidentialité. Voici des recommandations pour désactiver certains services :

• CIS-guide-disable-services : Désactivation des services Windows en suivant les recommandations de sécurité du CIS (Center for Internet Security). 
• Disable telemetry : Windows 10 et 11 envoient régulièrement des données de diagnostic à Microsoft. Cette fonctionnalité peut être désactivée pour limiter la collecte de données privées. 
• Disable cortana : La désactivation de Cortana limite ainsi les potentielles fuites de données personnelles.
• Remove windows appx : Par défaut, Windows inclut plusieurs applications via son Store. Cet outil permet de supprimer ces applications pour optimiser la sécurité et les performances de vos appareils informatiques.
• Désactivation de protocoles obsolètes :
  • Disable SMBv1 : Il désactive l’ancien protocole SMBv1.
  • Disable NetBIOS : il est également vulnérable et peut être désactivé pour renforcer la sécurité.
• Disable administrative share : Désactivation des partages au lecteur (C:) pour limiter les points d’accès non autorisés.

Dans le cadre de l’amélioration de la sécurité, plusieurs mesures ont été déployées pour protéger les postes de travail. Ces mesures incluent la désactivation de protocoles obsolètes, l’activation de chiffrement du disque, et une gestion plus stricte des mots de passe et des accès. Voici un tour d’horizon des outils et fonctionnalités implémentés grâce à WAPT.

• Sans AD : Utilisation de LAPS by WAPT, un outil permettant de définir des mots de passe aléatoires pour les comptes locaux, avec une remontée chiffrée dans la console WAPT.
• Avec AD : Implémentation de LAPS pour installer le module et remonter les mots de passe dans l’Active Directory, ainsi que LAPS Management pour une gestion facilitée par les administrateurs. 
• Enable bitlocker : L’activation de BitLocker est essentielle pour chiffrer les disques des postes sous Windows 10 et 11, protégeant ainsi les données en cas de vol ou d’accès non autorisé.
• Disable usb storage pour empêcher l’utilisation de stockage USB.
• Disable js adobe dans les fichiers PDF ouverts avec Adobe Reader, pour éviter les attaques venant de l’extérieur.
• Disable RDP pour prévenir les accès distants non autorisés.

Un audit régulier de la configuration des postes permet de s’assurer que les mesures de sécurité sont bien en place et de détecter toute anomalie. Voici quelques outils d’audit :

• Audit local admin : Génère la liste des comptes ayant des droits d’administrateur local sur chaque poste.
• Audit scheduled tasks : Recense les tâches planifiées afin de vérifier leur pertinence.
• Audit user install software : Remonte la liste des logiciels installés dans le dossier AppData des utilisateurs, permettant ainsi d’identifier des installations non autorisées.
• Info Shutdown : Permet d’afficher une pop up à l’utilisateur après un certain temps d’allumage, lui offrant la possibilité de redémarrer sa machine si nécessaire pour appliquer des mises à jour.

Ces solutions, proposées par WAPT, permettent d’optimiser la sécurité des postes de travail dans l’environnement professionnel. En associant ces mesures de renforcement avec des audits réguliers, les administrateurs disposent d’une vue complète sur l’état de sécurité des machines et peuvent réagir rapidement en cas d’anomalie.