Durcissement de Windows 11 pour Postes de Travail a Haut Risque

Un poste de pentester compromis est un cauchemar reglementaire: cles SSH clients, captures d'identifiants, payloads signes et rapports sous NDA cohabitent sur le meme disque. Chez Basilisk OffSec nous traitons chaque portable Windows 11 comme un endpoint hostile jusqu'a preuve du contraire. Cette note documente le baseline que nous executons en production depuis mars 2026: regles ASR en mode block, Credential Guard avec VBS renforce, AppLocker pour le perimetre utilisateur et WDAC pour le noyau. La configuration n'est pas elegante, mais elle a reduit de maniere mesurable la surface que nous avions cartographiee dans Bypass d'AMSI et d'ETW pour la Recherche Defensive: Ce que les Blue Teams Doivent Savoir lors de nos exercices internes.

Nous commencons par le materiel. Nous exigeons TPM 2.0 actif, Secure Boot avec cles personnalisees, protection DMA activee et firmware avec Intel Boot Guard ou AMD Platform Secure Boot selon le constructeur. Sans cette base, toute politique logicielle reste du theatre. Le portable standard est un ThinkPad P14s Gen 5 ou un Surface Laptop 7, tous deux avec SSD chiffre en XTS-AES 256 via BitLocker et code PIN pre-boot d'au moins 8 chiffres. La cle de recuperation vit dans un coffre offline de l'equipe, jamais dans un compte Microsoft. Pour comparer avec Linux, nous avons publie Hardening de Serveur Linux: CIS Benchmark Applique Sans Casser la Prod selon le meme standard operationnel.

Credential Guard et VBS forment la premiere couche logicielle activee via Group Policy: Device Guard, Virtualization Based Security, Secure Launch et HVCI obligatoires. En parallele, LSASS tourne en PPL avec RunAsPPL=1 dans le registre et audit d'acces actif. En tests internes cela a casse mimikatz classique, comgost et les dumps via comsvcs.dll sans avoir besoin d'EDR. La protection LSA a bloque 100 pour cent des tentatives d'injection que nous avons rejouees depuis Persistance Windows : 10 Techniques Documentees et leurs Contre-mesures. Cout: environ 4 pour cent de surcharge CPU sur les compilations Rust lourdes, mesure sur notre pipeline de build du Sliver custom.

ASR (Attack Surface Reduction) arrive ensuite et c'est la que la plupart des equipes hesitent. Nous activons les 16 regles en mode block, pas audit. Oui, cela casse les macros Office, les processus enfants de WMI, l'execution de scripts obfusques et l'USB non fiable. Nous gardons une OU separee 'OffSec-Tools' ou certaines regles restent en audit pour la machine de laboratoire du chercheur qui doit faire tourner Caldera, comme decrit dans Adversary Emulation avec Caldera et MITRE ATT&CK en Lab d'Entreprise. Pour le reste de la flotte, la regle D4F940AB-401B-4EFC-AADC-AD5F3C50688A (block Office child processes) seule a neutralise 73 pour cent des vecteurs d'initial access simules dans Initial Access Simule: Macros, LNK et ISO dans un Lab Windows 11 Isole.

AppLocker et WDAC travaillent dans des couches distinctes. AppLocker controle le user-mode via listes par editeur et chemin, ideal pour bloquer le ZIP suspect tombe dans Downloads. WDAC controle noyau et drivers via une politique signee avec notre certificat EV, avec les Microsoft Recommended Block Rules importees en janvier 2026. Nous generons la politique de base avec New-CIPolicy en audit pendant 30 jours, collectons les event IDs 3076 et 3077, raffinons puis passons en enforce. Resultat: les drivers vulnerables catalogues sur loldrivers.io, y compris ceux utilises dans les routines d'evasion couvertes dans Evasion EDR pour la Recherche: Direct Syscalls Expliques sans Romance, ne se chargent tout simplement plus. Seuls les binaires signes MS, Lenovo et nos hashes internes s'executent.

Defender arrive en derniere couche avec Tamper Protection, Cloud Block Level eleve, PUA en block, Network Protection actif et Controlled Folder Access couvrant Documents, Bureau et le repertoire des rapports. Nous envoyons les evenements vers notre pipeline Sigma plus Elastic decrit dans Threat Hunting avec Sigma et Elastic: De l'Indicateur a la Regle de Detection, avec un focus sur les alertes de modification de politique WDAC, creation de service via sc.exe et acces aux handles LSASS avec 0x1010. Sur 90 jours en production sur 47 postes nous avons eu zero compromission confirmee et 12 alertes a fort signal, dont deux veritables tentatives de drive-by pendant des engagements bug bounty.

Conseil pratique: n'essayez pas d'activer tout d'un coup. Roulez 30 jours en audit, envoyez les logs vers un SIEM, ajustez des exclusions minimales puis seulement basculez en block. Documentez chaque exclusion avec un ticket, un proprietaire et une date de revue trimestrielle. Un durcissement que personne ne relit pourrit en six mois. Si vous partez de zero aujourd'hui, activez dans cet ordre: BitLocker avec PIN, Credential Guard, LSA PPL, ASR en block, AppLocker, WDAC audit, WDAC enforce. Chaque etape isolee paie deja le travail.