Sécurité sous Windows XP ProIntroduction:Les moyens de sécurité mis à la disposition des utilisateurs de Windows XP Pro so...
Commencez par développer larborescence à gauche de la console tel que:Paramètres de sécurité --> Stratégies locales --> Op...
4- Activer Périphériques: ne permettre laccès au CD-ROM quaux utilisateursconnectés localement.5- Activer Périphériques: n...
- Ne pas toucher à Stocker le mot de passe en utilisant le cryptage réversible... saufsi votre poste est en réseau et que ...
Un bon moyen dobserver les tentatives vaines si la stratégie a été activée.Avant-dernier endroit indispensable pour la séc...
10- Définissez un nombre maximum dessais douverture de compte (exemple à 10),alors les deux autres paramètres bloquant lac...
Dans longlet Sécurité, vous pouvez affecter des droits à des utilisateurs ou groupesdutilisateurs. Par exemple, pour lutil...
Exemple: Prenons le répertoire Sauvegardes. Un clic droit pour sélectionner sespropriétés et dans longlet Général, un clic...
Un processus sapplique alors à tout le contenu de votre répertoire à crypter.Vous remarquerez enfin que vos fichiers et ré...
Sélectionnez alors lutilisateur et confirmez avec OK, OK, OK, Appliquer et OK.Lutilisateur désigné peut enfin accéder à vo...
Cliquez sur le bouton Ajouter... et sélectionnez votre nom dans la liste des certificatsdutilisateurs.Cliquez sur Afficher...
Sélectionnez Ne pas exporter la clé privée et cliquez sur Suivant.
Il vous reste à confirmer en cliquant sur le bouton Terminer.
Tout sest bien passé.Fermez les boîtes restées ouvertes en cliquant sur OK et mettez à labri le fichiertexte (c:certificat...
Cliquez sur Installer le certificat...
Laissez le système désigner automatiquement le magasin de certificats.
Limport est fini.Vous avez en effet compris que le fichier texte à lextension .cer contient en fait la clépublique nécessa...
pour laisser leminimum de traces de votre navigation, cliquez sur le bouton Supprimer lescookies... et confirmez leur effa...
Cliquez sur Avancé...Sélectionnez de refuser les cookies dune tierce partie pour éviter des entourloupes desites web vous ...
sur le site de votre banque ou tout autre (et ils sont très très nombreux), ilsfonctionnent à chaque clic avec ces cookies...
Ces ports (ces accès) seront contrôlés en entrée (mais pas en sortie) par le firewall quenous allons activer, ils possèden...
Cochez en haut et validez avec OK.Et ça y est, vous êtes protégé de tout ce qui vient dInternet.Cependant, parce que vous ...
Cliquez sur Ajouter...
Validez ensuite avec OK.Sélectionnez ensuite longlet Journal de sécurité:
Les tentatives infructueuses et malintentionnées seront enregistrées et renseignéesdans le fichier texte pfirewall.log.Enf...
Vous pouvez autoriser les points ci-dessus.Validez par OK pour fermer les boîtes restées ouvertes. Vous êtes donc protégé ...
Désactivez Client pour les réseaux Microsoft pour inhiber le protocole NETBIOS.Pour vérifier une protection minimum, rende...
Vérifiez les options ci-dessus.
Désactivez lassistance à distance sauf le jour où vous en aurez besoin.ConclusionAjoutez enfin un anti-virus performant (c...
Prochain SlideShare
Chargement dans…5
×

Securite winxp

531 vues

Publié le

0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
531
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
12
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Securite winxp

  1. 1. Sécurité sous Windows XP ProIntroduction:Les moyens de sécurité mis à la disposition des utilisateurs de Windows XP Pro sontnombreux et puissants, faut-il encore les connaître et les maîtriser. Je vous proposedaborder quelques-uns dentre eux:- Les stratégies de sécurité.- Le partage et les droits daccès sur les volumes NTFS.- Le cryptage (Windows XP Pro + NTFS exclusivement).- Les options de votre navigateur Internet.- Le Firewall intégré de ce système dexploitation.Avant de commencer, je tiens à préciser que je ne pourrai être tenu pourresponsable des éventuels dommages que vous pourriez causer à votreordinateur suite à une mauvaise manipulation de votre part.Recommandation:Tous les éléments que je vais vous indiquer ne doivent en aucun cas être appliqués sivotre ordinateur est dans un réseau administré par un responsable de serveurs, de lasécurité ou du réseau en général. Il est le seul à décider et définir une politique globalede sécurité pour garantir lintégrité des systèmes mis en oeuvre. En revanche, si votreordinateur est autonome et possède des données sensibles alors ces conseils vousseront précieux pour savoir profiter au maximum de la puissance des dispositifssécuritaires de Windows XP Pro même si le RISQUE ZERO nexiste pas (commedans toute discipline technique ou scientifique).1e Chapitre: Les stratégies de sécurité 1/2Pour définir dans les moindres détails les conditions dans lesquelles beaucoupdactions peuvent être réalisées sur votre ordinateur (ou sur plusieurs dans le cas dunréseau), utilisez les stratégies de sécurité.Celles-ci sont accessibles sur Windows XP Pro en allant dans : Bouton Démarrer -->Exécuter, tapez secpol.msc dans la fenêtre et validez en cliquant sur OK.La console des stratégies souvre alors. Je vous propose une liste non-exhaustive de 10stratégies à mettre en oeuvre dans cette console.
  2. 2. Commencez par développer larborescence à gauche de la console tel que:Paramètres de sécurité --> Stratégies locales --> Options de sécurité.1- Dans la fenêtre de droite, double-cliquez sur Comptes: renommer le compteadministrateur et Comptes: renommer le compte Invité pour donner à chacundeux un autre nom que vous retiendrez bien sûr. Ces comptes, déclarés par défaut parle système, sont parmi les premières cibles des pirates.2- Activez Ouverture de session interactive : ne pas afficher le dernier nomdutilisateur.Quand on fait deux fois de suite CTL+ALT+SUPP à lauthentification, on retrouve laboîte douverture de session de windowsNT. Grâce cette stratégie, on ne verra plus lenom du dernier utilisateur connecté (en loccurrence le vôtre).3- Activer Accès réseau: Ne pas autoriser lénumération anonyme des comptes etpartages SAM.
  3. 3. 4- Activer Périphériques: ne permettre laccès au CD-ROM quaux utilisateursconnectés localement.5- Activer Périphériques: ne permettre laccès aux disquettes quaux utilisateursconnectés localement.6- Si votre poste Win XP Pro est seul, indépendant de tout réseau dentreprise oudorganisme quelconque alors double-cliquez sur Accès réseau: les chemins deregistre accessibles à distance et effacez tous les chemins dentrée de la base deregistre y figurant, ainsi personne à distance ne pourra linspecter (cet accès estnécessaire seulement pour les serveurs de domaines Active Directory).Effacez ces chemins daccès si votre ordinateur est indépendant de tout serveurdentreprise ou dorganisme.1e Chapitre: Les stratégies de sécurité 2/2Toujours dans cette console, allez à un autre endroit de larborescence:Paramètres de sécurité --> Stratégies de comptes --> Stratégie de mot de passe.Plusieurs options sont disponibles, lune doit être changée et lautre doit être évitée.7- Longueur minimale de mot de passe doit être définie à 6 caractères au moins.
  4. 4. - Ne pas toucher à Stocker le mot de passe en utilisant le cryptage réversible... saufsi votre poste est en réseau et que ladministrateur du serveur vous le demande.Les autres paramètres peuvent être définis si vous pensez pouvoir changerrégulièrement de mot de passe, à une certaine fréquence selon une complexité décidéeauparavant. Bravo si vous êtes aussi consciencieux, sinon évitez-vous ces tâchessupplémentaires, il y a déjà assez à faire. Tout dépend de la sensibilité des donnéesque vous possédez sur votre disque dur. Sil sagit, par exemple, des comptes de votreentreprise, changez régulièrement de mots de passe avec un paramétrage desstratégies ci-dessus.Et comme le précise souvent Marcus, veillez à créer un mot de passe nayant aucunsens (recherche automatique par dictionnaire impossible) donc évitez dallier votreprénom à votre date de naissance ou paris2008 mais plutôt auH69G..Jui876!ùY voireplus complexe...Autre rendez-vous indispensable dans cette arborescence (même sil y en a beaucoupdautres):Paramètres de sécurité --> Stratégies locales --> Statégies daudit.8- Double-cliquez sur Auditer les évènements de connexion et activer Echec pourrecenser les tentatives de connexion echouées.Pour vérifier cette catégorie dévènements, allez dans Démarrer --> Exécuter ettapez eventvwr.msc pour observer les rapports dans Sécurité.
  5. 5. Un bon moyen dobserver les tentatives vaines si la stratégie a été activée.Avant-dernier endroit indispensable pour la sécurité de vos données dans cettearborescence:Paramètres de sécurité --> Stratégies locales --> Attribution des droitsutilisateur.9- Double-cliquez sur Accéder à cet ordinateur depuis le réseau, sélectionnez Toutle monde, cliquez sur le bouton Supprimer puis sur le bouton Appliquer.Pour la dernière stratégie, allez dans :Paramètres de sécurité --> Stratégies de comptes --> Stratégie de verrouillage ducompte.
  6. 6. 10- Définissez un nombre maximum dessais douverture de compte (exemple à 10),alors les deux autres paramètres bloquant laccès et redonnant laccès seront définispar défaut à 30 mn (voire plus si vous le souhaitez). Donc, si un utilisateur est rejetéau bout de 10 tentatives vaines, il ne saura pas quil faut attendre 30 minutes avant depouvoir recommencer.10 tentatives au cas où, un jour, vous doutiez dun mot de passe...2e Chapitre: Sécurité NTFS- Si votre disque dur nest pas en NTFS (système de fichiers appelé New Technologyof File System inspiré du système Unix), nhésitez pas à le convertir: Démarrer -->Exécuter tapez cmd puis dans la fenêtre DOS: Convert C: /FS:NTFS (C: représentela partition à convertir).c: désigne, dans cet exemple, la partition à convertir(lopération inverse nest pas possible)Vous bénéficierez alors de la sécurité des systèmes NT vérifiant à chaque opérationsur des fichiers et répertoires lauthentification, les droits daccès et les permissions delutilisateur. Indispensable si votre ordinateur est en réseau ou si plusieurs utilisateurstravaillent sur votre ordinateur.Pour chaque fichier ou chaque répertoire, en faisant un clic droit sur chacun et ensélectionnant Propriétés, longlet Sécurité doit apparaître.Sil napparait pas alors ouvrez lexplorateur windows (Démarrer --> Exécuter ettaper Explorer). Dans le menu Outils, sélectionnez Options des dossiers... et longletAffichage. Dans la liste déroulante, désactivez Utilisez le partage de fichiers simple.
  7. 7. Dans longlet Sécurité, vous pouvez affecter des droits à des utilisateurs ou groupesdutilisateurs. Par exemple, pour lutilisateur Morgan (déclaré sur lordinateur appelé"PORTABLE" doù la syntaxe PORTABLE/Morgan), je nautorise que laffichage ducontenu du dossier (il peut voir le nom des fichiers et répertoires qui sy trouvent), lalecture (il peut ouvrir ceux-ci) et la lecture-éxécution (il peut lancer les éxécutablescomme les .Exe).Vous pouvez définir la sécurité de Mes documents aussi de cette façon...Vous pouvez affiner ces droits à un seul fichier ou sur une partie du répertoire.3e Chapitre: Cryptage 1/2Avec le système de fichier NTFS sous WindowsXP Pro dans lequel est incorporé lesystème EFS , vous pouvez également mettre en oeuvre le cryptage 128bits sur lesfichiers et répertoires sensibles.Mais, comme cette contrainte existe sur dautres systèmes informatiques, la mêmeexiste pour la cryptographie XP. Cest-à-dire que si vous perdez le certificat généré,les données cryptées et sauvegardées sur un autre support seront inutilisables. Doncvous veillerez à exporter votre certificat tel que je vais vous lexpliquer pour le mettreensuite en lieu sûr...A- CRYPTER
  8. 8. Exemple: Prenons le répertoire Sauvegardes. Un clic droit pour sélectionner sespropriétés et dans longlet Général, un clic sur le bouton Avancé.... Cochez Crypterle contenu pour sécuriser les données et cliquez sur OK.Puis confirmez en cliquant sur le bouton Appliquer.A la nouvelle boîte de dialogue qui apparaît, cochez Appliquer les modifications àce dossier et à tous les sous-dossiers et fichiers et cliquez sur OK.
  9. 9. Un processus sapplique alors à tout le contenu de votre répertoire à crypter.Vous remarquerez enfin que vos fichiers et répertoires cryptés apparaissent désormaisen vert.B- ANNULER LE CRYPTAGESélectionnez les propriétés du répertoire (ou fichier) en question, cliquez sur le boutonAvancé..., décochez Crypter..., cliquez sur OK puis confirmez en cliquant surAppliquer.Confirmez encore en cochant Appliquer les modifications à ce dossier et à tous lessous-dossiers et fichiers et cliquez sur OK.Le cryptage est enlevé et la couleur verte ne distingue plus votre répertoire.C- DONNER LACCES A VOS DONNEES CRYPTEES A UN AUTREUTILISATEURPour permettre à un autre utilisateur daccéder à un fichier crypté, la seule contrainteest que cet utilisateur ait déjà crypté un fichier sur votre ordinateur (auquel il possèdesur votre disque dur un certificat) ou quil importe votre certificat (voir plus loin pourlexport/import de certificats).Sélectionnez le fichier en question, dans ses propriétés dans longlet Général, cliquezsur le bouton Avancé... Cliquez ensuite sur le bouton Détails.Si ce bouton apparaît inactif et grisé, décochez et cochez aussitôt Crypter le contenupour sécuriser les données, le bouton Détails sera alors actif.Sous la liste des utilisateurs autorisés (au minimum votre nom de connexion), cliquezsur Ajouter...
  10. 10. Sélectionnez alors lutilisateur et confirmez avec OK, OK, OK, Appliquer et OK.Lutilisateur désigné peut enfin accéder à votre fichier toujours crypté.3e Chapitre: Cryptage 2/2D- EXPORT/IMPORT DE CERTIFICATSD.1- EXPORTPour exporter votre certificat, un fichier va être produit, il sera aussi précieux quelensemble de vos fichiers cryptés, vous ne devrez pas le perdre, encore moins vous lefaire voler.Sélectionnez nimporte lequel de vos fichiers cryptés.Sélectionnez ses propriétés, dans longlet Général, cliquez sur le boutonAvancé....Cliquez sur le bouton Détails (sil est grisé et inactif, voir la manipulationprécédente).
  11. 11. Cliquez sur le bouton Ajouter... et sélectionnez votre nom dans la liste des certificatsdutilisateurs.Cliquez sur Afficher le certificat. Sélectionnez longlet Détails.Cliquez alors sur lebouton Copier dans un fichier...
  12. 12. Sélectionnez Ne pas exporter la clé privée et cliquez sur Suivant.
  13. 13. Il vous reste à confirmer en cliquant sur le bouton Terminer.
  14. 14. Tout sest bien passé.Fermez les boîtes restées ouvertes en cliquant sur OK et mettez à labri le fichiertexte (c:certificat_a_conserver.txt pour notre exemple).D.2- IMPORTSi un utilisateur reçoit votre certificat afin de décrypter certaines de vos données, ildevra dabord importer ce certificat sur son ordinateur, voici la méthode.Double-cliquez sur le fichier (extension .cer)......et suivez les boîtes ci-dessous.
  15. 15. Cliquez sur Installer le certificat...
  16. 16. Laissez le système désigner automatiquement le magasin de certificats.
  17. 17. Limport est fini.Vous avez en effet compris que le fichier texte à lextension .cer contient en fait la clépublique nécessaire au cryptage/décryptage de fichiers.4e Chapitre: La sécurité dInternet ExplorerCet outil de navigation utilisé de plus en plus fréquemment possède dinnombrablesoptions et paramètres par lesquels on peut minimiser les risques de piratage, je nairetenu que les indispensables, utiles à chacun dentre nous:Dans un premier temps, allez dans le Panneau de configuration --> OptionsInternet.Sélectionnez longlet Général:
  18. 18. pour laisser leminimum de traces de votre navigation, cliquez sur le bouton Supprimer lescookies... et confirmez leur effacement.Cliquez sur le bouton Supprimer les fichiers... et confirmez leffacement de cesfichiers temporaires (manipulation automatique à définir ensuite plus loin).Mettez à 0 le nombre de jours pendant lesquels les fichiers temporaires serontconservés (sécurité et gain despace disque) et profitez-en pour cliquer aussi surEffacer lhistorique.Dans longlet Confidendialité, plusieurs niveaux de gestion prédéterminés sontdisponibles. Au minimum, veillez à restreindre les cookies en cliquant sur le boutonAvancé...:
  19. 19. Cliquez sur Avancé...Sélectionnez de refuser les cookies dune tierce partie pour éviter des entourloupes desites web vous espionnant à votre insu (sites de publicité et autres [!]) ...Sélectionnez aussi de toujours autoriser les cookies de session pour ne pas être bloqué
  20. 20. sur le site de votre banque ou tout autre (et ils sont très très nombreux), ilsfonctionnent à chaque clic avec ces cookies sinon des messages davertissement ou deblocage vont vite vous ennuyer.Dans longlet Contenu, cliquez sur Saisie semi-automatique...Désactivez toutes les coches et cliquez sur chacun des boutons daction.Revenez en arrière pour sélectionner cette fois longlet Avancé: à la fin de la listedéroulante, activez Vider le dossier Temporary Internet lorsque le navigateur estfermé.Ceci vous permet à la fois de faire de la place sur le disque dur et déviter delaisser des traces flagrantes de votre navigation sur lordinateur.5e Chapitre: Le Firewall intégré de Windows XP ProSi vous estimez que la sécurité de vos données ne vaut pas linvestissement dans unfirewall professionnel alors celui proposé par ce système dexploitation vous satisferasans doute. Même si ses détracteurs lui reprochent dêtre une vraie passoire, il estutile, en attendant de vous proposer un autre pare-feu, de savoir utiliser au minimumcelui-ci.Par défaut, ce pare-feu nest pas actif, allons-y...Ayez dabord à lesprit quentre votre ordinateur et internet, il existe une multitude de"portes dentrées et de sorties" appellées PORTS (65535 ports possibles en théorie).
  21. 21. Ces ports (ces accès) seront contrôlés en entrée (mais pas en sortie) par le firewall quenous allons activer, ils possèdent chacun un numéro et un protocole qui lesdistinguent. Certains ports et leurs protocoles associés sont reconnus par les normesinternationales.Exemple:Port 80 - HTTP (HTTP est le protocole permettant la navigation sur Internet via despages écrites dans un langage compréhensible par votre navigateur)Port 25 - SMTP (SMTP est le protocole permettant de récupérer votre courrierélectronique sur un serveur de messagerie)Port 21 - FTP (FTP pour le transfert de fichiers [+ le port 20 permettant lescommandes sur les serveurs FTP])...Activons maintenant simplement le firewall intégré. Sélectionnez les Propriétés devotre connexion Internet ainsi:Sélectionnez longlet Avancé:
  22. 22. Cochez en haut et validez avec OK.Et ça y est, vous êtes protégé de tout ce qui vient dInternet.Cependant, parce que vous avez peut-être des besoins spécifiques (vous hébergez unserveur WEB ou FTP ou POP/SMTP accessible sur le net, vous utilisez un logiciel departage de fichiers peer-to-peer, vous pratiquez la visioconférence, la messagerieinstantanée,...), vous aurez besoin douvrir alors certaines de vos "portes" et donc lesports précédemment cités.Pour chacun des besoins, vous pourrez vous reporter au tableau des ports pour lesparamètrer de la manière suivante:Lexemple que nous allons prendre est lutilisation de Kazaa (1214) [logiciel departage de fichiers "peer-to-peer"].Restez dans longlet Avancé (comme ci-dessus) et cliquez sur le boutonParamètres...:
  23. 23. Cliquez sur Ajouter...
  24. 24. Validez ensuite avec OK.Sélectionnez ensuite longlet Journal de sécurité:
  25. 25. Les tentatives infructueuses et malintentionnées seront enregistrées et renseignéesdans le fichier texte pfirewall.log.Enfin dans longlet ICMP (Internet Control Message Protocol), vous autoriserezcertaines commandes de demandes dinformation telles PING:
  26. 26. Vous pouvez autoriser les points ci-dessus.Validez par OK pour fermer les boîtes restées ouvertes. Vous êtes donc protégé surles ports autres que celui de notre logiciel peer-to-peer pris en exemple.6e Chapitre: Sécurité RéseauLorsque vous êtes connecté à Internet et si vous nactivez pas le firewall intégré sansaffiner de paramètres, il faut absolument que vous désactiviez le protocole NETBIOSqui est une attaque courante de beaucoup de sites.NETBIOS est un protocole de reconnaissance de machines par leur nom sur lesréseaux Microsoft notamment.Voici comment le désactiver spécifiquement sur votre connexion Internet. Lexemplesuivant prend en compte une connexion ADSL (même procédure pour une connexionRTC [Téléphone]).Allez dans les propriétés de la connexion dédiée à Internet.
  27. 27. Désactivez Client pour les réseaux Microsoft pour inhiber le protocole NETBIOS.Pour vérifier une protection minimum, rendez-vous à cette page du site de SteveGibson pour tester en direct vos "boucliers".Test en direct et en ligne de votre protection(Steve Gibson)Le résultat sera satisfaisant dès lors que vous pourrez lire cette synthèse (Champagneannonce-t-il !!)7e Chapitre: Propriétés SystèmeRetrouvez dans les Propriétés système (dans le Panneau de configuration) deuxonglets dans lesquels vous allez vérifier les paramètres suivants.Sélectionnez dabord longlet Mises à jour automatiques:
  28. 28. Vérifiez les options ci-dessus.
  29. 29. Désactivez lassistance à distance sauf le jour où vous en aurez besoin.ConclusionAjoutez enfin un anti-virus performant (comme AVP) dont les définitions de virusseront mises à jour chaque semaine (voire chaque jour), certains anti-virus sontfonctionnels en ligne pour ceux connectés en permanence à Internet.Même si ces manipulations peuvent paraître comme une "corvée", comme pour toutoutil informatique, on peut sen passer jusquau jour où on regrette amèrement de nepas les avoir mises en oeuvre.La sécurité informatique est aujourdhui un point crucial pour les entreprises, lesadministrations,...et pour les particuliers que nous sommes.

×