Leson 1Services à envisager de désactiver ou restreindre : énumération des services risqués (ex. Registre à distance, SSDP, UPnP, Support Bluetooth) et procédure sécurisée de désactivation via services.mscIdentifiez les services Windows 7 qui augmentent la surface d'attaque, tels que Registre à distance ou UPnP, et apprenez des méthodes sécurisées pour les désactiver ou les restreindre en utilisant services.msc, incluant les vérifications de dépendances et la planification de rollback.
Inventorying enabled Windows 7 servicesIdentifying high-risk legacy servicesDisabling services via services.mscChecking dependencies before changesRollback and monitoring after changesLeson 2Durcissement de la gestion des comptes : renommage ou désactivation des comptes intégrés, limitation des connexions interactives et définition des heures de connexionRenforcez la gestion des comptes en renommant ou désactivant les comptes intégrés, en limitant les connexions interactives, en imposant des heures de connexion et en surveillant l'utilisation pour réduire les abus des identités locales et de domaine puissantes sur Windows 7.
Renaming or disabling AdministratorRestricting Guest and shared accountsLimiting local interactive logonsConfiguring logon hours and workstationsReviewing account usage and anomaliesLeson 3Journalisation sécurisée et rétention : centralisation des Journaux d'événements via la redirection d'événements Windows ou exportations planifiéesComprenez comment centraliser les Journaux d'événements Windows 7 en utilisant la redirection d'événements Windows ou des exportations planifiées, définissez les périodes de rétention, protégez l'intégrité des journaux et assurez que les journaux restent disponibles pour la réponse aux incidents et les revues de conformité.
Key Windows 7 log types to collectConfiguring Windows Event ForwardingScheduled log export and archivalProtecting log integrity and accessDefining retention and storage limitsLeson 4Mise en œuvre du moindre privilège : utilisation de comptes utilisateurs standard et procédures d'élévation (Exécuter en tant que)Mettez en œuvre le principe du moindre privilège sur Windows 7 en utilisant des comptes utilisateurs standard, une élévation contrôlée avec Exécuter en tant que, et une séparation des tâches administratives. Apprenez à réduire l'utilisation de l'admin local tout en préservant les flux de travail de support nécessaires.
Creating and using standard user accountsSeparating admin and daily use profilesUsing Run as and elevation promptsLimiting local administrator membershipAuditing privileged activity regularlyLeson 5Options de chiffrement de disque (prérequis BitLocker sur Windows 7 Professional), cas d'usage et précautions sur matériel legacyComprenez les choix de chiffrement de disque pour Windows 7, y compris les prérequis BitLocker et les limitations sur les éditions Professional. Apprenez quand chiffrer, comment gérer les clés et quoi tester sur du matériel ancien avant le déploiement.
BitLocker prerequisites and editionsSelecting volumes and data to encryptKey storage and recovery proceduresPerformance impact on legacy hardwareBackup and rollback considerationsLeson 6Configuration du Pare-feu Windows avec sécurité avancée : création de règles entrantes/sortantes, restriction des services et ports à un ensemble minimalExplorez le Pare-feu Windows avec sécurité avancée pour restreindre le trafic entrant et sortant, créer des règles granulaires pour les services et ports, appliquer des profils et tester les configurations pour éviter de perturber les applications legacy critiques.
Reviewing existing firewall profilesCreating inbound service rulesRestricting outbound application trafficUsing scope, users, and interface filtersTesting and documenting firewall changesLeson 7Stratégie de correctifs quand OS est EOL : correctif virtuel, restriction de la surface d'attaque, correctifs prioritaires des applications tierces et application des mises à jour firmware/pilotes après testsApprenez à protéger les systèmes Windows 7 non pris en charge en réduisant les services exposés, en appliquant un correctif virtuel aux couches réseau, en priorisant les mises à jour tierces et en déployant en toute sécurité les correctifs firmware et pilotes après tests.
Identifying critical exposed servicesVirtual patching with network controlsPrioritizing third-party application fixesTesting firmware and driver updatesDocumenting patch exceptions and risksLeson 8Contrôles physiques et opérationnels : politiques de médias amovibles, restrictions USB et pratiques de mot de passe boot/BIOS sécuriséAppliquez des contrôles physiques et opérationnels pour Windows 7, incluant mots de passe BIOS et boot, restrictions de médias amovibles et politiques de périphériques USB, pour prévenir l'accès non autorisé et l'exfiltration de données sur les points de terminaison legacy.
Setting BIOS and boot passwordsRestricting boot order and mediaUSB storage and device control optionsHandling lost or stolen legacy devicesOperational procedures for techniciansLeson 9Changements de politique de sécurité locale : politiques d'audit appliquées, Assignation de droits utilisateur et options de sécurité (ex. signature SMB, niveau d'authentification LAN Manager)Durcissez Windows 7 en utilisant la Politique de sécurité locale en ajustant les politiques d'audit, l'Assignation de droits utilisateur et les options de sécurité telles que la signature SMB et le niveau d'authentification LAN Manager, tout en surveillant les problèmes de compatibilité sur les domaines legacy.
Configuring detailed audit policiesAdjusting User Rights AssignmentTuning SMB signing requirementsSetting LAN Manager auth levelsExporting and reusing policy templatesLeson 10Segmentation réseau et restrictions basées sur l'hôte : configuration de règles pare-feu pour limiter l'accès aux hôtes serveur et gestion uniquementUtilisez la segmentation réseau et les règles pare-feu basées sur l'hôte pour limiter l'accès Windows 7 uniquement aux serveurs et stations de gestion requis. Apprenez à cartographier les flux, restreindre les sous-réseaux et valider que l'isolation ne casse pas les services.
Mapping required network communicationRestricting access to admin subnetsLimiting exposure to user networksFirewall rules for management hostsValidating segmentation with testingLeson 11Options de liste blanche d'applications disponibles dans Windows 7 (alternatives Applocker, Politiques de restriction logicielle) et considérations de déploiementExaminez les options de liste blanche d'applications sur Windows 7, incluant les Politiques de restriction logicielle et scénarios AppLocker limités. Apprenez à concevoir des règles, tester en mode audit et déployer les configurations avec perturbation minimale.
Choosing SRP versus AppLocker optionsDesigning path and hash-based rulesUsing audit mode before enforcementDeploying policies to multiple hostsMaintaining allowlists over timeLeson 12Configuration de politique locale utilisateur et mot de passe : complexité mot de passe, longueur, expiration, verrouillage de compte via Politique de sécurité locale (secpol.msc)Configurez les politiques locales d'utilisateur et de mot de passe sur les systèmes Windows 7 autonomes. Apprenez à définir la complexité, la longueur, l'expiration et les seuils de verrouillage de compte en utilisant la Politique de sécurité locale tout en évitant les problèmes de verrouillage utilisateur.
Password length and complexity rulesPassword history and expiration tuningAccount lockout thresholds and timersConfiguring policies in secpol.mscBalancing usability with brute-force riskLeson 13Définition d'une posture de sécurité acceptable équilibrant stabilité et changements minimauxDéfinissez une ligne de base de sécurité réaliste pour Windows 7 qui équilibre la réduction des risques avec la stabilité du système. Apprenez à classer les systèmes, définir des contrôles minimaux, documenter les risques acceptés et planifier des améliorations incrémentales au fil du temps.
Classifying legacy system criticalitySetting minimum baseline controlsEvaluating impact versus security gainDocumenting accepted residual risksPlanning phased hardening improvementsLeson 14Stratégie antivirus/antimalware compatible avec Windows 7 et méthodes de mise à jour hors ligneApprenez à choisir des outils antivirus et antimalware qui supportent encore Windows 7, configurer des scans en temps réel et planifiés, et maintenir la protection sur des réseaux isolés en utilisant des mises à jour de définitions hors ligne et distribution manuelle.
Supported AV products for Windows 7Configuring real-time and scheduled scansOffline definition downloads and stagingUpdating isolated and air-gapped hostsVerifying AV health and event alerts
