24 Novembre 2017 à 01:16:11

Auteur Sujet: [TUTO SYSTEME] Bases pour sécuriser son Windows XP  (Lu 10497 fois)

Damien

  • Rédacteur Admin
  • Intarissable
  • *****
  • Messages: 2988
  • Points gagnés: 7
    • Voir le profil
    • aide informatique
[TUTO SYSTEME] Bases pour sécuriser son Windows XP
« le: 09 Octobre 2005 à 18:43:53 »
COMMENT SECURISER BASIQUEMENT SON WINDOWS XP


Sommaire

1 - Introduction
2 - Services Windows à désactiver
3 - Désactiver Netbios
4 - Désactiver DCOM
5 - Renommer le compte Administrateur
6 - Stratégies de sécurité
7 - Conclusion


1 - Introduction

Pourquoi ce tutorial ? Et bien tout simplement parce que le nombre d'utilisateurs concernés par la sécurité de Windows XP est nombreux au vu des parts de systèmes d'exploitation utilisés en tant que station de travail actuellement.

Je l'ai aussi fait parce que beaucoup d'articles qui évoquent la sécurité de Windows XP nous parlent automatiquement d'antivirus, firewall, antispywares etc., mais l'essentiel est souvent oublié : la sécurité de base du système (qui ne requiert aucun logiciel, juste du bon sens) quand on vient juste d'installer le système.

A noter que vous devriez gagner en ressources système également, surtout après avoir désactiver quelques services inutiles.


2 - Services Windows à désactiver

Dans le menu "Démarrer", aller dans le "panneau de configuration" puis dans les "outils d'administration"



Cliquez sur l'icône "services", vous obtiendrez la liste des services Windows. Attention : ne pas arrêter ni désactiver n'importe quel service sous peine de crasher et de ne plus pouvoir redémarrer votre système.

Voici la liste des services qu'il est bon de désactiver pour la sécurité si vous ne vous en servez pas. Je vais détailler l'utilité de ces services, après à vous de voir s'ils vous sont utiles. (Pour un poste isolé chez un particulier, tous ces services peuvent le plus souvent être désactivés).

Pour désactiver un service, effectuez un clic droit sur son nom, puis propriétés. Dans la liste "type de démarrage" choisissez "désactivé" et appliquez.
    Accès à distance au registre : il doit être désactivé si vous n'administrez pas votre ordinateur à distance par réseau.

    Affichage des messages : désactivez le, il sert juste à l'affichage des boîtes de messages type "net send", c'est inutile.

    Explorateur d'ordinateur : c'est un client qui sert à se connecter à des partages netbios, inutile si vous n'utilisez pas le partage de fichiers en réseau.

    Partage de bureau à distance NetMeeting : désactivez le si vous n'utilisez pas NetMeeting, ça peut être dangereux.

    Routage et accès distant : à désactiver si vous n'utilisez ni l'assistance à distance, ni le vpn par exemple.

    Serveur : il s'agit de la partie serveur qui va avec le service explorateur d'ordinateur. Si vous ne faites pas de partages de répertoires en réseau avec votre machine, alors désactivez le. Cela désactivera entre autres les partages par défaut admin$, c$, ipc$ potentiellement dangereux.

    Services de découvertes SSDP : personnellement je le désactive toujours, c'est un service qui permet aux périphériques de s'annoncer, ce qui n'est pas forcément bon pour la sécurité. Par exemple pour le wifi...Si vous avez des soucis de détection automatique, pensez quand même à le réactiver.

    Téléphonie : si vous n'utilisez pas de modem à numérotation ni de fax (ou choses du genre), si vous utilisez juste du haut débit connecté en permanence (sans numérotation), vous pouvez le désactiver.

    Telnet : à désactiver.
    [/list:u]

    Pour les utilisateurs expérimentés, si vous gérez vous-mêmes vos antivirus et firewall et leurs mises à jour, vous pouvez désactiver le service centre de sécurité qui va vous prendre stupidement des ressources pour rien.


    3 - Désactiver Netbios

    Faites un clic droit sur l'icône "Favoris réseau" de votre bureau (ou connexions réseau dans le panneau de configuration).

    Vous obtiendrez la liste de vos connexions réseau, faites un clic droit puis propriétés sur la connexion qui vous relie à internet. Sélectionnez "Propriétés Internet (TCP/IP)" et cliquer sur "Propriétés".



    Dans la fenêtre qui s'ouvre, cliquez sur le bouton "Avancé".



    Dans l'onglet "Wins", cochez "Désactiver Netbios avec TCP/IP", si Netbios vous est inutile.




    4 - Désactiver DCOM

    Dans le menu "démarrer" puis "exécuter", tapez dcomcnfg puis validez. Déroulez alors "services de composants" puis "ordinateurs".



    Sur "Poste de travail", faites un clic droit puis propriétés. Dans l'onglet "propriétés par défaut", décochez "Activer Distributed COM sur cet ordinateur" et appliquer.




    5 - Renommer le compte Administrateur

    Pour que personne ne puisse s'identifier sur votre machine, il faut bien entendu mettre des bons mots de passe sur vos comptes. Vous pouvez aussi renommer le compte Administrateur, ce qui rendra la tâche encore plus difficile pour un pirate potentiel. En effet, en plus de trouver le mot de passe, il va devoir trouver le nom du compte.

    Pour cela, faites un clic droit sur l'icône "Poste de travail" de votre Bureau et choisissez "Gérer". Dans la fenêtre qui s'ouvre (console mmc), déroulez "utilisateurs et groupes locaux" puis "utilisateurs". Effectuez un clic droit sur votre compte Administrateur puis renommer. Renommer le en quelque chose de plus discret, et dont vous vous souviendrez.




    6 - Stratègies de sécurité

    Il y a beaucoup de stratégies de sécurité que l'on peut configurer. Je m'attarderai juste sur quelques unes, et ce sera à vous de jouer une fois que vous aurez compris le principe ;)

    Commencez par faire "démarrer", "exécuter", tapez secpol.msc et validez.

    Une console mmc s'ouvre à nouveau, dans laquelle vous allez pouvoir régler vos paramètres de sécurité.

    Commencez par "auditer les événements de connexion" en déroulant (comme l'image ci-dessous) stratégies locales, puis stratégie d'audit. Cliquez sur "auditer les événements de connexion".



    Cochez tout dans la fenêtre qui s'ouvre.



    En résultat, dès que quelqu'un tentera de s'identifier sur votre ordinateur, vous le saurez en allant voir dans les journaux d'événements.

    Ce que vous pouvez faire aussi pour vous protéger des accès réseau (en supposant que vous n'ayiez pas de réseau local chez vous), c'est dérouler "stratégies locales", puis "Attribution des droits utilisateurs". A droite, cliquez sur la valeur "Accéder à cet ordinateur depuis le réseau", puis supprimer tous les groupes de la liste et validez. Vous obtiendrez ceci :



    Vous pouvez règler aussi les autres paramètres, mais attention à ce que vous faites, pour les uilisateurs non initiés limitez vous déjà à ceux que j'ai détaillés, ou demandez nous sur le forum si vous n'êtes pas sûr de vous.


    7 - Conclusion

    Voilà, ce n'était que quelques astuces toujours utiles pour commencer à sécuriser un Windows XP, il y en a certainement d'autres qui peuvent être utiles, je les rajouterai si je pense à d'autres choses importantes.

    En plus de tout cela, n'oubliez pas de toujours vous protéger avec un firewall, un antivirus, détecteur de spywares, de faire les mises à jour, et faites attention à certains logiciels tels que Internet explorer ou Outlook express, si vous ne savez pas vraiment les sécuriser, préférez leur Firefox et Thunderbird par exemple. Mais tout cela fera peut-être l'objet d'autres tutoriaux...




    Par Damien

    damien@simagorad.com
    http://www.forum-aide.com
    Cordialement,
    Damien

    Tutoriels informatique

    warmup

    • Nouveau membre
    • *
    • Messages: 25
    • Points gagnés: 0
      • Voir le profil
    [TUTO SYSTEME] Bases pour sécuriser son Windows XP
    « Réponse #1 le: 19 Décembre 2005 à 09:35:59 »
    Merci pour ce tut très utile que j'avais zappé jusqu'à aujourd'hui (shame on me :) )

    J'a juste un petit problème au point 6:
    "Commencez par faire "démarrer", "exécuter", tapez secpol.msc et validez. "

    J'ai un message "composant non installé"

    Je n'ai pas trouvé comment l'installer dans "ajouter des composants windows".

    Comment faire ? (sous XP)

    thx

    Damien

    • Rédacteur Admin
    • Intarissable
    • *****
    • Messages: 2988
    • Points gagnés: 7
      • Voir le profil
      • aide informatique
    [TUTO SYSTEME] Bases pour sécuriser son Windows XP
    « Réponse #2 le: 19 Décembre 2005 à 11:42:18 »
    Oui le composant doit pas être installé chez toi, c'est un xp home ou pro ?

    Il doit s'appeler parametres de securité local ou outils d'administration, de tête je sais plus exactement.
    Cordialement,
    Damien

    Tutoriels informatique

    warmup

    • Nouveau membre
    • *
    • Messages: 25
    • Points gagnés: 0
      • Voir le profil
    [TUTO SYSTEME] Bases pour sécuriser son Windows XP
    « Réponse #3 le: 19 Décembre 2005 à 12:18:22 »
    J'ai XP pro SP2

    dans "outils d'administration" j'ai "Stratégie de sécurité locale"

    si je veux ouvrir j'ai "échec de la création du composant logiciel enfichable"

    Damien

    • Rédacteur Admin
    • Intarissable
    • *****
    • Messages: 2988
    • Points gagnés: 7
      • Voir le profil
      • aide informatique
    [TUTO SYSTEME] Bases pour sécuriser son Windows XP
    « Réponse #4 le: 19 Décembre 2005 à 22:40:28 »
    Ok, ça doit être le composant de la console MMC qu'il faut que tu réinstalle alors, qui doit faire partie des outils d'administration aussi.

    Si tu tapes "mmc" dans démarrer, executer ça marche ou pas ? Si ca marche pas, ça confirme ce que je viens de dire.
    Cordialement,
    Damien

    Tutoriels informatique

    warmup

    • Nouveau membre
    • *
    • Messages: 25
    • Points gagnés: 0
      • Voir le profil
    [TUTO SYSTEME] Bases pour sécuriser son Windows XP
    « Réponse #5 le: 20 Décembre 2005 à 09:15:24 »
    Ca marche mais la console est vide ("acun élément à afficher")

    warmup

    • Nouveau membre
    • *
    • Messages: 25
    • Points gagnés: 0
      • Voir le profil
    [TUTO SYSTEME] Bases pour sécuriser son Windows XP
    « Réponse #6 le: 20 Décembre 2005 à 09:28:58 »
    Vous pouvez accéder aux composants logiciels enfichables d'extension publiés dans Active Directory uniquement si l'ordinateur que vous utilisez : (cliquez ici)
    exécute Windows 98 et est équipé de Windows Installer ;
    – ou –

    exécute Windows NT 4.0 et est équipé de Windows Installer ;
    ou

    exécute Windows Millennium Edition ;
    – et –

    fait partie d'un domaine Windows.
    Pour plus d'informations sur la publication des applications et sur Windows Installer, consultez l'aide.


    et fait partie d'un domaine

    l'explication est peut être la?

    Damien

    • Rédacteur Admin
    • Intarissable
    • *****
    • Messages: 2988
    • Points gagnés: 7
      • Voir le profil
      • aide informatique
    [TUTO SYSTEME] Bases pour sécuriser son Windows XP
    « Réponse #7 le: 20 Décembre 2005 à 12:15:20 »
    Non pas besoin de faire partie d'un domaine pour l'avoir.

    En fait pour que ça fonctionne tu dois avoir ces 2 fichiers dans system32 : secpol.msc et wsecedit.dll
    Ensuite faut inscrire la dll avec regsvr32.

    Ca doit pouvoir se retrouver sur le web au pire ces fichiers là  :)
    Cordialement,
    Damien

    Tutoriels informatique