|
Sécurité Windows / Windows Security (W2K & XP)
|
This page is written in French; if you're interested in it and wish my translating into English, do ask me!
|
Ces lignes sont -au départ- basées sur ma lecture du livre "Sécurité Windows" (MicroSoft Press) d'Ed Bott et Carl Siechert, adapté de l'Anglais par Georges-Louis Kocher = 770 pages denses !
1ère partie : Les bases de la sécurité Windows.
- ch.1 - Etes vous en danger ?
Compromis entre commodité et sécurité
| | |
Les 10 commandements de la sécurité :
. 1-Les programmes à bon escient exécuteras (si un malintentionné vous persuade d'exécuter son programme sur votre ordinateur, alors ce n'est plus votre ordinateur)
. 2-Ton système d'exploitation défendras (si un malintentionné altère le système d'exploitation de votre ordinateur, alors ce n'est plus votre ordinateur)
. 3-Ton ordinateur physiquement protègeras (si un malintentionné accède physiquement à votre ordinateur sans aucune restriction, alors ce n'est plus votre ordinateur)
. 4-L'accès à ton site Web surveilleras (si vous laissez un malintentionné télécharger des programmes vers votre site Web, alors ce n'est plus votre site Web)
. 5-Les mots de passe simples prohiberas (les mots de passe peu robustes vont à l'encontre d'une sécurité stricte)
. 6-Un administrateur de confiance éliras (une machine n'est protégée que dans la mesure où l'administrateur est fiable)
. 7-Ta clé de décryptage à l'abri mettras (les données cryptées ne sont protégées que dans la mesure où la clé de cryptage l'est aussi)
. 8-Ton antivirus actualiseras (un antivirus obsolète n'est guère plus utile que pas d'antivirus du tout)
. 9-De l'anonymat absolu ton deuil feras (l'anonymat absolu n'est pas pratique, dans la vie quotidienne comme sur le Web)
. 10-La technologie au doute soumettras (la technologie n'est pas une panacée).
|
NTFS
Connaissez l'ennemi
| | |
Les 7 plaies qui menacent la sécurité de votre ordinateur :
--- Attaques physiques
| | |
. Tout ordinateur contenant des données sensibles doit être rangé dans une pièce fermée à clé. Les bureaux paysagés facilitent grandement l'intrusion des pirates
. Dans les endroits très fréquentés, utilisez un verrou externe pour attacher physiquement l'ordinateur à la table de travail... l'occasion fait le larron
. Prenez des précautions supplémentaires pour les ordinateurs portables et les équipements de poche
. Sur votre lieu de travail, prenez la bonne habitude de fermer la session ou de verrouiller l'ordinateur chaque fois que vous quittez votre bureau
. Attention aux "espions derrière l'épaule" qui essaient de deviner vos mots de passe en regardant vos doigts quand vous vous connectez
. Employez un économiseur d'écran protégé par mot de passe... pas plus de 10 minutes... mot de passe pour réafficher
. Convertissez les disques FAT32 en NTFS pour empêcher un espion d'amorcer l'ordinateur avec une disquette
. Si votre ordinateur renferme des données ultrasensibles, vous pouvez employer le système de fichiers chiffré et ajouter un périphérique spécialisé du genre carte à puce ou système d'identification biométrique, pour gérer les ouvertures de session.
|
--- Vols de mots de passe
--- Voisins réseau indiscrets
| | |
. partages de fichiers à bon escient
. restriction des accès aux fichiers partagés
. contrôles en matière de modification des fichiers
. pour plus de sécurité, ajoutez un serveur
|
--- Virus, vers et autres programmes malfaisants
(attachements de messagerie, partage réseau, contrôle ActiveX, script, message Html, page Web)
| | |
. apprenez à repérer les signes avertisseurs de virus (dans le doute, supprimez les fichiers suspects)
. installez un logiciel antivirus et actualisez le régulièrement
. apprenez aux autres utilisateurs du réseau à éviter les virus
. construisez des barrières supplémentaires pour empêcher les virus d'attaquer les ordinateurs (pare-feu, désactiver attachements dangereux, passerelle de messagerie)
|
--- Intrusions venant de l'extérieur et chevaux de Troie prenant le contrôle à distance
| | |
Utilitaires d'automatisation du travail de cassage et de pénétration, à la recherche de :
. ressources réseau non protégées
. ports de services ouverts
. chevaux de Troie
3 règles
. arrêtez les services inutilisés
. employez des logiciels de pare-feu pour interdire les accès à votre machine et surveiller les essais de pénétration
. utilisez des barrières matérielles pour avoir une couche supplémentaire de protection sur les réseaux
|
--- Menaces sur la confidentialité
| | |
. cookies
. cookies tierce partie
. historique
|
--- Menaces sur la messagerie
|
Comment se protéger :
| | |
- Appliquez systématiquement les corrections à Windows et aux applications utilisées (patches)
- Assurez-vous que votre ordinateur est physiquement protégé
- Utilisez des mots de passe robustes, ne réutilisez pas, changez tous les 2-3 mois, pas d'ouverture de session sur compte principal
- Installez des logiciels AV et actualisez-les régulièrement
- Employez des logiciels et matériels pare-feu pour vous protéger contre les intrus venant de l'extérieur
- Faites des sauvegardes régulières des données critiques et rangez les sauvegardes dans un endroit sécurisé, loin de l'ordinateur.
|
- ch.2 - Outils et techniques de sécurité sous Windows
Comptes d'utilisateur
Configuration du processus d'ouverture de session et d'authentification
Protection des fichiers
Protection de votre ordinateur : liste de contrôles
| | |
. 1- Installez tous les patchs de sécurité de Windows
. 2- Supprimez ou désactivez les comptes inutilisés
. 3- Créez des mots de passe robustes pour tous les comptes d'utilisateur
. 4- Sécurisez les ouvertures de session de tous les utilisateurs
. 5- Installez et configurez un pare-feu
. 6- Installez et configurez des logiciels antivirus
. 7- Utilisez NTFS pour tous les lecteurs
. 8- Inspectez les permissions NTFS de tous les répertoires contenant des données
. 9- Inspectez tous les partages réseau
. 10- Utilisez votre économisateur d'écran comme dispositif de sécurité
. 11- Créez une copie de sauvegarde
. Options de sécurité avancées
|
- ch.3 - Administration des comptes utilisateurs et des mots de passe
- ch.4 - Installation et utilisation des certificats numériques
- ch.5 - Protection d'un ordinateur partagé
- ch.6 - Prévention des pertes de données
- ch.7 - Préservation de la sécurité du système
2ème partie : Protection de votre ordinateur personnel
- ch.8 - Protection d'Internet Explorer
Liste de contrôle de sécurité : Internet Explorer
| | |
. Soyez toujours à jour en matière de services packs, de mises à niveau de sécurité et de correctifs.
. Abonnez-vous au service Microsoft Security Notification Service pour être informé des nouvelles vulnérabilités dès qu'elles sont découvertes et des correctifs dès qu'ils sont diffusés.
. Vérifiez vos paramètres de zones de sécurité, surtout ceux de la zone Internet, qui regroupe par défaut tous les sites Web. (Les paramètres par défaut dans Internet Explorer 6 sont très sécurisants, mais vous pourriez vouloir restreindre encore plus les sites Web.)
. Ajoutez à votre zone Sites de confiance les sites dont vous savez qu'ils sont dignes de confiance et qui requièrent des fonctionnalités inaccessibles aux sites de la zone internet.
. Ajoutez à votre zone Sites sensibles les sites que vous visitez mais que vous aimeriez visiter avec des pincettes.
. Utilisez le gestionnaire d'accès (content advisor) pour bloquer les contenus douteux.
|
Les zones de sécurité :
| | |
(Outils / Options Internet / onglet Sécurité)
(HCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones)
4 zones de sécurité configurables.
| | |
. (sous clé 1) Intranet local (définition paramétrable : sites internes à l'entreprise ou situés après le pare-feu, non mentionnés dans d'autres zones, sites qui n'utilisent pas de serveur proxy, fichiers référencés par des chemins UNC ou atteints via Favoris réseau ; les sites placés dans les autres zones ne sont pas affectés à "Intranet local")
. (sous clé 2) Sites de confiance (sites au-delà du pare-feu auxquels sont accordés une confiance élevée. Cette zone est initialement vide)
Consultez périodiquement la liste des sites de confiance.
. (sous clé 3) Zone Internet (tous les sites qui n'entrent pas dans l'une des catégories précédentes ; pas de possibilité d'ajout de site).
. (sous clé 4) Sites sensibles (sites dont on se méfie explicitement. Cette zone est initialement vide)
|
5ème zone :
| | |
. (sous clé 0) Poste de travail (non configurable en principe. ActiveX de Windows -pas ceux téléchargés de l'Internet-, URL pointant vers documents locaux... les fichiers enregistrés d'Internet Explorer conservent les paramètres de la zone de sécurité à laquelle appartient le site initial). Pour rendre cette zone visualisable, utiliser IEAK ou modifier Flags de la zone 0 en enlevant 32
(une icône de la barre d'état, à droite, indique la zone Web courante ; une page marquée inconnue contient un ou plusieurs cadres (frames) issus de zones différentes).
|
Zones personnelles additionnelles :
| | |
Créer un point de restauration ; cloner l'une des clés existantes (zone 2 ou 4 ; Fichier / Exporter) ; modifier le clone (zone 5 ; modif. DisplayName, Description, Icon, MinLevel, RecommendedLevel, Flags)
. Visualiseur Resource Hunter pour voir les icônes insérées dans un fichier.
. Min et RecommendedLevel :
0x00010000 Faible
0x00010500 Moyennement bas
0x00011000 Moyen
0x00012000 Elevé
|
Appliquez la configuration zone sensibles à Outlook Express ou Outlook : Outils / Options / onglet Sécurité / cocher Zone Sites Sensibles.
IEAK (Internet Explorer Administration Kit) permet de créer et distribuer une version personnalisée d'IE.
Stratégie de groupe (gpedit.msc) permet d'appliquer une stratégie de sécurité commune :
Configuration ordinateur / Modèles d'administration / Composants Windows / Internet Explorer.
Configuration des paramètres de sécurité :
| | |
Paramètres de sécurité | Sites de confiance Faible | Intranet local Moyennement bas | Internet Moyen | Sites sensibles Elevé |
Authentification utilisateur |
Connexion | Connexion automatique avec le nom d'utilisateur et le mot de passe actuel | Connexion automatique uniquement dans la zone Intranet | Connexion automatique uniquement dans la zone Intranet | Demander le nom d'utilisateur et le mot de passe |
Contrôles ActiveX et plug-in |
Contrôles ActiveX reconnus sûrs pour l'écriture de scripts | Activer | Activer | Activer | Désactiver |
Contrôles d'initialisation et de script non marqués comme sécurisés | Demander | Désactiver | Désactiver | Désactiver |
Exécuter les contrôles ActiveX et les plug-in | Activer | Activer | Activer | Désactiver |
Télécharger les contrôles ActiveX non signés | Demander | Désactiver | Désactiver | Désactiver |
Télécharger les contrôles ActiveX signés | Activer | Demander | Demander | Désactiver |
Divers |
Accéder aux sources de données sur plusieurs domaines | Activer | Demander | Désactiver | Désactiver |
Affiche un menu mixte | Demander | Demander | Demander | Demander |
Autorisations pour les chaînes du logiciel | Basse sécurité | Sécurité moyenne | Sécurité moyenne | Haute sécurité |
Autoriser l'actualisation des métafichiers | Activer | Activer | Activer | Désactiver |
Glisser-déplacer ou copier-coller les fichiers | Activer | Activer | Activer | Demander |
Installation des éléments du bureau | Activer | Demander | Demander | Désactiver |
Lancement des programmes et des fichiers dans un Iframe | Activer | Demander | Demander | Désactiver |
Navigation de sous-cadres sur différents domaines | Activer | Activer | Activer | Désactiver |
Ne pas demander la sélection d'un certificat client lorsqu'il n'existe qu'un seul certificat ou aucun | Activer | Activer | Désactiver | Désactiver |
Permanence des données utilisateur | Activer | Activer | Activer | Désactiver |
Soumettre les données de formulaire non codées | Activer | Activer | Demander | Demander |
Microsoft VM |
Autorisations Java | Basse sécurité | Sécurité moyenne | Haute sécurité | Désactiver sécurité |
Script |
Active scripting | Activer | Activer | Activer | Désactiver |
Permettre les opérations de collage via le script | Activer | Activer | Activer | Désactiver |
Script des applets Java | Activer | Activer | Activer | Désactiver |
Téléchargement |
Téléchargement de fichier | Activer | Activer | Activer | Désactiver |
Téléchargement de polices | Activer | Activer | Activer | Demander |
La différence majeure entre IE 6 et IE 5 est que les paramètres de cookies de la v5 sont passés dans l'onglet Confidentialité ; pour une migration v5 vers v6, il y a conservation des paramètres sauf désactivation de Java et du scripting.
|
|
Gestionnaires d'accès (Content Advisor) pour interdire les contenus douteux
| | |
Contrairement aux autres paramètres de sécurité, les paramètres du gestionnaire d'accès s'appliquent à tous les utilisateurs de la machine (HKLM)
Détails sur les Gestionnaires d'accès.
Système par défaut : RSACi (Recreational Software Advisory Council's Internet).
Installer ICRA (Internet Content Ratig Association).
| | |
1- télécharger icra.rat et l'enregistrer dans %SystemRoot%/System32
2- Dans IE, Outils / Options Internet / onglet Contenu
3- Dans la zone Gestionnaire d'accès, cliquer sur Activer (si déjà activé, cliquer sur Paramètres)
4- onglet Général / bouton Systèmes de contrôle d'accès
5- Ajouter / sélectionner Icra.rat / Ouvrir / OK pour fermer la boîte de dialogue Systèmes de contrôle d'accès
6- onglet Contrôle d'accès / régler autoriser ou ne pas autoriser pour chaque catégorie / OK
(le système RSACi n'a que 4 catégories : langage, nudité, sexe et violence).
7- Définir un mot de passe dans la boîte de dialogue Création d'un mot de passe de superviseur.
Comment remédier à la perte du mot de passe :
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Ratings ; supprimerla valeur Key
Pour empêcher de toucher à cette clé, se servir des permissions de base de registres.
|
Blocage des sites non évalués : Par défaut, le gestionnaire d'accès bloque. Pour ne pas avoir cette protection : Options Internet / onglet Contenu / Paramètres / onglet Général de la boîte de dialogue Gestionnaire d'accès / cocher "Les utilisateurs peuvent visiter les sites sans contrôle d'accès".
Evaluation personnelle des sites : onglet Sites autorisés de la boîte de dialogue Gestionnaire d'accès / taper l'URL de chaque site puis cliquer sur Toujours ou sur Jamais (ou cliquer sur le bouton-radio Toujours dans la boîte de dialogue de refus d'accès.
Désactivation de blocage : Options Internet / onglet Contenu / cliquer sur Désactiver puis taper le mot de passe.
Filtres tierce-partie : etc.
Cyber Patrol (SurfControl Inc.)
CYBERsitter (Solid Oak Software Inc.)
SuperScout Web Filter (SurfControl Inc.)
|
Gestion des contrôles ActiveX
| | |
-----
|
Gestion des applets Java
| | |
-----
|
Gestion des scripts
| | |
-----
|
- ch.9 - Blocage des virus, vers et chevaux de Troie
- ch.10 - Protection du courrier électronique
- ch.11 - Blocage du courrier indésirable
- ch.12 - Comment lutter contre les attaques des malfaisants
- ch.13 - Protection de la confidentialité
3ème partie : Protection d'un réseau
4ème partie : Sécurité extrême