Archives de la catégorie ‘IT Security’

 

Malgré l’ajout des ~2300 nouvelles Cmd-lets PowerShell sur Windows Server 2012 R2 et 2016, le meilleur outil de gestion du Networking & Firewalling Windows reste (pour moi :D) le super Command-Line Tool Netsh.exe (Windows Network Shell).

En effet, Windows PowerShell fonctionne aujourd’hui qu’avec un sous-ensemble de fonctionnalités de management Windows Server, n’incluant pas la possibilité de configurer et gérer le Pare-feu Windows et ses fonctions avancées.

J’ai donc décidé de vous regrouper dans le présent post les « Top 10″ des Commandes Netsh que vous devez connaître pour créer, configurer et gérer vos Pare-feu Windows (Client & Server).

Les commandes détaillées ci-dessous peuvent aussi vous être utile lors de la configuration du Firewall Windows IaaS (E.g : VM Azure ou AWS)

 

1.Afficher /Lister une règle spécifique ou toutes les règles du Pare-feu Windows
  • Afficher toutes les règles : netsh advfirewall firewall show rule name=all
  • Afficher une règle spécifique (« SQL » dans l’exemple suivant) : netsh advfirewall firewall show rule name=SQL


2.Activer /Désactiver un ou plusieurs profils du Pare-feu Windows
  • Activer tous les profils du Pare-feu Windows : Netsh advfirewall set allprofiles state on
  • Désactiver tous les profils du Pare-feu Windows : Netsh advfirewall set allprofiles state off
  • Activer le profil « Public » du Pare-feu Windows : Netsh advfirewall set publicprofile state on
  • Désactiver le profil « Privé » du Pare-feu Windows : Netsh advfirewall set privateprofile state off
  • Activer le profil « Domaine » du Pare-feu Windows : Netsh advfirewall set domainprofile state on

3.Réinitialiser les stratégies (par défaut) du Pare-feu Windows
  • netsh advfirewall reset

4.Afficher et Configurer les fichiers Logs du Pare-feu Windows

Notez que le chemin par défaut des fichiers « Logs » liés au Pare-feu Windows est le suivant : C:\Windows\system32\LogFiles\Firewall\pfirewall.log

Vous pouvez visualiser ce chemin par défaut (pour tous les profils du Pare-feu) en exécutant la commande suivante :

  • netsh advfirewall show allprofiles logging

Nous allons définir dans l’exemple suivant le chemin « D:\WSFirewall\Logs\pfirewall.log », pour tous les profils du Pare-feu Windows (Domaine – Privé – Public)

  • netsh advfirewall set allprofiles logging filename « D:\WSFirewall\Logs\pfirewall.log« 

Note : après configuration d’un nouvel emplacement du fichier log pfirewall.log, l’ancien fichier log placé dans le chemin par défaut est automatiquement déplacé et renommé en .old


5.Autoriser ou Refuser le « Ping »
  • Autoriser le « Ping »: netsh advfirewall firewall add rule name= »All ICMP V4″ dir=in action=allow protocol=icmpv4
  • Refuser le « Ping » : netsh advfirewall firewall add rule name= »All ICMP V4″ dir=in action=block protocol=icmpv4

6.Ajouter (Autoriser) ou Supprimer un Port spécifique
  • Ajouter une nouvelle règle autorisant le port 1433 (port par défaut utilisé par SQL Server) : netsh advfirewall firewall add rule name= »Autoriser_Port_SQL Server » dir=in action=allow protocol=TCP localport=1433
  • Supprimer la règle précédente autorisant le port 1433 (port par défaut utilisé par SQL Server) : netsh advfirewall firewall delete rule name= »Autoriser_Port_SQL Server » protocol=tcp localport=1433

7.Autoriser un Programme
  • Dans l’exemple suivant, le Programme « IPScan » placé dans C:\Program Files\IPScan\IPScan.exe » sera autorisé : netsh advfirewall firewall add rule name= »Autoriser_IPScan » dir=in action=allow program= »%ProgramFiles%\IPScan\IPScan.exe »

8.Activer la gestion à distance
  • netsh advfirewall firewall set rule group= »Gestion à distance de Windows » new enable=yes


9. Activer /autoriser Les Connexions Bureau à distance
  • netsh advfirewall firewall set rule group= »Bureau à distance » new enable=Yes


10.Exporter ou importer la configuration & paramètres du Pare-feu Windows
  • Pour exporter toute la configuration du Pare-feu Windows vers D:\WSFirewall : netsh advfirewall export « D:\WSFirewall\WFconfiguration.wfw »

  • Pour exporter toute la configuration du Pare-feu Windows vers D:\WSFirewall : netsh advfirewall export « D:\WSFirewall\WFconfiguration.wfw »

Je vous laisse Run > Netsh Advfirewall /? et découvrir le reste des commandes.

Enfin, toujours gardez à l’esprit que le CLI Netsh.exe fait parti des outils en ligne de commande Windows les plus puissants (et compliqué aussi). Toujours PoC(er), Tester et Valider l’opération sur un LaB /Environnement d’Intégration /PréProd …Etc avant toute application sur les serveurs de Production.

A bientôt

Publicités

Si une ou plusieurs de vos machines Windows (Client ou Serveur) ont été infectées par WannaCry, je vous invite à visionner la vidéo ci-après. La méthode consiste simplement à utiliser un outil (Freeware) nommé WanaKiwi qui permet de décrypter vos données sans payer les fameux 300 $$$$ (en Bitcoins) au groupe de Hackers :).

J’imagine que tout le monde est au courant du Ransomware (WannaCry) exploitant les vulnérabilités MS17-010 sur les OS Windows (Client & Server).

Toutes les KBs nécessaires pour corriger à cette faille sont publiées par Microsoft et disponibles depuis Mars 2017. Mais avant de les appliquer, vous devez d’abord scanner votre parc informatique pour lister les serveurs et clients Windows encore vulnérables à la MS17-010 pour établir la liste complète des machines à patcher par la suite.

Commencez par downloader Nmap pour Windows, récupérer ensuite le script Nmap pour la MS17-010 (script disponible ici, sinon vous pouvez copier /coller le code ci-après), et exécutez ensuite la commande suivante :

nmap -sC -p445 –open –max-hostgroup 3 –script smb-vuln-ms17-010.nse X.X.X.X/X

Dans l’exemple suivant, nous allons scanner le Subnet 10.0.110.0 /24, la commande suivante est donc utilisée:

nmap -sC -p445 –open –max-hostgroup 3 –script smb-vuln-ms17-010.nse 10.0.0.0/16

Un travail de traitement de fichier est à faire, car le résultat retourné par NMAP (pour un « gros » parc de serveurs et postes de travail) n’est pas « très exploitable », voir capture d’écran suivant :


local smb = require "smb"
local vulns = require "vulns"
local stdnse = require "stdnse"
local string = require "string"

description = [[
Attempts to detect if a Microsoft SMBv1 server is vulnerable to a remote code
 execution vulnerability (ms17-010).

The script connects to the $IPC tree, executes a transaction on FID 0 and
 checks if the error "STATUS_INSUFF_SERVER_RESOURCES" is returned to
 determine if the target is not patched against ms17-010.

Tested on a vulnerable Windows 7. We might have some issues with v2 protocols with
 signing enabled.

References:
* https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
* https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
* https://msdn.microsoft.com/en-us/library/ee441489.aspx
* https://github.com/rapid7/metasploit-framework/blob/master/modules/auxiliary/scanner/smb/smb_ms17_010.rb 
]]

---
-- @usage nmap -p445 --script smb-vuln-ms17-010 <target>
-- @usage nmap -p445 --script vuln <target>
--
-- @output
-- Host script results:
-- | smb-vuln-ms17-010: 
-- |   VULNERABLE:
-- |   Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)
-- |     State: VULNERABLE
-- |     IDs:  CVE:CVE-2017-0143
-- |     Risk factor: HIGH
-- |       A critical remote code execution vulnerability exists in Microsoft SMBv1
-- |        servers (ms17-010).
-- |       
-- |     Disclosure date: 2017-03-14
-- |     References:
-- |       https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143
-- |       https://technet.microsoft.com/en-us/library/security/ms17-010.aspx
-- |_      https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
--
-- @xmloutput
-- <table key="CVE-2017-0143">
-- <elem key="title">Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)</elem>
-- <elem key="state">VULNERABLE</elem>
-- <table key="ids">
-- <elem>CVE:CVE-2017-0143</elem>
-- </table>
-- <table key="description">
-- <elem>A critical remote code execution vulnerability exists in Microsoft SMBv1
 servers (ms17-010).
</elem>
-- </table>
-- <table key="dates">
-- <table key="disclosure">
-- <elem key="month">03</elem>
-- <elem key="year">2017</elem>
-- <elem key="day">14</elem>
-- </table>
-- </table>
-- <elem key="disclosure">2017-03-14</elem>
-- <table key="refs">
-- <elem>https://technet.microsoft.com/en-us/library/security/ms17-010.aspx</elem>
-- <elem>https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-0143</elem>
-- <elem>https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/</elem>
-- </table>
-- </table>
---

author = "Paulino Calderon <paulino()calderonpale.com>"
license = "Same as Nmap--See https://nmap.org/book/man-legal.html"
categories = {"vuln", "safe"}

hostrule = function(host)
  return smb.get_port(host) ~= nil
end

local function check_ms17010(host, port, sharename)
  local status, smbstate = smb.start_ex(host, true, true, sharename, nil, nil, nil)
  if not status then
    stdnse.debug1("Could not connect to '%s'", sharename)
    return false, string.format("Could not connect to '%s'", sharename)
  else
    local overrides = {}
    local smb_header, smb_params, smb_cmd

    stdnse.debug1("Connected to share '%s'", sharename)

    overrides['parameters_length'] = 0x10

    --SMB_COM_TRANSACTION opcode is 0x25
    smb_header = smb.smb_encode_header(smbstate, 0x25, overrides)
    smb_params = string.pack(">I2 I2 I2 I2 B B I2 I4 I2 I2 I2 I2 I2 B B I2 I2 I2 I2 I2 I2",
      0x0,     -- Total Parameter count (2 bytes)
      0x0,     -- Total Data count (2 bytes)
      0xFFFF,  -- Max Parameter count (2 bytes)
      0xFFFF,  -- Max Data count (2 bytes)
      0x0,     -- Max setup Count (1 byte)
      0x0,     -- Reserved (1 byte)
      0x0,     --Flags (2 bytes)
      0x0,     --Timeout (4 bytes)
      0x0,     --Reserved (2 bytes)
      0x0,     --ParameterCount (2 bytes)
      0x4a00,  --ParameterOffset (2 bytes)
      0x0,     --DataCount (2 bytes)
      0x4a00,  -- DataOffset (2 bytes)
      0x02,    -- SetupCount (1 byte)
      0x0,     -- Reserved (1 byte)
      0x2300,  -- PeekNamedPipe opcode
      0x0,     --
      0x0700,  --BCC (Length of "\PIPE\")
      0x5c50,  --\P
      0x4950,  --IP 
      0x455c   --E\
    )
    stdnse.debug2("SMB: Sending SMB_COM_TRANSACTION")
    result, err = smb.smb_send(smbstate, smb_header, smb_params, '', overrides)
    if(result == false) then
      stdnse.debug1("There was an error in the SMB_COM_TRANSACTION request")
      return false, err
    end

    result, smb_header, _, _ = smb.smb_read(smbstate)
    _ , smb_cmd, err = string.unpack("<c4 B I4", smb_header)
    if smb_cmd == 37 then -- SMB command for Trans is 0x25
      stdnse.debug1("Valid SMB_COM_TRANSACTION response received")

      --STATUS_INSUFF_SERVER_RESOURCES indicate that the machine is not patched
      if err == 0xc0000205 then 
        stdnse.debug1("STATUS_INSUFF_SERVER_RESOURCES response received")
        return true
      end
    else
      stdnse.debug1("Received invalid command id.")
      return false, err
    end
  end
end

action = function(host,port)
  local vuln_status, err
  local vuln = {
    title = "Remote Code Execution vulnerability in Microsoft SMBv1 servers (ms17-010)",
    IDS = {CVE = 'CVE-2017-0143'},
    risk_factor = "HIGH",
    description = [[
A critical remote code execution vulnerability exists in Microsoft SMBv1
 servers (ms17-010).
]],
    references = {
    'https://technet.microsoft.com/en-us/library/security/ms17-010.aspx',
    'https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/'
    },
    dates = {
      disclosure = {year = '2017', month = '03', day = '14'},
    }
  }
  local sharename = stdnse.get_script_args(SCRIPT_NAME .. ".sharename") or "IPC$"
  local report = vulns.Report:new(SCRIPT_NAME, host, port)
  vuln.state = vulns.STATE.NOT_VULN

  vuln_status, err = check_ms17010(host, port, sharename)
  if vuln_status then
    stdnse.debug1("This host is missing the patch for ms17-010!")
    vuln.state = vulns.STATE.VULN
  else
    if nmap.verbosity() >=1 then
      return err
    end
  end
  return report:make_output(vuln)
end

Note : pour connaître la liste des rôles et fonctionnalités pris en charge sur Windows Server Core 2008 /2008 R2 /2012 /2012 R2, consultez cet article.

PI : visionnez cette vidéo pour en savoir plus sur la configuration initiale de Windows Server Core 2016

De nouveaux rôles et fonctionnalités sont désormais pris en charge sur Windows Server Core 2016.

Des fonctionnalités supplémentaires peuvent être ajoutées à partir des sources d’installation de Windows Server 2016 : à partir du fichier d’image Windows > fichier .WIM

Je vous détaillerai à travers cet article la liste complète des rôles et fonctionnalités pouvant être déployés sur un Server Core 2016.

Rappel sur le mode « Core », appelé aussi « Installation Minimale » 

Windows Server Core, appelé aussi « Installation Minimale de Windows Server », est un mode d’installation allégé et pourvu d’options d’installations et de configurations minimales.

Il ne s’agit pas d’une nouvelle version mais plutôt d’une simple option d’installation à sélectionner depuis l’’assistant d’installation lors du déploiement de Windows Server 2016.

La particularité du mode « Core » réside également dans l’absence de la couche graphique Windows (absence du Shell Graphique Windows).

Les principales interfaces de gestion et configuration d’un Server Core sont les outils en ligne de commande fournis par défaut avec cette option d’installation, citons :

Invite de commande : CMD.exe

Windows PowerShell : PowerShell.exe

Outil de configuration (natif) du Server Core : SConfig.exe

Il s’agit ici d’outils CLI qui vous permettent de gérer votre Windows Server Core de manière « Interactive ».

L’OS Server en mode « Core » peut également être géré à distance via des outils graphiques : utilisation des outils (snap-in) fournis avec les RSAT (Remote Server Administration Tools).

HowTo : lister les rôles et fonctionnalités disponibles sur Windows Server Core 2016

Ouvrez une Session Windows sur votre Server Core et saisissez la commande suivante pour lancer Windows PowerShell :

Start PowerShell

La console Windows PowerShell apparaît :

Saisissez Get-WindowsFeature depuis la console Windows PowerShell pour lister tous les rôles et fonctionnalités Windows :

PowerShell collecte alors les informations sur les rôles et fonctionnalités Windows et vous retourne le résultat comme montré dans l’image ci-dessus.

Comme vous pouvez le constater, la colonne « Install State » indique le statut du rôle, service de rôle ou fonctionnalité, on distingue 3 statuts :

Available : Le rôle, service de rôle ou fonctionnalité est disponible (ses binaires sont présents sur l’OS) et peut être ajouté /installé

Removed : Le rôle, service de rôle ou fonctionnalité est supprimé (ses binaires ne sont pas présents sur l’OS). Il faut donc ajouter /installer le rôle, service de rôle ou fonctionnalité à partir des sources d’installation de Windows Server 2012 R2 (depuis fichier .wim par exemple)

Installed  : Le rôle, service de rôle ou fonctionnalité est déjà installé (par défaut avec l’installation de Windows Server 2016).

Liste des rôles et fonctionnalités supprimés de Windows Server Core 2016

Saisissez la commande suivante pour lister les rôles et fonctionnalités dont les binaires sont supprimés par défaut du Server Core :

Get-WindowsFeature | Where-Object {$_.InstallState -eq « Removed »}

 

Liste des rôles et fonctionnalités disponibles (par défaut) sur Windows Server Core 2016

Saisissez la commande suivante pour lister les rôles et fonctionnalités qui peuvent être être installés sur un Server Core 2016:

Get-WindowsFeature | Where-Object {$_.InstallState -eq « Available »}

Astuce : vous pouvez exporter le résultat retourné par la commande vers un fichier texte ou csv afin de trier les informations collectées et les exploiter par la suite. Pour ce faire, saisissez à la fin de la commande | Out-File C:\ListeRolesFonctionnalites.txt ou Export-CSV C:\ListeRolesFonctionnalites.csv

Liste des rôles et fonctionnalités installées (par défaut) avec Windows Server Core 2016

Saisissez la commande suivante pour lister les rôles et fonctionnalités qui sont (par défaut) installés avec Windows Server Core 2016:

Get-WindowsFeature | Where-Object {$_.InstallState -eq « Installed »}

Pour conclure:

17 rôle Windows peuvent désormais être installés et exécutés sur Windows Server Core 2016 :

Note importante : certains de services de rôles ne sont pas pris en charge sur un Server Core, il s’agit généralement des services de rôles nécessitant le « Shell Graphique ». E.g : service de rôle RD Session Host (Hôte de la session Bureau à distance) faisant parti du rôle parent « Services Bureau à distance ».

38 fonctionnalités Windows peuvent désormais être installées et exécutées sur Windows Server Core 2016 :

S’applique à : Windows 10 et Windows Server 2016

Remote Credential Guard, qu’est-ce que c’est ?

Le géant américain a lancé l’année dernière le « Credential Guard », une fonctionnalité de sécurité native dans Windows 10 Enterprise et Windows Server 2016. Credential Guard aide à empêcher le vol d’informations d’identification et permet de réduire l’efficacité des attaques Kerberos telles que Overpass-The-Hash et Pass-the-Ticket.

Récemment, avec la publication de la mise à jour « Anniversaire » Windows 10, Microsoft a annoncé la disponibilité du « Remote Credential Guard », une nouvelle fonctionnalité de sécurité qui vise elle aussi à protéger les informations d’identification sur les connexions Bureau à distance en générant des tickets de service nécessaires à partir de la machine source au lieu de copier les informations d’authentification (Haches et TGT) vers la machine cible.

Notez que Remote Credential Guard a été introduite sur Windows 10 version 1607.

Cette fonctionnalité peut être considérée comme le successeur /remplaçant du mode « Restricted Admin ».
En effet, les deux fonctionnalités s’activent et fonctionnent de la même manière, la seule différence réside dans le fait que le Remote Credential Guard ne limite pas l’accès aux autres ressources du réseau en redirigeant de nouveau toutes les demandes d’identifications vers la machine cliente du réseau.

Si vous voulez en savoir plus sur le mode « Restricted Admin », je vous invite à consulter cet article.

Enfin, un article détaillé sur le « Remote Credential Guard » a été rédigé et publié par CyberArk, je vous invite à consulter pour en savoir plus sur cette nouvelle fonctionnalité :
https://www.cyberark.com/blog/no-pass-hash-exploring-limitations-remote-credential-guard/

Prérequis

La fonctionnalité « Remote Credential Guard » est prise en charge par les OS suivants uniquement :

  • OS Server : Windows Server 2016
  • OS Client : Windows 10 (Entreprise)

Vous pouvez donc l’implémenter uniquement pour sécuriser des Connexions Bureau à distance établies depuis et vers les OS cités ci-dessus.

HowTo : Activer ou Désactiver le mode « Remote Credential Guard »

Le mode « Remote Credential Guard » est désactivé par défaut.

Il s’active de la même manière que le mode « Restricted Admin », il suffit donc de créer /ajouter la clé de Registre suivante sur vos machines cibles :

Chemin: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa

Valeur DWORD (32-bits) : DisableRestrictedAdmin

Données de la valeur : 0

Note importante : Cette clé de Registre peut également être crée en exécutant la commande suivante (depuis CMD.exe lancée en tant qu’Admin) :

Reg.exe Add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /V DisableRestrictedAdmin /D 0 /T REG_DWORD

Utiliser le mode « Remote Credential Guard »

Une fois activé, le mode « Remote Credential Guard » doit être forcé sur l’ensemble des machines du réseau (cibles) sur lesquelles vous vous connectez via Bureau à distance.

Cette configuration peut être effectuée d’une manière centralisée sur un ensemble de serveurs /postes de travail via GPO, et ce via l’utilisation du paramètre de Stratégie de groupe suivant :

Chemin : Configuration Ordinateur | Stratégies | Modèles d’administration | Système | Délégation d’informations d’identification

Paramètre : Limiter la délégation d’informations d’identification à des serveurs distants

Valeur du paramètre : Activé

Mode restreint : Requérir Credential Guard à distance

Le mode « Remote Credential Guard » ou « Credential Guard à distance » est représenté par un paramètre de l’outil MSTSC.exe et plus précisément le paramètre /remoteGuard, lancez MSTSC /? depuis l’invite de commande (CMD.exe) ou le Menu Démarrer et constatez la disponibilité du mode « /remoteGuard » :

Dans l’exemple suivant, nous allons établir une Connexion Bureau à distance en mode « remoteGuard » sur le serveur distant « LABRDS01 » :


Ceci est un extrait de l’eBook « RDS 2016 – Securisation et Hardening [2ème Edition] »

I Just received my USB Killer, V2.0

usbkiller

Une clé USB Killer ? -_______0

But, What Is IT ??

La clé USB Killer a été créée par un russe surnommé Dark Purple

La première version de cette clé USB permettait la destruction d’une partie des composants d’un PC (de Bureau) ou Laptop.

La V2.0 permet en revanche (:D) de griller la carte mère d’un ordinateur en seulement quelques secondes.

Le fonctionnement de cette clé USB Killer 2.0 est relativement simple. Elle est munie de plusieurs condensateurs qui vont jouer leur rôle d’accumulateurs, et d’un convertisseur de courant continu. Quand elle est branchée, la clé reçoit une tension de 5V. Quand les condensateurs sont pleins, la clé envoie pendant une fraction de seconde une tension de 220V qui vont griller la machine sur laquelle elle est connectée. Encore plus puissante et plus dévastatrice que la première version, cette clé USB est capable de cramer à coup sûr n’importe quel appareil comportant un port USB, de la télévision à l’ordinateur en passant par une console de jeu ou encore un smartphone (via l’utilisation d’un support USB /MiniUSB).

Ci-après une vidéo de l’inventeur montrant la puissance de cette clé USB destructrice :

Comment puis-je protéger mes appareils et équipements informatiques contre ce type d’attaque ?

Aujourd’hui, il est devient primordial de se protéger contre ce type d’attaque.

Il existe plusieurs solutions « Soft » mais aussi « Hardware » qui vous permettent de vous protéger contre la destruction de matériel via USB Killer.

Il existe aussi une technique qui consiste simplement à modifier une clé de Registre pour désactiver tous les ports USB d’un PC.

Comment ça marche ?

Lancez Regedit.exe (depuis le Menu « Exécuter » ou « Démarrer »), et naviguez jusqu’au HKLM\System\CurrentControlSet\Services\USBSTOR

Localisez et double-cliquez sur la clé « Start »

1

Remplacez la valeur 3 par 4 et cliquez sur « OK » pour valider ce changement

2

Redémarrez votre machine, et voilà le tour est joué :).

applocker2016

Cet eBook vous aide à concevoir, planifier et mettre en place une politique de Restriction Logicielles avec AppLocker sous Windows Server 2016.

Il repose sur la mise en place d’un projet AppLocker « Real-World » pour sécuriser deux infrastructures systèmes : Windows Server 2016 et Windows 10 (E Entreprise).

L’auteur partage, à travers cet eBook toute son expertise et retours d’expérience sur AppLocker. Il détaille toutes les approches, techniques et concepts liés aux restrictions logicielles et techniques de sécurité tels que le « Whitelisting & Blacklisting ».

Il décrit également toutes les instructions et procédures techniques vous permettant de créer et gérer les règles AppLocker :

Via le mode GUI (MMC > GPMC.MSC /GPEDIT.MSC)

Via mode CLI (Windows PowerShell > Module AppLocker)

Enfin, plusieurs scripts d’automatisation sont fournis avec cet eBook

Le format :: Broché :: est disponible sur Amazon.fr et Amazon.com, cliquez sur l’image ci-après pour en savoir plus :

Amazon_logo

Le format :: eBook [PDF] :: est disponible sur BecomeITExpert.com, cliquez sur les images ci-après pour en savoir plus :

Logo_BecomeITExpert