ATTENTION : ProcessGuard doit être utilisé avec la plus grande prudence, une mauvaise utilisation pouvant rendre inutilisable votre machine !

Bonsoir à tous. Suite aux nombreux échanges concernant les paramétrages fins de ce soft, j'ai effectué de nouveaux tests afin de vous indiquer les paramétrages que vous pouvez utiliser avec les versions lite ou full.

nb : certaines options ne sont disponibles qu'en mode full.


Dans l'onglet Protection, vous sélectionnez donc les applications ou services listés ci-dessous pour leur accorder (cases du bas à cocher ou décocher) les protections et autorisations suivantes.

S'agissant des antivirus, firewall, antispy (A2, Ad-aware, Spybot, etc..), navigateurs (Internet Explorer, Firefox, etc..) vous appliquez à tous les .exe les concernant les réglages suivants :

Protected From : Termination + Modification + Reading
Authorized To : Modify + Read

Messageries :

Protected From : Termination + Modification + Reading
Authorized To : Read

Services de Windows :

alg.exe

Protected From : Termination + Modification
Authorized To : Modify + Read. Other options : Access Physical Memory

csrss.exe

Protected From : Termination + Modification + Reading
Authorized To : Terminate + Modify + Read

dllhost.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

dmadmin.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

explorer.exe

Protected From : Termination + Modification
Authorized To : Termination + Modify + Read

lsass.exe

Authorized to : Protected From : Termination + Modification
Authorized To : Modify + Read

logonui.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

msiexec.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

netdde.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

ntdvm.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

rundll32.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

services.exe

Protected From : Termination + Modification + Read
Authorized to : Modify + Read

smss.exe Authorized to :

Protected From : Termination + Modification
Authorized To : Modify + Read. Other options : Install drivers

spoolsv.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

ss3dfo.scr

Protected From : Termination + Modification
Authorized To : Modify + Read

svchost.exe Authorized to :

Protected From : Termination + Modification
Authorized To : Modify + Read

taskmgr.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

vssvc.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

wuauclt.exe

Protected From : Termination + Modification
Authorized To : Modify + Read

winlogon.exe

Protected From : Termination + Modification + Reading
Authorized To : Termination + Modify + Read. Other options : Access Memory Physical + Secure Message Handling


ProcessGuard et Registryprot (pour tous les .exe les concernant).

nb : ces paramétres pouvant être appliqués aux autres applications non listées.

Protected From : Termination + Modification + Reading
Authorized To : Modify + Read

Ce message a été modifié par Yann - vendredi 29 juin 2007 à 17h08.

bonsoir megataupe. je vais faire tout ces reglages et je dirai si cela marche. par contre je n'ai pas tous les services que tu listes...
chepioq

voila j'ai rebooté l'ordi et ça a l'air de marcher... un detail que je ne saispas interpreter: dans la barre des taches l'icone de process guard change de couleur il va du rouge au bleu qu'est ce que cela veut dire?

Es-tu toujours en mode Learn? Si oui, tu peux décocher la case pour être protégé complétement. Pour l'icone, si elle passe au rouge ça indique que PG a bloqué une appli non autorisée et si tu cliques sur l'icone tu verras l'action en cours et il te faudra prendre la décision d'accepter ou de refuser cette action. Pour les services, ça dépend de ta config et le mieux est d'aller sur le site de Tesgaz pour bien les comprendre et les utiliser :

http://speedweb1.free.fr/frames2.php?page=service

merci megatupe je ne suis plus en mode apprentissage et je vais aller voir le lien que tu m'as indiqué... a bientot
chepioq

Bonjour,

Merci pour tous ces renseignements Megataupe.

Une petite remarque : si on autorise pas taskmgr.exe à "Terminate protected application", cela a comme conséquence l'impossibilité d'arrêter une tâche protégée à l'aide du gestionnaire de tâches. Ce qui, à mon avis, peut être gênant.

Merci pour l'opinion que tu pourras me donner.

Cordialement.

Ce message a été modifié par Sacles - mercredi 18 mai 2005 à 04h57.

Bonjour Sacles. Perso, je préfère laisser ce réglage comme tel (avec ce farceur de Billou, on est sur de rien ) et utiliser au coup par coup un "tueur" de process comme Processexplorer ou Ykill. Maintenant, il est toujours possible aussi d'autoriser le task puisque tu auras une alerte de PG si tu veux arrêter une appli protégée.

Pour quelles raisons les logicels de sécurité ne sont pas autorisés en "Termination"?

Bonjour Léon9 . Tout simplement pour éviter qu'un bon gros virus ou un spy très discret, du genre rootkit, qui pénétrerait ce type d'outils ne modifie ou termine les autres processus pour s'installer en douceur, ceci étant surtout valable pour la version lite, laquelle n'embarque pas de protection contre ce type d'attaque.

Protections additionnelles de la version full :

Block new and changed programs
Protect physical memory (prevent operating system vulnerabilities)
Block Global Hooks (stops keyloggers and password stealers)
Block unwanted driver/service installation (stops rootkit trojans)
Block registry DLL injection (stops spyware such as CoolWebSearch)
Secure Message Handling (protects applications from messages)
Interface Lock (protects from malicious changes and other users)

Je me posais la question vis à vis de l'antivirus car je me disais qu'il pouvait avoir besoin de terminer un processus hostile, l'antivirus étant protégé de la modification par processguard en principe, moins dans la versionl lite c'est vrai.

Je ne suis pas certain qu'un antivirus soit capable de terminer un processus hostile (voir les logs Hijackthis ou les process suspects tournent allégrement malgré la présence d'un antivirus) mais, tout au plus, localiser et neutraliser un ver car, son principe d'analyse est différent de celui de PG qui protège l'application contre toute attaque, ou presque en version lite hélas.

Bonjour,

Est-ce qu'il n'y a pas confusion entre "Termination" (colonne de gauche) qui protége l'application elle-même d'un arrêt illégitime et "Terminate protected applications" (à droite) qui permet à une application d'en terminer une autre même protégée par PG?

Cordialement.

Ce message a été modifié par Sacles - jeudi 19 mai 2005 à 03h48.

Tout à fait Sacles. Je fait pour ma part référence au deuxième type de protection (et autorisations à accorder) et non à la protection globale d'une appli par PG.

Oui effectivement. Dans les paramètres par défaut de processguard très peu d'applications sont autorisées à exécuter "Terminate protected applications". C'était une confusion de ma part!

Salut zorro51. Ben, comme disait de Funés : "le flair" et la connaissance des services et des appications de sécurité, tout cela bien évidemment testé et vérifié.