Embed Size (px)
Citation preview
Sécurité sous Windows XP Pro
Introduction:
Les moyens de sécurité mis à la disposition des utilisateurs de Windows XP Pro sont nombreux et puissants, faut-il encore les connaître et les maîtriser. Je vous propose d'aborder quelques-uns d'entre eux:- Les stratégies de sécurité.- Le partage et les droits d'accès sur les volumes NTFS.- Le cryptage (Windows XP Pro + NTFS exclusivement).- Les options de votre navigateur Internet.- Le Firewall intégré de ce système d'exploitation. Avant de commencer, je tiens à préciser que je ne pourrai être tenu pour responsable des éventuels dommages que vous pourriez causer à votre ordinateur suite à une mauvaise manipulation de votre part.
Recommandation:
Tous les éléments que je vais vous indiquer ne doivent en aucun cas être appliqués si votre ordinateur est dans un réseau administré par un responsable de serveurs, de la sécurité ou du réseau en général. Il est le seul à décider et définir une politique globale de sécurité pour garantir l'intégrité des systèmes mis en oeuvre. En revanche, si votre ordinateur est autonome et possède des données sensibles alors ces conseils vous seront précieux pour savoir profiter au maximum de la puissance des dispositifs sécuritaires de Windows XP Pro même si le RISQUE ZERO n'existe pas (comme dans toute discipline technique ou scientifique).
1e Chapitre: Les stratégies de sécurité 1/2
Pour définir dans les moindres détails les conditions dans lesquelles beaucoup d'actions peuvent être réalisées sur votre ordinateur (ou sur plusieurs dans le cas d'un réseau), utilisez les stratégies de sécurité.Celles-ci sont accessibles sur Windows XP Pro en allant dans : Bouton Démarrer --> Exécuter, tapez secpol.msc dans la fenêtre et validez en cliquant sur OK.
La console des stratégies s'ouvre alors. Je vous propose une liste non-exhaustive de 10 stratégies à mettre en oeuvre dans cette console.
Commencez par développer l'arborescence à gauche de la console tel que:Paramètres de sécurité --> Stratégies locales --> Options de sécurité.
1- Dans la fenêtre de droite, double-cliquez sur Comptes: renommer le compte administrateur et Comptes: renommer le compte Invité pour donner à chacun d'eux un autre nom que vous retiendrez bien sûr. Ces comptes, déclarés par défaut par le système, sont parmi les premières cibles des pirates.
2- Activez Ouverture de session interactive : ne pas afficher le dernier nom d'utilisateur.Quand on fait deux fois de suite CTL+ALT+SUPP à l'authentification, on retrouve la boîte d'ouverture de session de windowsNT. Grâce cette stratégie, on ne verra plus le nom du dernier utilisateur connecté (en l'occurrence le vôtre). 3- Activer Accès réseau: Ne pas autoriser l'énumération anonyme des comptes et partages SAM.
4- Activer Périphériques: ne permettre l'accès au CD-ROM qu'aux utilisateurs connectés localement. 5- Activer Périphériques: ne permettre l'accès aux disquettes qu'aux utilisateurs connectés localement. 6- Si votre poste Win XP Pro est seul, indépendant de tout réseau d'entreprise ou d'organisme quelconque alors double-cliquez sur Accès réseau: les chemins de registre accessibles à distance et effacez tous les chemins d'entrée de la base de registre y figurant, ainsi personne à distance ne pourra l'inspecter (cet accès est nécessaire seulement pour les serveurs de domaines Active Directory).
Effacez ces chemins d'accès si votre ordinateur est indépendant de tout serveur d'entreprise ou d'organisme.
1e Chapitre: Les stratégies de sécurité 2/2
Toujours dans cette console, allez à un autre endroit de l'arborescence:Paramètres de sécurité --> Stratégies de comptes --> Stratégie de mot de passe. Plusieurs options sont disponibles, l'une doit être changée et l'autre doit être évitée. 7- Longueur minimale de mot de passe doit être définie à 6 caractères au moins.
- Ne pas toucher à Stocker le mot de passe en utilisant le cryptage réversible... sauf si votre poste est en réseau et que l'administrateur du serveur vous le demande. Les autres paramètres peuvent être définis si vous pensez pouvoir changer régulièrement de mot de passe, à une certaine fréquence selon une complexité décidée auparavant. Bravo si vous êtes aussi consciencieux, sinon évitez-vous ces tâches supplémentaires, il y a déjà assez à faire. Tout dépend de la sensibilité des données que vous possédez sur votre disque dur. S'il s'agit, par exemple, des comptes de votre entreprise, changez régulièrement de mots de passe avec un paramétrage des stratégies ci-dessus.Et comme le précise souvent Marcus, veillez à créer un mot de passe n'ayant aucun sens (recherche automatique par dictionnaire impossible) donc évitez d'allier votre prénom à votre date de naissance ou paris2008 mais plutôt auH69G..Jui876!ùY voire plus complexe...Autre rendez-vous indispensable dans cette arborescence (même s'il y en a beaucoup d'autres):Paramètres de sécurité --> Stratégies locales --> Statégies d'audit. 8- Double-cliquez sur Auditer les évènements de connexion et activer Echec pour recenser les tentatives de connexion echouées.
Pour vérifier cette catégorie d'évènements, allez dans Démarrer --> Exécuter et tapez eventvwr.msc pour observer les rapports dans Sécurité.
Un bon moyen d'observer les tentatives vaines si la stratégie a été activée. Avant-dernier endroit indispensable pour la sécurité de vos données dans cette arborescence:Paramètres de sécurité --> Stratégies locales --> Attribution des droits utilisateur. 9- Double-cliquez sur Accéder à cet ordinateur depuis le réseau, sélectionnez Tout le monde, cliquez sur le bouton Supprimer puis sur le bouton Appliquer.
Pour la dernière stratégie, allez dans :Paramètres de sécurité --> Stratégies de comptes --> Stratégie de verrouillage du compte.
10- Définissez un nombre maximum d'essais d'ouverture de compte (exemple à 10), alors les deux autres paramètres bloquant l'accès et redonnant l'accès seront définis par défaut à 30 mn (voire plus si vous le souhaitez). Donc, si un utilisateur est rejeté au bout de 10 tentatives vaines, il ne saura pas qu'il faut attendre 30 minutes avant de pouvoir recommencer.
10 tentatives au cas où, un jour, vous doutiez d'un mot de passe...
2e Chapitre: Sécurité NTFS
- Si votre disque dur n'est pas en NTFS (système de fichiers appelé New Technology of File System inspiré du système Unix), n'hésitez pas à le convertir: Démarrer --> Exécuter tapez cmd puis dans la fenêtre DOS: Convert C: /FS:NTFS (C: représente la partition à convertir).
c: désigne, dans cet exemple, la partition à convertir(l'opération inverse n'est pas possible) Vous bénéficierez alors de la sécurité des systèmes NT vérifiant à chaque opération sur des fichiers et répertoires l'authentification, les droits d'accès et les permissions de l'utilisateur. Indispensable si votre ordinateur est en réseau ou si plusieurs utilisateurs travaillent sur votre ordinateur.Pour chaque fichier ou chaque répertoire, en faisant un clic droit sur chacun et en sélectionnant Propriétés, l'onglet Sécurité doit apparaître.S'il n'apparait pas alors ouvrez l'explorateur windows (Démarrer --> Exécuter et taper Explorer). Dans le menu Outils, sélectionnez Options des dossiers... et l'onglet Affichage. Dans la liste déroulante, désactivez Utilisez le partage de fichiers simple.
Dans l'onglet Sécurité, vous pouvez affecter des droits à des utilisateurs ou groupes d'utilisateurs. Par exemple, pour l'utilisateur Morgan (déclaré sur l'ordinateur appelé "PORTABLE" d'où la syntaxe PORTABLE/Morgan), je n'autorise que l'affichage du contenu du dossier (il peut voir le nom des fichiers et répertoires qui s'y trouvent), la lecture (il peut ouvrir ceux-ci) et la lecture-éxécution (il peut lancer les éxécutables comme les .Exe).
Vous pouvez définir la sécurité de Mes documents aussi de cette façon... Vous pouvez affiner ces droits à un seul fichier ou sur une partie du répertoire.
3e Chapitre: Cryptage 1/2
Avec le système de fichier NTFS sous WindowsXP Pro dans lequel est incorporé le système EFS , vous pouvez également mettre en oeuvre le cryptage 128bits sur les fichiers et répertoires sensibles. Mais, comme cette contrainte existe sur d'autres systèmes informatiques, la même existe pour la cryptographie XP. C'est-à-dire que si vous perdez le certificat généré, les données cryptées et sauvegardées sur un autre support seront inutilisables. Donc vous veillerez à exporter votre certificat tel que je vais vous l'expliquer pour le mettre ensuite en lieu sûr... A- CRYPTER
Exemple: Prenons le répertoire Sauvegardes. Un clic droit pour sélectionner ses propriétés et dans l'onglet Général, un clic sur le bouton Avancé.... Cochez Crypter le contenu pour sécuriser les données et cliquez sur OK.
Puis confirmez en cliquant sur le bouton Appliquer.
A la nouvelle boîte de dialogue qui apparaît, cochez Appliquer les modifications à ce dossier et à tous les sous-dossiers et fichiers et cliquez sur OK.
Un processus s'applique alors à tout le contenu de votre répertoire à crypter.
Vous remarquerez enfin que vos fichiers et répertoires cryptés apparaissent désormais en vert. B- ANNULER LE CRYPTAGE
Sélectionnez les propriétés du répertoire (ou fichier) en question, cliquez sur le bouton Avancé..., décochez Crypter..., cliquez sur OK puis confirmez en cliquant sur Appliquer.Confirmez encore en cochant Appliquer les modifications à ce dossier et à tous les sous-dossiers et fichiers et cliquez sur OK.Le cryptage est enlevé et la couleur verte ne distingue plus votre répertoire. C- DONNER L'ACCES A VOS DONNEES CRYPTEES A UN AUTRE UTILISATEUR Pour permettre à un autre utilisateur d'accéder à un fichier crypté, la seule contrainte est que cet utilisateur ait déjà crypté un fichier sur votre ordinateur (auquel il possède sur votre disque dur un certificat) ou qu'il importe votre certificat (voir plus loin pour l'export/import de certificats).Sélectionnez le fichier en question, dans ses propriétés dans l'onglet Général, cliquez sur le bouton Avancé... Cliquez ensuite sur le bouton Détails.Si ce bouton apparaît inactif et grisé, décochez et cochez aussitôt Crypter le contenu pour sécuriser les données, le bouton Détails sera alors actif.Sous la liste des utilisateurs autorisés (au minimum votre nom de connexion), cliquez sur Ajouter...
Sélectionnez alors l'utilisateur et confirmez avec OK, OK, OK, Appliquer et OK. L'utilisateur désigné peut enfin accéder à votre fichier toujours crypté.
3e Chapitre: Cryptage 2/2
D- EXPORT/IMPORT DE CERTIFICATSD.1- EXPORTPour exporter votre certificat, un fichier va être produit, il sera aussi précieux que l'ensemble de vos fichiers cryptés, vous ne devrez pas le perdre, encore moins vous le faire voler. Sélectionnez n'importe lequel de vos fichiers cryptés.
Sélectionnez ses propriétés, dans l'onglet Général, cliquez sur le bouton Avancé....Cliquez sur le bouton Détails (s'il est grisé et inactif, voir la manipulation précédente).
Cliquez sur le bouton Ajouter... et sélectionnez votre nom dans la liste des certificats d'utilisateurs. Cliquez sur Afficher le certificat. Sélectionnez l'onglet Détails.Cliquez alors sur le bouton Copier dans un fichier...
Sélectionnez Ne pas exporter la clé privée et cliquez sur Suivant.
Il vous reste à confirmer en cliquant sur le bouton Terminer.
Tout s'est bien passé. Fermez les boîtes restées ouvertes en cliquant sur OK et mettez à l'abri le fichier texte (c:\certificat_a_conserver.txt pour notre exemple). D.2- IMPORT Si un utilisateur reçoit votre certificat afin de décrypter certaines de vos données, il devra d'abord importer ce certificat sur son ordinateur, voici la méthode.
Double-cliquez sur le fichier (extension .cer)...
...et suivez les boîtes ci-dessous.
Cliquez sur Installer le certificat...
Laissez le système désigner automatiquement le magasin de certificats.
L'import est fini. Vous avez en effet compris que le fichier texte à l'extension .cer contient en fait la clé publique nécessaire au cryptage/décryptage de fichiers.
4e Chapitre: La sécurité d'Internet Explorer
Cet outil de navigation utilisé de plus en plus fréquemment possède d'innombrables options et paramètres par lesquels on peut minimiser les risques de piratage, je n'ai retenu que les indispensables, utiles à chacun d'entre nous: Dans un premier temps, allez dans le Panneau de configuration --> Options Internet.Sélectionnez l'onglet Général:
pour laisser le minimum de traces de votre navigation, cliquez sur le bouton Supprimer les cookies... et confirmez leur effacement.Cliquez sur le bouton Supprimer les fichiers... et confirmez l'effacement de ces fichiers temporaires (manipulation automatique à définir ensuite plus loin).Mettez à 0 le nombre de jours pendant lesquels les fichiers temporaires seront conservés (sécurité et gain d'espace disque) et profitez-en pour cliquer aussi sur Effacer l'historique. Dans l'onglet Confidendialité, plusieurs niveaux de gestion prédéterminés sont disponibles. Au minimum, veillez à restreindre les cookies en cliquant sur le bouton Avancé...:
Cliquez sur Avancé...
Sélectionnez de refuser les cookies d'une tierce partie pour éviter des entourloupes de sites web vous espionnant à votre insu (sites de publicité et autres [!]) ...Sélectionnez aussi de toujours autoriser les cookies de session pour ne pas être bloqué
sur le site de votre banque ou tout autre (et ils sont très très nombreux), ils fonctionnent à chaque clic avec ces cookies sinon des messages d'avertissement ou de blocage vont vite vous ennuyer. Dans l'onglet Contenu, cliquez sur Saisie semi-automatique...
Désactivez toutes les coches et cliquez sur chacun des boutons d'action.
Revenez en arrière pour sélectionner cette fois l'onglet Avancé: à la fin de la liste déroulante, activez Vider le dossier Temporary Internet lorsque le navigateur est fermé.Ceci vous permet à la fois de faire de la place sur le disque dur et d'éviter de laisser des traces flagrantes de votre navigation sur l'ordinateur.
5e Chapitre: Le Firewall intégré de Windows XP Pro
Si vous estimez que la sécurité de vos données ne vaut pas l'investissement dans un firewall professionnel alors celui proposé par ce système d'exploitation vous satisfera sans doute. Même si ses détracteurs lui reprochent d'être une vraie passoire, il est utile, en attendant de vous proposer un autre pare-feu, de savoir utiliser au minimum celui-ci.Par défaut, ce pare-feu n'est pas actif, allons-y... Ayez d'abord à l'esprit qu'entre votre ordinateur et internet, il existe une multitude de "portes d'entrées et de sorties" appellées PORTS (65535 ports possibles en théorie).
Ces ports (ces accès) seront contrôlés en entrée (mais pas en sortie) par le firewall que nous allons activer, ils possèdent chacun un numéro et un protocole qui les distinguent. Certains ports et leurs protocoles associés sont reconnus par les normes internationales. Exemple:Port 80 - HTTP (HTTP est le protocole permettant la navigation sur Internet via des pages écrites dans un langage compréhensible par votre navigateur) Port 25 - SMTP (SMTP est le protocole permettant de récupérer votre courrier électronique sur un serveur de messagerie)Port 21 - FTP (FTP pour le transfert de fichiers [+ le port 20 permettant les commandes sur les serveurs FTP])... Activons maintenant simplement le firewall intégré. Sélectionnez les Propriétés de votre connexion Internet ainsi:
Sélectionnez l'onglet Avancé:
Cochez en haut et validez avec OK. Et ça y est, vous êtes protégé de tout ce qui vient d'Internet.Cependant, parce que vous avez peut-être des besoins spécifiques (vous hébergez un serveur WEB ou FTP ou POP/SMTP accessible sur le net, vous utilisez un logiciel de partage de fichiers peer-to-peer, vous pratiquez la visioconférence, la messagerie instantanée,...), vous aurez besoin d'ouvrir alors certaines de vos "portes" et donc les ports précédemment cités.Pour chacun des besoins, vous pourrez vous reporter au tableau des ports pour les paramètrer de la manière suivante:L'exemple que nous allons prendre est l'utilisation de Kazaa (1214) [logiciel de partage de fichiers "peer-to-peer"].Restez dans l'onglet Avancé (comme ci-dessus) et cliquez sur le bouton Paramètres...:
Cliquez sur Ajouter...
Validez ensuite avec OK. Sélectionnez ensuite l'onglet Journal de sécurité:
Les tentatives infructueuses et malintentionnées seront enregistrées et renseignées dans le fichier texte pfirewall.log. Enfin dans l'onglet ICMP (Internet Control Message Protocol), vous autoriserez certaines commandes de demandes d'information telles PING:
Vous pouvez autoriser les points ci-dessus. Validez par OK pour fermer les boîtes restées ouvertes. Vous êtes donc protégé sur les ports autres que celui de notre logiciel peer-to-peer pris en exemple.
6e Chapitre: Sécurité Réseau
Lorsque vous êtes connecté à Internet et si vous n'activez pas le firewall intégré sans affiner de paramètres, il faut absolument que vous désactiviez le protocole NETBIOS qui est une attaque courante de beaucoup de sites.NETBIOS est un protocole de reconnaissance de machines par leur nom sur les réseaux Microsoft notamment. Voici comment le désactiver spécifiquement sur votre connexion Internet. L'exemple suivant prend en compte une connexion ADSL (même procédure pour une connexion RTC [Téléphone]).
Allez dans les propriétés de la connexion dédiée à Internet.
Désactivez Client pour les réseaux Microsoft pour inhiber le protocole NETBIOS. Pour vérifier une protection minimum, rendez-vous à cette page du site de Steve Gibson pour tester en direct vos "boucliers".Test en direct et en ligne de votre protection(Steve Gibson)
Le résultat sera satisfaisant dès lors que vous pourrez lire cette synthèse (Champagne annonce-t-il !!)
7e Chapitre: Propriétés Système
Retrouvez dans les Propriétés système (dans le Panneau de configuration) deux onglets dans lesquels vous allez vérifier les paramètres suivants.
Sélectionnez d'abord l'onglet Mises à jour automatiques:
Vérifiez les options ci-dessus.
Désactivez l'assistance à distance sauf le jour où vous en aurez besoin.
Conclusion
Ajoutez enfin un anti-virus performant (comme AVP) dont les définitions de virus seront mises à jour chaque semaine (voire chaque jour), certains anti-virus sont fonctionnels en ligne pour ceux connectés en permanence à Internet.Même si ces manipulations peuvent paraître comme une "corvée", comme pour tout outil informatique, on peut s'en passer jusqu'au jour où on regrette amèrement de ne pas les avoir mises en oeuvre.La sécurité informatique est aujourd'hui un point crucial pour les entreprises, les administrations,...et pour les particuliers que nous sommes.
