Par où commencer pour sécuriser un parc Windows non-hardené ?

Ordre pragmatique de priorisation. Mois 1-2 : activer Microsoft Defender for Endpoint (MDE) sur tous les postes (si licence M365 E5 ou Defender for Business), déployer LAPS pour comptes admin locaux, activer BitLocker sur tous laptops via GPO. Mois 2-4 : déployer Microsoft Security Baselines via Security Compliance Toolkit, activer ASR rules en mode Audit puis Block progressif, configurer Windows Firewall via GPO. Mois 4-8 : AppLocker ou WDAC en mode Audit puis Enforce sur workstations sensibles, Patch management automatisé via Intune ou WSUS, Sysmon sur serveurs critiques. Mois 8-12 : audit trimestriel CIS Benchmark, migration Tier Model strict, Zero Trust policies via Entra ID. Éviter de tout faire simultanément : phasage pour minimiser impact business et permettre ajustements.

AppLocker ou WDAC : lequel choisir en 2026 ?

WDAC (Windows Defender Application Control) recommandé en 2026. Pourquoi : AppLocker est legacy (Windows 7 Enterprise+), supporté mais Microsoft pousse activement WDAC comme successeur. WDAC offre : protection kernel level (pas contournable user-mode), compatibilité avec Microsoft Intelligent Security Graph (ISG), politiques multiples combinées, support Smart App Control Windows 11. Limites WDAC : plus complexe à déployer, outils tiers (WDAC Wizard, Windows Sandbox) nécessaires, déploiement via Intune ou GPO. AppLocker reste acceptable pour : environnements Windows 10 legacy, parcs avec équipe non spécialisée, besoins simples (whitelist exécutables + scripts). Migration AppLocker → WDAC en cours dans organisations matures 2025-2028.

LAPS est-il encore pertinent en 2026 ?

Oui, absolument. LAPS (Local Administrator Password Solution) est indispensable pour éviter la réutilisation du même password admin local sur tous les postes (vecteur Pass-the-Hash massif). Microsoft a publié **Windows LAPS** (Built-in) en avril 2023, intégré à Windows 10/11 et Windows Server 2019+. Remplace le Legacy LAPS 2015 (GitHub msftlaps). Windows LAPS moderne supporte : stockage dans AD (classique) ou Microsoft Entra ID (moderne hybride), rotation automatique configurée par policy, post-authentication actions. Déploiement 2026 sur tout parc Windows : Windows LAPS built-in configuré via GPO + Entra ID pour modern workplaces. Sans LAPS, compromission d'un seul poste = compromission potentielle de tous (réutilisation password local admin).

ASR rules : par où commencer ?

16 règles ASR (Attack Surface Reduction) en 2026, toutes à activer idéalement mais phasage recommandé. Priorité 1 (haute confiance, faux positifs rares) : Block Office from creating child processes, Block executable content from email client and webmail, Block JavaScript or VBScript from launching downloaded executable content, Block untrusted unsigned processes from USB, Block Adobe Reader child process creation, Block Office from creating executable content. Priorité 2 (moyen risque) : Block credential stealing from LSASS (ASR T1003 direct), Block persistence through WMI, Block Win32 API calls from Office macros. Priorité 3 (exigent tuning) : Block executable files unless trusted reputation, Block process creations originating from PSExec/WMI commands. Méthodologie : mode Audit 2-4 semaines par règle, analyse logs, whitelist exceptions, passage mode Block. Monitoring Event ID 1121-1125 dans Microsoft-Windows-Windows Defender/Operational.

BitLocker est-il suffisant ou faut-il plus ?

BitLocker est la défense de base pour chiffrement disque laptops en entreprise 2026 : obligatoire pour compliance (RGPD, NIS2 recommendations), empêche extraction offline de disques volés. BitLocker utilise AES-XTS-128 ou AES-XTS-256 avec TPM 2.0 (intégré CPU depuis 2016+). Bonnes pratiques : TPM + PIN (préféré TPM-only qui peut être bypass via cold boot attack), recovery keys escrow dans AD ou Azure Entra ID (jamais en clair local), mesure du Boot Configuration via TPM PCRs. Compléments BitLocker pour stations sensibles : Windows Hello for Business (biométrie + TPM key wrap), Windows Defender Credential Guard (anti Pass-the-Hash), ADS (Advanced Data Protection pour fichiers chiffrés end-to-end via EFS ou DLP). Pour portable admin : BitLocker obligatoire + Credential Guard + Protected Users group + no saved credentials.

Zero Trust Windows : réaliste pour PME 2026 ?

Partiellement. Zero Trust complet (never trust, always verify, least privilege) exige M365 E5 (environ 57 $/user/mois), infra Entra ID mature, équipe dédiée pour configuration Conditional Access, identity protection, Intune device compliance. Pour grande entreprise : pleinement réaliste, pattern déployé largement. Pour PME (moins de 200 collaborateurs) : approche progressive recommandée. Priorités accessibles : MFA obligatoire sur tous comptes (Entra ID ou ADFS), Conditional Access policies basiques (blocage pays non autorisés), Intune device compliance (exiger Windows à jour + BitLocker activé pour accès M365), Microsoft Defender for Business (alternative MDE à coût réduit). Déploiement total Zero Trust PME : 12-24 mois avec accompagnement consultant. Trade-off : coût vs bénéfice = positif au-dessus de 50-100 collaborateurs typiquement.

Active Directory & Windows

Sécuriser un environnement Windows d'entreprise 2026

Sécurité Windows entreprise 2026 : CIS Benchmark, ASR rules, AppLocker/WDAC, Defender, BitLocker, Intune, hardening GPO, patch management, monitoring.

Naim Aouaichia

24 avril 202620 min de lecture

Windows Security
CIS Benchmark
AppLocker
WDAC
Defender for Endpoint
BitLocker
Intune
LAPS

Sécuriser un environnement Windows d'entreprise en 2026 nécessite une approche en couches multiples : hardening OS aligné CIS Benchmark Windows 11 et Windows Server 2022/2025, application control via AppLocker ou WDAC (Windows Defender Application Control, recommandé 2026), protection endpoint via Microsoft Defender for Endpoint (MDE) avec Attack Surface Reduction (ASR) rules activées, chiffrement disque BitLocker avec TPM 2.0 + PIN, Local Administrator Password Solution (Windows LAPS natif depuis avril 2023), Microsoft Security Baselines via Security Compliance Toolkit, patch management automatisé via Microsoft Intune ou WSUS, Group Policy Objects (GPO) pour configuration centralisée, Sysmon + Defender for Identity pour monitoring, et Zero Trust architecture avec Entra ID + Conditional Access pour environnements modernes. Les référentiels structurants sont le CIS Microsoft Windows Benchmark (v2.0+ pour Windows 11, v3.0+ pour Windows Server 2022), les Microsoft Security Baselines (publication continue), les DISA STIG pour contextes gouvernementaux, l'ANSSI Guide de l'administration sécurisée. Cet article détaille les 8 couches cumulatives de défense, les configurations critiques par couche, les outils de déploiement Microsoft (Intune, SCCM, GPO), la checklist de priorisation pour organisations démarrant, les incidents de référence (WannaCry 2017, NotPetya 2017, ransomware ecosystem 2022-2025), et les évolutions Windows 11 / Microsoft Entra ID en 2026.

Pourquoi une approche en 8 couches

Windows est historiquement la cible la plus attaquée en entreprise. Trois raisons structurelles justifient une défense en couches.

1. Surface d'attaque massive

Un parc Windows moyen combine :

500 à 5000+ postes de travail (Windows 10/11).
50 à 500 serveurs (Windows Server 2016-2025).
10-100 applications métier héritées.
2-10 domaines Active Directory.
Services exposés nombreux (RDP, SMB, RPC, LDAP).

Toute couche isolée laisse des trous. Seule la défense en profondeur couvre l'ensemble.

2. Techniques d'attaque mature et automatisées

Les attaquants (ransomware groups, APTs) disposent d'outillage mature spécifique Windows : Mimikatz, Cobalt Strike, Sliver C2, PsExec, BloodHound, automation PowerShell. Compromission d'un seul poste avec techniques 2026 peut pivoter rapidement dans tout le parc sans défenses appropriées.

3. Incidents majeurs documentés

Historique récent Windows :

WannaCry (mai 2017) : ransomware exploitant EternalBlue (SMB), 230 000+ machines compromises dans 150 pays, 4 milliards $ de dommages estimés.
NotPetya (juin 2017) : malware destructif dérivé EternalBlue, 10 milliards $ de dommages (Maersk, Merck, FedEx).
Ransomware ecosystem 2020-2025 : Conti, LockBit, BlackCat/ALPHV, BlackBasta, Akira, Play. Compromission massive d'entreprises via AD escalation (détaillé dans article privilege escalation AD).
Microsoft Storm-0558 (juillet 2023) : compromission clé Azure AD signing, 25 organisations dont US State Department.

Couche 1 — Hardening OS : CIS Benchmark

Baseline durcissement système d'exploitation.

CIS Microsoft Windows Benchmark

CIS (Center for Internet Security) publie des benchmarks complets pour Windows :

CIS Microsoft Windows 11 Benchmark v2.0+ (2024).
CIS Microsoft Windows Server 2022 Benchmark v3.0+ (2024).
CIS Microsoft Windows Server 2025 Benchmark v1.0 (2025).

Deux niveaux d'exigence :

Niveau	Description
Level 1 (L1)	Hardening standard pour environnement entreprise généraliste. 400+ contrôles.
Level 2 (L2)	Hardening rigoureux pour environnements très sensibles. 500+ contrôles (L1 + additions).

La majorité des organisations déploient L1. L2 pour banking, défense, données classifiées.

Microsoft Security Baselines

Microsoft publie ses propres Security Baselines (Security Compliance Toolkit) alignées avec CIS mais avec quelques différences. Format GPO importable directement.

Téléchargement : aka.ms/SecurityCompliance

Contenu typique :

Password policy (complexité, longueur, historique, expiration).
Account lockout policy.
User Rights Assignment (SeDebugPrivilege restreint, etc.).
Security Options (UAC, SmartScreen, Credential Guard settings).
Windows Firewall rules.
Windows Defender settings.
Audit policies avancées.

Exemples de configurations critiques

# Quelques contrôles CIS Level 1 majeurs (extraits)
 
Password policy :
- Minimum password length : 14 characters (CIS L1)
- Password complexity : Enabled
- Maximum password age : 365 days (tolerant pour éviter réutilisation)
- Password history : 24 passwords remembered
- Store passwords using reversible encryption : Disabled
 
Account lockout :
- Account lockout threshold : 5 invalid attempts
- Account lockout duration : 15 minutes
- Reset account lockout counter after : 15 minutes
 
Security Options :
- Accounts: Block Microsoft accounts : Users can't add or log on
- Microsoft Network Client: Digitally sign communications (always) : Enabled
- Microsoft Network Server: Digitally sign communications (always) : Enabled
- Network Security: LAN Manager authentication level : NTLMv2 only
- Network Security: Minimum session security : Require NTLMv2 + 128-bit
- UAC: Admin Approval Mode : Enabled
 
Audit policy advanced (pour SIEM) :
- Account Logon / Credential Validation : Success + Failure
- Account Management / User Account Management : Success + Failure
- Detailed Tracking / Process Creation : Success
- DS Access / Directory Service Access : Success + Failure (pour DCSync détection)
- Logon/Logoff : Success + Failure
- Policy Change : Success + Failure
- Privilege Use / Sensitive Privilege Use : Success + Failure
- System : Success + Failure

Outils d'audit et déploiement

CIS-CAT Pro : outil CIS officiel pour audit automatisé.
Microsoft Security Compliance Toolkit (SCT) : GPO baselines téléchargeables.
PowerSTIG : module PowerShell pour DISA STIG + CIS compliance.
Intune Security Baselines : déploiement automatisé pour devices managés.

Couche 2 — Application Control : AppLocker et WDAC

Contrôle strict des applications autorisées à s'exécuter.

AppLocker (legacy, maintenu)

Introduit Windows 7 Enterprise (2009). Stable, bien compris, documenté.

Caractéristiques :

Règles par path, publisher, hash, ou zone.
Catégories : Executable, Installer, Script, Packaged app.
Mode Audit (logs) ou Enforce (block).
Déploiement via GPO.

# Import règles AppLocker via GPO
# Computer Configuration → Policies → Windows Settings
# → Security Settings → Application Control Policies → AppLocker
 
# Créer règle par publisher (exemple Microsoft signed)
New-AppLockerPolicy -RuleType Publisher -User Everyone `
  -RuleNamePrefix "Allow Microsoft signed" `
  -FileInformation (Get-AppLockerFileInformation -Path "C:\Windows\System32\notepad.exe")

WDAC (Windows Defender Application Control, recommandé 2026)

Successeur d'AppLocker depuis Windows 10. Protection kernel level.

Avantages :

Kernel mode : politique appliquée avant loader PE, non contournable depuis user mode.
Politiques multiples : combinable (un WDAC pour Microsoft signed + un WDAC custom pour apps internes).
Microsoft Intelligent Security Graph (ISG) : whitelist réputation automatique.
Smart App Control (Windows 11 22H2+) : WDAC par défaut pour nouveaux installs Windows 11.

Déploiement :

# Créer une politique WDAC Base via New-CIPolicy
New-CIPolicy -FilePath "C:\policies\base.xml" `
  -Level Publisher `
  -ScanPath "C:\Program Files" `
  -UserPEs
 
# Convertir XML en binaire pour déploiement
ConvertFrom-CIPolicy -XmlFilePath "C:\policies\base.xml" `
  -BinaryFilePath "C:\Windows\System32\CodeIntegrity\SiPolicy.p7b"
 
# Deployment via Intune ou GPO
# Computer Configuration → Policies → Administrative Templates → System → Device Guard
# Deploy Windows Defender Application Control : Enabled

Outils facilitant WDAC :

WDAC Wizard (Microsoft, gratuit) : GUI pour création politiques.
Windows Sandbox : test politiques avant déploiement.

Comparaison AppLocker vs WDAC

Dimension	AppLocker	WDAC
Protection	User mode	Kernel mode
Contournable	Techniques connues	Très difficile
Complexité déploiement	Moyenne	Élevée
Support Microsoft	Maintained	Actively developed
ISG integration	Non	Oui
Recommandation 2026	Legacy acceptable	Préféré pour nouveaux déploiements

Couche 3 — Microsoft Defender for Endpoint (MDE)

EDR Microsoft intégré, standard enterprise 2026.

Licensing

MDE disponible via :

Microsoft 365 E5 (pack entreprise complet, ~57 $/user/mois).
Microsoft 365 E5 Security (add-on E3).
Microsoft Defender for Business (pour PME, inclus dans M365 Business Premium ~22 $/user/mois).
Defender for Endpoint Plan 2 (standalone licensing).

Capabilities MDE 2026

Capability	Description
Next-generation antivirus	Protection comportementale ML vs signature classique
Endpoint detection and response (EDR)	Détection, investigation, remediation
Attack Surface Reduction (ASR)	16 règles préventives (détaillées couche 4)
Microsoft Defender Antivirus	Intégré Windows 10/11, gratuit baseline
Tamper Protection	Empêche modification config Defender par malware ou admin non autorisé
Automated Investigation and Response (AIR)	Investigation + remediation automatique
Threat and Vulnerability Management (TVM)	Inventaire CVE, recommandations
Network protection	Blocage URLs malveillantes, blocage command-and-control
Device control	Restriction USB, medias amovibles

Déploiement

# Onboarding via script (fourni par portail Defender)
# Ou via GPO / Intune / SCCM / Azure Policy
 
# Vérifier statut
Get-MpComputerStatus
 
# Configuration hardening
Set-MpPreference -DisableRealtimeMonitoring $false
Set-MpPreference -DisableBehaviorMonitoring $false
Set-MpPreference -DisableScriptScanning $false
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples
Set-MpPreference -EnableControlledFolderAccess Enabled

Alternatives MDE

Pour environnements non-Microsoft ou exigences spécifiques :

CrowdStrike Falcon : leader marché EDR, cross-platform.
SentinelOne Singularity : challenger EDR avec ML natif.
Palo Alto Cortex XDR : plateforme XDR étendue.
Elastic Security : open source + commercial.
Wazuh : open source XDR.

En 2026, MDE domine chez M365 subscribers grâce à tight integration. CrowdStrike et SentinelOne forts sur marchés non-Microsoft-centric.

Couche 4 — Attack Surface Reduction (ASR) rules

Règles Microsoft ciblant les techniques d'attaque courantes.

Les 16 règles ASR (2026)

Règle ASR	Description	Priorité déploiement
Block Office from creating child processes	Bloque Word/Excel lançant cmd/powershell	Haute (P1)
Block executable content from email/webmail	Bloque .exe .js .vbs depuis Outlook/Gmail	Haute (P1)
Block JavaScript/VBScript from launching downloaded executable	Bloque droppers courants	Haute (P1)
Block untrusted unsigned processes from USB	Bloque malware via USB	Haute (P1)
Block Adobe Reader child process creation	Bloque PDF weaponized	Haute (P1)
Block Office from creating executable content	Bloque Office droppers	Haute (P1)
Block credential stealing from LSASS	Bloque Mimikatz style dumping	Moyenne (P2)
Block persistence through WMI event subscription	Bloque persistence technique	Moyenne (P2)
Block Win32 API calls from Office macros	Bloque macro exploits	Moyenne (P2)
Block Office communication apps child processes	Bloque Teams/Outlook nouveaux spawns	Moyenne (P2)
Block executable files unless trusted reputation	Bloque new executables (exige tuning)	P3
Block process creations from PSExec/WMI	Bloque lateral movement tools	P3
Use advanced protection against ransomware	Controlled Folder Access anti-ransomware	P1
Block rebooting machine in Safe Mode	Bloque bypass via Safe Mode	P2
Block abuse of exploited vulnerable signed drivers	Anti-BYOVD	P2
Block Webshell creation for Servers	Spécifique IIS servers	Si applicable

Déploiement ASR

Méthodologie recommandée : mode Audit 2-4 semaines par règle, analyse logs, whitelist exceptions, passage mode Block.

# Activer ASR rules en mode Audit (observation, pas de block)
Set-MpPreference -AttackSurfaceReductionRules_Ids `
  "D4F940AB-401B-4EFC-AADC-AD5F3C50688A", `
  "9E6C4E1F-7D60-472F-BA1A-A39EF669E4B2", `
  "3B576869-A4EC-4529-8536-B80A7769E899" `
  -AttackSurfaceReductionRules_Actions AuditMode, AuditMode, AuditMode
 
# Après 2-4 semaines d'observation, passer en Block
Set-MpPreference -AttackSurfaceReductionRules_Ids `
  "D4F940AB-401B-4EFC-AADC-AD5F3C50688A" `
  -AttackSurfaceReductionRules_Actions Enabled
 
# Vérifier configuration actuelle
Get-MpPreference | Select AttackSurfaceReductionRules_Ids, AttackSurfaceReductionRules_Actions

Monitoring ASR

Events dans Microsoft-Windows-Windows Defender/Operational :

Event ID	Description
1121	Block (Enforcement mode)
1122	Audit (Audit mode)
1123-1125	Règle ASR specific events

Forwarder vers SIEM pour alerting.

Couche 5 — BitLocker, Credential Guard, Hello

Protection credentials et chiffrement données.

BitLocker

Chiffrement disque intégré Windows, AES-XTS-128 (default) ou AES-XTS-256.

Configuration recommandée 2026 :

TPM 2.0 + PIN : préféré à TPM-only (cold boot attack resistance).
AES-XTS-256 : sécurité maximale (performance équivalente à 128 sur hardware moderne).
Recovery key escrow : sauvegardé dans AD ou Entra ID (jamais en clair local).

# Activation BitLocker avec TPM + PIN
Enable-BitLocker -MountPoint "C:" `
  -EncryptionMethod Xts256 `
  -TpmAndPinProtector
 
# Backup recovery key vers AD
$BLV = Get-BitLockerVolume -MountPoint "C:"
Backup-BitLockerKeyProtector -MountPoint "C:" -KeyProtectorId $BLV.KeyProtector[0].KeyProtectorId

Déploiement massif via GPO : Computer Configuration → Policies → Administrative Templates → Windows Components → BitLocker Drive Encryption.

Windows Hello for Business

Authentification biométrique (face, fingerprint) + TPM key wrap. Remplace passwords en pratique.

Deploy mode : Hybrid Certificate Trust, Hybrid Key Trust, Cloud Kerberos Trust.
MFA : biométrie + PIN TPM-protected.
Phishing resistant : pas de password intervertible.

Windows Defender Credential Guard

Isolation des credentials dans VBS (Virtualization Based Security). Bloque Mimikatz moderne.

# Vérifier Credential Guard actif
Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | 
  Select SecurityServicesRunning, SecurityServicesConfigured
# SecurityServicesRunning doit contenir 1 (Credential Guard)

Déploiement via GPO : Computer Configuration → Policies → Administrative Templates → System → Device Guard → Turn On Virtualization Based Security : Enabled with UEFI lock.

LSA Protection (RunAsPPL)

# Activer LSA Protection
New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" `
  -Name "RunAsPPL" -Value 1 -PropertyType DWORD -Force
# Reboot requis

Couche 6 — Patch management

Sans patches à jour, toutes les autres couches sont compromises par exploits connus.

Outils de déploiement 2026

Outil	Usage	Scope
Microsoft Intune	Cloud-managed, devices modernes	Windows 10/11, macOS, iOS, Android
WSUS (Windows Server Update Services)	On-prem classique	Windows Server et clients joints domaine
SCCM (Microsoft Endpoint Configuration Manager)	Enterprise on-prem hybride	Windows, macOS, Linux
Windows Autopatch	Cloud-managed par Microsoft	M365 E3/E5 subscribers
Tanium	Commercial enterprise	Multi-OS, speed
Ivanti / BigFix	Commercial enterprise	Multi-OS, compliance

Bonnes pratiques 2026

Patch Tuesday (2e mardi du mois) : tests en staging, déploiement prod entre J+3 et J+7.
Out-of-band patches : Microsoft peut publier patches urgents hors Patch Tuesday (CVE critiques exploitées), déployer sous 24-48h.
Patch prioritization : prioriser par CVSS + exploitation active (CISA KEV catalog).
Rollback plan : toujours documenter pour retour en arrière rapide si patch cassant.

CISA KEV Catalog

Since 2021, CISA (USA) maintient Known Exploited Vulnerabilities Catalog : CVEs activement exploitées dans la nature. Priorité absolue de patching.

URL : cisa.gov/known-exploited-vulnerabilities-catalog

Monitoring automatisé : intégrer le flux CISA KEV dans votre pipeline vulnerability management.

Couche 7 — Group Policy Objects (GPO) sécurité

Configuration centralisée via AD.

GPO critiques sécurité

Structure type déploiement par couche hiérarchique OU :

Domain Root GPO
├── Baseline Security (applied domain-wide)
│   ├── Password Policy
│   ├── Account Lockout
│   ├── Windows Firewall
│   └── Windows Defender config
├── Computer Type GPO (OU = Workstations ou Servers)
│   ├── Workstations : Credential Guard, AppLocker, ASR
│   └── Servers : Harden SSH/RDP, audit policy verbose
└── Tier-Specific GPO
    ├── Tier 0 (PAWs) : restrictive max
    ├── Tier 1 (Servers) : serveur-spécifique
    └── Tier 2 (Workstations) : user-facing

Contrôles sécurité clés via GPO

# Examples de GPO sécurité à déployer
 
User Rights Assignment :
- Act as part of the operating system : No One
- Debug programs : Administrators only
- Load and unload device drivers : Administrators only
- SeDebugPrivilege : restreint aux groupes nécessaires
 
Network Security :
- Restrict NTLM : Audit puis Deny progressive
- Minimum session security : Require NTLMv2 + 128-bit
- LAN Manager authentication level : NTLMv2 only
 
Administrative Templates :
- Windows Components → Microsoft Defender Antivirus → Real-Time Protection : Enabled
- Windows Components → BitLocker → Enforce drive encryption
- System → Credentials Delegation → Restrict delegation to specific servers

Couche 8 — Monitoring

Détection active via Sysmon, Defender for Identity, SIEM.

Sysmon (Sysinternals)

Agent Windows gratuit de Microsoft qui log des événements détaillés système (process creation, network, file, registry, etc.).

Configuration recommandée 2026 : SwiftOnSecurity Sysmon config (référence community, github.com/SwiftOnSecurity/sysmon-config) ou Olaf Hartong Sysmon Modular (github.com/olafhartong/sysmon-modular).

# Installation
# Télécharger Sysmon.exe depuis sysinternals.com
 
# Config deployment
.\Sysmon64.exe -accepteula -i sysmonconfig-export.xml
 
# Vérifier actif
Get-Service Sysmon64

Events Sysmon critiques :

Event ID	Description
1	Process creation (command line complet)
3	Network connection
7	Image loaded (DLL loading)
10	Process access (Mimikatz LSASS access)
11	File creation
13	Registry value set
22	DNS query

Microsoft Defender for Identity

Agent déployé sur DCs qui détecte les techniques AD courantes :

Kerberoasting, AS-REP Roasting.
DCSync, DCShadow.
Lateral movement.
Reconnaissance (LDAP enumeration).
Pass-the-Hash, Pass-the-Ticket.

Inclus M365 E5 ou standalone licensing.

SIEM intégration

Événements à ingérer obligatoirement :

Security event log (4624, 4625, 4688, 4768, 4769, 4776, 4662, 4728, 5136).
Sysmon (1, 3, 7, 10, 11, 13, 22).
Windows Defender events (1121-1125 ASR, 1116-1117 malware detection).
Windows Firewall logs.
PowerShell Script Block Logging (Event 4104).

SIEMs populaires : Microsoft Sentinel (natif Windows), Splunk Enterprise Security, Elastic Security, Wazuh.

Zero Trust Windows 11 + Microsoft Entra ID

Architecture moderne 2026 pour nouveaux déploiements.

Principes Zero Trust

Never trust, always verify : chaque requête re-authentifiée.
Least privilege : permissions minimales.
Assume breach : architecture résiliente.

Composants Windows + Entra ID

Composant	Rôle
Entra ID (ex Azure AD)	Identity provider cloud
Conditional Access	Politique d'accès contextuelles
Intune device compliance	Devices must be managed/compliant
Windows Hello for Business	Auth phishing-resistant
Microsoft Defender XDR	Corrélation endpoint + identité + email + cloud
Azure AD PIM (Privileged Identity Management)	Just-in-Time access admin
Microsoft Purview	DLP + information protection

Exemple Conditional Access policy

# Exemple policy : block legacy auth partout
Name : Block Legacy Authentication
Users : All users
Cloud apps : All cloud apps
Conditions : Client apps → Legacy authentication clients
Access controls : Block access
 
# Exemple policy : require MFA + compliant device pour admin
Name : Require MFA + Compliant Device for Admins
Users : Directory role = Global Administrator, Privileged Role Administrator
Cloud apps : All cloud apps
Access controls : Grant access
  - Require multi-factor authentication
  - Require device to be marked as compliant
  - Require approved client app

Migration vers Zero Trust

Roadmap typique 18-36 mois :

Phase 1 (mois 1-6) : MFA obligatoire via Entra ID + Conditional Access basique.
Phase 2 (mois 6-12) : Intune device compliance + Entra ID PIM pour admins.
Phase 3 (mois 12-24) : Windows Hello for Business déploiement complet.
Phase 4 (mois 24-36) : Defender XDR corrélation complète + Zero Trust network access via tunneling.

Checklist déploiement Windows Enterprise Security

Ordre de priorité pragmatique pour démarrer.

Mois 1-2 : Quick wins

Déployer Microsoft Defender for Endpoint sur tous devices.
Activer Windows Defender Credential Guard via GPO.
Activer LSA Protection (RunAsPPL).
Déployer Windows LAPS pour admins locaux.
BitLocker activé sur tous laptops (TPM + PIN).

Mois 2-4 : Hardening systématique

Déployer Microsoft Security Baselines via SCT.
Activer ASR rules Priority 1 en mode Audit.
Configurer Windows Firewall via GPO.
Désactiver SMBv1 partout.
Audit policy avancée configuré.

Mois 4-8 : Contrôles applicatifs et patch

AppLocker ou WDAC en mode Audit sur workstations sensibles.
Patch management automatisé (Intune, WSUS, ou SCCM).
Sysmon déployé sur serveurs critiques.
ASR Priority 2 en Audit puis Block progressif.
Defender for Identity sur DCs.

Mois 8-12 : Maturité avancée

Tier Model Microsoft appliqué (Tier 0/1/2).
Protected Users group pour admins.
PAW (Privileged Access Workstations) pour Tier 0.
ADCS audit + hardening (Locksmith).
CIS Benchmark audit trimestriel.

Mois 12+ : Zero Trust

Entra ID + Conditional Access.
Intune device compliance.
Windows Hello for Business.
Entra ID PIM pour admins.
Defender XDR corrélation complète.

Erreurs fréquentes à éviter

Cinq écueils observés sur déploiements Windows enterprise security 2024-2026.

1. Vouloir tout déployer simultanément

Tenter AppLocker + ASR + BitLocker + GPO baselines en même temps = chaos opérationnel, impact business, rejet équipes. Solution : phasage par priorité, tests avant chaque activation.

2. Password local admin partagé

Sans LAPS, même password admin local partout = compromission d'un poste = compromission de tous via Pass-the-Hash. Déploiement LAPS critique, gain immédiat.

3. Sans backup testé AD

AD critique, ses backups encore plus. Sans restoration testée régulièrement, backup théorique, pas réel.

4. Négliger Sysmon

Sans Sysmon, détection attaques limitée à logs Windows basiques. Sysmon + SIEM = visibilité 10x supérieure.

5. Oublier Tier Model

Déployer MDE + ASR + BitLocker sans Tier Model = admins encore loggés sur PCs users = credentials admin exposés via Mimikatz malgré toutes les défenses. Tier Model = défense critique non-optionnelle.

Points clés à retenir

Sécuriser Windows en entreprise 2026 nécessite 8 couches cumulatives : hardening OS (CIS Benchmark + Microsoft Security Baselines), application control (WDAC préféré 2026), Microsoft Defender for Endpoint (EDR), ASR rules, BitLocker + Credential Guard + Hello, patch management, GPO sécurité, monitoring Sysmon + Defender for Identity.
CIS Microsoft Windows Benchmark Level 1 couvre 90 % des besoins enterprise. Level 2 pour banking, défense, données classifiées. Microsoft Security Baselines téléchargeable via Security Compliance Toolkit.
Windows LAPS (built-in depuis avril 2023) est indispensable pour éviter Pass-the-Hash entre postes. Sans LAPS, compromission d'un seul poste peut compromettre tous via password admin local partagé.
Attack Surface Reduction (ASR) : 16 règles Microsoft à déployer progressivement. Priority 1 : Block Office child processes, email exe content, scripts launching executables. Mode Audit d'abord, Block après tuning.
Zero Trust via Microsoft 365 E5 + Entra ID + Conditional Access + Intune + Windows Hello est réaliste pour grandes entreprises 2026, phasée 18-36 mois. Pour PME, approche progressive avec MFA obligatoire + Conditional Access basique + Intune compliance = rapport coût/bénéfice positif.

Pour aller plus loin

Privilege escalation Active Directory - techniques offensives à défendre.
Pourquoi AD est une cible majeure - contexte stratégique de l'attractivité Windows.
Kerberos expliqué - protocole central à sécuriser.
Sécurité Active Directory : guide de hardening - focus spécifique AD avec Tier Model et Protected Users.

Questions fréquentes

Par où commencer pour sécuriser un parc Windows non-hardené ?
Ordre pragmatique de priorisation. Mois 1-2 : activer Microsoft Defender for Endpoint (MDE) sur tous les postes (si licence M365 E5 ou Defender for Business), déployer LAPS pour comptes admin locaux, activer BitLocker sur tous laptops via GPO. Mois 2-4 : déployer Microsoft Security Baselines via Security Compliance Toolkit, activer ASR rules en mode Audit puis Block progressif, configurer Windows Firewall via GPO. Mois 4-8 : AppLocker ou WDAC en mode Audit puis Enforce sur workstations sensibles, Patch management automatisé via Intune ou WSUS, Sysmon sur serveurs critiques. Mois 8-12 : audit trimestriel CIS Benchmark, migration Tier Model strict, Zero Trust policies via Entra ID. Éviter de tout faire simultanément : phasage pour minimiser impact business et permettre ajustements.
AppLocker ou WDAC : lequel choisir en 2026 ?
WDAC (Windows Defender Application Control) recommandé en 2026. Pourquoi : AppLocker est legacy (Windows 7 Enterprise+), supporté mais Microsoft pousse activement WDAC comme successeur. WDAC offre : protection kernel level (pas contournable user-mode), compatibilité avec Microsoft Intelligent Security Graph (ISG), politiques multiples combinées, support Smart App Control Windows 11. Limites WDAC : plus complexe à déployer, outils tiers (WDAC Wizard, Windows Sandbox) nécessaires, déploiement via Intune ou GPO. AppLocker reste acceptable pour : environnements Windows 10 legacy, parcs avec équipe non spécialisée, besoins simples (whitelist exécutables + scripts). Migration AppLocker → WDAC en cours dans organisations matures 2025-2028.
LAPS est-il encore pertinent en 2026 ?
Oui, absolument. LAPS (Local Administrator Password Solution) est indispensable pour éviter la réutilisation du même password admin local sur tous les postes (vecteur Pass-the-Hash massif). Microsoft a publié **Windows LAPS** (Built-in) en avril 2023, intégré à Windows 10/11 et Windows Server 2019+. Remplace le Legacy LAPS 2015 (GitHub msftlaps). Windows LAPS moderne supporte : stockage dans AD (classique) ou Microsoft Entra ID (moderne hybride), rotation automatique configurée par policy, post-authentication actions. Déploiement 2026 sur tout parc Windows : Windows LAPS built-in configuré via GPO + Entra ID pour modern workplaces. Sans LAPS, compromission d'un seul poste = compromission potentielle de tous (réutilisation password local admin).
ASR rules : par où commencer ?
16 règles ASR (Attack Surface Reduction) en 2026, toutes à activer idéalement mais phasage recommandé. Priorité 1 (haute confiance, faux positifs rares) : Block Office from creating child processes, Block executable content from email client and webmail, Block JavaScript or VBScript from launching downloaded executable content, Block untrusted unsigned processes from USB, Block Adobe Reader child process creation, Block Office from creating executable content. Priorité 2 (moyen risque) : Block credential stealing from LSASS (ASR T1003 direct), Block persistence through WMI, Block Win32 API calls from Office macros. Priorité 3 (exigent tuning) : Block executable files unless trusted reputation, Block process creations originating from PSExec/WMI commands. Méthodologie : mode Audit 2-4 semaines par règle, analyse logs, whitelist exceptions, passage mode Block. Monitoring Event ID 1121-1125 dans Microsoft-Windows-Windows Defender/Operational.
BitLocker est-il suffisant ou faut-il plus ?
BitLocker est la défense de base pour chiffrement disque laptops en entreprise 2026 : obligatoire pour compliance (RGPD, NIS2 recommendations), empêche extraction offline de disques volés. BitLocker utilise AES-XTS-128 ou AES-XTS-256 avec TPM 2.0 (intégré CPU depuis 2016+). Bonnes pratiques : TPM + PIN (préféré TPM-only qui peut être bypass via cold boot attack), recovery keys escrow dans AD ou Azure Entra ID (jamais en clair local), mesure du Boot Configuration via TPM PCRs. Compléments BitLocker pour stations sensibles : Windows Hello for Business (biométrie + TPM key wrap), Windows Defender Credential Guard (anti Pass-the-Hash), ADS (Advanced Data Protection pour fichiers chiffrés end-to-end via EFS ou DLP). Pour portable admin : BitLocker obligatoire + Credential Guard + Protected Users group + no saved credentials.
Zero Trust Windows : réaliste pour PME 2026 ?
Partiellement. Zero Trust complet (never trust, always verify, least privilege) exige M365 E5 (environ 57 $/user/mois), infra Entra ID mature, équipe dédiée pour configuration Conditional Access, identity protection, Intune device compliance. Pour grande entreprise : pleinement réaliste, pattern déployé largement. Pour PME (moins de 200 collaborateurs) : approche progressive recommandée. Priorités accessibles : MFA obligatoire sur tous comptes (Entra ID ou ADFS), Conditional Access policies basiques (blocage pays non autorisés), Intune device compliance (exiger Windows à jour + BitLocker activé pour accès M365), Microsoft Defender for Business (alternative MDE à coût réduit). Déploiement total Zero Trust PME : 12-24 mois avec accompagnement consultant. Trade-off : coût vs bénéfice = positif au-dessus de 50-100 collaborateurs typiquement.

Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

Questions fréquentes

Naim Aouaichia

À lire également

Privilege escalation Active Directory : guide 2026

Pourquoi Active Directory est une cible majeure en 2025

Kerberos expliqué - Protocole, flows, attaques, hardening

Concepts clés d'Active Directory pour débutants