Aller au contenu






- - - - -

3) Ma config, ma config "Sécurité"

Posté par horus agressor, 14 mai 2007 · 317 visite(s)

*Configuration sécurité
=> DropMyRights :

On le répète sans cesse et on le redit encore une fois
Vous ne devez pas travailler de manière courante, sous Windows, en mode Administrateur, cela est dangereux pour votre ordinateur et vos données. Le mode Administrateur donne des droits extrêmement étendus que l'on doit utiliser extrêmement rarement comme lors de la modification de Windows lui-même lors d'une mise à jour (Windows Update - Microsoft Update). Chaque application que vous lancez hérite des droits du compte qui lance cette application. Si vous êtes identifié (logué) en mode administrateur, les applications que vous lancez ont toutes des droits Administrateur. Si une application se connecte alors que vous êtes en mode Administrateur, elle hérite des droits les plus étendus et un attaquant peut profiter de ce mode Administrateur et prendre le contrôle total de votre machine, en faire un Zombie ou voler vos données ou les compromettre.

http://assiste.com.f...opmyrights.html

[list][*]Pare-feu + version
( Outpost free , un mini tuto )
=> Infos parfeu : Introduction à la notion de firewall + sur Assiste et sur Zébulon
allié à ProcessGuard full , lire ceci et cela et encore cette rubrique d'Assiste dédiée aux contrôleurs d'intégrité...

Pourquoi en ai-je besoin ?
Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l'intégrité et la confidentialité des données sont définitivement compromises. Par exemple:
* Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l'exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Net, vous laissant sur une fausse sensation de sécurité.
* Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.
* Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits.
* Les Hookers : ces outils détectent automatiquement toute tentative de voir ou tracer certains processus, par les anti-trojans standards comme par des recherches manuelles, et bloquent ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites.
* Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.
ProcessGuard est donc l'un des outils de contrôle d'intégrité et surveillance système qui permet d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard est plus aisé à manipuler que les autres grands outils de sa classe et est le seul à la portée d'un utilisateur "normal" conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.
http://assiste.com.f...rocessguard.php

Image IPB
(capture Process Guard Full, écran de contrôle)
Image IPB
(capture Process Guard Full, onglet Protection, exemple avec mon parefeu) et à Ice Sword , permet de terminer des processus cachés + détection, d'informations système (gratuit) , infos sur Assiste et sur Zebulon

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.
http://www.open-file...showtopic=29383

=> A propos de ces fameux rootkits :

Comment les détecter ?

...Quelques solutions existent et font leurs preuves :

* IceSword
Cet outil s'exécute en mode utilisateur (user mode) et permet de lister des informations directement dans le noyau. Les méthodes de programmation utilisées sont complexes et octroit au programmeur un grand mérite, sachant que les documentations kernel windows n'existe pas ou très peu.

* Il y a aussi ( dévellopé, entre autre, par 3psilon d'OpenForum.)

Seem
...
Initialement créé sous les systèmes unix, leur conception s'en est vu simplifiée grâce au code source libre du noyau. Les rootkits sont dorénavant exportés sous windows et produisent de nombreux soucis.
...
La finalité d'un rootkit est d'obtenir un accès à l'ordinateur (backdoor) en toute transparence vis à vis de l'utilisateur et de masquer l'existence d'autres outils.
...
Globalement ces techniques permettent de rediriger les adresses des fonctions vers l'espace mémoire des rootkits afin de modifier la réponse qui sera renvoyé au programme appellant...
http://3psilon.info/index.php?pa=320


* Rootkit Unhooker : -- (à ne pas utiliser si GMER est installé !!) et sur OpenForums + RkUnhooker - Support
* GMER
*

Rootkit Detection & Removal Software et Rootkit Prevention Software :wink: à Charles Ingalls

*Configuration sécurité
=> DropMyRights :

On le répète sans cesse et on le redit encore une fois
Vous ne devez pas travailler de manière courante, sous Windows, en mode Administrateur, cela est dangereux pour votre ordinateur et vos données. Le mode Administrateur donne des droits extrêmement étendus que l'on doit utiliser extrêmement rarement comme lors de la modification de Windows lui-même lors d'une mise à jour (Windows Update - Microsoft Update). Chaque application que vous lancez hérite des droits du compte qui lance cette application. Si vous êtes identifié (logué) en mode administrateur, les applications que vous lancez ont toutes des droits Administrateur. Si une application se connecte alors que vous êtes en mode Administrateur, elle hérite des droits les plus étendus et un attaquant peut profiter de ce mode Administrateur et prendre le contrôle total de votre machine, en faire un Zombie ou voler vos données ou les compromettre.

http://assiste.com.f...opmyrights.html

[list][*]Pare-feu + version
( Outpost free , un mini tuto )
=> Infos parfeu : Introduction à la notion de firewall + sur Assiste et sur Zébulon
allié à ProcessGuard full , lire ceci et cela et encore cette rubrique d'Assiste dédiée aux contrôleurs d'intégrité...

Pourquoi en ai-je besoin ?
Tous les utilisateurs un tant soit peu conscients du risque sécuritaire sur Internet ont, de nos jours, un antivirus et un pare-feu. Pourtant, il y a encore peu de personnes portant attention à des attaques de plus en plus nombreuses et aussi simples que tuer le pare-feu et l'antivirus, ou les modifier, ce qui rend le système de défense totalement hors circuit. Ces attaques, de plus en plus courantes, ne sont portées à l'attention du public que dans les forums d'entraide informatique, lorsqu'un internaute en détresse explique son cas, mais il est trop tard : le système a été pénétré, l'intégrité et la confidentialité des données sont définitivement compromises. Par exemple:
* Un parasite porté dans un cheval de Troie peut très simplement terminer (tuer) l'exécution de votre pare-feu avant de transmettre vos informations personnelles sur le Net, vous laissant sur une fausse sensation de sécurité.
* Un parasite peut modifier votre antivirus directement en mémoire, faisant en sorte qu'il ne détecte plus rien même si sa base de données est à jour et même si le parasite est connu.
* Les "RootKits" sont une autre menace majeure car, une fois un système infesté avec ces outils, les attaques deviennent extrêmement difficiles à détecter. Ces outils modifient le système d'exploitation lui-même, le cœur de Windows, à la racine et donnent à n'importe quel utilisateur sans aucun privilège le droit de cacher des fichiers, de cacher des processus, d'exécuter des commandes... comme s'il avait des droits de super-utilisateur (des droits "Root", raison pour laquelle on les appelle "RootKits"). Les attaques deviennent totalement furtives. ProcessGuard est l'un des rares outils capables d'empêcher l'implantation des pilotes de ces RootKits.
* Les Hookers : ces outils détectent automatiquement toute tentative de voir ou tracer certains processus, par les anti-trojans standards comme par des recherches manuelles, et bloquent ces tentatives ou, au contraire, donnent volontairement des réponses fausses et anodines aux investigations conduites.
* Le contournement des pare-feu est un autre sport pratiqué par ceux qui souhaitent faire sortir de l'information d'une machine. Tous les Leak Tests le démontrent et tous les pare-feu sont pénétrés ou contournés par ces processus. Seuls des outils comme ProcessGuard permettent de bloquer les processus eux-mêmes, leur interdire d'agir.
ProcessGuard est donc l'un des outils de contrôle d'intégrité et surveillance système qui permet d'ajouter une couche préventive à la sécurisation de votre système. ProcessGuard est plus aisé à manipuler que les autres grands outils de sa classe et est le seul à la portée d'un utilisateur "normal" conscient du risque sécuritaire et comprenant le fonctionnement de son ordinateur.
http://assiste.com.f...rocessguard.php

Image IPB
(capture Process Guard Full, écran de contrôle)
Image IPB
(capture Process Guard Full, onglet Protection, exemple avec mon parefeu) et à Ice Sword , permet de terminer des processus cachés + détection, d'informations système (gratuit) , infos sur Assiste et sur Zebulon

IceSword un des deux seuls IDS détecteurs de « rootkits » et autres « services furtifs » qui traînent dans un PC qui ait été considéré « difficile à contourner » par « Hacker Defender » (maintenant passé dans la clandestinité) . C'est une grande référence, surtout pour un logiciel gratuit.
http://www.open-file...showtopic=29383



  • 0



Août 2017

D L M M J V S
  12345
6789101112
13141516171819
20 212223242526
2728293031