Vous êtes sur la page 1sur 82

La scurit de la station de travail Windows

Denis Szalkowski Formateur consultant

Support sur la scurit

- 2 / 82 -

Sommaire Sommaire ................................................................................................... 2 I. Les antivirus.......................................................................................... 5


A. B. C. D. Dfinition adapte de celle de Fred Cohen, pre de la virologie .................................................................... 5 Prsentation ............................................................................................................................................................ 5 Les symptmes....................................................................................................................................................... 5 Mcanisme de l'infection ou le cycle de vie........................................................................................................ 5 1. Le camouflage........................................................................................................................................... 5 2. La recherche .............................................................................................................................................. 5 3. La duplication ........................................................................................................................................... 5 4. La destruction ........................................................................................................................................... 5 Les supports d'infection virale............................................................................................................................. 6 1. Fichiers EXE, COM, OVL, OVR, DLL? DRV, SYS, BIN, 386, VXD, CTL, SCR : fichiers binaires .. 6 2. Secteur de boot ......................................................................................................................................... 6 3. Macro-virus VBA: fichiers utilisateurs .................................................................................................. 6 4. ActiveX : pages html, logiciels, messagerie .......................................................................................... 6 5. Applets Java : pages html, logiciels, messagerie .................................................................................. 6 a) Applets d'interruption de service ................................................................................................ 6 b) Applets Cheval de Troie................................................................................................................ 6 6. Script VB ou JS ou JPG.VBS ou .BAT (I Love You) : messagerie, pages html .................................. 7 7. Les plugins ................................................................................................................................................ 7 Les types de virus .................................................................................................................................................. 7 1. Les chevaux de Troie ou Backdoors ...................................................................................................... 7 2. Les vers ou worms ................................................................................................................................... 7 3. Les canulars ou Hoaxes ou intox-mails................................................................................................. 7 4. Good Luck : Hoax ou joli coup commercial ?....................................................................................... 7 5. les rootkits ................................................................................................................................................. 7 La prvention ......................................................................................................................................................... 8 1. Les pices jointes ...................................................................................................................................... 8 2. Les supports magntiques ...................................................................................................................... 8 3. P2P et messagerie instantane ................................................................................................................ 8 Les mthodes de dtection ................................................................................................................................... 8 1. la signature virale ou mode dterministe ou mode gnrique .......................................................... 8 2. Le mode heuristique ................................................................................................................................ 8 3. Le mode prventif ou l'analyse comportementale............................................................................... 8 4. Le contrleur cryptographique ou systme post-analyse................................................................ 8 L'offre commerciale ............................................................................................................................................... 8 Mode de fonctionnement des antivirus .............................................................................................................. 9 1. Services de nettoyage en ligne................................................................................................................ 9 2. Les scanners .............................................................................................................................................. 9 3. Les intercepteurs ...................................................................................................................................... 9 4. La mise jour............................................................................................................................................ 9 Le plan d'action antiviral ...................................................................................................................................... 9 Des antivirus gratuits sous Windows ................................................................................................................. 9 1. Clamwin : antivirus GPL......................................................................................................................... 9 2. Des solutions gratuites pour les particuliers ........................................................................................ 9 3. Les anti-rootkits ........................................................................................................................................ 9

E.

F.

G.

H.

I. J.

K. L.

II.

La sauvegarde .......................................................................................11
A. B. Le constat .............................................................................................................................................................. 11 Solutions................................................................................................................................................................ 11 1. Post-installation ...................................................................................................................................... 11 2. Quotidienne ............................................................................................................................................ 11 Le RAID(Redundant Array Of Independant Disks) ....................................................................................... 11 1. Les RAID utilisables au niveau des stations et des serveurs............................................................ 11 27 aot 2008

C.

Denis Szalkowski Formateur Consultant

Support sur la scurit

- 3 / 82 -

D.

E. F.

G.

a) RAID 0 ou stripping..................................................................................................................... 11 b) RAID 1 ou mirroring ................................................................................................................... 11 2. Les RAID applicables au niveau des serveurs ................................................................................... 11 a) RAID 5 ........................................................................................................................................... 11 b) RAID 10, 50 ................................................................................................................................... 11 Les supports.......................................................................................................................................................... 11 1. Les supports magntiques .................................................................................................................... 11 2. Les supports optiques............................................................................................................................ 12 Les types de sauvegarde ..................................................................................................................................... 12 Techniques et outils de sauvegarde .................................................................................................................. 12 1. Au niveau des stations........................................................................................................................... 12 a) La compression............................................................................................................................. 12 b) Clonage.......................................................................................................................................... 12 2. Au niveau des serveurs ......................................................................................................................... 12 a) Les Clusters ou architectures en grappes ou fermes de serveurs.......................................... 12 b) Le NAS ou le SAN ....................................................................................................................... 12 Le danger de la monoculture ............................................................................................................................. 12

III. Elements de base...................................................................................13


A. Les onduleurs ....................................................................................................................................................... 13 1. Les risques ............................................................................................................................................... 13 2. Solutions .................................................................................................................................................. 13 3. Les types d'onduleur.............................................................................................................................. 13 Le Bios ................................................................................................................................................................... 13 Bloquer l'autorun ................................................................................................................................................. 16 Dsactiver Netbios............................................................................................................................................... 16 Renommer le compte Administrateur .............................................................................................................. 19 Gestion des stratgies locales de scurit : la console secpol.msc................................................................. 19 Principe du moindre privilge ........................................................................................................................... 21 1. Sous Windows ........................................................................................................................................ 21 2. La commande Runas.............................................................................................................................. 21 3. Sous Linux............................................................................................................................................... 22

B. C. D. E. F. G.

IV. Les application courantes ........................................................................23


A. B. La scurit sous Office......................................................................................................................................... 23 Utilisation d'Internet Explorer et Oulook Express .......................................................................................... 24 1. Scurisation d'Internet Explorer........................................................................................................... 24 2. Les cookies .............................................................................................................................................. 27 3. La scurit sous Outlook Express ........................................................................................................ 29 4. La scurit sous Outlook Xp ................................................................................................................. 30 C. La scurit sous Firefox et ThunderBird........................................................................................................... 32 1. Le navigateur Firefox............................................................................................................................. 32 D. Thunderbird ......................................................................................................................................................... 34 E. Vbscript, Jscript et Windows Scripting Host ................................................................................................... 35 1. Bloquer les technologies potentiellement dangereuses .................................................................... 36 2. Les Extensions de fichiers ..................................................................................................................... 36 a) Visualiser les extensions.............................................................................................................. 36 b) Modifier les associations ............................................................................................................. 38 c) Modifier la variable d'environnement PATHEXT................................................................... 39 (1).................................................................................................................................................Par la base de registre ....................................................................................................................................................................................... 39 (2).......................................................................................................................................................... Par l'explorateur ....................................................................................................................................................................................... 40

V.

Les spyware ou espiogiciels ......................................................................43


A. B. C. Dfinition .............................................................................................................................................................. 43 Les spyware dans les mails ................................................................................................................................ 43 Les outils pour radiquer les spyware sous environnement Windows ....................................................... 43 27 aot 2008

Denis Szalkowski Formateur Consultant

Support sur la scurit D. E. F.

- 4 / 82 -

G. H.

Utilisation d'Ad-Aware....................................................................................................................................... 43 SpyBot -Search & Destroy................................................................................................................................... 45 Les spyware sous Windows Xp ......................................................................................................................... 47 1. Lecture de votre HWID (Hardware ID) et du MSID (Microsoft ID) ............................................... 47 2. Windows Media player ......................................................................................................................... 47 3. Windows Update ................................................................................................................................... 49 4. Rapport d'erreurs sous Ie6/Windows XP........................................................................................... 49 a) Dsactiver le rapport d'erreurs sous IE..................................................................................... 49 b) Dsactiver le rapport d'erreurs sous Windows XP.................................................................. 49 5. XP ............................................................................................................................................................. 49 6. Office ........................................................................................................................................................ 49 7. Xp-AntiSpy.............................................................................................................................................. 51 Les services susceptibles de contenir des spyware sous Windows Xp ........................................................ 51 Les logiciels de cryptage sous environnement Windows .............................................................................. 52 1. Intrt du cryptage................................................................................................................................. 52 2. Avant-propos .......................................................................................................................................... 52 3. Les produits ............................................................................................................................................ 52

VI. Le spam ..............................................................................................53


A. B. C. L'origine du mot................................................................................................................................................... 53 L'arsenal juridique ............................................................................................................................................... 53 Se protger avec SpamPal................................................................................................................................... 53

VII. Les firewall ..........................................................................................62


A. B. C. D. E. Caractristiques des firewall ou gardes-barrire ou porte coupe-feu .......................................................... 62 Limites ................................................................................................................................................................... 62 Les produits .......................................................................................................................................................... 62 Activer le pare-feu intgr sous XP ................................................................................................................... 63 La configuration de Sygate Personal Firewall ................................................................................................. 64 1. Tlcharger et installer Sygate.............................................................................................................. 64 2. Comment configurer Sygate ? .............................................................................................................. 65 3. Les options .............................................................................................................................................. 66 4. Les rgles de configuration d'une station de travail connecte Internet ..................................... 68 5. La sauvegarde et l'importation des rgles .......................................................................................... 78 6. Les logs .................................................................................................................................................... 79

VIII. Annexe 1 .............................................................................................81 IX. Rfrences...........................................................................................82


A. Sites ........................................................................................................................................................................ 82

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 5 / 82 -

I. Les antivirus A. Dfinition adapte de celle de Fred Cohen, pre de la virologie

Un virus est un code prsent dans un fichier qui modifie d'autres documents ou programme afin d'y inclure une copie de lui-mme. Le premier virus sur PC est apparu en 1986. Ils 'agit de Brain, un code destructeur ralis au Pakistan par les frres Alvi. Le premier virus s'appelle Shock de Xerox. Il est n en 1982.

B.

Prsentation

Le ver se diffuse via le carnet d'adresses. C'est une forme virale trs active et trs nocive. Il entrane la saturation des serveurs de messagerie. Un hoax est une rumeur qui essaie d'amener les gens faire une opration qui peut entraner le dysfonctionnement partiel ou total de leur systme.. Le cheval de Troie ouvre une porte d'entre drobe sur laquelle un programme extrieur prendra appui. Les virus polymorphiques tentent de rendre leur dtection difficile en changeant de forme. Les virus mtamorphiques visent contourner le notion de point d'entre dans un programme. Ils le dcompilent, insrent la souche et recompilent le programme. Les diteurs sont obligs retirer de leurs bases de signature sur laquelle s'appuie la recherche dterministe les vieilles souches virales. Une protection 100% est parfaitement illusoire. N'oubliez pas que le meilleur antivirus reste la sauvegarde de vos donnes. Il faut moins de 24 heures pour trouver la parade un virus. Il faut entre une et six heures pour raliser une mise jour des antivirus chez eAlladin, socit isralienne. En cas de portions chiffres, cela peut prendre davantage de temps. Magister ou Hybris ont demand plus d'une journe de travail toute une quipe. Les mthodes de chiffrement risquent de fournir un abri inattendu aux virus, ralentissant le travail des antivirus.

C.

Les symptmes

Dclenchement d'un son Affichage d'un texte ou d'un message Perturbation de l'affichage Ralentissement et diminution des performances Augmentation de la place occupe sur disque ou en Ram. Destruction de donnes, formatage du disque Attaque du Bios : CIH/Tchernobyl sont susceptibles d'altrer les bios flashables et de vous amener changer votre eprom, au pire changer votre carte mre. Prfrez toujours une carte mre flashable par cavalier. Aujourd'hui, ces modles sont rares. Perte de contrle et comportement erratique les dbordements de mmoire

D.
1.

Mcanisme de l'infection ou le cycle de vie


Le camouflage

Le code est hberg par un support hte (disquette, fichier, mail, page html).

2.

La recherche

Le virus charg en mmoire recherche les diffrents modes de duplication

3.

La duplication

Il infecte d'autres supports du code souche.

4.

La destruction

Elle intervient au travers d'une bombe logique que porte le code du virus.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 6 / 82 -

E.
1.

Les supports d'infection virale


Fichiers EXE, COM, OVL, OVR, DLL? DRV, SYS, BIN, 386, VXD, CTL, SCR : fichiers binaires

En 1987, le virus Jrusalem (alias Vendredi 13) fait son apparition. Il ajoute un morceau de code chaque excutable jusqu' ce qu'il ne puisse plus se lancer. On distingue : les virus cavit qui s'abritent dans une suite de 0 incluse dans le code les virus compagnons qui cre un nouveau programme qui est excut lors du lancement d'un autre programme les virus souterrains qui utilisent les vecteurs d'interruption les virus compte-gouttes qui sont chargs d'infecter sans eux-mmes contenir le virus les Virus systmiques qui infectent les fichiers systme les virus multiples Comme Tequila qui infectent Exe et secteur de boot les virus furtifs comme Hundred Years qui masquent leur prsence en dtournant les interruptions Dos les virus arms tel Whale qui empchent l'opration de dsassemblage les virus auto-encrypteurs tel Cascade qui rendent leur dtection complexes, recourant une cl variable les virus polymorphes qui disposent d'un moteur de mutation lors de leur reproduction

2.

Secteur de boot

Michelangelo apparat la fin des annes 80. En 1991, De la mme veine : Tequila , Antiexe, Stoned Protgez vos disquettes dans des machines non protges. Changez l'ordre d'amorage de vos PC

3.

Macro-virus VBA: fichiers utilisateurs

Nichs au cur des documents Word, ils contaminent la feuille de style DOT. Ils se sont tendus aux fichiers PowerPoint, Excel, Access. En mars 1999, Melissa utilise Outlook pour se propager. Melissa est un mass mailer. Melissa. David Lee Smith, 34 ans, l'auteur du virus, a t condamn par la justice fdrale des tats-Unis 10 ans d'emprisonnement. Pour avoir aid la justice, il ne purgera qu'une peine de 20 mois et devra s'acquitter d'une amende de 5 000 $. Un tribunal du New Jersey, devant lequel il comparaissait, lui a inflig 2 500 $. Melissa aurait caus des dommages 1,2 million d'ordinateurs et , une perte estime 80 millions de dollars. Jan De Wit un hollandais g de 24 ans, auteur de Kournikova, a t condamn en septembre dernier une peine de 150 heures de travaux communautaires par un tribunal des Pays-Bas et d'une amende de 40 000 $. Ils peuvent utiliser le carnet d'adresses pour se propager. Ils sont ns en aot 1995 avec Concept. Ils utilisent l'interface MAPI (Messaging Application Programming interface). Parade : dsactiver l'excution des macros et, au besoin, spcifiez les documents srs contenant des macros dont vous tes amens vous servir. Protgez aussi le fichier NORMAL.DOT en criture

4.

ActiveX : pages html, logiciels, messagerie

Ce sont des composants qui se tlchargent partir de la consultation de pages html. Trs intressant pour le programmeur, leur utilisation a t dtourne du fait de leur intgration Internet Explorer et au systme Windows. Pour viter des infections potentielles, rglez votre navigateur Internet Explorer ou changez-en ! Ou alors, utilisez le fichier batch dcrit en annexe 1.

5.

Applets Java : pages html, logiciels, messagerie

Ils sont ns en 1999 avec Java_StrangeBrew, suivi par Java_BeanHive et de Java_IECrash qui fige le systme et vous fait perdre les donnes non sauvegardes.

a)

Applets d'interruption de service

Elles s'accaparent toutes les ressources du systme jusqu' ce que les applications s'arrtent. Elles interrompent les threads jusqu' ce que la mmoire soit ddie des applications non productives. Cela ne concerne que des serveurs d'applications.

b)

Applets Cheval de Troie

En autorisant l'excution d'applets Java, partir de votre navigateur, vous vous exposez des applets malveillantes.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 7 / 82 -

6.

Script VB ou JS ou JPG.VBS ou .BAT (I Love You) : messagerie, pages html

C'est l'automne 2000 qu'apparaissent les premiers virus scripts. Ils utilisent le carnet d'adresses pour se propager. Le fait d'ouvrir le message permet au virus de se diffuser. Exemple : KAK. Ils contribuent saturer les serveurs de messagerie comme Melissa. Exemples : Kournikova.jpg.vbs Nimda et CodeRed utilisent une faille de scurit de IIs pour se propager d'un serveur Ftp une station de travail. Ils sont la fois vers et virus par la manire dont ils se propagent et infectent stations de travail et serveurs Web.

7.

Les plugins

Selon Matt Loney de ZDNet UK, le lecteur Flash Player offrirait la possibilit des pirates de prendre le contrle distance d'un ordinateur ou y injecter un virus. La faille aurait t trouve simultanment par Macromedia et par eEye Digital Security. La vulnrabilit se situerait au niveau d'un contrle ActiveX selon Marc Maiffret de chez eEye. Le contrle incrimin se nomme Flash.ocx, l'origine d'un dpassement de la mmoire tampon. L'diteur a d'ors et dj mis un disposition un lecteur 6.26 qui corrige le bogue. Il existerait, selon Macromedia, plus de 436 millions de copies de son lecteur Flash au travers le monde. 98% des internautes utiliseraient ce logiciel. Avec beaucoup de conditionnel. Solution : dsinscrire le composant, dsactiver les ActiveX ou dsactiver les plugins. Sous Windows, tapez : %windir%\system32\regsvr32.exe /u %windir%\Macromed\Flash\swflash.ocx

F.
1.

Les types de virus


Les chevaux de Troie ou Backdoors

Ils sont abrits dans des petits utilitaires ou dans des jeux. Contrlez les fichiers par leur signature MD5. I Love You a t cr par un tudiant philippin, Onel de Guzman. Sous environnement Windows, contrlez la cl HKLM\Software\Microsoft\windows\CurrentVersion\Run Sub Seven, Back Orifice appartiennent cette catgorie. Inoffensifs au niveau de votre systme, ils permettent une personne extrieure de contrler votre PC.

2.

Les vers ou worms

Robert Morris, alors tudiant, dfinit un programme qui se rplique par la messagerie qui s'appuyait alors sur des failles des Systmes BSD Unix. Ce premier ver saturait les disques, les processeurs et les accs rseaux. Aujourd'hui, ils effacent les fichiers. KAK (Kakou Anti Krosoft) est un des rares arrter la machine en dbut de mois. Le ver n'est pas reproductible. Il profite d'une faille au niveau du rseau pour s'abriter. Il s'limine d'une machine ds qu'il peut trouver abri sur une autre machine. Le pseudo-ver comme I Love you relve du virus et du ver.

3.

Les canulars ou Hoaxes ou intox-mails

Ils encombrent la bande passante des rseaux et du Net ainsi que les botes aux lettres. Il s'apparente du spam. Ne rpondez pas ces messages. Ce serait des informations supplmentaires que Vous fourniriez l'metteur.

4.

Good Luck : Hoax ou joli coup commercial ?

En ce dbut d'anne 2002, la socit Tegam et son PDG Marc Dotan ont alert les autorits internationales de nouvelles formes d'attaques par chevaux de Troie furtifs.

5.

les rootkits

Les pare-feux peuvent tre assimils des rootkits dans la mesure o ce sont eux qui prennent en charge la surveillance du trafic rseau. Le API Hooking n'affecte en rien le noyau. Il modifie le fonctionnement de la couche Application en infection vos Dll kernel32.dll, user32.dll, gdi32.dll. Le SSDT (System Service Descriptor Table) est une table D'indirection utilise par le noyau pour utiliser un service, aprs que l'utilisateur est fait un appel noyau. Plutt que d'infecter le noyau, le pirate peut dtourner le fonctionnement de cette table. Denis Szalkowski Formateur Consultant 27 aot 2008

Support sur la scurit

- 8 / 82 -

G.
1.

La prvention
Les pices jointes

Dsactiver l'ouverture automatique des pices jointes Au niveau des serveurs de messagerie, bloquer les mails comprenant des pices jointes avec les extensions exe, com, vbs,js, scr

2.

Les supports magntiques

Pensez les dsactiver au niveau du Bios ou du systme d'exploitation. La disquette reste un des vecteurs de contamination les plus frquents.

3.

P2P et messagerie instantane

Pensez bloquer tout activit issue des logiciels IRC, ICQ, Gnutella, Kaaza, Morpheus, eDonkey, Emule, Imesh,

H.
1.

Les mthodes de dtection


la signature virale ou mode dterministe ou mode gnrique

C'est le mode de dtection le plus performant utilisant un scanner.

2.

Le mode heuristique

L'antivirus cherche des instructions dans les excutables abritant des codes excutables, comme des appels des interruptions, des missions de mails. C'est la mthode la plus efficace face aux virus polymorphes ou furtifs (stealth). L'analyse heuristique est sujette de nombreuses fausses alertes.

3.

Le mode prventif ou l'analyse comportementale

Les antivirus s'appuient sur le code biomtrique du virus, son empreinte. Il protge le secteur d'amorce, les Fichiers excutables et les Documents des macros potentiellement infectieuse. Le moteur bloque les actions interdites. Si un concepteur de virus dcouvre une nouvelle modalit d'infection, l'antivirus est inefficace.

4.

Le contrleur cryptographique ou systme post-analyse

Le contrleur recalcule l'empreinte de chaque fichier et la compare l'original. Vi-Guard dispose d'un contrleur de ce type.

I.

L'offre commerciale
Editeur Kaspersky Lab GData F-Secure Trend Micro Tegam Symantec Network Associates Panda Software Computer Associates Logiciel AVP Antivirus Kit antivirus PC Cillin Viguard Norton Anti Virus McAfee Viruscan Panda Antivirus InoculateIT Norman Sophos ThunderByte Antivirus Doctor Salomon eTrust antivirus InterScan viruswall ScanMail Mail essentials Webshield Esafe Protect Mailmonitor 27 aot 2008

Delta Logic Network Associates Computer Associates Trend Micro Trend Micro GFS McAfee Aladdin Sophos Denis Szalkowski Formateur Consultant

Support sur la scurit Symantec Trend Micro Trend Micro Nai Nai BitDefender Norton antivrus Interscan messaging Security Suite OfficeScan McAfee Groupshield Exchange Webshield e50 Antivirus

- 9 / 82 -

J.
1.

Mode de fonctionnement des antivirus


Services de nettoyage en ligne

Paradoxalement, ils ncessitent d'ouvrir votre machine au travers du navigateur et augmentent le niveau de risque.

2.

Les scanners

Ils balayent scrupuleusement tous les fichiers y compris les fichiers compresss. Du fait de l'explosion des souches virales, ils entranent, lorsqu'on les laisse rsidents un ralentissment significatif du systme d'exploitation. C'est le prix payer, malheureusement, pour protger des utilisateurs peu soucieux des problmes de scurit.

3.

Les intercepteurs

Ils agissent sur les mcanismes d'infection. Le seul problme, c'est qu'ils interdisent, dfinitivement, certaines oprations. Ils ne garantissent pas l'radication des souches virales dans les fichers. Cela signifie que vous pouvez les propager de manire passive. Ils doivent tre coupls des scanners.

4.

La mise jour

Les agents installs au niveau des stations de travail comme LiveUpdate utilis par Norton Antivirus peuvent pnaliser les performances globales du rseau. Et leur activit rsidente ralentit considrablement le fonctionnement des PC. D'autres solutions sont possibles. Ainsi, Viruscan peut tre mis jour par script l'aide du fichier SDATxxxx.EXE. Aujourd'hui, la plupart des mises jour se font par Internet.

K.

Le plan d'action antiviral

Un comportement suspect ou un trafic suspect entranent une alerte. Le coordonnateur de la cellule d'urgence traite cette alerte. Les services techniques coupent l'accs Internet public. Les antivirus sont mis immdiatement jour. Les services techniques nettoient et redmarrent les applications de messagerie. Les services techniques nettoient et redmarrent les postes clients Les services techniques ouvrent l'accs public Internet.

L.
1.

Des antivirus gratuits sous Windows


Clamwin : antivirus GPL

Driv du clbre logiciel Clamav (http://www.clamav.net/), le produit a t packag pour Windows. Il vous offre la possibilit de mise jour. L'inconvnient de ce produit est qu'il ne permet pas l'analyse des fichiers en temps rel.

2.

Des solutions gratuites pour les particuliers

Dans cette catgorie, vous trouverez : BitDefender Antivir Avast Avg Stinger (McAfee)

3.

Les anti-rootkits

Vice RootkitRevealer F-Secure BlackLight RootKit Hook Analyzer Denis Szalkowski Formateur Consultant 27 aot 2008

Support sur la scurit RootKit Unhooker Sophos Anti-RootKit Trend RootKit Buster Avg AntirootKit

- 10 / 82 -

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 11 / 82 -

II. La sauvegarde A. Le constat

Les disques durs peuvent connatre des dommages matriels lis des courts-circuits, la prsence d'lectricit statique, de "crash" ou des dommages logiques lis un dysfonctionnement d'un logiciel ou de la prsence d'un virus. Vos sauvegardes doivent tre stockes en lieu sr, protg contre le vol et contre l'incendie. Les extincteurs utiliser au niveau des ordinateurs restent ceux neige carbonique.

B.
1.

Solutions
Post-installation

Face ces erreurs logiques, compte tenu des capacits actuelles Des disques durs, n'hsitez pas cloner la partition systme incluant les programmes installs sur une partition libre de votre disque en n'oubliant pas de la cacher l'utilisateur. Vous pouvez employer un outil tel que Ghost.

2.

Quotidienne

N'hsitez pas effectuer les sauvegardes de faon quotidienne en les planifiant aux heures creuses (midi ou soir ou nuit). Seul problme de taille : vous devrez durant ces priodes laisser les postes allums ! Il faut donc veiller interdire l'ouverture de session par l'conomiseur d'nergie (sur Windows 9x) et le verrouillage de l'ordinateur sur Windows Nt4 / W2K / XP.

C.

Le RAID(Redundant Array Of Independant Disks)

En mode RAID 0+1, il ne vous protge en aucun cas des erreurs logiques qui seront crites simultanment sur les diffrents supports. L'investissement dans un systme RAID dont l'objet est de scuriser vos donnes n'a que peu de sens au niveau d'une station de travail. Au niveau d'un serveur, cette technologie est indispensable. Le concept est n Berkley en 1987 l'initiative de Randy Katz. A l'poque, RAID signifiait Redundant Array Of Inexpensive Disks.

1. a)

Les RAID utilisables au niveau des stations et des serveurs RAID 0 ou stripping

Cette technique offre de mettre les disques en grappe. Il permet d'augmenter le dbit des contrleurs. Si l'un des disques tombe en panne, c'est l'ensemble du systme qui est "scotch".

b)

RAID 1 ou mirroring

Cette technique permet la rplication complte en mode synchrone d'un disque sur un autre, d'une partition sur une autre ou d'une grappe sur une autre (RAID 0+1 ou 10). Inconvnient : la consommation de place par le redondance totale des units.

2. a)

Les RAID applicables au niveau des serveurs RAID 5

Identique au RAID 4 avec bit de parit distribu sur plusieurs units. Ainsi, le goulet d'tranglement que constituait l'unit de parit en mode RAID 4 est limin en mode raid 5.

b)

RAID 10, 50

Ils combinent deux techniques et offrent un trs haut niveaux de scurit. Ils sont cependant fort coteux mette en uvre.

D.
1.

Les supports
Les supports magntiques

Les disquettes, Zip et LS120 ne sont plus adapts compte tenu de la taille des donnes sauvegarder. De surcrot, leur dure de vie est faible. Denis Szalkowski Formateur Consultant 27 aot 2008

Support sur la scurit

- 12 / 82 -

Quant aux bandes DAT, DLT, QIC (Quarter Inch Quartridge) et autres Travan, leur dure de vie est de 6 mois. Il faut aussi songer remplacer les cartouches de nettoyage. Le support est peu coteux. Mais la fragilit du support exige des conditions d'utilisation trs exigeantes. Aujourd'hui, les disques externes en Usb et en Firewire offrent un dbit de transfert suffisamment lev et constituent un support peu coteux. C'est un bon compromis ds lors que vous doublez le dispositif..

2.

Les supports optiques

De toute vidence, les graveurs CD et Dvd reprsentent un trs bon moyen de sauvegarde pour des petites structures.

E.

Les types de sauvegarde

Complte : vous sauvegardez l'intgralit des donnes. Incrmentale : vous sauvegardez les donnes modifies (mthodes par diffrence).

F.
1. a)

Techniques et outils de sauvegarde


Au niveau des stations La compression

Le temps CPU utilise par l'algorithme de compression vous permet d'conomiser du temps au niveau de l'criture sur le support plus lent qu'un disque dur.

b)

Clonage

Les outils logiciels de clonage tels que Ghost sont intressants, pour viter d'avoir rinstaller un systme complet, aprs un incident. Cela ne signifie pas qu'il fasse, par la suite, continuer raliser les sauvegardes

2. a)

Au niveau des serveurs Les Clusters ou architectures en grappes ou fermes de serveurs

Du fait de la redondance des serveurs, l'arrt d'un des serveurs ne procure pas l'arrte De l'ensemble de l'infrastructure. L'intrt est de minimiser le temps de reprise sur incident.

b)

Le NAS ou le SAN

La sauvegarde est indpendante du serveur. Dans le cas du NAS (Network Attached Server), il s'agit d'un serveur ddi la sauvegarde. Le SAN (Storage Aera Network) est une technologie D'accs des supports de stockage par rseau : Fiber Channel ou iSCSI.

G.

Le danger de la monoculture

Il est tonnant que le bon sens amne les nations industrielles varier leur source d'nergie et que les entreprises n'aient qu'un seul fournisseur en matire de systme d'exploitation.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 13 / 82 -

III. Elements de base A.


1.

Les onduleurs
Les risques

variations de tension qui provoque les dysfonctionnements et la destruction de composants sensibles coupures de courants Edf (10 60 ms) lis l'utilisation des renclencheurs automatiques et au dlestage automatique frquent en zone rurale surtensions lorsque le groupe lectrogne se met en fonctionnement d'urgence et que le couplage avec le offline. Ces surtensions sont frquentes en milieu industriel. variations de frquence distorsions harmoniques et parasites qui causent des pertes de donnes accidents CEM (compatibilit lectromagntique) provoqus par les quipements rayonnants, par les accs Ethernet sans fil. sous-tensions qui provoquent des ralentissements au niveau du PC

2.

Solutions

Au niveau d'une entreprise disposant d'un parc tendu, mieux vaut privilgier les systmes centraliss. L'utilisation de systmes tels que Metaframe ou TSE permet de limiter l'emploi des onduleurs. Centralise Dcentralise Cette architecture la plus souvent choisie est couple avec des onduleurs 3 KvA associs chacun des serveurs. Distribue Dans ce cas, les onduleurs sont rpartis au niveau de chaque nud. Cela suppose un parc de petite taille.

3.

Les types d'onduleur


Ce sont les onduleurs en fonctionnement continu ou on line trs utiliss au dessus de 3 KVA. En cas de panne, la commutation demande 2 10 ms. Les onduleurs les plus utiliss sont en attente active assurant en continu la rgulation de la tension de sortie. Les onduleurs off-line disposent d'un micro-processeur capable trs vite de les ramorcer.

A fonctionnement continu Line interactive Off-line

B.

Le Bios

Le Bios est l'interface entre le systme d'exploitation (software) et les lments matriels (hardware) de votre machine. Pour modifier les informations qui seront fournies votre systme d'exploitation, vous devez accder au setup. Ce programme est accessible au boot de votre PC (avant que votre systme ne soit charg) par diffrentes touches : Suppr (Del), F1, F2, etc. Pour connatre cette touche, le plus simple est de dbrancher votre clavier avant de dmarrer votre machine. Veuillez, par avance, m'excuser de la pitre qualit de ces copies d'cran qui ont t ralises par un appareil photo numrique. Je ferais mieux la prochaine fois.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 14 / 82 La premire opration est d'activer la protection du secteur D'amorce de votre machine : Enabled au niveau du Virus Warning dans Advanced BIOS Features. N'autorisez booter qu'avec disque dur (aprs avoir install votre systme). Cela vite, en laissant une disquette d'tre contamin par un virus boot.

Dans le mme menu, vous pouvez aussi viter de vous faire modifier logiciellement les paramtres de votre Bios par un virus Bios. Trs dsagrable ! La protection n'est pas toujours fiable. En cas d'infection, il faut ou commander une Eprom auprs du fabricant de la carte-mre ou bien dmarrer votre machine avec une puce du mme type, la changer chaud aprs avoir accd au Bios avec la nouvelle puce et sauvegard les informations volatiles dans l'ancienne. Pas Trs clair ?

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 15 / 82 Les nouvelles machines vous offrent la possibilit d'tre "rveilles" par un simple appel sur le modem ou par le biais d'une activit rseau. Cette fonction est associe la gestion de l'nergie de votre machine. Dans le menu Power Management Setup, choisissez IRQ / Event Activity Detect. Validez par la touche Entre.

Dsactivez tout ce qui est relatif PowerOn by

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 16 / 82 Enfin, n'oubliez de fixer un mot de passe pour l'accs au setup (Set Supervisor Password) et/ou un mot de passe pour l'accs la machine (Set User Password). En cas d'oubli de ce mot de passe, il faut alors dmarrer la machine en provoquant un court-circuit sur la pile Cmos qui maintient les informations de la partie volatile du Bios.

C.

Bloquer l'autorun

Allez dans Dmarrer | Programmes. Tapez regedit. Recherchez la valeur Autorun (F3).

Double-cliquez sur cette cl et entrez la valeur 0 pour dsactiver cette fonction.

D.

Dsactiver Netbios

Netbios, protocole dfini par IBM, repris par Microsoft dans Lan Manager permet la communication avec les stations Windows 9x et Nt4. Il n'est pas ncessaire avec les machines Windows 2000 et Xp qui peuvent rsoudre les noms en s'appuyant sur Dns. L'application Netbios over Tcp/Ip doit tre dsactive dans tous les autres cadres. Elle doit tre encadre par un firewall si vous souhaitez malgr tout l'employer. Denis Szalkowski Formateur Consultant 27 aot 2008

Support sur la scurit Au niveau de l'explorateur, faites un clic droit au niveau des Favoris rseau. Choisissez Proprits

- 17 / 82 -

Faites un clic droit sur votre adaptateur rseau.

Allez dans les proprits Tcp/Ip.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 18 / 82 -

Cliquez alors sur le bouton Avanc.

Au niveau de l'onglet WINS, dsactivez Netbios avec Tcp/Ip.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 19 / 82 -

E.

Renommer le compte Administrateur


L'une de vos premires tches est de renommer votre compte Administrateur. Car, dans les attaques en force brute (test de login et de mot de passe), en laissant le compte Administrateur, il ne reste qu'au pirate de trouver votre mot de passe. Ouvrez la console lusrmgr.msc par Dmarrer|Excuter.

F.

Gestion des stratgies locales de scurit : la console secpol.msc

Pensez auditer les vnements de connexion. Ainsi, ils seront consigns dans votre journal d'vnements (console eventvwr.msc) au niveau de la rubrique Scurit.

Double cliquez sur l'item Auditer les vnements de connexion. Cochez Opration russie et chec.

Veillez ce que dans les attributions des droits utilisateurs, vous respectiez les valeurs suivantes. Dans l'exemple cidessous, personne ne peut accder votre machine. La stratgie Accder cet ordinateur depuis le rseau ne contient aucun compte utilisateur. Denis Szalkowski Formateur Consultant 27 aot 2008

Support sur la scurit

- 20 / 82 -

Dans les Options de scurit, respectez les valeurs suivantes.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 21 / 82 -

G.
1.

Principe du moindre privilge


Sous Windows

Pour que ce mode puisse fonctionner, il faut, au pralable que le service Connexion secondaire s'excute. Dans l'explorateur, cliquez sur Shift et par un clic droit sur l'excutable, choisissez Excuter en tant que.

2.

La commande Runas

RUNAS [/noprofile] [/env] [/netonly] ] /user:<Nom_utilisateur> programme RUNAS [/noprofile] [/env] [/netonly] ] /smartcard [/user:<Nom_utilisateur>] programme

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit /noprofile charg. /profile . /env

- 22 / 82 spcifie que le profil de l'utilisateur ne devrait pas tre Cela permet le chargement plus rapide de l'application, mais peut provoquer le dysfonctionnement de certaines applications. spcifie que le profil de l'utilisateur devrait tre charg

Il s'agit de l'option par dfaut. pour utiliser l'environnement en cours la place de celui de l'utilisateur. /netonly utiliser si les informations d'identification spcifies sont pour l'accs distance uniquement. /savecred pour utiliser les informations d'identification prcdemmen t sauvegardes par l'utilisateur. Cette option n'est pas disponible sur Windows XP dition fa miliale et sera ignore. /smartcard utiliser si les informations d'identification sont fournies partir d'une carte puce. /user <NomUtilisateur> sous la forme UTILISATEUR@DOMAINE ou DOMAI NE\UTILISATEUR program ligne de commande pour EXE. Voyez les exemples ci-dessous Exemples : > runas /noprofile /user:MonOrdinateur\administrateur cmd > runas /profile /env /user:MonDomaine\admin "mmc %windir%\system32\dsa.msc" > runas /env /user:utilisateur@domaine.microsoft.com "notepad \"fichier.txt\"" Remarque vous est Remarque REMARQUE : n'entrez le mot de passe utilisateur que lorsqu'il demand. : utilisateur@domaine n'est pas compatible avec /netonly. : /profile n'est pas compatible avec /netonly.

3.

Sous Linux

Vous disposez des commandes kdesu ou gnomesu ou simplement su en ligne de Commande

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 23 / 82 -

IV. Les application courantes A. La scurit sous Office

La suite Office est particulirement expose aux virus macros apparus dans les annes 1995. A partir de Word, allez dans Outils | Options.

Au niveau de l'onglet Scurit, allez dans Scurit des macros.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit Activez le niveau de scurit le plus lev possible

- 24 / 82 -

en prenant soin, au niveau de l'onglet Sources fiables, de dcocher Faire confiance tous les modles et complments installs et Faire confiance au projet Visual Basic.

B.

Utilisation d'Internet Explorer et Oulook Express

Compte tenu des nombreuses failles de scurit lies au degr d'intgration d'Internet Explorer au systme d'exploitation, je vous recommande vivement de ne pas utiliser ces produits si vous ne savez pas ou vous ne voulez pas les scuriser. Il vaut mieux utiliser un produit tel que MozillaBird. Toutefois, vous pouvez vous essayer les scuriser en suivant ces quelques prconisations.

1.

Scurisation d'Internet Explorer

Allez dans Dmarrer | Panneau de configuration | Options Internet.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 25 / 82 -

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit Choisissez Niveau par dfaut et dplacez le curseur sur lev au niveau de la zone Internet. Cliquez alors sur le bouton Personnaliser le niveau.

- 26 / 82 -

Dans les paramtres de scurit, slectionnez en fonction des options mises en gras ci-dessous. Il convient de dsactiver tout ce qui est relatif la technologie ActiveX et Java minemment virugne lorsqu'elle s'excute sur le poste de travail. Le mcanisme d'infection repose sur le tlchargement par lien au niveau d'une page Html d'un composant infectieux qui s'excute sur votre machine en s'appuyant sur vos propres ressources. Mon propos n'est pas de condamner ces technologies intressantes que l'on utilise au niveau des services Web.

Authentification d'utilisateur Connexion Demander le nom d'utilisateur et le mot de passe Contrles ActiveX et plugins Contrles ActiveX reconnus srs pour l'criture de scripts Dsactiver Contrles d'initialisation et de script ActiveX non marqus comme scuriss Dsactiver Denis Szalkowski Formateur Consultant 27 aot 2008

Support sur la scurit Excuter les contrles ActiveX et les plugins Activer Tlcharger les Contrles ActiveX non signs Dsactiver Tlcharger les Contrles ActiveX signs Dsactiver Divers

- 27 / 82 -

Accs aux sources de donnes sur plusieurs domaines Dsactiver Afficher un contenu mixte Dsactiver Autorisations pour les chanes du logiciel Haute Scurit Autoriser l'actualisation de mtafichiers Dsactiver Glisser-dplacer ou copier-coller les Fichiers Activer Installation des lments de bureau Dsactiver Lancement des programmes et des fichiers dans un IFRAME Dsactiver Navigation de sous-cadres sur diffrents domaines Dsactiver Ne pas demander la slection d'un certificat client lorsqu'il n'existe qu'un seul certificat ou aucun Dsactiver Permanence des donnes utilisateur Dsactiver Soumettre les donnes de formulaire non codes Activer Script Active Scripting Activer Permettre les oprations de collage via le script Dsactiver Script des applets Java Dsactiver Tlchargement Tlchargement de fichier Activer Tlchargement de polices Dsactiver

2.

Les cookies

Les cookies servent malencontreusement des sites de mesure d'audience vous tracer et fournir leurs clients (sites marchands) le profil des internautes qui consultent ces sites. Mais ces cookies servent d'autres choses plus utiles : gestion de panier, gestion de l'identit de l'internaute tout au long de sa session. En fait, il convient de dsactiver les cookies "tierce partie".

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit A partir de l'onglet Confidentialit au niveau des proprits Internet, cliquez sur le bouton Avanc.

- 28 / 82 -

Cochez Ignorez la gestion automatique des cookies et choisissez Refuser au niveau des Cookies tierce partie.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 29 / 82 -

3.

La scurit sous Outlook Express

Pour Outlook Express, vous devez configurer le niveau de scurit Sites Sensibles au niveau de l'onglet Scurit des proprits Internet. Allez dans Personnaliser le niveau. Reprenez les paramtres vus ci-dessus et modifiez les paramtres suivants : Authentification d'utilisateur Connexion Ouverture de session anonyme Script Active Scripting Dsactiver Divers Soumettre les donnes de formulaire non codes Dsactiver N'oubliez pas avant de valider de remettre le niveau de scurit Internet sur Internet. Sinon, vous ne pourriez plus vritablement surfer. Dsactiver Active Scripting vous empche d'excuter les technologies Javascript normalises et inoffensives. A ne pas confondre avec Jscript dfini par Microsoft, susceptible de s'adosser votre systme d'exploitation.

Pour appliquer le niveau de scurit "Sites sensibles", allez dans Outils | Options partir d'Outlook Express.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 30 / 82 -

Au niveau de l'onglet Scurit, choisissez Zone de sites sensibles (plus scurise).

4.

La scurit sous Outlook Xp

Idem pour Outlook Xp. Allez dans Outils | Options.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 31 / 82 -

Au niveau de l'onglet Scurit, slectionnez Sites sensibles dans la zone Protger le contenu.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 32 / 82 -

C.
1.

La scurit sous Firefox et ThunderBird


Le navigateur Firefox

Mme si ce produit offre un plus haut niveau de scurit, il convient de le configurer de faon optimale. Allez dans Outils | Options.

Au niveau de l'onglet Vie prive, pensez dcocher toute information lie la saisie de mot de passe et aux informations saisies dans les formulaires. Un petit code malicieux charg de lire et de rapatrier ces informations vers un serveur externe pourrait vous crer de graves prjudices.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 33 / 82 La gestion des cookies est un modle du genre sur Firefox. Vous pouvez lui demander d'effacer les cookies une fois la session

Les popup (fentres ouvertes avec la mthode window.open en javascript) peuvent prsenter beaucoup d'intrt pour les dveloppeurs de sites Web tant au niveau esthtique que technique. Malheureusement, elles permettent de contourner la gestion trs restrictive en matire de cookies dfinies cidessus et notamment concernant les cookies tierce partie. Pensez inhiber le tlchargement d'applets Java. Firefox vous permet d'viter le chargement de Webbug (lien sous forme d'image vers un programme cgi charg de mesurer l'audience).

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 34 / 82 Je reste, pour ma part, oppos toutes mises jour automatique du logiciel relatives au navigateur et, pire, ses extensions.

D.

Thunderbird

C'est le logiciel de messagerie associ Firefox. L-encore, vous devez absolument le configurer afin de ne pas tre victime de spammeurs peu scrupuleux. Tout comme Firefox, allez dans Outils|Options.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 35 / 82 Je vous recommande vivement de bloquer le chargement d'images qui sont en lien dans vos emails. C'est un des moyens utiliss par les spammeurs pour savoir si la cible (votre email) est active. Allez dans Avanc et veillez ce que l'option Bloquer le Chargement d'images distantes dans les messages soit bien active. Il est vivement recommand de bloquer Javascript.

Prenez garde aussi ne pas Envoyer d'accuss de rception. C'est un des moyens de savoir Si votre email est actif.

E.

Vbscript, Jscript et Windows Scripting Host

Ces technologies implmentes par Microsoft dans ces systmes d'exploitation offrent beaucoup d'intrt notamment au niveau des scripts de connexion. Malheureusement, elles servent aussi crer des virus qui s'appuient sur les

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 36 / 82 -

composants du systme. Si votre poste est directement raccord Internet, je vous recommande le dsactiver tous ces outils.

1.

Bloquer les technologies potentiellement dangereuses

Une condition ncessaire et suffisante pour dsactiver ces technologies est de dsinscrire deux Dll : vbscript.dll et jscript.dll. Tapez partir de la ligne de commande ou de Dmarrer Excuter ou partir d'un fichier BAT : regsvr32.exe u s %windir%\system32\vbscript.dll regsvr32.exe u s %windir%\system32\jscript.dll La dsinscription du composant jscript.dll ne vous permet plus de faire des recherches de fichiers au niveau de l'explorateur. La dsinscription du composant vbscript vous empche l'excution de scripts de connexion lors d'une ouverture de session un serveur Windows Nt4/2000/2003. Vous pouvez tendre l'opration aux composants suivants : wshext.dll wshfr.dll wshom.ocx vbsfr.dll jsfr.dll

2. a)

Les Extensions de fichiers Visualiser les extensions

Pensez en premier lieu visualiser les extensions de votre fichier. Le mode "touriste" ne vous permet pas de connatre la nature des pices jointes que vous ouvrez partir de vos logiciels de messagerie. A partir de votre navigateur, allez dans Outils|Options des dossiers.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 37 / 82 Cliquez sur l'onglet Affichage et cochez l'option Afficher les fichiers et dossiers cachs.

Dcochez les options suivantes : Masquer les extensions des fichiers dont le type est connu Masquer les fichiers protgs du systme d'exploitation Mmoriser les paramtres d'affichage de chaque dossier Validez en faisant Appliquer et Appliquer tous les dossiers.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 38 / 82 -

b)

Modifier les associations


Au niveau de l'onglet Types de Fichiers, vous pouvez modifier les extensions des fichiers "virugnes" (voir ci-dessous). Slectionnez l'extension (VBS dans l'exemple de droite). Cliquez sur Modifier.

Slectionnez l'action Ouvrir et cliquez sur le bouton Modifier.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 39 / 82 Modifiez l'excutable utilis Wscript.exe par dfaut en le remplaant par notepad.exe (diteur)

c)

Modifier la variable d'environnement PATHEXT

Par dfaut les fichiers ayant les extensions VBS, VBE, JS, JSE, WSF, WSH et SHS sont directement excuts. VBS Fichier script WScript VBE Fichier script crypt VBScript JS Fichier script JScript JSE Fichier script crypt JScript WSF Fichier script Windows WSH Fichier de configuration de l'environnement d'excution de script SHS Objet Bribes Afin d'viter que ces programmes soient directement excuts par le systme, vous pouvez modifier la variable d'environnement PATHEXT. (1) Par la base de registre

A partir de Dmarrer Excuter, tapez Regedit. Accdez par clics successifs la cl ( gauche) : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 40 / 82 -

Entrez la chane .COM;.EXE;.BAT;.CMD au niveau de la valeur chane PATHEXT.

(2)

Par l'explorateur

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit A partir de l'explorateur , faites un clic droit sur le poste de travail. Choisissez alors Proprits. Cliquez sur l'onglet Avanc et sur le bouton Variables d'environnement.

- 41 / 82 -

Dans les variables systme, slectionnez la variable PATHEXT. Cliquez sur le bouton Modifier

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit Entrez les valeurs suivantes dans la zone Valeur de la variable.

- 42 / 82 -

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 43 / 82 -

V. Les spyware ou espiogiciels A. Dfinition

Ces espogiciels sont polymorphes. Sous forme de cookie, de mouchard (weblog) ou de code (au sien des excutables), il cherche profiler le comportement de l'utilisateur. Dans le cas de Windows Media Player, les informations sur le morceau de musique sont envoyes un serveur distant. Ils ne sont pas spcifiques aux shareware et freeware. Les logiciels diffuss par la firme De Redmond disposent d'un nombre considrable d'espiogiciels.

B.

Les spyware dans les mails

Sous forme d'un javascript qui permet d'crire un cookie ou d'une image abritant un CGI Sous forme d'un lien, l'metteur peut savoir quelle heure, quelle date le message a t lu. Si, de surcrot, vous avez fourni des informations nominatives, vous pouvez tre trac partir des sites Web que vous visitez.

C.

Les outils pour radiquer les spyware sous environnement Windows

En remarque prliminaire, citons les outils gratuits extrmement performants que sont Ad-Aware, SpyBot Search And Destroy et Xp-Antispy. Le premier est le logiciel de rfrence en matire de Spyware. Comme les autres, il ne voit pas tout ! Concernant le second, il propose des fonctionnalits lies au nettoyage de la base de registre. A manier avec prcaution ! Quant au dernier, il est excellent sur Windows XP. Un must !!! SpyBlocker Spyblocker Software Payant Spyguard Spyguard Payant SpyCopCorporate Spycop Payant SpywareBlaster Javacool Gratuit Lavasoft Ad-Aware Gratuit Lavasoft Ad-Aware Pro Payant Pest Patrol Payant Xp-AntiSpy ? Gratuit CheckFlow Flow Protector Plus BulletProofSoft Spyware Remover Payant PepiMK Software Spybot - Search & Destroy Gratuit

D.

Utilisation d'Ad-Aware

Aprs avoir lanc partir de Dmarrer | Programmes le logiciel Ad-Aware, cliquez sur le bouton Start.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 44 / 82 Cochez Use custom scanning options et cliquez sur l'item Customize (Personnaliser).

Au niveau de Scanning (Scan Settings), cochez les options suivantes. Cliquez sur le bouton Proceed.

Ad-Aware scrute alors mmoire, registre et fichiers.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 45 / 82 -

Ad-Aware affiche enfin les spywares qu'il a pu trouver. Trs efficace !

E.

SpyBot -Search & Destroy

Il s'agit l-encore d'un gratuiciel trs efficace en matire de spywares (23301 mouchards au 6/1/2005). Aprs avoir lanc le programme, vous devez faire une Recherche de mises jour. N'oubliez pas d'ouvrir le port Tcp/80 pour l'application SpyboSD.exe.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 46 / 82 Cochez les lments que vous souhaitez mettre jour, sachant que les dfinitions de Spyware sont intgrs l'item Detection Rules.

Enfin, cliquez sur l'icne Search & Destroy dans la barre de gauche. Et lancez la vrification de votre systme par Vrifier tout.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 47 / 82 Cette opration est rpter aprs toutes les mises jour de votre systme et aprs toute nouvelle installation.

F.
1.

Les spyware sous Windows Xp


Lecture de votre HWID (Hardware ID) et du MSID (Microsoft ID)

Les systmes Windows et notamment XP sont dots d'un mouchard qui permet Microsoft de vous tracer sur ses sites Web. Il s'agit d'un contrle ActiveX qui permet de lire votre HWID (Hardware ID) ainsi que le MSID (Microsoft ID). Pour le retirer, veuillez taper partir de Dmarrer | Excuter : regsvr32.exe -u s %windir%\system\regwizc.dll (Win98/Me) regsvr32.exe u -s %systemroot%\system32\regwizc.dll (WinNt,2K,XP,2K3) videmment, l'utilisation d'un autre navigateur vous empcherait ce fcheux contretemps.

2.

Windows Media player

Si tous ces rglages vous cotent, vous pouvez utiliser d'autres players moins chargs en Spyware de tous poils. Restez vigilants en installant un Firewall tel que Kerio, Tiny ou Sygate. La liste ci-dessus n'est pas exhaustive. Mais elle vous permettra de visualiser vos Divx, Mpeg, Vcd, Svcd, Dvd gratuitement. AviPreviewConsole BsPlayer Cockroach DvdPlayer DvdRegionFree FFdshow MikSoftDVD-fx PowerDivx PowerDivxNextgen QuickTime Radlight RealPlayer

Si vous souhaitez toutefois utiliser Windows Media Player, alors prenez un peu de votre temps pour le configurer. Vous pouvez aussi vous aider de Xp-AntiSpy.

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit A partir de Dmarrer | Programmes | Accessoires, ouvrez Windows Media Player. Allez alors dans "Outils", "Options".

- 48 / 82 -

Au niveau de l'onglet "Lecteur", dcochez : Tlcharger les codecs automatiquement Autoriser les sites Internet identifier le lecteur de manire unique Acquisition automatique des licences

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit Au niveau de l'onglet Bibliothque multimdia, dcochez Ajouter automatiquement la bibliothque les morceaux de musique achets.

- 49 / 82 -

3.

Windows Update

Dsincrire les dll : wuaueng.dll Moteur de mises jour automatique Windows Update wupdinfo.dll Windows Update Info for NT wuauserv.dll Windows Update AutoUpdate Service wuv3is.dll Moteur de mise jour Bloquer, avec votre firewall, les excutables : wuauclt.exe Client Mise jour automatique Windows Upd wupdmgr.exe Gestionnaire de mise jour de Windows NT

4. a)

Rapport d'erreurs sous Ie6/Windows XP Dsactiver le rapport d'erreurs sous IE


IEWatsonEnabled DWORD 0

HKLM\Software\Microsoft\Internet Explorer\Main\

b)

Dsactiver le rapport d'erreurs sous Windows XP

Proprits Poste de travail | onglet Avancs | Rapport d'erreurs

5.

XP

Dans les proprits systme (clic droit au niveau du poste de travail), pensez dsactiver au niveau de l'onglet Utilisation distance : Autoriser l'envoi d'invitations d'assistance distance partir de cet ordinateur Autoriser les utilisateurs se connecter cet ordinateur distance. Au niveau de la barre de tches, double-cliquez sur l'horloge en bas droite. Au niveau de l'onglet Temps Internet, dcochez Synchroniser automatiquement avec un serveur de temps Internet. Au niveau des services, dsactiver le Service de rapports d'erreur et les mises jour automatiques. Et Horloge Windows.

6.

Office
DWNeverUpload DWORD 1 27 aot 2008

HKCU\Software\Policies\Microsoft\Office\10.0\Common\ Denis Szalkowski Formateur Consultant

Support sur la scurit

- 50 / 82 -

DWNoExternalURL DWNoFileCollection DWNoSecondLevelCollection HKU\.Default\Software\Policies\Microsoft\Office\10.0\Common\ DWNeverUpload DWORD 1 DWNoExternalURL DWNoFileCollection DWNoSecondLevelCollection

Denis Szalkowski Formateur Consultant

27 aot 2008

Support sur la scurit

- 51 / 82 -

7.

Xp-AntiSpy

Ce logiciel gratuit constitue un assistant et une aide prcieuse pour enlever les Spyware intgrs Windows Xp.

G.

Les services susceptibles de contenir des spyware sous Windows Xp

Aide et support Horloge Windows Mises jour automatiques Office Source Engine (Office 2003) Service de rapport d'erreurs

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 52 / 82 -

H.
1.

Les logiciels de cryptage sous environnement Windows


Intrt du cryptage

La communaut europenne nous a alert, il y a quelques temps, de la prsence d'un systme de traage de toutes les communications mondiales pilot par les tats-unis et ses allis (Grande-Bretagne et Australie) dnomm chelon. Il est avr aujourd'hui que les tats-unis se sont servis de cette technologie pour rcuprer bon nombre de secrets industriels. Les outils de cryptographie vous permettront notamment de pouvoir changer des informations ultra confidentielles par Internet en utilisant les techniques de cryptage asymtriques.

2.

Avant-propos

Cette section fera l'objet d'un dveloppement ultrieur.

3.

Les produits
Cryptus Pro GnuPgp KryptoZoneAdvancedEdition PowerCrypt2000 SecurityBox Advacrypt Pgp BaliCrypte

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 53 / 82 -

VI. Le spam A. L'origine du mot

A l'origine, il semble que ce soit une marque de Corned Beef qui accompagnait les soldats amricains. Le spam ou pollupostage reprsente l'envoi massif de courriels sans le consentement des destinataires. L'objectif peut tre commercial, agressif (mail bombing).

B.

L'arsenal juridique

La loi pour la confiance dans l'conomie numriques (LCEN) publie au JO du 22 juin 2004 institue la rgle de l'opt-in pour les personnes physiques. Il faut obtenir le consentement pralable de la personne physique pour lui adresser un email. Deux exceptions : les personnes morales et les personnes avec lesquelles existent des relations contractuelles.

C.

Se protger avec SpamPal

Spampal est un proxy pop libre de droit qui utilise les DNSBL (Dns Blacklists). Il s'agit d'un gratuiciel avec toutes les incertitudes que ce type de licence pose pour l'avenir. Vous pouvez le tlcharger l'adresse http://www.spampal.org/ En parallle, si vous ne disposez pas de Thunderbird en tant que logiciel de messagerie, pensez ajouter une rgle au niveau de votre pare-peu interdisant l'accs aux ports tcp/80-89,443,3128,8000-8999 partir de vos logiciels de messagerie. A partir de la barre de tches, faites un clic droit sur l'icne Spampam (un parapluie magenta). Dans le menu contextuel, cliquez sur Options. Si vous tes en entreprise, vous pourrez tre amen ajouter un port IMAP (tcp/143 en standard). Ce protocole offre l'avantage de laisser par dfaut les messages sur le serveur. Cliquez sur le bouton Proprits aprs avoir slectionn le protocole de votre choix.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 54 / 82 Au niveau de l'onglet Options, vous pouvez Dsactiver les messages d'erreur du logiciel et augmenter la taille des messages sur lesquels s'appliquent les plugins.

En rseau d'entreprise, vous pouvez avoir intrt mutualiser le serveur Proxy (mieux vaut d'ailleurs un serveur Windows 2000/2003). Aussi, vous devez dterminer qui a le droit d'accder aux ports que vous avez dclarez pralablement. Au niveau de l'onglet Scurit, cliquez sur Contrle d'accs.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 55 / 82 Ajoutez au masque 127.0.0.0/8 le masque de votre propre sous-rseau.

Il est fortement dconseill d'Autoblanchir les adresses du courrier que vous auriez reu plusieurs jours conscutifs.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 56 / 82 Le principe mme de Spampal repose sur l'utilisation de blacklists publiques. Je vous recommande chaudement de ne pas activer d'autres listes que celles choisies cicontre. Des serveurs aussi utiliss en France que ceux de Wanadoo et La Poste sont rgulirement considrs comme des polluposteurs. C'est la limite de ce genre de listes.

Pourquoi laisser des exceptions ?

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 57 / 82 En revanche, si vous ne voulez pas que vos adresses locales soient mises en blacklists, ajoutez le masque de sous rseau de votre adresse de loopback ainsi que le masque de votre propre rseau.

Pourquoi l-encore auto-ignorer ? Dangereux... non ?

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 58 / 82 Le message dont vous allez marquer vos messages est trs important. Vous devez reprendre le texte que vous aurez saisi ici dans vos rgles de filtrage au sein de vos logiciels de messagerie. Pensez ce qu'il soit suffisamment explicite pour des utilisateurs botiens. L'ajout des en-ttes peut vous permettre de connatre facilement la raison pour laquelle tel ou tel message a t considr comme du spam.

Les options de mise jour ne fonctionnent pas toujours trs bien sur Spampal. Il vaut mieux tlcharger manuellement la mise jour et l'installer par-dessus la version installe. Cela vous permet la reprise en l'tat de toutes vos options de configuration.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 59 / 82 Nous avons dj vu cette option dans la configuration des ports.

Vous pouvez ajouter des listes noires et blanches. Elles sont trs importantes dans la mesure o la situation de chacun d'entre nous s'avre trs diffrente. Aprs quelques mois d'exprience, j'ai pu constater que ma propre liste noire filtre prs de 60% de tous mes spams. Vous pouvez appliquer le mme principe votre liste blanche. J'ai dvelopp un script Vbs qui permet d'ajouter votre liste blanche les adresses de votre carnet Thunderbird. Le script est tlchargeable sur mon site : http://dszalkowski.free.fr/Gratuiciels/WhiteListThunderBird_0.2.1.zip

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 60 / 82 Si vous souhaitez que d'autres postes accdent votre proxy pop, alors entrez l'ip de votre machine. Tapez cmd partir de Dmarrer | Excuter de votre interface Windows. Sous la ligne de commande, tapez ipconfig.

Si vous tes en mode standalone (station de travail seule), alors entrez votre adresse de loopback. Concernant les plugins, le plugin URLBody prsente de grands avantages.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 61 / 82 Tant au niveau des listes noires qu'au niveau des listes blanches, vous pouvez entrer des masques d'adresses.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 62 / 82 -

VII.

Les firewall

Il filtre partir des en-ttes des paquets Ip. On parle de filtrage adaptatif (statefull inspection)

A.

Caractristiques des firewall ou gardes-barrire ou porte coupe-feu


Filtrage des ports Restriction d'accs ou blocage par application, par utilisateur Journalisation et alarme Traduction d'adresses masquant l'adresse et le nom rel de la machine, l'email de l'utilisateur qui transmet les donnes Prise en charge du chiffrement et de la VPN Certains firewall prennent en charge des fonctions antivirales, de filtrage de cookies, d'applets Java et composants ActiveX.

B.

Limites

Le pare-feu gnral ne prend pas en compte les modems et les accs Numris partir de chacune des stations de travail.

C.

Les produits

AntiFirewall AntiHack AtGuard BlackIce Pc Protection Gfi Languard System Integrity Monitor Kerion Personal Firewall LooknStop Symantec Norton Firewall Oupost PortsLock Pwi Firewall Secure4U Sygate PersonalFirewall Tiny PersonalFirewall VisNetic Firewall Zone labs Zone Alarm Pro Alladin Knowledge Systems Biodata Utimaco Safeware Bvrp Network Associates Incorporate Windows XP Aladdin eSafe Desktop Sybergen Networks Network Associates Incorporate

Safeguard PErsonal Firewall Internet Gateway McAfee Firewall Microsoft Sydate Personal Firewall PGP Desktop Security

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 63 / 82 -

D.

Activer le pare-feu intgr sous XP

Au niveau des proprits de la carte rseau (cf. ci-dessus), choisissez Paramtres avancs. Cochez Protger mon ordinateur et le rseau en limitant ou interdisant l'accs cet ordinateur partir d'Internet. Cliquez sur le bouton Paramtres si vous souhaitez Personnaliser votre scurit en fonction de l'utilisation que vous faites de votre PC. Je vous recommande dans ce cas d'utiliser un produit tel que Kerio Personal Firewall ou Sygate Personal Firewall Pro.

Cochez les services que vous souhaitez activer.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit Pensez tracer l'activit au niveau de votre machine.

- 64 / 82 -

Au niveau ICMP (Internet Control Messaging Protocol), il vaut mieux jouer au lapin terr dans son terrier. Le protocole ICMP permet d'obtenir beaucoup d'informations sur votre rseau.

E.
1.

La configuration de Sygate Personal Firewall


Tlcharger et installer Sygate

Il existe deux versions de Sygate : une gratuite pour un usage personnel et non commercial et une pro (payante). La diffrence entre ces deux versions tient au fait que l'on ne peut pas exporter les rgles de filtrage et qu'on est limit sur le nombre de rgles dans la version gratuite. Vous pouvez tlcharger la version gratuite partir de l'adresse http://smb.sygate.com/ . L'installation du produit ne requiert aucune remarque particulire, ceci prs que vous devez dsinstaller tout autre firewall prsent sur votre machine. Certains analyseurs rseaux peuvent poser des problmes. Il est conseill de les dsinstaller galement. Certains antivirus tels que BitDefender possde un module de Firewall. Ce module doit tre dsinstall indpendamment de votre antivirus qui couvre d'autres fonctions.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 65 / 82 -

2.

Comment configurer Sygate ?

A partir de l'icne prsente dans la barre de tches, vous pouvez accder aux diffrentes fonctions du logiciel.

Vous pouvez tout aussi bien lancer la console partir du menu Dmarrer | Programmes.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 66 / 82 -

3.

Les options

Allez dans Tools | Options. Au niveau de l'onglet gnral, laissez l'option qui permet le chargement automatique de Sygate au dmarrage, comme indiqu ci-contre.

Au niveau de l'onglet Voisinage rseau (Network neighborhood), je vous recommande vivement de dcocher les options proposes. Elles peuvent entrer en contradiction avec vos rgles de scurit, mme si celles-ci restent prioritaires.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 67 / 82 -

La grande diffrence entre Sygate et les autres pare-feux, c'est de proposer les options suivantes : bloquer le trafic tant que le service n'est pas charg (uniquement au niveau de la version pro). contrle des DLL utilises par les services et les applications. Attention, cette option peut revtir un ct pnible pour un utilisateur peu averti. Les autres options aussi intressantes, fussent-elles, peuvent poser un certain nombre de problmes tels que l'interdiction de construire un tunnel SSH. Ces options ne doivent tre cochs que si vous avez une utilisation "normale" ou domestique de votre pc.

Vous pouvez recevoir par mail des informations sur l'tat de Sygate. A utiliser avec beaucoup de prcaution. En effet, un pirate peut utiliser potentiellement le flux de donnes qui sort de votre machine, sauf si vous disposez d'un accs trs protg.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 68 / 82 -

Personnellement, je reste trs dubitatif sur l'intrt de l'automaticit des mises jour.

4.

Les rgles de configuration d'une station de travail connecte Internet

Mise en garde et explications Cet exemple n'inclut aucune rgle lie la messagerie instantane ou l'emploi de logiciels de P2P (peer-to-peer) que je vous recommande vivement de ne pas employer. Par nature, ces produits offrent le moyen le plus simple de rentrer dans votre systme d'exploitation. De surcrot, ils contiennent, pour la plupart d'entre eux, des mouchards qui attentent la libert individuelle. Il y a quelques exceptions. Mais la philosophie des ces produits ne m'inspire aucune espce de considration. Soit par un clic droit sur l'icne de Sygate Personal Firewall, soit partir du menu Tools, choisissez Advanced Rules.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 69 / 82 -

Loopback Cliquez sur le bouton Add. Dans l'onglet gnral, entrez dans la description Loopback. Il s'agit d'une rgle implicite qui autorise l'activit des applications Tcp/Ip sur la machine en local. Choisissez Allowed Au niveau de l'action. Dans l'onglet Host, entrez le sousrseau 127.0.0.0/8 comme indiqu ci-contre. Vous pouvez valider.

Dns La rgle Dns vous permet de rsoudre les noms Internet. Ainsi, lorsque vous tapez www.dsfc.net C'est le serveur Dns de votre fournisseur d'accs Internet (Free, Neuf, Tiscali, etc) qui "trouve" le serveur parmi les centaines de milliers de serveurs prsents dans le monde. Au niveau de l'onglet Hosts, entrez les adresses des serveurs Dns de votre FAI. Si vous ne les connaissez pas, choisissez All addresses. Vous devez choisir Allowed au niveau de l'onglet Hosts.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 70 / 82 -

Dns (suite et fin) Les requtes Dns sont effectues en direction du protocole et du port Udp/53. Le port local utilis est un port sans privilge (102465535). vous pouvez limiter cette plage ) 1024-4095. Le trafic doit tre valid dans les deux sens. Vous pouvez valider.

Http C'est l'application Internet par excellence, utilis par votre navigateur pour afficher le contenu des pages des serveurs Web que vous pouvez tre amens consulter. Aprs avoir autoris le trafic au niveau de l'onglet General, allez directement dans Ports et Protocols. Le mode de transport est Tcp et les ports distants (sur les serveurs visits) sont au minimum les ports 80 et 443. Ajustez selon vos pratiques. Le trafic est uniquement en sortie.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 71 / 82 -

Http (suite et fin) Vous devez imprativement associer cette rgle les applications habilites Sortir par ce port que beaucoup de mouchards (spyware) emploient votre insu. Dans mon exemple, j'ai indiqu mes antivirus, navigateur et logiciel de tlchargement. Contrlez avec les antispy (SpyBot, Adware, XP-Antispy) que ces produits ne contiennent pas de mouchards. Cliquez sur Browse pour Slectionner vos applications locales. Vous pouvez valider la rgle.

Smtp Pour connatre les serveurs Smtp de votre fournisseur d'accs, partir de votre interprteur de commandes, utilisez la commande nslookup. Dans l'exemple, il s'agit du serveur smtp de 9online.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 72 / 82 -

Smtp (suite) Aprs avoir autoris (allowed) le trafic au niveau de l'onglet General, saisissez les adresses Ip obtenues l'aide de la commande prcdente.

Smtp (suite) Le Smtp correspond l'application Tcp/25. Le trafic doit tre uniquement sortant.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 73 / 82 -

Smtp (suite et fin) Les applications locales autorises doivent se restreindre votre logiciel de messagerie ou votre proxy smtp (spampal par exemple).

Pop Aprs avoir autoris (allowed) le trafic au niveau de l'onglet General, contrairement au Smtp, il est inutile de saisir les adresses Ip des serveurs sur lesquels vous relevez votre courrier. L'application Pop correspond Tcp/110 (Tcp/143 pour les serveurs Imap). Le flux autoris est sortant (outgoing).

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 74 / 82 -

Pop (suite et fin) Spcifiez comme applications autorises votre logiciel de messagerie ou tout proxy pop vous permettant de filtrer le spam (spampal dans l'exemple cicontre).

Nntp (News) Idem au Pop. Le port utilis est le 119. Attention, cette application donne accs certains forums de discussion qui sont fortement dconseills, compte-tenu de leur contenu pornographique, des enfants et des adolescents.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 75 / 82 -

Nntp (suite et fin) Le logiciel Xnews est un excellent lecteur de News.

Tcp Premire rgle autoris : le port de contrle Tcp/20 utilis lors de l'authentification au serveur Ftp. Vous devez autoriser le flux dans les deux sens.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 76 / 82 -

Tcp (suite) Limitez l'usage de ce protocole aux logiciels de tlchargement (FlashGet), aux navigateurs et aux logiciels Ftp Spcialiss (FileZilla).

Tcp (suite) Il faut crer une seconde rgel qui concerne le tlchargement. Les ports ouverts s'appuient sur une plage trs tendue. Attention sur cette rgle n'autoriser que le trafic sortant (outgoing).

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 77 / 82 -

Tcp (suite et fin) Par rapport cette dernire rgle relative au Ftp, limitez l'accs aux ports aux applications ddies.

Dhcp Vous devez autoriser cette application (Udp/67-68) dans les deux sens pour permettre votre fournisseur d'accs vous attribuer une adresse Ip qui vous authentifie sur Internet.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 78 / 82 -

Bloquer tout Dernire rgle : pensez bloquer tout afin de ne pas visualiser en permanence les messages d'alerte de votre firewall. Validez la rgle. Cette rgle doit se situer en toute dernire position.

5.

La sauvegarde et l'importation des rgles

Uniquement sur la version pro, cette fonctionnalit vous offre un confort d'administration notamment. Aprs avoir slectionn les rgles, faites un clic droit et choisissez Export Selected Rules et sauvegardez ces rgles dans un fichier sur le disque de votre machine. Pour rcuprer les rgles exportes, par un clic droit, choisissez Import rule. Slectionnez partir du disque le fichier sauvegard.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 79 / 82 -

6.

Les logs

Sygate vopus permet de tracer et de visualiser l'activit Ip de votre machine.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 80 / 82 -

Les logs vous permettent notamment de visualiser toutes les oprations bloques par votre pare-feu (Blocked au niveau de la colonne Action). Ces informations sont aussi intressantes dans le sens du flux sortant : certains logiciels contiennent des mouchards ; vous pouvez tre aussi la victime d'un cheval de troie). Elles sont videmment intressantes au niveau du flux entrant : scans de ports, ping inamical, etc.

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 81 / 82 -

VIII.

Annexe 1

@echo off cls rem rem Dsinscription de toutes les Dll qui posent problme avec IE rem regsvr32 -s -u vbscript.dll regsvr32 -s -u jscript.dll regsvr32 -s -u wshom.ocx regsvr32 -s -u wshcon.dll regsvr32 -s -u wshext.dll regsvr32 -s -u wshfr.dll regsvr32 -s -u regwizc.dll regsvr32 -s -u lic.dll rem rem Lancement du navigateur rem start /wait iexplore.exe rem rem Pour Outlook Express : start /wait msimn.exe rem rem rem Rinscription des Dll Rem regsvr32 -s vbscript.dll regsvr32 -s jscript.dll regsvr32 -s wshom.ocx regsvr32 -s wshcon.dll regsvr32 -s wshext.dll regsvr32 -s wshfr.dll regsvr32 -s regwizc.dll regsvr32 -s lic.dll cls exit

Denis Szalkowski Formateur Consultant

aot yyyy

Support sur la scurit

- 82 / 82 -

IX. Rfrences A.
Certa Ssi

Sites
http://www.certa.ssi.gouv.fr/ http://www.ssi.gouv.fr/fr/index.html

Denis Szalkowski Formateur Consultant

aot yyyy