Précautions d’installation des OS
Déploiement des postes de travail Windows 10![]()
Les procédures de déploiement des postes de travail doivent être soumises à un processus de validation afin de réduire les risques dus à des erreurs d’utilisation ou de malveillance. L’environnement dans lequel le master Windows 10 est stocké ainsi que les éléments permettant sa configuration doit être sécurisée : serveur cloisonné, accès restreints et tracés.
Afin d’assurer l’intégrité des composants installés, réaliser une empreinte cryptographique du master Windows 10 et des éléments permettant sa configuration. La vérification de ces empreintes doit être intégrée au processus d’installation et de déploiement de toute nouvelle machine sous Windows 10.
Cloisonnement lors de l’installation
Dans la mesure du possible et si le contexte technique le permet, le poste de travail doit être positionné temporairement dans une zone de confiance non exposée aux réseaux de production lors de son installation. Penser également à cloisonner les interfaces de management.
Remarque : Non applicable lorsque la politique de sécurité du poste de travail est issue d’un contrôleur de domaine en production.
Audit de sécurité avant mise en production![]()
Le système installé doit faire l’objet d’une vérification du niveau de sécurité avant sa mise en production afin de s’assurer que l’ensemble des mesures ont été appliquées.
Dans le cas où la politique de sécurité est issue d’un contrôleur de domaine, la vérification peut être effectuée une fois le système installé avant toute utilisation par un utilisateur.
Configuration mots de passe (interface de management)![]()
L’interface de management, lorsqu’elle existe, doit être cloisonnée et protégée par un login et un mot de passe différent du mot de passe par défaut. La gestion du mot de passe et sa complexité doivent être conformes aux politiques internes liées la sécurisation des mots de passe.
Configuration du boot![]()
Utilisation de l’UEFI avec le mode Secure Boot
Dans la mesure du possible, le démarrage du poste de travail doit être effectué à l’aide de l’UEFI en mode Secure Boot. Lorsque supportée par le matériel, activer l’option UEFI ELAM (Early Launch Antimalware) qui va permettre la vérification de l’intégrité des drivers avant leur lancement. Cette recommandation vise à limiter les possibilités d’une attaque de type rootkit par exemple, provoquant la compromission du processus de boot.
Notes informatives sur la mise en place Computer Configuration\Policies\Administrative Templates\System\Early Launch Antimalware\Boot-Start Driver Initialization Policy : Enable (liste blanche à configurer) |
Configuration des mots de passe (UEFI)![]()
L’accès à l’UEFI sur les postes de travail doit être sécurisé à l’aide d’un mot de passe d’administration complexe détenu exclusivement par les personnels en charge de l’administration et de l’exploitation du poste. La gestion du mot de passe, son unicité et sa complexité doivent être conformes aux politiques internes liées à la sécurisation des mots de passe.
Ordre d’amorçage des périphériques![]()
L’ordre de démarrage des périphériques doit mettre en priorité la plus haute le périphérique sur lequel est installé le système final. Figer le périphérique d’amorçage en tant que périphérique unique de démarrage de façon à ne pas faire intervenir les autres périphériques dans la chaîne de démarrage.
Remarque : Si le boot PXE est nécessaire lors du processus de déploiement des machines, pensé à supprimer le boot PXE dans la chaine de démarrage une fois l’installation terminée. |
Désactivation des périphériques non utilisés
Dans le respect du principe de minimisation des éléments, désactiver les périphériques et connecteurs non utilisés (contrôleurs wifi, bluetooth, ports séries, …) de façon à ne pas les exposer au système d’exploitation.