Outils pour utilisateurs

Outils du site


sysadmin:securite:ms:ms-tools

Outils de sécurité Microsoft

La sécurité des systèmes Windows fait très régulièrement la une des journaux et ceux-ci sont particulièrement exposés aux virus. Microsoft propose de nombreux outils complémentaires les uns des autres pour assurer la sécurité de votre système.

Le centre de sécurité

L'accès aux principaux outils passe par le Centre de sécurité. Il se trouve parmi les panneaux de configuration (depuis Windows XP SP2) :

Panneau de configuration « Centre de sécurité »

À l'ouverture, on a une vue d'ensemble des principaux facteurs sécurisants du système : Centre de sécurité

Il faut noter en particulier la simplicité de l'interface qui montre au premier coup d'œil si les trois principaux éléments pour garder un système sain sont réunis :

  • activation d'un pare-feu,
  • mises à jour fréquentes,
  • activation d'un anti-virus.

Les virus exploitent des vulnérabilités dans les logiciels ; ces dernières sont régulièrement corrigées par les mises à jour. Une ligne de défense fondamentale consiste donc à disposer d'un système à jour.

Le pare-feu empêche les connexions depuis Internet vers votre ordinateur.

Malheureusement, les virus peuvent se propager par d'autres vecteurs comme les pièces jointes dans la messagerie électronique ou les clefs USB par exemple. Un anti-virus est donc indispensable.

La première ligne de défense est bien évidemment un usage raisonné des outils. En particulier, la fréquentation des réseaux peer to peer (pair à pair) est à proscrire. De même l'usage de certains logiciels de messagerie instantanée comme MSN Messenger sont une plaie en matière de sécurité.

Les informaticiens ont coutûme de dire que le meilleur outil de sécurité est entre la chaise et l'écran.

En cas de souci, la présence d'un bouclier rouge dans le zone de notification (systray, en bas à droite à côté de l'horloge) signale un souci majeur : Icône dans la zone de notification

Dans ce dernier cas, le Centre de sécurité affiche par exemple : Erreurs Ici, non seulement le système n'est pas protégé par un anti-virus mais en plus les mises à jour ne sont pas installées automatiquement. En un mot comme en cent, c'est l'exemple à ne pas suivre !

Mises à jour

La première chose à faire est d'avoir un système à jour. Les mises à jour corrigent des problèmes de sécurité qui pourraient être exploités (ou l'ont été) par un programme malveillant. Le panneau de configuration Mises à jour automatiques devrait être configuré comme suit :

Panneau de configuration « Mises à jour automatiques »

Hormis les mises à jour majeures (Service Packs aka SP), il faut appliquer toutes les mises à jours proposées dès leur publication.

Lorsqu'une mise à jour est disponible, un message d'alerte apparaît signalant le bouclier jaune dans la zone de notification (systray) : Alerte avec message

Tant qu'une mise à jour attend, la présence d'un bouclier jaune le rappelle : Alerte

En cliquant sur le bouclier jaune, une fenêtre offre de choisir entre une mise à jour simple ou personnalisée puis les correctifs à appliquer : Choix des updates

Mise à jour en cours

Protéger le système

Le pare-feu

Il est accessible depuis le Centre de sécurité. Le pare-feu intégré depuis Windows XP SP2 filtre les connexions réseau entrantes (depuis Internet par exemple). Ce pare-feu a le défaut de ne pas filtrer les connexions sortantes.

Vue générale

Enlever toutes les exceptions inutiles. Pour un système chez un particulier le réglage suivant convient : Exceptions

Vérifier que le pare-feu est activé pour toutes les connexions : Onglet avancé

L'anti-virus

Depuis l'automne 2009, Microsoft fournit gratuitement un anti-virus : Microsoft Security Essentials. À la fin de l'installation, l'anti-virus se lance et charge la dernière version des définitions virales :

1er lancement

Son état apparaît dans la zone de notification (remarquer la flèche verte sur fond bleu) : État mise à jour

Une fois installé et à jour, sa présence apparaît dans la zone de notification (remarquer le fond vert) : État OK

:!: Il faut impérativement régler l'anti-virus pour qu'il analyse aussi les lecteurs amovibles, ce qui n'est pas le cas par défaut : Réglage de l'analyse des lecteurs amovibles

Au lancement, l'interface s'affiche et est suffisamment intuitive pour ne pas pousser plus avant les explications : Interface

Le filtre IP

:!: Réservé aux utilisateurs « avancés », à utiliser à vos risques et périls :!:

Ouvrir le panneau de configuration « Connexions réseau », sélectionner l'interface et cliquer sur (dans la colonne à gauche) Modifier les paramètres de cette connexion :

Sélectionner « Protocole Internet (TCP/IP) » et cliquer sur Propriétés dans la fenêtre qui s'est ouverte : Propriétés de l'interface

Cliquer sur Avancé en bas à droite : Configuration de l'interface

Aller sur l'onglet « Options » et cliquer sur Propriétés : Onglet « Options »

Le panneau de contrôle s'affiche enfin : Filtrage

Par exemple, activer le filtrage et autoriser UDP/68 (pour le DHCP) : UDP/68

Après validation des modifications, il faut redémarrer le système.

Supprimer les malwares

Malware peut se traduire par « logiciel malveillant ». Cela couvre donc un spectre plus large que les seuls virus.

Depuis plusieurs mois, parmi les mises à jours qui devraient être installées sur tout système figure Malware Removal Tool. Pour le lancer, cliquer sur Démarrer puis sur Exécuter et dans le cartouche, taper mrt : Lancement

Dans la fenêtre qui s'est ouverte, se laisser guider :

Choisir le type d'analyse :

Lancer l'analyse :

Tout va bien : Fin, tout va bien

Vérifier les fichier systèmes

Cet outil vérifie que les pilotes installés avec le système sont bien les bons (et non pas des versions virussées). Il est installé par défaut (dans C:\Windows\system32\sigverif.exe). Pour le lancer, cliquer sur Démarrer puis Exécuter et taper dans le cartouche le nom du programme i. e. sigverif. Cliquer sur OK et le programme se lance : Lancement

Lancer l'analyse : Ouverture

L'analyse est en cours : Analyse

Ici, plusieurs pilotes qui ne sont pas fournis par Microsoft sont trouvés : Résultats Les fichiers listés sont douteux mais pas nécessairement dangereux pour autant. Par exemple, il s'agit ici des pilotes fournis avec VirtualBox ; le système étant dans une machine virtuelle, c'est très raisonnable.

Outils avancés

Ces outils ne disposent pas d'interface graphique, il faut donc les utiliser dans un terminal (cmd.exe).

File Checksum Integrity Verifier

Microsoft fournit File Checksum Integrity Verifier, outil de calcul de somme de contrôle (MD5 et SHA1).

C:\Documents and Settings\pc\Bureau> fciv.exe -both ReadMe.txt
//
// File Checksum Integrity Verifier version 2.05.
//
                MD5                             SHA-1
-------------------------------------------------------------------------
79ac8d043dc8739f661c45cc33fc07ac 2fe398f1ebced166087362626241b95efeaab407 readme.txt

SigCheck

Cet outil fait partie de la suite SysInternals, outils à destination d'un public de spécialistes.

Pour vérifier un système, lancer :

C:\Documents and Settings\pc\Bureau> sigcheck -u -e c:\windows\system32

sigcheck v1.60 - sigcheck
Copyright (C) 2004-2009 Mark Russinovich
Sysinternals - www.sysinternals.com

c:\windows\system32\mfplat.dll:
        Verified:       Unsigned
        File date:      01:17 19/10/2006
        Strong Name:    Unsigned
        Publisher:      Microsoft Corporation
        Description:    Media Foundation Platform DLL
        Product:        Microsoft« Windows« Operating System
        Version:        11.0.5721.5145
        File version:   11.0.5721.5145 (WMP_11.061018-2006)
c:\windows\system32\sfcfiles.dll:
        Verified:       Unsigned
        File date:      01:55 28/05/2009
        Strong Name:    Unsigned
        Publisher:      Microsoft Corporation
        Description:    Windows 2000 System File Checker
        Product:        Microsoft« Windows« Operating System
        Version:        5.1.2600.5512
        File version:   5.1.2600.5512 (xpsp.080413-2111)
c:\windows\system32\sfc_os.dll:
        Verified:       Unsigned
        File date:      02:16 28/05/2009
        Strong Name:    Unsigned
        Publisher:      Microsoft Corporation
        Description:    Protection de fichiers Windows
        Product:        SystÞme d'exploitation Microsoft« Windows«
        Version:        5.1.2600.5512
        File version:   5.1.2600.5512 (xpsp.080413-2111)
c:\windows\system32\uxtheme.dll:
        Verified:       Unsigned
        File date:      18:26 29/05/2009
        Strong Name:    Unsigned
        Publisher:      Microsoft Corporation
        Description:    BibliothÞque de thÞmes Ux Microsoft
        Product:        SystÞme d'exploitation Microsoft« Windows«
        Version:        6.00.2900.5512
        File version:   6.00.2900.5512 (xpsp.080413-2105)
c:\windows\system32\wmdrmsdk.dll:
        Verified:       Unsigned
        File date:      01:17 19/10/2006
        Strong Name:    Unsigned
        Publisher:      Microsoft Corporation
        Description:    Windows Media DRM SDK DLL
        Product:        Microsoft« DRM
        Version:        11.0.5721.5145
        File version:   11.0.5721.5145

Le programme va alors vérifier les signatures numériques des fichiers situés dans le catalogue c:\windows\system32 et signaler tous les fichiers qui n'ont pas été signés. Ici, cinq fichiers ne sont pas signés. Si un virus doit être cherché, utiliser cette liste pour commencer.

sysadmin/securite/ms/ms-tools.txt · Dernière modification: 2011/01/14 22:11 par Pascal Cabaud

Outils de la page