La vulnérabilité CVE-2016-2183, également connue sous le nom de Sweet32, exploite les algorithmes de chiffrement DES, 3DES, IDEA et RC2. Pour sécuriser vos systèmes, il est essentiel de désactiver ces algorithmes de chiffrement obsolètes. Dans cet article, nous allons vous montrer comment déployer un script PowerShell via Microsoft Intune pour désactiver ces algorithmes et corriger cette vulnérabilité.
Le Script PowerShell
Voici le script PowerShell qui désactive les algorithmes de chiffrement DES, 3DES, IDEA et RC2 :
# Désactiver DES, 3DES, IDEA et RC2 # Fonction pour désactiver un algorithme de chiffrement dans le registre function Disable-EncryptionAlgorithm { param ( [string]$AlgorithmName, [string]$AlgorithmOID ) # Chemin du registre pour les algorithmes de chiffrement désactivés $registryPath = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\$AlgorithmName" # Créer la clé de registre si elle n'existe pas if (-not (Test-Path $registryPath)) { New-Item -Path $registryPath -Force } # Définir la valeur de registre pour désactiver l'algorithme Set-ItemProperty -Path $registryPath -Name "Enabled" -Value 0 Write-Output "Algorithme $AlgorithmName ($AlgorithmOID) désactivé." } # Liste des algorithmes à désactiver $algorithms = @( @{ Name = "DES 56/56"; OID = "1.3.14.3.2.7" }, @{ Name = "Triple DES 168"; OID = "1.2.840.113549.3.7" }, @{ Name = "IDEA"; OID = "1.3.6.1.4.1.188.7.1.1.2" }, @{ Name = "RC2 40/128"; OID = "1.2.840.113549.3.2" } ) # Désactiver chaque algorithme foreach ($algorithm in $algorithms) { Disable-EncryptionAlgorithm -AlgorithmName $algorithm.Name -AlgorithmOID $algorithm.OID } Write-Output "Tous les algorithmes spécifiés ont été désactivés."
Explications du script :
- Fonction
Disable-EncryptionAlgorithm
: Cette fonction désactive un algorithme de chiffrement donné en ajoutant/modifiant une clé de registre spécifique. - Liste des algorithmes : Une liste des algorithmes à désactiver est définie avec leur nom et leur OID (Object Identifier).
- Boucle
foreach
: La boucle désactive chaque algorithme en appelant la fonctionDisable-EncryptionAlgorithm
.
Ce script doit être exécuté avec des privilèges administratifs pour pouvoir modifier le registre. Vous pouvez déployer ce script via Microsoft Intune en tant que script de démarrage ou de connexion pour les utilisateurs ciblés.
Étapes pour ajouter un script PowerShell dans Microsoft Intune
Étape 1 : Se connecter à Microsoft Endpoint Manager Admin Center
- Accédez à Microsoft Endpoint Manager Admin Center.
- Connectez-vous avec vos identifiants.
Étape 2 : Accéder à la section Scripts
- Dans le volet de navigation, allez à Devices.
- Sous Devices, sélectionnez Scripts.
Étape 3 : Ajouter un nouveau script PowerShell
- Cliquez sur Add pour ajouter un nouveau script.
- Sélectionnez Windows 10 and later comme type de plateforme.
Étape 4 : Configurer le script PowerShell
- Donnez un nom à votre script, par exemple, « Désactiver certains algorithmes de chiffrement ».
- Vous pouvez également ajouter une description si nécessaire.
- Cliquez sur Next.
Étape 5 : Télécharger le script PowerShell
- Sous Script settings, cliquez sur Browse pour télécharger le script PowerShell que vous avez préparé. Sélectionnez le fichier
disable_encryption_algorithms.ps1
que vous avez téléchargé précédemment. - Assurez-vous que Run the script using the logged on credentials est défini sur No.
- Pour Script settings, choisissez :
- Enforce script signature check : Non (sauf si votre script est signé).
- Run script in 64-bit PowerShell : Oui.
- Cliquez sur Next.
Étape 6 : Assignation du script
- Sous Assignments, choisissez les groupes de périphériques ou les groupes d’utilisateurs auxquels vous souhaitez déployer le script.
- Cliquez sur Next.
Étape 7 : Révision et création
- Revoyez vos paramètres.
- Cliquez sur Add pour ajouter le script.
Étape 8 : Surveillance et validation
- Après avoir ajouté le script, vous pouvez surveiller le déploiement et l’exécution du script via la section Device status sous le script ajouté.
- Vérifiez que le script s’exécute correctement sur les appareils ciblés et que les algorithmes de chiffrement sont désactivés comme prévu.
Conclusion
En suivant ces étapes, vous pourrez déployer votre script PowerShell via Microsoft Intune pour désactiver les algorithmes de chiffrement vulnérables et corriger la vulnérabilité CVE-2016-2183. Assurez-vous de surveiller le déploiement pour garantir que tous les appareils sont correctement sécurisés.