Par défaut, la configuration
d'origine de Windows 2000/XP est une véritable passoire
sur le réseau, source de
nombreux problèmes récurrents (virus, vers, trojans, BHO,
rootkit, spams, popup, etc..., sans oublier les nombreuses failles de
sécurité
régulièrement découvertes...).
Compte-tenu que nous avons aujourd'hui, grâce à l'ADSL, la
possibilité de surfer 24h sur 24 sur le net,
pour se prémunir, nous avons à notre disposition une
panoplie complète de logiciels, qui ont pour but de
protéger
notre PC, à savoir :
- Antivirus
- Pare-feu (firewall)
- Anti-trojans
- Antispyware
- Proxi
- Anti Pop Up
- Anti Spams
- Navigateur
- logiciel de nettoyage de votre surf, etc...
Vous me direz, tout ces logiciels
devraient suffire à notre protection ?
En partie seulement, car
tous les jours de nouvelles failles sont découvertes, de nouveau
Rootkit, virus et autres bestioles,
toutes plus agressives les unes que les autres pullulent sur le net.
Mais ce n'est pas sur ces logiciels que nous allons nous concentrer,
dans cet article, nous allons essayer d'identifier les points
délicats de Windows 2000/XP et mettre en place quelques
paramétrages qui optimiseront votre protection en
supplément
des logiciels évoqués plus haut, afin de garantir une
plus grande sécurité.
Faisons un tour d'horizon sur
plusieurs chapitres:
- Création des comptes utilisateurs
- Convertir son système de fichier
- Modifier les partages par défaut
- Restrictions suplémentaires
- Fermer les ports "Critiques"
- Fermer les services "à risque"
- Bloquer certains exécutables
- Pour aller encore plus loin dans la sécurité
Cette optimisation s'adresse à la
configuration d'un PC monoposte, sous 2000, XP Home, XP Pro
Créer un 2ème compte sur
votre PC :
(Pour version 2000 et XP Pro seulement)
La 1ere chose à faire, c'est de créer un compte, autre
que celui d'administrateur, afin de ne pas laisser cet
accès à
la disposition de tous.
Ce nouveau compte vous servira pour l'utilisation de tous les jours,
bien entendu il faut mettre un mot de passe qui ne
veut rien dire du style :
Exemple :
Z2¤]r#£Q* (ça donnera un peu plus
de fil à retordre aux logiciels de décryptage de mots de
passe).
Plus c'est difficile de s'en souvenir, plus c'est efficace !
Faire de même pour le compte "Administrateur",
mais pas avec le même mot de passe.
Vous pouvez également modifier le nom du compte
"Administrateur" par un autre, pour cela, nous allons aller
dans :
Panneau de configuration =>Outils
d'administration =>Paramètre de sécurité
=>Stratégie locale =>
Option de sécurité :
trouver la ligne : - Comptes : renommer
le compte Administrateur = "Hulk-Matrix"
laissez libre cours à votre
imagination.
Convertir sa partition du système
d'exploitation au format NTFS :
Etape incontournable, passer sa partition système de
FAT32 à NTFS, Pourquoi
?
Sans entrer dans les détails, les
principaux avantages qui nous concernent sont :
- sécurité des dossiers et des fichiers
- permissions /restrictions
- cryptage des données
La manipulation est très simple et sans
perte de données, voici la procédure :
Cliquez sur Démarrer
=>Exécuter, puis tapez : convert C: /FS:NTFS
Désactiver le "partage simple" des fichiers et dossiers sous
XP Pro
Windows XP a ajouté un partage simple par défaut, qui partage
l'ensemble des documents du dossier "Mes documents"
de chaque compte utilisateur du PC, non seulement, c'est gênant,
mais cela ne permet pas d'accéder à l'onglet "Sécurité"
des dossiers et fichiers.
Pour changer ce paramètre depuis
l'explorateur de Windows :
Allez dans le Menu "Outils",
"Option des dossiers", onglet
"Affichage" :
Vous pouvez trouver ces mêmes
paramètres en passant par la base de registres:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
à la valeur : "forceguest" de type REG_DWORD
en mettant la valeur à : 0
Et maintenant, vous
avez un nouvel onglet dans les
propriétés des dossiers ou fichiers, l'onglet
"Sécurité"
Avoir l'onglet "Sécurité"
pour Windows XP Home
Sous Windows
XP Home, l'onglet "Sécurité" habituel
de tous les dossiers ou fichiers d'une partition NTFS n'apparaît
pas,
car ce n'est pas prévu!
Il est cependant possible de
disposer de cette fonctionnalité, à l'aide de la
procédure décrite sur le site de Jean Claude
Bellamy :.
voir la faq "Ajout de l'onglet
Sécurité"
Maintenant nous allons supprimer les dossiers partagés sous
Windows XP
en passant par la base de registre:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\My
Computer\NameSpace\DelegateFolders
supprimer la sous clé : {59031a47-3f72-44a7-89c5-5595fe6b30ee}
Profitons-en pour supprimer les partages "Administratif"
par défaut "C$ et ADMIN$"
Toujours par la base de registre:
Exécuter : regedit
Et aller à la clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\
Dans la partie de droite, créez une nouvelle valeur Dword
: AutoshareWks Affectez
lui la valeur : 0
Et pour supprimer le partage "Administration
à distance" :
Toujours dans la même clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\
Dans la partie de droite,
créez une nouvelle valeur Dword :
AutoShareServer Affectez lui la valeur
: 0
Supprimer le partage de "fichier et d'imprimante sur le réseau"
de votre connexion Internet
Désactiver
la "Mise à jour automatique"
Pour
changer ce paramètre depuis l'icône du "Poste de Travail",
Clic droit "Propriété",
onglet "Mise à jour
automatique":
Désactivez la case : "Maintenir mon ordinateur
à jour,etc.."
Puis "Appliquer".
Cela nous vous empêchera pas de faire des
mises à jour par la suite.
Nous fermerons le service correspondant
plus tard.
Désactiver "Utilisation à distance"
Pour
changer ce paramètre depuis l'icône du "Poste de Travail",
Clic droit "Propriété",
onglet "Utilisation à
distance":
Désactivez les 2 cases : "Asistance à
distance" et "Bureau à distance"
Puis "Appliquer".
Nous fermerons le service correspondant
plus tard.
Interdire le compte "Invité"
Pour changer ce paramètre, nous allons passer par :
Menu "Démarrer" =>"Panneau de
configuration" =>"Outils d'administration"
=>"Gestion de l'ordinateur",
"Outils système" =>"Utilsateurs et
groupes locaux" =>"Utilisateurs"
:
Empêcher le système
d'accorder les droits "Tout le monde" aux
anonymes
en passant par la base de registre:
Exécuter : regedit
Et aller à la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
à la valeur : "everyoneincludesanonymous"
, et modifier la valeur REG_DWORD à : 0
(sous XP Pro, cette valeur est déjà sur zéro par
défaut) :
Mais quels sont les ports ouverts
sur mon PC ?
Voici ce que vous pouvez voir par défaut comme ports ouverts
quand vous êtes connecté sur Internet,
en tapant dans une "invite de commande"
(cmd) : netstat -ano
(pour XP) ; netstat -an
(pour 2000)
Proto | Permet de savoir si c'est un protocole de connexion sur un port de type TCP ou UDP |
Adresse locale | Dans le cas où le port local correspondant TCP, le 0.0.0.0: XXX (où XXX est un numéro de port différent de 0) cela signifie que le port est en écoute de toute adresse IP réclamant une ouverture de connexion TCP sur ce port |
Adresse distante | - Dans le cas de port TCP, le 0.0.0.0:0,
pour l'adresse distante, signifie que la connexion sera acceptée
en provenance de toute adresse IP utilisant n'importe quel port source.
- Dans le cas de port UDP, cette même notion se retrouve avec la représentation *:*. |
Etat | - TCP (LISTENING): On apprend
déjà que nous sommes en attente de connexion sur un
certain nombre de ports TCP et en attente de
datagramme sur un certain nombre de ports UDP. - TCP (ESTABLISHED) : On apprend que la connexion sortante est établie depuis un port local, ce port va apparaître aussi dans la liste des ports en écoute (état LISTENING) depuis toute adresse (0.0.0.0) sur le même port. En effet, du fait de l'implémentation de l'API Winsock sur TCP/IP utilisée, netstat ne peut pas distinguer certaines "ouvertures internes à la machine" des ouvertures réelles vers l'extérieur, donc on a l'impression qu'il y a des ports ouverts alors qu'il ne le sont pas. |
Service
|
Port(s)
|
Service(s)
Windows
|
Protocole IKE |
500/udp
|
IPSEC Policy Agent
|
Protocole NTP |
123/udp
|
Windows Time
|
UPnP |
5000/tcp,
1900/udp
|
SSDP Discovery Service
|
Cache DNS |
dynamique
>1024/udp
|
DNS Client
|
NetBIOS sur TCP |
137/udp,
138/udp, 139/tcp
|
TCP/IP NetBIOS Helper Service
|
CIFS/SMB |
139/tcp, 445/tcp
|
Server, Workstation
|
Portmapper RPC |
135/tcp, 135/udp
|
Remote Procedure Call (RPC)
|
Tâches programmées |
dynamique
>1024/tcp
|
Schedule
|
Messenger |
dynamique
>1024/udp
|
Messenger
|
Service |
1025
|
Services
|
Fermer les ports : "137.
138. 139"
Si vous utilisez une connexion "réseau local", vous pouvez procéder de la même façon pour fermer les ports locaux, cela n'influence pas les connexions du réseau local |
Fermer
le port : "445" qui correspond à NetBT
Ouvrez une invite de commande (cmd) et arrêtez les services "Workstation"
et "serveur"
tapez : net stop rdr
Une fois cette première opération terminée,
tapez : net stop srv
maintenant que ces services sont arrêtés, nous allons les
désactiver
Menu "Démarrer" , "Exécuter",
tapez : services.msc
"Désactivez" la ligne : "Station
de travail" qui correspond à "lanmanworkstation"
"Désactivez" la ligne :
"Serveur" qui correspond à "lanmanserveur"
Une fois ces services arrêtés, le pilote NetBT
peut être arrêté à son tour :
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop netbt
Pour désactiver le pilote NetBT, la valeur
suivante de la base de registres doit être modifiée :
Menu "Démarrer" , "Exécuter",
tapez : regedit
Allez à la clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\
A la valeur : "Start"
modifiez la valeur REG_DWORD à : 4
Dans certaines configurations, il peut être nécessaire de
laisser actif le pilote NetBT, sans utiliser le
transport de SMB
sur le port 445. Dans ce cas, il est possible de
régler la valeur de la base de registres suivante :
Allez à la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
A la valeur : "SmbDeviceEnabled"
modifiez la valeur REG_DWORD à 0
Fermer le port : "123"
qui correspond à "W32Time"
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "Horloge Windows"
vous "arrétez" le service puis vous le "désactivez"
Fermer le port : "500"
qui correspond à "Internet Key Exchange"
Peut être fermé en arrêtant le service IPsec
services.
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop policyagent
Et maintenant nous allons le désactiver complètement :
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "Service IPSEC" vous "désactivez" le service
Fermer le port : "1900"
qui correspond à "SSDPSRV"
Peut être fermé en arrêtant le service de
découverte SSDP.
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop ssdpsrv
Et maintenant nous allons le désactiver complètement :
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "Service de
découvertes SSDP " vous
"désactivez" le service
Fermer les ports supérieurs
à : "1023" qui correspond à "Distributed
Transaction Coordinator"
Peut être fermé en arrêtant le service msdtc
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop msdtc
Et maintenant nous allons le désactiver complètement :
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "Distributed Transaction
Coordinator" vous "désactivez" le service
Pour 2000 serveur, ce service ferme également le port 3372
Fermer le port : "5000"
qui correspond à "upnphost"
Peut être fermé en arrêtant et en désactivant
le service
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "Hote de
périphérique universel Plug and Play" vous "Arrêtez"
et vous "désactivez" le service
Fermer le port dynamique supérieur
à : "1024" qui correspond à "shedule"
Peut être fermé en arrêtant et en désactivant
le service
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "Planificateur de tache"
vous "Arrêtez"
et vous "désactivez" le service
Fermer le port dynamique supérieur
à : "1027" qui correspond à "messenger"
Peut être fermé en arrêtant et en désactivant
le service
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "Affichage des messages"
vous "Arrêtez"
et vous "désactivez" le service
Fermer le port dynamique supérieur
à : "1024" qui correspond à "clientDNS"
Peut être fermé en arrêtant et en désactivant
le service
vous allez dans "exécuter"
et vous tapez : services.msc
A la ligne : "ClientDNS" vous "Arrêtez"
et vous "désactivez" le service
Il est possible de désactiver le
mécanisme de cache de socket utilisé par le service
dnscache de Windows XP,
en ajoutant une valeur dans la base de registres sous la clé :
Allez à la clé :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\
Ajoutez la valeur : "MaxCachedSockets"
et donnez la valeur REG_DWORD à : 0
Femer le port "135"
Pour fermer ce port qui utilise le service "Appel de procédure distante" qui lui ne
peut, en aucun cas être fermé
pour cause de blocage de toutes connexions, il faut modifier plusieurs
paramètres dans la base de registre, dont
voici la procédure :
Création des "Restrictions des
interfaces d'écoute sur Windows"
Une valeur de la base de registre
permet de configurer la liste des interfaces réseau sur
lesquelles les services RPC se
placeront en écoute. Cette valeur reçoit une liste
d'entiers, correspondant aux index des interfaces réseau.
Cette valeur doit contenir des
index d'interfaces réseau, commençant à 1. qui
correspond à loopback 127.0.0.1
Pour le faire nous allons créer 2 clés qui
n'existent pas :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Linkage] |
Désactiver DCOM ne ferme pas le
port TCP 135. Pour le fermer, une solution est de
supprimer les séquences de
protocoles RPC sur lesquels DCOM ne doit plus être accessible.
Dans notre cas, il suffit de désactiver la séquence
ncacn_ip_tcp, qui correspond au transport sur TCP/IP.
Nous allons modifier une valeur dans la base de registre :
Allez à la clé : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc
A la Valeur : DCOM Protocols
de Type : REG_MULTI_SZ, supprimer le contenu de la
valeur : ncacn_ip_tcp
Voilà le port 135 est désormais fermé
Il existe quelques ports spécifiques
à 2000 Server et à IIS, comme ces
systèmes s'adressent en principe à des
professionnels (Administrateur réseau, etc..) ils ne sont pas
traités dans cet article, mais vous pouvez les retrouver
sur le site de
HSC
Pour comprendre et connaître les services vous pouvez vous
aider de cet article sur les services
Dans le chapitre précédent nous avons déjà fermé
un certain nombre de services ;
Voici la liste des autres services que
vous pouvez "arrêter" et "désactiver" pour une meilleure
sécurité
- Accès à distance au registre
- Aide et support
- Assistant TCP/IP NetBIOS
- Avertissement
- Client DHCP
- Connexion secondaire
- DSDM DDE réseau
- Gestionnaire de l'album
- Gestionnaire d'aide sur le Bureau à distance
- Journaux et alertes de performance
- Machine Debug Manager
- Mises à jour automatiques
- Ouverture de session réseau
- Partage de bureau à distance NetMeeting
- Routage et accès distant
- Service de rapport d'erreur
- Service Terminal Server
- Telnet
- WebClient
Voici la liste des autres services que
vous pouvez "arrêter" et mettre en
mode "manuel"
- Application système COM+
- Connexion réseau
- DDE réseau
- Emplacement protégé
- Explorateur d'ordinateur
- Fournisseur de la prise en charge de sécurité LM NT
- Journal des évènements
- Localisateur d'appel de procédure distante (RPC)
- MS Software Shadow Copy Provider
- NLA (Network Location Awareness)
- QoS RSVP
- Service de la passerelle de la couche Application
- Système d'évenement COM+
- Windows Installer
Ces 2 listes concernent un
PC seul, sans réseau local, pour ceux qui ont un réseau
local, regardez d'abord
les dépendances avant de fermer certains services, sinon, vous
auriez des problèmes de partages de fichiers ou
de connexions
Certains programmes de Windows sont souvent utilisés pour
"exploiter des failles par les pirates informatiques", il est
préférable
de leur attribuer des droits très strictement afin
d'être plus tranquille. Un bon nombre de ces programmes qui sont
concernés
correspondent à tout ce qui est lié aux connexions
réseau,
Les programmes en question :
- cmd.exe,cmdl32.exe,drwtsn32.exe,, net.exe, net1.exe,
nbtstat.exe, netdde.exe, netsh.exe, netstat.exe,
nwscript.exe, pathping.exe, ping.exe, proxycfg.exe, gappsrv.exe,
rasdial.exe, rcp.exe, rsh.exe, sessmgr.exe,
shadow.exe, shutdown.exe, smss.exe, systeminfo.exe, telnet.exe.....
Tous ces programmes se trouvent dans le répertoire :
C:\Windows\System32\ ==>pour XP
C:\winnt\System32\ ==>pour 2000
La procédure pour les bloquer de
diverses attaques internes et externes :
Protéger le "Control ICMP" (Internet Control Message
Protocol)
Ce protocole est utilisé pour gérer le flux des
données sur le réseau à l'aide de séquences
de commandes.
Des malveillances sont possibles dans l'utilisation de cette
fonctionnalité, afin d'y remédier :
En passant par la base de registre, Avec : regedit
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
Modifiez la valeur REG_DWORD :
EnableICMPRedirect en lui affectant la valeur 0
Protégez-vous des attaques par "flood ou Spoof"
Permet de se protéger des attaques par flooding ou spoofing,
sans modifier le comportement de la pile de TCP/IP
Nous allons ajouter des valeurs dans la base de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\
Ajouter la valeur REG_DWORD : SynAttackProtect
en lui affectant la valeur 2
Ajouter la valeur REG_DWORD : TcpMaxHalfOpen
en lui affectant la valeur 100
Ajouter la valeur REG_DWORD : TcpMaxHalfOpenRetried
en lui affectant la valeur 80
Ajouter la valeur REG_DWORD : TcpMaxPortExhausted
en lui affectant la valeur 5
Ajouter la valeur REG_DWORD :
EnableDeadGWDetect en lui affectant la valeur
0
Ajouter la valeur REG_DWORD : KeapAliveTime
en lui affectant la valeur
300000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters\
Ajouter la valeur REG_DWORD : NoNameReleaseOnDemand
en lui affectant la valeur 1
Ajouter cette clé "Parameters" et les
valeurs qui suivent dans votre base de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters\
Modifiez la valeur REG_DWORD :
EnableDynamicBacklog en lui affectant la valeur 0
Modifiez la valeur REG_DWORD :
MinimumDyamicBacklog en lui affectant la valeur 20
Modifiez la valeur REG_DWORD : MaximumDynamicBacklog
en lui affectant la valeur 20000
Modifiez la valeur REG_DWORD : DynamicBacklogGrowthDelta
en lui affectant la valeur 10
Compliquer l'authentification de votre "réseau local" (si vous en avez un)
Nous allons ajouter ou modifier des
valeurs dans la base de registre
A la clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
A la valeur : "nolmhash"
de type REG_DWORD donnez lui la valeur : 1
A la valeur : "lmcompatibilitylevel"
de type REG_DWORD donnez lui la valeur : 5
( Si vous avez des PC avec Win 98 ou ME, mettez la dernière
valeur à 3)
Ca y est, nous sommes à la fin de la configuration.
Maintenant, vous pouvez ajouter vos logiciels
préférés, à savoir Firewall, Antivirus,
etc... dont nous avons parlé
au début. A vous de choisir ceux que vous préférez
........
Désormais, vous pouvez surfer un
peu plus tranquille.....en faisant quand même attention où vous
cliquez !
Une fois tout configuré
et après redémarrage de votre PC, plus aucun port
sensible ne devrait être visible de l'extérieur.
Le mot de la fin, si vous ne voulez jamais rien choper sur Internet "débranchez votre modem"
Tesgaz le : 15/09/2003
- Article suivant : Tutorial Zebprotect
- Retour : la sécurité
- Haut de page -