Cette page n'a pas la
prétention de rendre votre XP
totalement étanche à tout
piratage, mais ce "blindage" devrait rendre
plus difficile une intrusion....jusqu'au
moment où ce sera vous qui ouvrirez
la porte !
Les manipulations données ici
sont à réserver à des
informaticiens expérimentés
et à appliquer avec toutes les
précautions nécessaires
(sauvegardes de la base de registre avant
modification, principalement).
Si vous n'avez aucune notion de
sécurité, évitez les
réglages en base de registre et dans
l'éditeur des stratégies de
sécurité !
|
1ère partie : La base
Pour pouvoir commencer sur une base saine, il
est indispensable de commencer par les
différents patchs disponibles sur windowsupdate et principalement,
ceux concernant la sécurité du
système.
Ensuite, un petit tour sur les "7 Sept étapes vers la
sécurité informatique
personnelle"(MS), histoire de faire une
petite révision...
2ème partie : Les partages
- sur connexion
Si vous avez une connexion par modem,
décochez la case "Partages de fichiers
et d'imprimantes" dans les
propriétés de celle-ci.(et pendant
que vous êtes là, pensez à
activer le pare-feu ICF dans l'onglet
"Avancé" -à moins que vous n'ayez
un pare-feu autre, mais rien ne vous
empêche d'activer les 2, pensez juste
à laisser passer ALG.exe-)
- automatiques
Ces partages sont utilisés pour
l'administration à distance; pour une
utilisation personnelle (même si il y a un
réseau local), ils ne sont pas
nécessaires.
Direction : Base de registre !
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoShareWks"=dword:00000000
Ensuite, rebootez et désactivez les
partages des disques (Ex: C$)
(Un petit utilitaire qui est pratique pour
voir les partages : ShareWatch )
IPC$ est utilisé pour les
communications entre systèmes. Des infos, plus d'infos. Si vous
supprimez ce partage, il sera impossible d'obtenir
des renseignements sur les ressources
partagées du PC.
ADMIN$ est utilisé pour
l'administration à distance et PRINT$
contient les drivers de l'imprimante
partagée.
3ème partie : Encore plus parano !
- Renommer le compte Administrateur
Hé oui, c'est plus difficile de
trouver un couple login/password que juste le mot
de passe, non ?
Clic droit sur le poste de travail,
"Gérer", "Utilisateurs et groupes locaux",
"Utilisateurs", Clic droit sur le compte
"Administrateur", "Renommer" (évitez les
trucs genre "admin", "boss", "maitre", "dieu" et
autres facilités...)
- Empêcher les accès anonymes...
...qui permettent de connaître les noms
des utilisateurs (dont celui de l'administrateur)
:
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"restrictanonymous"=Dword:00000002
"restrictanonymoussam"=Dword:00000001
La même chose avec gpedit.msc :
Config. Ordinateur > Paramètres
Windows > Paramètres de
sécurité > Stratégies
locales > Options de
sécurité >
Accès réseau : Ne pas autoriser
l'énumération... >
Activé (les deux !)
Accès réseau : permets la
traduction nom/SID anonymes >
Désactivé
- Les anonymes ne sont pas tout le monde !
Empêcher le système d'accorder
les droits "Tout le monde" aux anonymes (sous XP
Pro, cette valeur est déjà sur
zéro par défaut) :
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"everyoneincludesanonymous"=Dword:00000000
La même chose avec gpedit.msc :
Config. Ordinateur > Paramètres
Windows > Paramètres de
sécurité > Stratégies
locales > Options de
sécurité >
Accès réseau : Les
autorisations tout le monde s'appliquent aux
anonymes > Désactivé
- Des mots de passe sécurisés
Laisser un mot de passe vide, c'est
bête :
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"limitblankpassworduse"=Dword:00000001
La même chose avec gpedit.msc :
Config. Ordinateur > Paramètres
Windows > Paramètres de
sécurité > Stratégies
locales > Options de
sécurité >
Comptes : Restreindre... Mot de passe
vierge... Session console >
Activé
Compliquer les mots de passe, c'est la cerise
sur le gâteau (qui a dit "prise de
tête" ? ;-) ) :
-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"AlphanumPwds"=Dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Network]
"AlphanumPwds"=Dword:00000001
- Encore plus...
Compliquer l'authentification réseau
(Attention, les vieux Windows du réseau
local ne vont pas aimer du tout !)
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"nolmhash"=Dword:00000001
"lmcompatibilitylevel"=Dword:00000005
(pas plus de 3 avec des Win9x/Me)
La même chose avec gpedit.msc :
Config. Ordinateur > Paramètres
Windows > Paramètres de
sécurité > Stratégies
locales > Options de
sécurité >
Sécurité réseau : Ne pas
stocker de valeurs de hachage... >
Activé
Sécurité réseau : Niveau
d'authentification Lan Manager > NTLMv2
uniquement/refuser le reste
(Les clients qui
exécutent LAN Manager utilisent Windows
pour Workgroups et les plates-formes Windows 95
et Windows 98 sur lesquelles le Pack Client DS
n'est pas installé. Si le Pack CLient DS
est installé sur Windows 95 ou Windows 98,
ces clients peuvent utiliser NTLMv2. Windows
Millennium Edition prend en charge NTLMv2 sans
modification supplémentaire.)
Les fichiers réseau appartiennent au
groupe administrateur plutôt qu'à
l'utilisateur administrateur (là, on
corrige plutôt un demi-bug) :
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"nodefaultadminowner"=Dword:00000000
(oui, oui, zéro !)
4ème partie : Plongée dans les
stratégies de sécurité
Allez, hop, même pas peur :
Démarrer > Exécuter :
secpol.msc
- Vous avez vraiment besoin d'un accès
réseau administrateur ?
- Vous avez vraiment besoin d'un
accès local par les comptes
réseau ?
(attention, "Ouvrir une session localement"
désigne les groupes autorisés
à se logguer localement -accès
"physique" à la machine-, ne pas
retirer les Administrateurs !)
- Comment gérer les comptes
spéciaux Invité et Administrateur ?
On peut aussi désactiver le compte
Administrateur principal car il possède
toujours l'identifiant de sécurité
(SID)500. Prévoyez un autre compte avec
des droits d'administration avant de le
bloquer.(Fait double emploi avec "Accéder
à cet ordinateur depuis le réseau)
5ème partie : Le cas CMD.EXE
Souvent utilisé pour des "exploits" la
commande CMD.EXE (%system%\system32\) doit
être uniquement accessibles par les
administrateurs et les utilisateurs (les groupes
"system" et "tout le monde" n'en ayant
normalement pas l'utilité). A modifier
à l'aide d'un clic droit >
propriétés et changement des droits
NTFS.
6ème partie : Une idée à
creuser ?
Pour les pointilleux, il pourrait être
intéressant de créer un groupe
"réseau" pour les utilisateurs des
partages et autres services distants afin de
pouvoir leur affecter des droits précis.
Conclusion
J'ai testé ces réglages
personnellement, sauf la complication des MdP, le
blocage du compte Administrateur (voir les 2
captures d'écran) et l'impact sur les
partages réseau (en théorie, entre
machines sous XP, c'est bon). Si vous avez trop
bidouillé les droits, réinitialisez les
paramètres de sécurité -
testé aussi :-) -(pensez à
remettre les utilisateurs dans leur groupe
ensuite, si les applis chahutent, vérifiez
leur autorisations NTFS). Bien sur, tous ces
réglages n'excluent pas l'installation et
la mise à jour régulière
d'un anti-virus, l'utilisation d'un pare-feu
(aussi appellé firewall. Je vous conseille
www.kerio.com/fr ), ainsi qu'un peu
de prudence avec votre messagerie et votre
navigateur Internet. Tout commentaire,
précision et rectification est le
bienvenu, n'hésitez pas à m'envoyer
un mail !
|
