Améliorer votre sécurité grâce aux restrictions

Il existe un grand nombre de logiciels qui vous aident à vous protéger, ici, ce n'est pas le cas, nous allons utiliser ce qui existe sur Windows pour mieux sécuriser notre machine.
Voici une méthode qui permet d'interdire beaucoup de choses et ainsi améliorer votre sécurité. Pour cela, il faut utiliser le système de fichier NTFS et avoir l'onglet Sécurité à disposition
Pour XP Home, l'onglet n'existe pas (mais si vous utilisez ZebProtect, il est fourni avec) ZebProtect.

Les restrictions

Pour ceux qui ne connaissent pas les autorisations ou restrictions, je vous invite à lire cette page :
Autorisation et restriction sur les fichiers

Ce qu'il faut savoir, c'est que les restrictions sont prioritaires sur les autorisations

Grâce aux restrictions, on va pouvoir interdire un certain nombre de choses :
- aucun droit d'accès à un dossier ou éventuellement à des sous-dossiers
- interdire l'écriture de fichier dans des dossiers et les sous-dossiers
- interdire l'écriture de fichier dans des dossiers mais pas dans les sous-dossiers
- interdire l'execution de fichier dans des dossiers
- etc..

Exemple de restrictions

l'objectif ici, c'est la protection, comme chaque dossier de Windows a diverses particularités, je vais juste vous donnez quelques exemples de mise en place de restriction

la restriction qui me parait la plus judicieuse, c'est d'interdire à un exécutable de se lancer à l'insu de votre plein gré

J'utilise Firefox, donc, je vais aller mettre des restrictions dans le cache de Firefox,
- Pourquoi dans le cache ?
Tout simplement parce que tout ce que vous faites en surfant avec le navigateur transite par ce dossier
C'est parti, rendez-vous dans votre explorateur à :
C:\Documents And Settings\Mon compte\Application Data\Mozilla\Firefox\Profiles\untruc55.default\cache

Clic droit sur le dossier cache -> Propriétés --> onglet Sécurité
on se retrouve avec cette fenêtre :

1 ) ajoutez le compte "Tout le monde" --> qui va nous permettre de travailler sur des autorisations spéciales

2) cliquez sur le bouton "Paramètres avancés", vous arrivez sur la fenêtre "Autorisations"

3) double cliquez sur "Tout le monde" et vous obtiendrez cette fenêtre :

Suivez la même démarche qu'indiqué sur l'image, à savoir :
- Appliquer à ce dossier et les fichiers
- Refuser : parcours du dossier et exécuter le fichier
- Refuser : Modification des autorisations
- Activer : appliquer ces autorisations, etc..
Cliquez sur OK, une fenêtre d'avertissement va s'ouvrir, et cliquez de nouveau sur OK

A ce stade, vous devez retrouver maintenant dans la fenêtre des autorisations, avec le compte "Tout le monde" Refuser

Et voilà, en principe, dans ce dossier, toutes les pages que vous visitez avec Firefox viennent s'inscrire ici, donc, pas de soucis, ça va continuer, mais les exécutables ne pourront pas s'exécuter à partir de ce dossier

un petit test en lançant un exécutable :
Je protège juste le cache du navigateur. Pour un téléchargement, c'est différent puisque Mozilla ou Firefox donne la possibilité de téléchager le fichier ou on veut, (par défaut, c'est sur le bureau) donc, il n'est pas présent dans le cache, et même s'il etait présent dans le cache, il ne s'installerait pas tout seul, si vous le retrouvez dans le cache, vous faites un copier/coller dans un autre répertoire, et vous l'installez. En fait cette restriction ne gêne que des parasites qui voudraient s'installer tout seul, pas le reste.

On peut appliquer la même chose pour d'autres dossiers sensibles ou même carrément interdire l'écriture dans le dossier par exemple

Vous avez compris l'intérêt de ces restrictions, si on ne peut pas écrire ou exécuter un fichier dans quelques dossiers bien déteminés de Windows, on bloque ainsi une grande majorité de malwares qui veulent se loger n'importe où.

J'ai appliqué cette méthode sur plusieurs dossiers et ensuite, J'ai fait plusieurs tests sur quelques sites peu recommandables à la recherche de quelques malwares notables, aucun d'eux n'a pu s'exécuter pour s'inscrire dans d'autre dossiers sur la machine, tout cela sans aucun processus suplémentaire, en sachant que je n'avais aucun pare-feu, anti-truc et anti-machin pour surfer

Quelques dossiers sur lesquels on peut mettre des restrictions

Voici quelques dossiers qui méritent quelques restrictions

Attention: ne pas faire n'importe quoi en terme de restriction, toujours à prendre avec des pincettes si on veut que tout fonctionne

- C:\Documents and Settings\tous les comptes\Application Data\
- C:\Documents and Settings\tous les comptes\Local Settings\
- C:\WINDOWS\system32\drivers\etc\
- C:\WINDOWS\repair\
- C:\WINDOWS\Registration\
- C:\WINDOWS\addins\
- C:\WINDOWS\Help\
- C:\WINDOWS\inf\
- C:\WINDOWS\Config\
- C:\WINDOWS\
- C:\WINDOWS\System32\
Il en existe beaucoup d'autres, mais difficile de faire un tri global, vous pouvez vous pencher sur tous les dossiers dont les logiciels ont besoin d'accéder à Internet.

Le dossier temporaire d'Internet

S'il existe un dossier particulièrement sensible, c'est bien celui du cache Internet, malheureusement Windows et la sécurité, ca fait 2!!
En fait ce dossier ne montre pas l'onglet de sécurité, difficile dans ce cas de mettre des restrictions sur ce dossier, autre problème majeur, ce dossier contient des sous-dossiers :
- Content.IE5 ainsi que 4 dossiers par défaut, au fur et à mesure du remplissage du cache, le nombre de dossiers grandit, d'où l'inconvénient majeur de créer une règle pour tous les sous-dossiers!

Des fois, Windows, on se demande ! Heureusement que je n'utilise pas ce navigateur, mais c'est tout de même dommage pour la plupart des internautes qui eux l'utilisent.

Vous l'aurez compris, ce n'est pas simple de faire une protection efficace, la complexité du système, Windows cachottier sur certains dossiers, ca devient vite la galère pour gérer les restrictions.
Amusez-vous bien à sécuriser votre système

Tesgaz le : 08/08/2005

- Prochain article : Sécuriser l'accès à votre machine
- Retour : La sécurité.
- Haut de page