Baudelet.net

Sécuriser Windows Vista Sécuriser son Système

A voir : Windows Vista

Comment sécuriser son PC pour se protéger efficacement de l'extérieur ?

  • Détecter les failles de son système sur HackerWacker
  • Gibson Research Corporation pour tester ses protections
  • Maintenir et sécuriser la base de registres
  • Quels sont les Ports utilisés communéments, à quoi servent-ils ?
  • Quels sont les Ports utilisés par les Trojans ?
  • Active Ports permet de voir les Ports utilisés sur son PC
  • Les avis et alertes du CERTA
  • Désactiver les cookies de ForceAD, Avenue A, DoubleClick, Engage, L90, MatchLogic et 24/7 Media qui nous espionnent
  • La Restauration du système sous Windows XP

L'accès au BIOS d'un poste de travail d'un utilisateur peut être protégé par un mot de passe, vous pouvez interdire l'accès au lecteur de disquettes, au lecteur de CD ou de DVD, l'utilisation des ports USB, mais plusieurs autres opérations sont plus que souhaitables comme vous pouvez le lire ci-dessous.

Créer les Disquettes de Démarrage

Sous Windows 2000 : pour  créer les disquettes de démarrage il vous suffit d'exécuter le fichier Makeboot qui se trouve sur le CD d'installation de Windows 2000 dans le répertoire \Bootdisk

4 disquettes seront crées, il suffit ensuite de rebooter à partir de celles-ci pour repartir d'une installation vierge, le partitionnement et le formatage sont possibles.

Pour Windows XP Professionnel elles sont disponibles  ici
chez Microsoft
Pour Windows XP Edition Familiale elles sont disponibles ici chez Microsoft

Big Brother est sur votre PC

Plusieurs fichiers qui vous espionnent peuvent être supprimés de votre PC, bien entendu avant de les effacer, il vaut mieux en faire un backup. Suivant le système d'exploitation que vous utilisez, certains ne seront pas présents :

adimage.dll, advert.dll, advpack.dll, amcis.dll, amcis2.dll, amcompat.tlb, amstream.dll, anadsc.ocx, anadscb.ocx, htmdeng.exe, ipcclient.dll, msipcsv.exe, reginfo.txt, regwizc.dll et tfde.dll

Pour Windows 2000, afin d'éviter que les fichiers se régénèrent automatiquement, aller dans Winnt\system32\dllcache en ayant pris soins auparavant d'afficher les fichiers protégés (dans explorer/outils/options des dossiers), et les supprimer aussi.
Ignorer la demande de les restaurer à partir du cd si un message apparaît.

Pour cacher son identificateur sur le Web, aller dans le menu démarrer est exécuter :
regsvr32 -u c:\winnt\system32\regwizc.dll pour Windows 2000 et regsvr32 -u c:\windows\system\regwizc.dll pour windows 98
Si un message de réussite n'apparaît pas, essayer en mode sans échec.

Je vous conseille de charger et d'exécuter le freeware Ad-Aware de chez Lavasoft qui supprime cookies et clés de la base de registres qui nous espionnent perpétuellement et de consulter le site français Web Sécurité

Désactivez le Compte Invité

Par défaut Windows 2000 désactive le compte Invité, vérifier que c'est bien le cas afin d'être sur qu'il n'est pas actif. Pour le sécuriser complètement, mettez lui un mot de passe complexe et interdisez-lui tout logon 7 jours sur 7.

Nettoyer Pagefile.sys

Windows XP et 2000 ne vident pas automatiquement le contenu de Pagefile.sys (fichier d'échange) lorsque vous redémarrez votre PC.
Comme certains programmes peuvent stocker des informations non cryptées en mémoire virtuelle, par mesure de sécurité il peut s'avérer utile de vider ce fichier à chaque arrêt.

Pour cela ouvrez la base de registres et localisez la clé :
HKey_Local_Machine/System/CurrentControlSet/Control/Session Manager/Memory Management

Sélectionnez la valeur ClearPageFileAtShutdown et mettez sa valeur à 1 pour l'activer.

P.S.: Cette activation peut ralentir de manière significative l'arrêt du PC. 
La taille recommandée du fichier d'échange équivaut à 1,5 fois la mémoire vive de votre système.

Affecter les permissions sur les dossiers et les fichiers partagés

Partager des fichiers et des dossiers peut-être effectué de 2 façons :
Le plus simple consiste à partager tous ses fichiers et dossiers sur votre réseau ou votre groupe de travail ou avoir des dossiers privés, le partage sous Windows 2000 fonctionne ainsi.
Sous Windows XP Professionnel, vous pouvez donner des permissions à un utilisateur spécifique ou à des groupes d'utilisateurs. Il faut d'abord changer les options par défaut qui correspondent à un partage simple de fichier.
Pour changer ces valeurs :
- Ouvrir le Panneau de Configuration, puis sur Options des dossiers
- Dans l'onglet affichage, désactiver la dernière ligne "Utiliser le partage de fichiers simple (recommandé)".

Pour gérer les permissions, pour un dossier, ouvrir l'Explorateur Windows, cliquer à droite sur le dossier à partager, puis Propriétés.
Utiliser l'onglet Sécurité pour ajouter des utilisateurs ou des groupes avec un accès en lecture seule, en modification, etc.

Pour affecter ces permissions, le lecteur doit être formaté en NTFS et vous devez soit être propriétaire du dossier ou être administrateur.

Désactivez les partages inutiles

Par défaut, si vous supprimez les partages par défaut C$, D$ ainsi que les partages administratifs, au prochain redémarrage, ils seront réactivés (Voir la commande NET SHARE).
Pour désactiver cette fonctionnalité qui laisse tout intrus accéder à vos disques, modifiez les clés suivantes de la Base de registres :

Clé : HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters

Pour un serveur mettez AutoShareServer à 0.
Pour une station de travail mettez AutoShareWks à 0.
Si l'entrée n'est pas présente dans la Base de Registres, ajoutez une valeur de type REG_DWORD.
La valeur 0 désactive le partage et la valeur 1 (valeur par défaut) l'active.

Procédure à suivre pour sécuriser son système

  1. Vérifier que toutes les partitions de disque sont au format NTFS
    Les partitions NTFS offrent des contrôles d'accès et des fonctions de protection qui ne sont pas disponibles avec les systèmes de fichiers FAT, FAT32 ou FAT32x. Assurez-vous que toutes les partitions de votre ordinateur sont formatées à l'aide du système NTFS. Si nécessaire, utilisez l'utilitaire convert pour convertir vos partitions FAT en partitions NTFS sans les détruire en exécutant la commande Convert C: /FS:NTFS.
    Après vous pourrez entre autre, compresser des fichiers, les encrypter, etc.
    Si vous utilisez l'utilitaire convert, il définira les listes de contrôle d'accès du lecteur converti sur Tout le monde :
    Contrôle total. Reportez-vous à l'article anglais Q266118  de la Base de connaissances Microsoft pour obtenir des informations sur la restauration des autorisations NTFS par défaut sur les ordinateurs Windows 2000 & XP.
  2. Vérifier que le compte Administrateur possède un mot de passe renforcé
    Windows 2000 & XP autorisent des mots de passe comprenant jusqu'à 127 caractères. En général, les mots de passe longs sont plus forts que les mots de passe courts et les mots de passe comprenant plusieurs types de caractères (lettres, chiffres, signes de ponctuation et caractères ASCII non imprimables générés à l'aide de la touche ALT et des codes de trois chiffres du pavé numérique) sont plus forts que les mots de passe ne comportant que des caractères alphabétiques ou alphanumériques. Pour une protection optimale, assurez-vous que le mot de passe Administrateur comporte au moins neuf caractères et un signe de ponctuation ou un caractère ASCII non imprimable dans les sept premiers caractères. De plus, le mot de passe du compte Administrateur ne doit pas être synchronisé entre plusieurs ordinateurs. Utilisez différents mots de passe sur chaque ordinateur afin d'élever le niveau de sécurité du groupe de travail ou du domaine.
  3. Désactiver les services non nécessaires
    Après avoir installé Windows 2000 & XP, désactivez tous les services de réseau qui ne sont pas nécessaires sur votre ordinateur. Vous devez en particulier déterminer si votre ordinateur a besoin des services Web IIS.
  4. Désactiver ou supprimer les comptes non nécessaires
    étudiez la liste des comptes actifs (pour les utilisateurs et les applications) du système dans le composant logiciel enfichable Gestion de l'ordinateur, désactivez tous les comptes inactifs et supprimez les comptes qui ne sont plus nécessaires.
  5. Protéger les fichiers et les répertoires
    Reportez-vous au document Paramètres de contrôle d'accès par défaut de Windows 2000 & XP du site Web Microsoft TechNet consacré à la sécurité pour plus d'informations sur les listes par défaut de contrôle d'accès au Registre de Windows 2000 & XP, et pour obtenir les instructions permettant d'effectuer les modifications nécessaires.
  6. Vérifier que le compte Invité est désactivé
    Par défaut, le compte Invité est désactivé sur les systèmes Windows 2000 & XP. Si le compte Invité est activé, désactivez-le.
  7.  Protéger le Registre contre tout accès anonyme
    Les autorisations par défaut limitent l'accès distant au Registre aux seuls comptes Administrateur et Opérateurs de sauvegarde. Pour modifier les limites de l'accès réseau au Registre :
    Ajoutez la clé suivante au Registre :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg

    Sélectionnez winreg, utiliser le clic droit pour avoir Autorisations, cliquez sur le menu Sécurité. Définissez l'autorisation Administrateurs sur Contrôle total, assurez-vous qu'aucun autre utilisateur ou groupe n'est répertorié, puis cliquez sur OK. Les autorisations de sécurité (listes de contrôle d'accès) définies sur cette clé déterminent les utilisateurs ou les groupes autorisés à se connecter au système pour un accès distant au Registre. De plus, la sous-clé AllowedPaths contient la liste des clés auxquelles les membres du groupe Tout le monde peuvent accéder, malgré les listes de contrôle d'accès définies sur la clé winreg. Ceci permet à certaines fonctions du système, telle que la vérification de l'état de l'imprimante, d'opérer correctement quelles que soient les limites d'accès instaurées par la clé de Registre winreg. La sécurité par défaut de la clé de Registre AllowedPaths n'accorde l'autorisation de gérer ces chemins qu'aux Administrateurs. La clé AllowedPaths et son utilisation sont documentés dans l'article anglais Q155363  de la Base de connaissances Microsoft.
  8. Appliquer les listes de contrôle d'accès appropriées
    Reportez-vous au document Paramètres de contrôle d'accès par défaut de Windows 2000 & XP du site Web Microsoft TechNet consacré à la sécurité pour plus d'informations sur les listes par défaut de contrôle d'accès au Registre de Windows 2000 & XP et pour obtenir les instructions permettant d'effectuer les modifications nécessaires.
  9. Limiter l'accès aux informations de l'autorité de sécurité locale (LSA)
    Vous devez pouvoir identifier tous les utilisateurs présents sur votre système et donc limiter le nombre d'utilisateurs anonymes afin de minimiser le volume d'informations publiques accessibles pour le composant LSA (autorité de sécurité locale) du sous-système de sécurité Windows NT. L'autorité de sécurité locale gère les différents aspects de l'administration de la sécurité, y compris l'accès et les autorisations,
    sur l'ordinateur local. Pour implémenter cette restriction, créez et définissez l'entrée de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\
    'RestrictAnonymous' de type  REG_DWORD avec une Valeur égale à 1
  10. Définir des stratégies de mots de passe plus strictes
    Utilisez le composant logiciel enfichable Stratégie de sécurité locale pour renforcer les stratégies du système en ce qui concerne l'acceptation des
    mots de passe. Microsoft conseille d'effectuer les modifications suivantes :
    Définissez une longueur minimale de mot de passe à 8 caractères.
    Définissez un âge minimal de mot de passe approprié pour votre réseau (en général entre 1 et 7 jours).
    Définissez un âge maximal de mot de passe approprié pour votre réseau (en général pas plus de 42 jours).
    Définissez la maintenance d'un historique de mot de passe (à l'aide de l'option « Mémoriser le mot de passe ») sur 6 ou plus.
  11. Définir la stratégie de verrouillage des comptes
    Windows 2000 & XP comprennent une fonction de verrouillage de compte qui désactive un compte après un nombre d'échecs de connexion déterminé par l'administrateur. Pour une sécurité optimale, activez le verrouillage de compte après 3 à 5 tentatives, réinitialisez le compte au bout de 30
    minutes au moins et définissez la durée du verrouillage sur « Permanente (jusqu'à ce qu'un administrateur déverrouille) ».
    Le Kit de ressources Windows NT Server inclut un outil qui vous permet d'ajuster certaines propriétés de compte qui ne sont pas accessibles par le biais des outils de gestion habituels. Dans cet outil nommé passprop.exe : le commutateur /adminlockout permet de verrouiller le compte
    administrateur.
  12. Configurer le compte Administrateur
    Le compte Administrateur étant intégré dans toutes les versions de Windows 2000 & XP, il représente une cible de choix pour les pirates informatiques. Pour rendre l'attaque du compte Administrateur plus difficile, suivez les procédures suivantes pour le compte Administrateur local sur chaque ordinateur :
    Renommez le compte en utilisant un nom qui soit pas facilement identifiable (évitez « admin », « racine », etc.).
    établissez un compte leurre intitulé « Administrateur » et ne possédant aucun privilège. étudiez régulièrement le journal d'événements afin de
    vérifier les tentatives d'utilisation de ce compte.
    Activez le verrouillage de compte sur les véritables comptes Administrateur à l'aide de l'utilitaire passprop.
    Désactivez le compte Administrateur de l'ordinateur local.
  13. Supprimer les partages de fichiers non nécessaires
    Tous les partages de fichiers non nécessaires sur le système doivent être supprimés afin d'éviter toute divulgation possible d'informations, et d'empêcher tout utilisateur malveillant d'exploiter les partages pour pénétrer dans le système local.
  14. Définir des listes de contrôle d'accès appropriées sur tous les partages de fichiers nécessaires
    Par défaut, tous les utilisateurs possèdent les autorisations Contrôle total sur les nouveaux partages de fichiers. Tous les partages de fichiers requis sur le système doivent comporter des listes de contrôle d'accès de manière à ce que les utilisateurs disposent d'un niveau d'accès adapté au partage (par exemple, Tout le monde = Lecture).
    Utilisez le système de fichiers NTFS pour définir les listes de contrôle d'accès sur les fichiers individuels, en complément des autorisations au niveau du partage.
  15. Installer un logiciel antivirus et ses mises à jour
    Il est impératif d'installer un logiciel antivirus et de mettre constamment à jour les signatures de virus sur tous les systèmes intranet et Internet.
  16. Installer le dernier Service Pack
    Chaque Service Pack pour Windows comprend tous les correctifs de sécurité des Service Packs précédents. Microsoft vous recommande de vous tenir informé des diffusions des Service Packs et d'installer le Service Pack adapté à vos serveurs dès que les circonstances vous le permettent.
  17. Installer les correctifs de sécurité appropriés postérieurs au Service Pack
    Microsoft publie des bulletins d'information sur la sécurité par le biais de son Service de notification de sécurité . Lorsque ces bulletins recommandent l'installation d'un correctif de sécurité, téléchargez et installez immédiatement ce correctif sur vos ordinateurs.
  18. Paramètres supplémentaires de sécurité
    Il existe d'autres fonctions de sécurité non traitées dans ce document qui doivent être optimisées lorsque vous sécurisez des systèmes Windows 2000 et XP. Des informations concernant ces fonctions de sécurité, par exemple Encrypting File System (EFS), Kerberos, IPSEC, PKI et la sécurité Internet Explorer, sont disponibles sur le site Web Microsoft TechNet consacré à la sécurité : Windows 2000 Security
A voir : Windows Vista
Contact
Aucune partie de ce site ne peut être utilisée ou reproduite sans autorisation. Les liens simples vers toute page du site baudelet.net sont autorisés.
© Antre du Web 2016 - Tous droits réservés