Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

ProcessGuard

megataupe
 Partager

Messages recommandés

megataupe Godlike Member

megataupe

Posté(e)
Posté(e) (modifié)

Bonjour à tous. Dans l'attente d'un tutorial sur ce très performant soft de sécurité mais, quelque peu difficile à paramétrer finement, vous trouverez ci-dessous des conseils sur les autorisations à accorder aux services Windows les plus sensibles en terme de sécurité.

 

Dans l'onglet Protection, vous sélectionnez les applications listées ci-dessous pour leur accorder (cases du bas à cocher ou décocher) les droits suivants :

Csrss.exe Authorized to : Termination + Modify + Read.

 

iexplore.exe (Internet Explorer) Authorized to : Read.

 

Lsass.exe Authorized to : Modify + Read.

 

Ntdvm.exe Authorized to : Modify + Read.

 

Services.exe Authorized to : Modify + Read. Other options : Install drivers

 

Smss.exe Authorized to : Modify + Read. Other options : Install drivers

 

Svchost.exe Authorized to : Modify + Read.

 

Winlogon.exe Authorized to : Modify + Read. Other options : Access Memory Physical

 

 

A suivre............................

Modifié par megataupe

Sacles Godlike Member

Sacles

Posté(e)
Posté(e)

bonjour,

 

Dans l'attente d'un tutorial sur ce très performant soft de sécurité mais, quelque peu difficile à paramétrer finement

 

C'est exact et merci pour ces informations et aussi pour celles que tu ne manqueras pas de nous donner.

 

Cordialement.

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

Bonjour Sacles :-( . J'ajouterai juste que pour Winlogon (sans doute le service le plus important à protéger) j'ai également coché l'option Reading dans "Protect this Appication From". Je vais tester pour voir qui voudra bien attaquer :P ce fichier ultra sensible.

Sacles Godlike Member

Sacles

Posté(e)
Posté(e) (modifié)

(Re)bonjour,

 

Je viens de faire les faire les réglages préconisés. Pour les tester, j'ai demandé à l'ordinateur de redémarrer. Après les alertes de PG, l'arrêt a été beaucoup plus long que d'habitude et le redémarrage a posé quelques - petits - problèmes (avec Spyblocker et son fichier hosts notamment).

 

Je crois que cela est dû à un ou plusieurs des services suivants : csrss.exe, winlogon.exe, smss.exe qui, à l'arrêt de Windows, sont chargés d'arrêter différentes tâches. Dès lors, dans PG, ne doit-on pas permettre à ces services de terminer les applications qui sont protègées?

 

D'avance, je te remercie de me donner ton avis.

 

N.B. Ces trois services sont-ils concernés par ce problème?

 

Cordialement.

Modifié par Sacles
Invité tesgaz

Invité tesgaz

Posté(e)
Posté(e) (modifié)

Salut,

 

ils sont forcement concernés puique qu'au coeur du système et des services :

 

chargement-services.png

 

 

bon, j'en profites pour tester ce soft

Modifié par tesgaz
megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

Je vais tester car, j'ai aussi Spyblocker d'installé mais, je ne lance pas avec Windows sinon il modifie la taille de son fichier hosts à chaque fois. Je ne pense pas que ce soit l'un de ces 3 services qui est en cause mais plutot ProcessGuard qui donne les autorisations pour fermer Winlogon notamment.

 

Bon, c'est parti pour un reboot :P

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

Bon. Fermeture de Win un peu lente et alerte de ProcessGuard concernant csrss.exe. Je vais retiter l'accés mémoire à Winlogon et à ce service pour voir.

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

Toujours une alerte de PG pour explorer.exe. Je refais un test en supprimant Acces Memory Physical à csrss, lsass, ntvdm, smss, svchost et winlogon.exe. Si le test n'est pas probant, je repasse en mode par défault pour revoir les autorisations.

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

Bon. C'est bien csrss qui bloque et il faut donc l'autoriser à terminer, modifier ou lire les autres applis. Je vais revoir ça tranquillement.

 

Sun 15 - 16:40:27 [TERMINATE] g:\windows\system32\csrss.exe [540] was blocked from terminating g:\program files\thomson\speedtouch usb\dragdiag.exe [1032]

Sun 15 - 16:40:28 [TERMINATE] g:\windows\system32\csrss.exe [540] was blocked from terminating g:\program files\looknstop\looknstop.exe [1048]

megataupe Godlike Member

megataupe

Posté(e)
  • Auteur
Posté(e)

C'est OK maintenant, après nouveau reboot. Il faut donc supprimer l'autorisation Acces Memory Physical à csrss, lsass, ntvdm, smss, svchost et winlogon.exe et autoriser csrss.exe à terminer, modifier et lire les autres applis. Pour explorer.exe, je l'ai mis en Protected From Modification seulement.

 

A+++++++ pour la liste détaillée

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...