kazaa cles de registre

Transcription

LA SECURITE POUR LES UTILISATEURS
1.
LA SECURITE
1.1. NOTION DE PROFIL
Un profil est un ensemble de dossier et de fichier spécifique d’un utilisateur. On utilise également la notion
d’environnement. Cet ensemble de fichier est lu pour certain, « chargés » pour d’autres lors de votre
ouverture de session. Le système les « démonte » lors de votre fermeture de session.
Un profil peut être :
Local : Cela signifie que vous disposez d’un compte sur cet ordinateur (en local)
Itinérant : Cela signifie que votre profil est stocké sur un serveur et est « appelé » lors de votre
ouverture de session. Lors de votre fermeture de session il est renvoyé (déchargé) vers son espace de
stockage.
Modifiable : Cela signifie que vous pouvez modifier votre profil comme bon vous semble (icônes sur
le bureau, menu démarrer, …)
Obligatoire : Cela signifie que votre profil est bloqué. Il ne peut être modifié. Toutes les
modifications que vous ferez pendant votre ouverture de session ne seront pas sauvegardées lors de
votre fermeture de session.
On peut combiner le tout
Profil
Local
Modifiable
Vous travaillez sur un ordinateur en local.
Votre profil est stocké sur l’ordinateur sur
lequel vous travaillez.
Les modifications apportées à votre
environnement seront sauvegardées.
Obligatoire
Vous travaillez sur un ordinateur en local. Votre profil est
stocké sur l’ordinateur sur lequel vous travaillez.
Les modifications apportées à votre environnement ne
seront pas sauvegardées.
Intérêt : Aucun si ce n’est l’utilisation d’une ressource
locale par exemple un scanner. Le compte permettant
Intérêt : Vous travaillez sur un portable. l’utilisation de ce scanner, vous permet de scanner, de
C’est souple.
sauvegarder les documents et c’est tout.
Vous ouvrez une session dans un Domaine. Vous
retrouvez votre environnement quelque soit
l’ordinateur du Domaine sur lequel vous
Vous ouvrez une session dans un Domaine. Vous
travaillez.
retrouvez votre environnement quelque soit l’ordinateur
Les
modifications
apportées
à
votre
du Domaine sur lequel vous travaillez.
environnement seront sauvegardées
Les modifications apportées à votre environnement ne
seront pas sauvegardées.
Intérêt : Vous travaillez en réseau et vous avez
Itinéran
votre profil personnel qui vous "suit". Vous le
Intérêt : On met en place un profil pour tout un groupe
t
modifiez à volonté
d’utilisateur. Tous les utilisateurs disposent du même
Contrainte : La taille de ce profil peut
environnement à chaque ouverture de session. Simple
augmenter de façon importante. Cela risque de
efficace, rapide…
faire échouer l’ouverture de session car Windows
Contrainte : La perte des réglages réalisés pendant la
dispose d’un temps maximum d’attente de
session (fond d’écran, favoris, …)
l’arrivée du profil (time out). Passé ce délai,
Windows vous signifiera que vous ne pouvez
ouvrir de session avec ce profil.
Page 1 sur 12
Windows permet néanmoins quelques adaptations. Tout n’est pas aussi tranché. Par exemple il est possible
de déplacer hors du profil certain dossiers (Mes documents, Mes images, Bureau, Favoris, Applications
datas, …)
En local, sous Windows 2000 et XP pro1 les profils sont stockés dans le dossier C:\Documents And Settings.
Dans ce dossier on trouve les dossiers All Users, Default User, Administrateur et les dossiers correspondant à
chaque utilisateur identifié sur l’ordinateur local.
1.1.1. UN PROFIL UTILISATEUR
Dans ce profile on trouve :
Des dossiers :
• Le dossier Favoris stocke les favoris
Internet (réalisés avec Internet Explorer)
• Le Menu Démarrer contient le menu
démarrer spécifique à cet utilisateur
• Le dossier Bureau contient le contenu du
bureau (fichier et raccourcis spécifique à
l’utilisateur)
• Le dossier Mes Documents contient les
documents de l’utilisateur
• Le dossier Application Data stocke des
éléments très différents (mails lus ave
Outlook ou Outlook Express), données des
produits Microsoft (comme la suite office par
exemple)
• Le dossier Local Settings (présenté ci-contre) contient en particulier l’historique de la navigation
avec Internet Explorer. Le dossier Temp : c'est le dossier temporaire des données d’Internet
Explorer.
Un fichier NTUSER.DAT. C’est ce fichier qui est chargé lors de l’ouverture de session. Il est illisible
en tant que tel. Il correspond à la clé HKEY_CURRENT_USER de la base de registre2.
On peut « déplacer » ou "délocaliser" certains dossiers comme Bureau, Favoris, Mes Images, Mes Documents,
Modèles, Application datas et surtout le dossier Temp.
1.1.2. LE PROFIL ALL USERS
Il contient à peu près les mêmes éléments qu’un profil d’utilisateur normal mais les dossiers ne sont pas
forcément tous présents.
Les dossiers contiennent des éléments non spécifiques valables pour tous les utilisateurs de cet ordinateur.
1
2
Sous Windows XP Home, le compte administrateur dispose d’une gestion particulière.
Nous abordons cet outil plus avant dans ce document.
Page 2 sur 12
1.1.3. LE PROFIL DEFAULT USER
Il contient les mêmes éléments qu’un profil d’utilisateur normal y compris le fichier NTUSER.DAT. Ce
fichier correspond à la clé HKEY_USER de la base de registre. Ce profile est le profile par défaut dont
disposera tout nouvel utilisateur de cet ordinateur.
1.1.4. LES AUTRES VERSIONS DE WINDOWS
Les versions 95, 98 et Millénium de Windows ne disposent pas au sens strict de profils. Les dossiers décrits
ci dessus pour un compte utilisateurs « normal » sont dispersés dans le dossier C:\WINDOWS
La version de Windows NT4 stocke les profils dans C:\WINNT\PROFILES.
En ce qui concerne XP version Home, le profil Administrateur est absent. Il n’est pas accessible depuis le
démarrage normal de Windows mais seulement en mode sans échec3.
1.2. NOTIONS DE COMPTE ET DE GROUPES
Le système Windows comporte des comptes et des groupes qui sont créés de façon automatique lors de
l’installation.
Comptes
Administrateur
Invité
Groupes
Administrateurs
Utilisateurs
Utilisateurs avec pouvoir
Opérateurs de sauvegarde
Opérateur de compte
Opérateur de duplication
Invités
Pseudo-comptes
SYSTEM
Créateur Propriétaire
Les autres compte qui sont créés sur la machine en local feront partie de la famille des comptes.
3
Le mode sans échec est un fonctionnement dégradé de Windows. Je signale ici que dans une installation de base (normale donc)
ce compte ne dispose pas de mot de passe. Un gouffre de sécurité.
Page 3 sur 12
1.2.1. LES GROUPES
Les groupes sont des comptes spéciaux pouvant regrouper plusieurs utilisateurs. On trouve le groupe
Administrateurs, Utilisateurs, Utilisateurs avec pouvoir, invités et des comptes d’opérateurs (que je ne
détaillerai pas ces deux derniers groupes car ils ont une importance faible : Opérateur de sauvegarde et
Duplicateurs,)
Lors de l’installation :
• Le groupe Administrateurs contient le compte administrateur,
• Le groupe invité contient le compte invité,
• Le groupe Utilisateurs contient les comptes AUTORITE NT/ Interactif et AUTORITE NT
/Utilisateurs Authentifiés. Nous n’irons pas plus loin dans le détail de ces groupes
Il est possible de créer de nouveaux groupes. Cela revêt une importance particulière. On pourra ainsi
attribuer des prérogatives à un groupe. En ajoutant les utilisateurs nouvellement crées à ce groupe, ils auront
automatiquement les prérogatives associées au groupe.
1.2.2. LES COMPTES
1.2.2.1.
LE COMPTE ADMINISTRATEUR
C’est le compte le plus puissant du système. Il peut tout faire. Y compris les plus grosses bêtises. Les
installations de pilotes (carte réseau, modem, imprimantes), de programmes, le paramétrage de la sécurité,
des droits attribués aux utilisateurs et aux groupes sont de son ressort.
Réalisés sous le compte Administrateur ces actions seront utilisables par tous les autres utilisateurs de
l’ordinateur.
J’attire votre attention sur la puissance de ce compte.
1.2.2.2.
LE COMPTE INVITE
C’est un compte qui ne dispose pas de mot de passe par défaut. Il est désactivé par défaut. Il doit le rester
sans quoi n’importe qui pourrait avoir accès à l’ordinateur par le réseau.
1.2.2.3.
LES AUTRES COMPTES
Ce sont ceux que vous créerez. Ils pourront faire partie de différents groupes. Ils auront les prérogatives du
groupe le plus puissant auquel ils appartiennent. Je vous conseille de toujours maintenir ces comptes dans le
groupe Utilisateurs et non Utilisateurs avec pouvoir ou Invité ou Administrateurs
Page 4 sur 12
1.2.3. LES PSEUDO COMPTES
Ce sont des comptes que le système créé pour une utilisation spécifique ou généraliste disposant de pouvoirs
plus ou moins étendus.
1.2.3.1.
SYSTEM
C’est le compte le plus puissant du système (si ce n’est le système lui-même). C’est le compte dont se sert le
système pour fonctionner. Il dispose donc de toutes les prérogatives nécessaires. C’est un compte qui ne doit
pas être négligé. En lui retirant les droits d’accès à un dossier, le système ne pourra plus y accéder. Par
exemple l’antivirus ne pourra pas non plus y avoir accès….
1.2.3.2.
CREATEUR PROPRIETAIRE
Ce pseudo compte permet d’affecter des droits fins sur certains dossiers. Imaginons que nous travaillons à
trois sur un même dossier (TRAVAIL).
Ces trois utilisateurs disposent du droit Ajouter et lire (voir plus loin dans cette formation les droits NTFS).
Ainsi chacun peut ajouter des dossiers et des fichiers dans TRAVAIL. Les trois utilisateurs peuvent également
lire tous fichiers et dossiers dans TRAVAIL. La modification ou la suppression d’élément contenus dans
TRAVAIL n’est pas possible (pour l’instant).
En ajoutant le droit de Modifier à tout fichier et dossier contenu dans TRAVAIL au pseudo compte
CREATEUR PRORPIETAIRE, chaque utilisateur pourra modifier (et donc supprimer) les fichiers et
dossiers qu’il a lui-même créés. Les autres utilisateurs pourront lire ces dossiers et fichiers sans pouvoir les
modifier ni les supprimer.
Page 5 sur 12
1.3. LES DROITS NTFS
Ils permettent de mettre des droits d’utilisation plus ou moins restrictifs sur des dossiers et ou des fichiers.
L’utilisation de ces droits est à évaluer avec précaution car
une erreur peut engendrer des conséquences dramatiques. Par
exemple le dossier %windir% (correspondant à C:\WINNT sous
Windows 2000 ou C:\WINDOWS sous Windows XP) disposent
des droits suivants :
SYSTEM
Administrateur
Le groupe Administrateurs
Contrôle total
Modifier (donc lire et
écrire et créer des
dossiers)
Lire
Le groupe Utilisateurs avec
pouvoir
Le groupe Utilisateurs
Sur un dossier ou un fichier faire un clic droit, propriétés
onglet sécurité.En ce qui concerne XP HOME cette possibilité
n’est pas forcément en place voir :
http://www.bellamyjc.org/fr/windowsxp2003.html#securitytab
Il existe six permissions NTFS individuelles qui s"appliquent sur les dossiers ou les fichiers :
Permissions
individuelles
Lire (R)
Ecrire
(W)
Exécuter
(X)
Prendre
Changer les
Supprimer
Permissions Possession
(D)
(O)
(P)
Dossiers
1. Aucun Accès
2. Lister
3. Lire
4. Ajouter
5. Ajouter et Lire
6. Modifier
7. Contrôle Total
R
R
R
R
R
W
W
W
W
X
X
X
X
X
X
D
D
P
O
D
D
P
O
Fichiers
1. Aucun Accès
2. Lire
3. Modifier
4. Contrôle Total
R
R
R
W
W
X
X
X
Page 6 sur 12
Remarque importante : Contrairement à la permission Contrôle Totale, la permission Modifier ne permet pas
de changer les permissions ou de prendre possession. Cette dernière est amplement suffisante pour les
utilisateurs. Réservez Contrôle Total à l'Administrateur, au pseudo compte SYSTEM et au groupe
Administrateurs
Vous trouverez sur l'Internet la résolution de nombreux soucis de droits NTFS. Je vous laisse chercher avec
http://www.google.fr/
1.4. LES PRINCIPES DE LA SECURITE
Les principes sont simples :
1. Je ne travaille pas en tant qu'Administrateur ou membre du groupe AdministrateurS,
2. Je mets à jour Windows tous les mois et je réalise des opérations de maintenance,
3. Je dispose d'un antivirus que je mets à jour toutes les semaines,
4. Je dispose d’un Firewall.
1.4.1. JE NE TRAVAILLE PAS EN TANT QU'ADMINISTRATEUR OU
MEMBRE DU GROUPE ADMINISTRATEURS
C’est pourtant pratique…. Oui. C’est vrai que c’est un confort. On installa ce que l’on veut quand on le veut
et on dispose d’aucuns soucis pour la configuration de l’ordinateur… Sauf que… C’est pire que le pire des
virus…. Cela correspond à mettre une porte blindée à une maison en laissant les clefs dessus et les volets et
fenêtre ouvertes.
En effet, en tant que membre du groupe Administrateurs on peut tout faire même les plus grosses bêtises :
suppression de fichiers ou de dossiers par exemple.
En tant qu’administrateur vous avez accès en lecture et en écriture à (presque) tous les fichiers de
l’ordinateur. Si vous "prenez" un virus (ou toute autre crasse dans ce style), il aura vos prérogatives et donc
pourra s’installer dans n’importe quel fichier à votre insu.
En travaillant en tant qu’utilisateur simple le risque est bien moindre (bien qu’il soit impossible de réduire ce
risque à néant).
Je reconnais que ce peut être contraignant. Par exemple l’installation d’un programme peut nécessiter
plusieurs opérations :
Installation du programme en tant qu’Administrateur,
Tests en tant qu’utilisateur. Si cela fonctionne, rien de plus à faire (ce devrait être le cas de tous les
programmes mais il ne faut pas rêver…).
Si cela ne fonctionne pas : Rechercher sur Internet si cela n’est pas documenté (web, groupes de discussion,
Site de l’éditeur, documentation du programme, …). Le souci peut venir d’un chemin non encore réalisé…
On peut alors :
Passer l’utilisateur dans le groupe Administrateurs,
Se connecter avec le compte de cet utilisateur,
Mettre en route le programme,
Page 7 sur 12
Enlever l’utilisateur du groupe Administrateurs,
Tester,
Tests en tant qu’utilisateur. Si cela fonctionne, rien de plus à faire
Si cela ne fonctionne pas : Rechercher sur Internet si cela n’est pas documenté (web, groupes de discussion,
Site de l’éditeur, documentation du programme, …). Le souci peut venir de droits NTFS non adéquats… On
peut alors
Modifier les droits NTFS pour l’utilisateur. Par exemple mettre le droit NTFS Modifier sur le dossier
du programme (bien souvent situé dans C:\Program Files) et Lire sur tous les fichiers portant une
extension .exe, .com
Tests en tant qu’utilisateur. Si cela fonctionne, rien de plus à faire
Si cela ne fonctionne pas : poser une question à un gourou dans un forum….
C’est contraignant mais vous en apprendrez suffisement pour peut être devenir un jour un gourou !
1.4.2. JE METS A JOUR WINDOWS TOUS LES MOIS ET JE REALISE DES
OPERATIONS DE MAINTENANCE
Windows comme d’autres programmes produits par Microsoft et d’autres éditeurs également, sont sujets à
des failles de sécurité, à des bugs plus ou moins graves.
C’est pour cette raison qu’il faut mettre à jour Windows comme les autres produits que vous utilisées et ce,
de façon très périodiquement (voire installer une nouvelle version de certain produits après désinstallation de
l’ancienne version). Une bonne périodicité serait d’une fois par mois. Microsoft publiant les correctifs de
sécurité le second jeudi de chaque mois (sauf pour les correctifs revêtant une importance exceptionnelle).
Mais pour être informé de ces alertes vous devez vous tenir informé : newletter, consultation des groupes de
news
(fr.comp.os.ms-windows.winnt
par
exemple),
consultation
de
site
généralistes
(http://www.phoenixjp.net/news/fr/
par
exemple)
ou
spécialisé
sur
la
sécurité
(http://www.renater.fr/Securite/Informations.htm ou http://www.certa.ssi.gouv.fr/)
Il serait illusoire de croire que seuls les produits Microsoft présente des failles de sécurité. Bien d'autres
produits d'autres éditeurs ont de failles de sécurité. Acrobat reader d'Adobe a présenté au printemps et à l'été
2005 deux importantes failles de sécurité.
Ensuite, tout bon Administrateur supprime les fichiers temporaires et autre données temporaires qui ont la
fâcheuse tendance à ne pas le rester (temporaire).
Enfin, il convient de défragmenter tous les disques durs locaux. Windows pourrait être comparé à une
secrétaire qui éparpillerai les différentes pages des rapports qu’elle doit ranger dans des pochettes sans
forcément de suite logique, uniquement guidé par la place disponible dans chaque pochette.
La défragmentation l’oblige à ranger les rapports correctement : les pages se suivent et si un rapport et plus
gros que la pochette, Windows s'arrange pour mettre le surplus de page dans la pochette immédiatement
contiguë. Cela offre un gain de temps en terme d’accès aux fichiers.
Des explications complémentaires sur les opérations de défragmentation sont disponibles à
http://www.bellamyjc.org/fr/systeme.html#defragmentation
Page 8 sur 12
1.4.3. JE DISPOSE D'UN ANTIVIRUS QUE JE METS A JOUR TOUTES LES
SEMAINES
C’est primordial. Sans antivirus point de salut.
Récemment des scientifiques ont évalué la durée de vie d’un ordinateur avec une connexion Internet ADSL à
environ 15 minutes avant d’attraper soit un virus, soit un vers soit être piraté…
Un antivirus c’est bien mais cela ne sert strictement à RIEN s’il n’est pas mis à jour au moins une fois par
semaine voire tous les jours en cas de crise de virus ou d'application et ou de données critiques.
Les sites des éditeurs d'antivirus dispensent des informations en temps presque réel. De plus lors d'une
menace particulièrement forte, ils vous informent sur le capacité à bloquer cette menace ou mettent à votre
disposition des outils ou des procédure de désinfection.
Page 9 sur 12
1.4.4. JE TRAVAIL DERRIERE UN FIREWALL
Cela peut être un plus en terme de sécurité.
Un FireWall ou Garde barrière [en français] permet de d'affecter des règles de filtrage sur les ports de
communication. Il peut être matériel (en général une boite externe) ou logiciel.
Le paramétrage de ce type d'outil peut être ardu. Ou très simple… Il suffit de décider des règles à adopter
pour votre site et de les mettre ne place en respectant quelques principes.
1
2
3
4
5
6
7
8
9
Description
Interdiction du flux entrant
Protocole
Ordre
En premier lieu vous devez connaître ce que vous utilisez le plus (le web ou la webcam). Ensuite, vous créez
des règles en autorisant les ports en fonction de l'ordre décroissant de leur niveau d'utilisation. Enfin, vous
mettez en place une dernière règle qui stipule que l'on interdit tout. Un exemple sera plus parlant :
Port
règle
Tous
Tous
Rejeté
53/TCP
Autoriser
80/TCP
Autoriser
443/TCP
Autoriser
20/TCP
21/TCP
Autoriser
Autoriser
110/TCP
Autoriser
25/TCP
Autoriser
Autorisation
de
la
DNS
communication DNS
Le web
http
Le
web
sécurisé
https
(consultation de ma banque)
Le transfert de fichiers
ftp
Retirer son Courier avec
pop3
Outlook Express
Envoyer du courrier avec
smtp
Outlook Express
Webcam
messenger
avec
10 On interdit tout
Hayoo
5100/TCP Autoriser
Tous
La liaison entre le protocole
http://www.faqs.org/rfcs/rfc1700.html
Tous
et
le(s)
Rejeté
port(s)
Page 10 sur 12
Cette règle s'applique à A destination de
mon réseau
interne
Tout Internet
A tout mon réseau
interne
Tout Internet
Le PC de papa (le seul
disposant d'un
webcam)
A tout mon réseau
interne
associé(s)
est
consultable
ici
:
1. Imaginons que je veux consulter la page web de google. Dans mon navigateur préféré je tape l'adresse
de google. Mon garde barrière va sentire une demande qui va vers Internet. Il va l'évaluer en suivant
l'ordre des règles:
La règle 1 ne s'applique pas puisque ma demande "sort de mon site"
La règle 2 ne s'applique pas puisque ma demande (le web = port 80) ne correspond pas
La règle 3 s'applique puisque ma demande correspond au port 80. Mon garde barrière autorise
donc ma demande et elle peut donc passer. Le retour d'information utilise une sorte de laissé
passé qui lui a été remis lors de sa sortie.
2. Imaginons que je travaille sur le PC de papa et que je veux me servir de ma webcam (port 5100) :
La règle 2 ne s'applique pas puisque ma demande ne correspond pas
La règle 9 s'applique puisque ma demande correspond au port 5100. Mon garde barrière
autorise donc ma demande et elle peut donc passer.
3. Imaginons que j'installe E-mule ou Kazaa ou E-donkey4 sur mon ordinateur. Ces programmes
communiquent sur les ports suivants (4661/TCP, 4881/TCP, 4242/TCP, 4662/TCP, 4665/UDP,
4672/UDP). J'installe mon programme et je le lance. Imaginons que j'ai besoin du port 4242/TCP
pour pouvoir échanger des fichiers. Mon Garde barrière va réagir de la façon suivante :
La règle 10 s'applique puisque ma demande ne correspond pas aux règles précédentes. Le
Garde barrière va rejeter ma demande. Je ne pourrais pas "sortir" de mon site donc rien
échanger sur le réseau Internet.
Autre exemple, si je déplace la webcam sur l'ordinateur de maman, le garde barrière verra arriver, en
provenance de cet ordinateur, une "demande de sortie" sur le port 5100.
Il déroulera les règles de 1 à 8 sans trouver de correspondance. A la règle 9, il ne trouvera pas non plus de
correspondance car nous l'avons paramètré pour que seul l'ordinateur à papa ait le droit de communiquer via
ce port 5100. La demande sera donc rejetée. La règle 10 s'appliquer donc et maman ne pourra utiliser la
webcam.
4
Ces programmes permettent l'échange de fichiers. Avant de vous lancer dans l'aventure sachez ce que vous risquez…
Page 11 sur 12
Les garde barrières logiciels fonctionnent sur un autre mode. Plutôt que d'autoriser des ports ils autorisent
des applications. Par exemple j'autorise toutes les demandes de l'application Firefox.exe. C'est le mode de
fonctionnement du garde barrière de Windows. Il peut être possible de rajouter des contraintes concernant les
numéros de ports. Sur www.firewall-net.com vous trouverez des tests de différents produits.
Les failles de sécurité de Windows ou d'autres programmes sont souvent des éléments présentant un risque
de sécurité. Par exemple durant le printemps 2005, une faille d'un produit Microsoft dont le correctif était à
peine sorti, était déjà exploitée par les pirates. La faille résidait dans un port ouvert par Windows et non
refermé (ouvert aux quatre vents).
Un garde barrières insuffisamment stricts ne servent à rein si ce n'est à (faussement) tranquilliser leur
utilisateur.
D'une façon générale, en limitant les ports ouverts en entrée comme en sortie, on limite les attaques ou on
décourage les Script Kids (pas vraiment hackers mais utilisateurs d’outils crées par des hackers).
Enfin, vous pouvez "monitorer" ce qui se passe afin d'optimiser votre protection. Les produits logiciel offrent
cette possibilité. Les outils matériel peuvent réaliser cette opération. Si vous cherchez un outils tiers, MRTG
est une référence (mais qui peut ne pas vous convenir) http://people.ee.ethz.ch/~oetiker/webtools/mrtg/
Page 12 sur 12

kazaa cles de registre

Transcription

Documents pareils

FDP Saitek X52 Flight Control System

JOB VACANCY - monaco technologies

Revista de Prensa

Dial-a-fix pour corriger les mises à jour de Windows.

Se connecter a Windows xp automatique avec Auto logon

Assistance logicielle - ANDRASOFT

developpeur informatique alternance deux

Hasta La Vista, VISTA !

Modifier le fond d`écran de l`ouverture de session WINDOWS XP

Accédez rapidement aux propriétés système sous Windows Vista