Le blocage récent de l’exécution de scripts PowerShell malveillants par Defender a attiré l’attention des équipes de cybersécurité.
Ce cas montre comment une politique d’exécution bien configurée renforce la sécurité et la protection des endpoints, et il conduit directement à la synthèse suivante A retenir :
A retenir :
- Blocage automatique des scripts non signés par Defender
- Politique RemoteSigned recommandée pour postes et serveurs gérés
- Utilisation des portées GPO pour contrôle centralisé des politiques
- Intégration AppLocker et Defender pour meilleure prévention des attaques
Comprendre le blocage de l’exécution : politiques d’exécution PowerShell
Suite au rappel des points clés, il faut détailler les politiques d’exécution pour expliquer le blocage observé et ses causes techniques.
Selon Microsoft, ces politiques définissent si et comment les scripts sont chargés, ce qui impacte directement la prévention des attaques malveillantes.
Actions opérationnelles PowerShell :
- Vérifier la politique actuelle avec Get-ExecutionPolicy
- Appliquer RemoteSigned sur postes et serveurs gérés
- Bloquer Bypass sur machines exposées
- Documenter les exceptions et les portées
Politique
Autorisation d’exécution
Risque résiduel
Usage recommandé
Restricted
Aucun script autorisé
Faible
Environnements très sensibles
AllSigned
Scripts signés requis
Moyen
Serveurs de production
RemoteSigned
Scripts distants signés exigés
Modéré
Postes gérés en domaine
Unrestricted
Exécution avec avertissement
Élevé
Environnements de test
Bypass
Aucune restriction
Très élevé
Automatisation contrôlée uniquement
Pourquoi RemoteSigned réduit les incidents d’exécution
Ce point explique le rôle de RemoteSigned pour limiter les scripts extérieurs non vérifiés et protéger les points de terminaison.
Selon IT-Connect, l’obligation de signature pour les fichiers téléchargés diminue les risques liés aux scripts distribués par réseau ou par web.
Cas pratique : blocage d’un script non signé
Ce cas décrit comment une machine en RemoteSigned a rejeté un script marqué MotW après un téléchargement depuis Internet.
Selon Microsoft, le marquage MotW et la politique RemoteSigned ont empêché l’exécution automatique du script malveillant.
« J’ai vu Defender bloquer un script téléchargé, et cela a évité une compromission chez notre client. »
Laura B.
Appliquer les politiques au niveau entreprise : GPO et priorités des portées
Par suite de l’analyse des politiques, la gestion centralisée via GPO devient essentielle pour garantir une prévention cohérente face aux menaces.
Selon des guides pratiques, le paramétrage via GPO permet d’imposer des règles MachinePolicy et UserPolicy sur un parc entier.
Contrôles GPO recommandés :
- Déployer RemoteSigned en MachinePolicy pour postes d’entreprise
- Restreindre Bypass et Unrestricted via UserPolicy
- Documenter exceptions et justifications dans le registre
- Appliquer gpupdate /force après modification
Priorité des portées et impact opérationnel
Ce point situe comment Process, UserPolicy et MachinePolicy se chevauchent et quelle priorité appliquer dans les environnements gérés.
Selon IT-Connect, la priorité Process > UserPolicy > MachinePolicy doit guider les choix lors de déploiements spécifiques.
Portée
Emplacement
Priorité
Application typique
Process
Session en cours
Plus haute
Scripts d’administration temporaires
UserPolicy
GPO utilisateur
Haute
Paramètres par utilisateur
MachinePolicy
GPO machine
Moyenne
Postes standardisés
CurrentUser
HKEY_CURRENT_USER
Faible
Paramètres locaux utilisateur
LocalMachine
HKEY_LOCAL_MACHINE
Plus faible
Paramètres locaux machine
La gestion via GPO doit être coordonnée avec les équipes réseau et sécurité pour assurer la conformité et la protection.
Guide pratique pour appliquer une politique cohérente
Ce guide propose des étapes simples pour déployer et vérifier une politique d’exécution sur un domaine avec un minimum de perturbation.
Selon Microsoft, l’utilisation de Get-ExecutionPolicy -List permet de vérifier l’impact réel après application des GPO.
« J’ai centralisé les politiques via GPO et réduit les incidents liés aux scripts sur nos endpoints. »
Marc T.
Renforcer Defender pour prévention des scripts malveillants PowerShell
En lien avec la gestion GPO, le renforcement de Defender complète la stratégie pour bloquer efficacement les attaques par scripts.
Selon des retours d’équipes SOC, la combinaison AppLocker et Defender réduit significativement l’exposition aux scripts malveillants.
Mesures complémentaires :
- Activer règles AppLocker pour scripts PowerShell signés uniquement
- Déployer détection comportementale et règles d’attaque par script
- Surveiller les exécutions Process et alerter en temps réel
- Former les administrateurs aux bonnes pratiques et permissions
Intégration Defender et surveillance comportementale
Ce passage montre comment Defender utilise la télémétrie pour détecter et bloquer comportements suspects liés aux scripts.
Selon Microsoft, les signaux combinés d’antivirus et EDR améliorent la prévention et la réponse aux incidents.
« Le renfort Defender a stoppé une tentative d’exécution en chaîne sur notre segment de production. »
Sophie L.
Retour d’expérience et recommandations opérationnelles
Ce retour synthétise les actions prioritaires retenues par une équipe IT après un incident lié à un script PowerShell malveillant.
Pour limiter les risques, privilégier RemoteSigned, restreindre Bypass et surveiller en continu les exécutions non usuelles.
« Mon équipe a adopté RemoteSigned et a constaté une baisse notable des alertes critiques. »
Olivier N.
Source : Microsoft, « About Execution Policies », Microsoft Docs, 2023 ; IT-Connect, « La stratégie d’exécution des scripts PowerShell », IT-Connect, 2020 ; Malekal, « Exécution de script désactivée PowerShell », Malekal, 2019.
