Unable to attach ...

[entropia]

Bonjour,

Apr

è

s

avoir lu l'article "Optimi

s

er la

s

é

curit

é

de

s

on PC" (par "te

s

gaz") j'ai mi

s

en ex

é

cution toute

s

s

e

s

con

s

eil

s

.

À

priori me

s

manip

s

ont

é

t

é

fructueux pui

s

que la v

é

rification de port

s

s

ur le

s

ite "

S

hield

s

Up" a donn

é

r

é

s

ultat "Tou

s

le

s

port

s

s

ont invi

s

ible

s

de l'ext

é

rieur". Mai

s

maintenant

à

chaque d

é

marrage de mon ordi j'ai de

s

me

s

s

age

s

s

uivant

s

dan

s

la bo

î

te intitul

é

e: "Window

s

-

S

ortie d'application irr

é

cup

é

rable."

"

K

erio Per

s

onal Firewall Driver: Unable to attach 'TCP'!"

et pui

s

: "

K

erio Per

s

onal Firewall Driver: Unable to attach 'UDP'!"

et encore: "

K

erio Per

s

onal Firewall Driver: Unable to attach 'IP'!"

et le

s

uivant: "

K

erio Per

s

onal Firewall Driver: Unable to attach 'RawIP'!"

Tout

ç

a

s

uivi de quatre bip

s

. (J'ai comme pare-feu le

K

erio PF v.2.1.5 et mon O

S

c'e

s

t WinXP

S

P2 nLit

é

.)

À

part

ç

a tout

s

emble fonctionner normalement.

E

s

t-ce grave, docteur?

Quoi faire?

Tant de que

s

tion

s

...

Merci d'avance pour vo

s

r

é

pon

s

e

s

!

Amicalement - "Entropia"

[odSen]

Bonjour,

 

Le pare-feu de Windows XP SP2 est-il désactivé ?

[entropia]

Bonjour et merci de s'occuper de mon cas.

 

Oui, avant d'installer Kerio j'ai désactivé le "Service Pare-feu" de Windows et KPF fonctionnait bien jusqu'au jour ou j'ai fait des modifications ( fermeture certains ports à risque surtout).

 

Amicalement - Entropia

[odSen]

Peux-tu donner la liste des modifications apportées ?

[entropia]

Bonjour odSen,

Oui, bien sûr, je peux le faire puisque j'ai suivi presque à la lettre les conseils de "tesgaz".

La voilà:

01.-Suppression du partage administratif par mise de la valeur "AutoShareWks" à 0.

02.- Suppression de l'administration à distance par mise de la valeur "AutoShareServer" à 0.

03.- Désactivation de la MàJ auto, de l'asistance à distance, du Bureau à distance et du compte "Invité".

04.- Blocage des accès anonymes -> valeur "RestrictAnonymous" à 2 et valeur "RestrictAnonymousSAM" à 1.

05.- Blocage d'accorder des droits "Tout le monde" aux anonymes -> val. "EveryoneIncludesAnonymous" =0

06.- Fermeture des ports 137, 138 et 139 par:

- activation du param. "Désactiver NetBIOS avec TCP/IP" dans les propr. "Connexion au réseau local"

- fermeture du service associé à "NetBIOS" - lmhosts par (cmd) "net stop lmhosts".

- désactivation du service "Assistance TCP/IP NetBIOS"

07.- Fermeture du port 445 par:

- arrêt des services "Workstation" et "Serveur" par (cmd) "net stop rdr" et "net stop srv".

-désactivation des services "Station de travail" et "Serveur"

- arrêt du pilote NetBT par (cmd) "net stop netbt"

- désactivation du pilote NetBT par:

- dans la clé: HKLM\SYSTEM\CurrentControlSet\Services\NetBT valeur "Start"= 4

- dans la clé: idem+ \Parameters valeur "SMBDeviceEnabled" = 0

08.- Fermeture du port 123 par: désactivation du service "Horloge Windows".

09.- Fermeture du port 500 par:

- arrêt de service IPsec par (cmd) "net stop policyagent"

-désactivation de service IPsec.

10.-Fermeture du port 1900 par:

- arrêt de service SSDP par: (cmd) "net stop ssdpsrv"

- désactivation de "Service de découvertes SSDP".

11.- Fermeture du port 1023 par:

- arrêt de service msdtc par: (cmd) "net stop msdtc"

- désactivation de "Distributed Transaction Coordinator".

12.- Fermeture du port 5000 par l'arrêt et désactiv. de service "Hôte de périph. universel Plug and Play".

13.- Fermeture du port 1024 par:

- arrêt et désactivation de service "Client DNS"

- ajout de la valeur "MaxCachedSockets" =0

14.- Fermeture du port 135 par création de deux cléfs:

- HKLM\SYSTEM\CurrentControlSet\Services\Rpc

- HKLM\SYSTEM\CurrentControlSet\Services\Rpc\Linkage ou la valeur Bind=1

- création de la valeur "ListenOnInternet" = N

- modification de la valeur "EnableDCOM" à N

15.- Arrêt de Services et leur mise en "manuel":

- Application système COM+

-Connexion réseau

- DDE Réseau

- Emplacement protégé

- Explorateur d'ordinateur

- Fournisseur de la prise en charge de sécurité LM NT

- Journal des évènements

- Localisateur d'appel de procédure distante (RPC)

- MS Software Sadow Copy Provider

- QoS RSVP

- Service de passerelle de la couche Application

- Système d'évènement COM+

- Windows Installer

16.- Protection du "Control ICMP"par mise de la valeur "EnableICMPRedirect" à 0.

17.- Protection des attaques par "flood" ou "spoof" par rajout des valeurs dans les cléfs:

- HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

- valeur "SynAttackProtect" =2

- valeur "TcpMaxHalfOpen" =100

- valeur "TcpMaxHalfOpenRetried" =80

- valeur "TcpMaxPortExhausted" =5

- valeur "EnableDeadGWDetect" =0

- valeur "KeepAliveTime" =300000

- HKLM\SYSTEM\CurrentControlSet\Services\NetBT\Parameters

- valeur "NoNameReleaseOnDemand" =1

- HKLM\SYSTEM\CurrentControlSet\Services\AFD\Parameters

- valeur "EnableDynamicBacklog" =0

- valeur "MinimumDynamicBacklog" =20

- valeur "MaximumDynamicBacklog" =20000

- valeur DynamicBacklogGrowthDelta" =10

- HKLM\SYSTEM\CurrentControlSet\Control\Lsa

- valeur "nolmhash" =1

- valeur "lmcompatibilitylevel" =5

C'est tout ce que j'ai fait (sauf erreurs & omissions) et après exécution de: (cmd) "netstat -ano" j'obtiens ça:

image

ce qui me permet de penser qu'il n'y a pas de ports ouverts inutilement.

 

J'ai visité Ton site et je trouve qu'il est fait à ma mesure c.à.dire il est "newby friendly"

En attendant Ta réponse

Amicalement - Entropia

[odSen]

Bonjour

 

Personnellement, je pense que ce sont les modifications effectuées dans le registre qui pourraient être en cause. Je ne pense pas que ça soit la désactivation de certains services (je ne pense pas que Kerio dépende des services que tu as arrêtés/désactivés ).

 

Après, je suis incapable de te dire quelles clés modifiées sont en cause.

J'en appelle à ceux qui ont plus de connaissances que moi sur le registre

 

J'ai visité Ton site et je trouve qu'il est fait à ma mesure c.à.dire il est "newby friendly"

Merci, en effet c'était le principal objectif (compréhension par tous les internautes).

 

A plus.

[entropia]

Bonjour odSen,

 

J'en appelle à ceux qui ont plus de connaissances que moi sur le registre

 

Espérons qu'ils viendront se pencher sur mon problème et merci pour Ton intervention. Je continue ma petite ballade sur Ton site et je découvre que - à part sur Ton site - je n'ai jamais vu quelqu'un parler de choses comme "Process Guard Free Version" ou "DropMyRights" ou encore "RunAsAdmin" pourtant essentielles pour la sécurité du PC et je me demande pourquoi.

Quant à mon petit problème, il faudrait, peut-être, d'abord essayer de répondre à la question suivante: "Dans quels circonstances, autrement dit: quels conditions doivent être réunies pour que Kerio PF 2.1.5 ou le SYSTÈME soit forcer d'afficher des annonces pareilles.

"Sortie d'application irrécupérable."

"Kerio Personal Firewall Driver: Unable to attach 'TCP'!"

"Kerio Personal Firewall Driver: Unable to attach 'UDP'!"

"Kerio Personal Firewall Driver: Unable to attach 'IP'!"

"Kerio Personal Firewall Driver: Unable to attach 'RawIP'!"

Le fait troublant: tout me semble (SEMBLE - je le souligne!) fonctionner normalement. Kerio continue à bloquer des tentatives de sortis des applis, les ports sont fermés IMAGE et vu de l'extérieur "ShieldsUP test" tout aussi est clean.

Est-ce que ça veut dire, peut-être, que mon PC est "blindé" de la façon parfaite et les messages cités ci-dessus, dans ces circonstances, sont normales?

Mon Dieu, qu'est-ce que j'ai fait

 

Amicalement - Entropia

[odSen]

Bonjour

 

et vu de l'extérieur "ShieldsUP test" tout aussi est clean.

Ca dépend. Si tu es équipé d'un routeur (ou freebox, 9box, Cbox.... *box), c'est elle qui est interrogée, et Kerio n'a donc rien à voir (voir le sujet suivant). Est-ce le cas ?

 

je n'ai jamais vu quelqu'un parler de choses comme "Process Guard Free Version" ou "DropMyRights" ou encore "RunAsAdmin" pourtant essentielles pour la sécurité du PC et je me demande pourquoi.

ProcessGuard (et les autres logiciels effectuant le même rôle, appelés "contrôleurs d'intégrité") commence à se faire connaître, mais la plupart des personnes n'en utilisent pas. Quant à DropMyRights ou RunAsAdmin, qui servent à limiter les droits, ce n'est que très peu répendu chez le "grand public". La raison ? Les gens ne sont pas informés, et ceux qui cherchent à s'informer ne cherchent pas forcément où il faut et croient des choses fausses (exemple : la personne qui achète une Livebox et qui croit qu'avec elle sera protégée des pirates, des virus et des malwares).

 

Il y a donc une grande désinformation dans le monde de l'informatique actuel, et c'est bien dommage

[pear]

Bonjour,

 

Je suis peut-être à côté de la plaque mais ceci pourrait être utile:http://kerio215.free.fr/

 

Pear

[entropia]

Bonjour,

 

À odSen:

Ca dépend. Si tu es équipé d'un routeur (ou freebox, 9box, Cbox.... *box), c'est elle qui est interrogée, et Kerio n'a donc rien à voir (voir le sujet suivant). Est-ce le cas ?

Négatif, je suis connecté à Internet directement et je ne pense pas à se faire "plugger" un jour dans un *box quelconque. Pas besoin. Pour trouver un info fiable l'Internet me suffit largement et je trouve que ceux qui consentent à regarder le flot de la Propaganda officielle devraient avoir droit à l'abonnement + le poste télé gratuits.

À Pear:

Je suis peut-être à côté de la plaque mais ceci pourrait être utile:http://kerio215.free.fr/

Je connais bien cette page. De son contenu j'ai fait la base sur laquelle j'ai bâti le config de mon firewall. Depuis, seulement une seule fois je me suis fais avoir sur une page Web piégée, mais ça était à l'époque de Mozilla et je n'avais pas ni FlashBlock ni NoScript

Amicalement - Entropia