Aller au contenu

Wullfk Blog

  • entries
    192
  • comments
    122
  • views
    827 252

Windows 7 sécurisé, sans suite de sécurité


Wullfk

2 090 vues

Windows 7 sécurisé, sans suite de sécurité.

bien que dans le principe il s’agisse d’une solution provocatrice, il est possible de ce passer presque totalement d’une suite de sécurité, c’est dernières ont bien évoluées et il n’y a plus vraiment de raison de les mettre de coté.

 

Conditions préalables.

  • utiliser la version 64Bits de Windows 7.
  • laisser le contrôle du compte utilisateur activé (UAC = User Account Control) .
  • utiliser le système dans un environnement d’”utilisateur standard”.
  • et dans une autre mesure utiliser si possible que des applications disponible en 64Bits.

 

Windows 7 dispose de deux outils de sécurité embarqué : DEP et ASLR

la version 64Bits dispose en plus de patchguard, un système qui empêche les programmes de modifier certains éléments essentiels de Windows.

avant toute mise en pratique, il convient d’expliquer les principes et le fonctionnement des outils de sécurité embarqué et de l’utilité de l’UAC

 

Définitions de DEP et ASLR.

DEP (Data Execution Prevention) comme sont nom l’indique, ce système empêche l’exécution de données en dehors des ressources attribuées à un programme.

ASLR (Adress Space Layout Randomization) ce procédé interdit aux malwares d’utiliser des applications en s’attaquant à leurs éléments en mémoire, ASLR rend aléatoire les adresses utilisées.

 

Efficace, oui mais.

.

ces deux outils sont assez performant quand ils sont activés par les programmeurs, malheureusement ce n’est pas toujours le cas, car de nombreuses applications n’utilisent pas ces fonctionnalités et sont de ce fait vulnérables. y convient tout de même de préciser que tout les malwares n’ont pas besoins d’être aussi technique pour être actif et se contente généralement d’une infection directe lancé par l’utilisateur, et c’est là qu’est l’utilité du contrôle de compte utilisateur (UAC).

à noter que tout les programmes qui tournent en 64Bits utilisent par défaut DEP

 

lUAC souvent critiqué mais quand même efficace.

l’UAC pour User Account Control est apparu avec VISTA et c’est cet OS qui lui à fait sa mauvaise réputation.

avec la sortie de Windows 7, l’UAC à été restructuré afin que les utilisateurs ne soient pas tenté de la désactivé comme c’était le cas avec VISTA (on comprend pourquoi)

sont rôle est essentiel dans la sécurité de Windows, elle permet de détecter tout les programmes qui nécessitent une élévation de privilège pour fonctionner, en se basant sur les droits utilisateurs, c’est droits permettent de modifier certains paramètres du système.

jusqu'à l’arrivé de Windows 7 c’était par défaut le compte créé à l’installation qui bénéficiait de tout les droits (Administrateur), avec ce type de fonctionnement, les malwares pouvaient sans encombre modifier tous les éléments de l’OS sans possibilité de les bloqués.

certes la création du compte par défaut à l’installation de Windows 7 est bien l’administrateur du PC , mais les programmes exécutés ne possèdent pas tout les droits, principalement lorsqu’il faut accéder à des éléments protéger de Windows.

laissé activé l’UAC est d’autant plus essentielle qu’elle est relativement difficile à contourner, car elle utilise notamment un mode vidéo spécifique qui empêche toute modification du message affiché, dont l’objectif serait de tromper l’utilisateur.

en mode utilisateur standard, la demande d’élévation de privilège oblige l’utilisateur à saisir le mot de passe administrateur, d’après mes recherche cette protection n’a pas encore été mise en défaut. l’UAC,

 

Sa principale faiblesse cest lutilisateur.

la principale limite de l’UAC, c’est l’utilisateur lui même, une acceptation d’élévation de privilège sur un programme dont on pourrait avoir des doutes, fournis les droits administrateur et de ce fait permet l’exécution de n’importe quel code malicieux. il existe aussi des contournements possible de l’UAC par le biais de malwares qui utilisent des programmes connus de l’utilisateur pour demander des demandes d’élévations de droits.

l’efficacité de l’UAC dépend donc en premier lieu de l’utilisateur, le première règle à suivre c’est d’accordé des droits qu’aux programmes téléchargés sur le site de l’auteur ou de l’éditeur. à défaut les téléchargés que sur des sites dont le sérieux et la bonne réputation n’est plus à faire. (zebulon.fr, libellules.ch, malekal.com, etc…)

a contrario, si l’utilisateur répond correctement aux demandent de l’UAC, aucun malware ne pourra infecté complètement le PC, et dans le pire des cas, le code infectieux sera exécuté dans le compte utilisateur standard, il pourra être facilement supprimé par l’administrateur. on perçoit bien l’utilité de différentié les deux comptes utilisateurs.

concrètement parlant, dans la pratique tous ces éléments posent tout de même des contraintes qu’il faut prendre en compte.

  1. d’abord le choix de la version 64Bits de Windows, il faudra vérifier que toutes les périphériques connectées au PC, possède bien des pilotes compatibles, exit donc la vieille imprimante, ou le bon vieux scanner du temps de Windows 2000, dans le meilleurs des cas certains pilotes compatibles sous VISTA pourront faire l’affaire, mais ce n’est pas systématiquement vrai.
  2. deuxième contrainte, le choix de certaines applications qui pour des raisons de compatibilités devront être exécuté dans un des modes dit “compatible” ou pour ceux qui disposent de la version Professionnelle ou Intégrale de Windows 7 d’utilisé l’environnement virtuel “ xp mode “. dans la majorité des cas le mode “compatibilité” est suffisant.
  3. troisième contrainte, moins évidente à franchir, c’est l’utilisation quotidienne du compte utilisateur, tout les paramètres (applications, personnalisation, etc…) défini dans un profil sont dépendant du compte utilisé, et au delà de ça, l’utilisateur n’aura pas accès aux répertoires et documents de l’administrateur. dans ce cas là l’utilisation du compte utilisateur n’ai pas souple et ont fini par délaissé ce compte au profit du compte administrateur.

tout ça pour en arriver là me direz vous, heureusement non, car il existe une astuces pour contourner toutes ces contraintes

 

Un second compte Administrateur à partir du premier.

cela consiste à créer un deuxième compte administrateur et basculer celui initialement créer en compte utilisateur standard . en réalisant cela vous conserverez tout vos paramètres et toutes vos applications sans avoir à les réinstaller.

le seul soucis viendra des éléments de démarrage qui pourront déclencher à chaque mise en route du PC , un message d’alerte de l’UAC. C’est là qu’intervient un utilitaire fort pratique runasspc.cet utilitaire permet de démarrer n’importe quel programme dans le compte administrateur.

pour résumé cette partie, une fois que vous aurez installé et configuré toutes vos applications dans votre compte administrateur initiale, vous pourrez basculer ce compte en utilisateur standard, sans omettre qu’un mot de passe sécurisé est indispensable sur tout les comptes. aucune crainte à avoir car dans tous les cas cette conversion est réversible.

 

Procédure pas à pas.

 

1er étape : Créer le second compte Administrateur

  • Ouvrir le menu démarrer de Windows 7
  • Sélectionner Panneau de configuration / Comptes et protection des utilisateurs / Comptes dutilisateurs / Gérer les comptes.
  • Créer un nouveau compte "Administrateur" sélectionner ce nouveau compte et attribuer lui un mot de passe en cliquant sur "Créer un mot de passe".

2eme étape : Basculer ladministrateur initiale en utilisateur standard

  • Revenir sur "Gérer les comptes" et sélectionner le compte initiale.
  • Cliquer sur "Modifier le type de compte" et le mettre sur "Utilisateur standard", valider en cliquant sur "Modifier le type de compte".
  • Redémarrer le PC pour prendre en compte les modifications.

3eme étape : Gestion des droits administrateur automatiques

  • Ouvrir le menu démarrer
  • sélectionner le mode console ou dans le champ Rechercher saisir cmd puis valider par Entrer
  • Placez vous dans le répertoire du programme runasspc que vous avez préalablement télécharger (www.robotronic.de ) et saisir la commande :

runasspc/cryptfile:crypt.spc /program:prog.exe /domain:localhost /user:admin/password:pass

cette commande va créer un fichier crypté avec vos identifiants administrateur et le programme à lancer.

 

4eme étape : Mode administrateur au démarrage du PC

  • Créer un fichier texte renommer avec l’extension .cmd avec la commande suivante :

runasspc/cryptfile:path\crypt.spc quiet à l’intérieur

  • Copier ce fichier .cmd dans le menu Démarrer/tous les programmes/démarrage de votre compte utilisateur.

c’est fini icon_Super.gif

enfin pour parfaire notre installation, on oubliera pas de faire régulièrement les mises à jour du système et des applications installées. sur ce point j’utilise deux logiciels qui peuvent paraitre redondant.

  • Microsoft Baseline Security (MBSA) :
  • Personal Software Inspector de Secunia (PSI) : détecte toutes les applications installées et compare ces données avec la base de vulnérabilités. il vous avertira des qu’une application n’est plus à jour, sont degré de criticité, et vous proposera même le lien pour télécharger la mise à jour ou la nouvelle version.

à cela j’ajouterai le logiciel Malwares Byte Antimalware (MBAM) qui permet d’effectuer une analyse de votre système et de supprimer tout malware qui auraient réussit à s’introduire dans votre compte utilisateur.

 

@+ icon_wink.gif

0 Commentaire


Commentaires recommandés

Il n’y a aucun commentaire à afficher.

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Add a comment...

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
×
  • Créer...