Apprendre à sécurisé son ordinateur

Voir le sujet précédent Voir le sujet suivant Aller en bas

Apprendre à sécurisé son ordinateur

Message  roro le Mar 4 Mai - 11:41



Attention faites une sauvegarde avant toute manipulation!!

Fermer les ports critiques:

Mais quels sont les ports ouverts sur mon PC ?
Voici ce que vous pouvez voir par défaut comme ports ouverts quand vous êtes connecté sur Internet, en tapant dans une "invite de commande" (cmd) : netstat -ano (pour XP) ; netstat -an (pour 2000)



Fermer les ports : "137. 138. 139"


Aller sur les propriétés de votre connexion "Internet", à l'onglet "Gestion du réseau", double-cliquer sur la ligne :
"Protocole Internet TCP/IP" dans cet onglet, aller sur le bouton "Avancé" et positionnez vous sur l'onglet "WINS".
Maintenant, "activez" le paramètre : "désactiver NetBios avec TCP/IP"
Vous refermer tous les onglets et retourner dans l'onglet "Général" pour "Appliquer" les changements.

Maintenant fermons les services associés à "NetBios"
Le service "lmhosts", qui sert à la résolution de noms NetBIOS peut être arrêté :
Avec une invite de commande (cmd), tapez : net stop lmhosts
Profitons-en pour désactiver complètement ce service, vous allez dans "exécuter" et vous tapez : services.msc
"désactiver" la ligne : "Assistance TCP/IP NetBios"
Voilà, aussi simple que ça pour fermer ces 3 ports.

Si vous utilisez une connexion "réseau local", vous pouvez procéder de la même façon pour fermer les ports locaux, cela n'influence pas les connexions du réseau local.

Fermer le port : "445" qui correspond à NetBT
Ouvrez une invite de commande (cmd) et arrêtez les services "Workstation" et "serveur"
tapez : net stop rdr
Une fois cette première opération terminée,
tapez : net stop srv
maintenant que ces services sont arrêtés, nous allons les désactiver :
Menu "Démarrer" , "Exécuter", tapez : services.msc
"Désactivez" la ligne : "Station de travail" qui correspond à "lanmanworkstation"
"Désactivez" la ligne : "Serveur" qui correspond à "lanmanserveur"

Une fois ces services arrêtés, le pilote NetBT peut être arrêté à son tour :
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop netbt

Pour désactiver le pilote NetBT, la valeur suivante de la base de registres doit être modifiée :

Menu "Démarrer" , "Exécuter", tapez regedit
Allez à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\
A la valeur : "Start" modifiez la valeur REG_DWORD à : 4

Dans certaines configurations, il peut être nécessaire de laisser actif le pilote NetBT, sans utiliser le transport de SMB

Sur le port 445. Dans ce cas, il est possible de régler la valeur de la base de registres suivante :
Allez à la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
A la valeur : "SmbDeviceEnabled" modifiez la valeur REG_DWORD à 0

Fermer le port : "123" qui correspond à "W32Time"
Vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "Horloge Windows" vous "arréter" le service puis vous le "désactiver"

Fermer le port : "500" qui correspond à "Internet Key Exchange"
Peut être fermé en arrêtant le service IPsec services.
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop policyagent
Et maintenant nous allons le désactiver complètement :
Vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "Service IPSEC" vous "désactiver" le service.

Fermer le port : "1900" qui correspond à "SSDPSRV"
Peut être fermé en arrêtant le service de découverte SSDP.
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop ssdpsrv
Et maintenant nous allons le désactiver complètement :
Vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "Service de découvertes SSDP " vous "désactiver" le service.

Fermer les ports supérieur à : "1023" qui correspond à "Distributed Transaction Coordinator"
Peut être fermé en arrêtant le service msdtc
Ouvrez une invite de commande (cmd) et arrêtez le service :
Et tapez : net stop msdtc
Et maintenant nous allons le désactiver complètement :
Vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "Distributed Transaction Coordinator" vous "désactiver" le service
Pour 2000 serveur, ce service ferme également le port 3372.

Fermer le port : "5000" qui correspond à "upnphost"
Peut être fermé en arrêtant et en désactivant le service
Vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "Hote de périphérique universel Plug and Play" vous "Arrêter" et vous "désactiver" le service.

Fermer le port dynamique supèrieur à : "1024" qui correspond à "shedule"
Peut être fermé en arrêtant et en désactivant le service
Vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "Planificateur de tache" vous "Arrêter" et vous "désactiver" le service.

Fermer le port dynamique supèrieur à : "1027" qui correspond à "messenger"
Peut être fermé en arrêtant et en désactivant le service
Vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "Affichage des messages" vous "Arrêter" et vous "désactiver" le service.

Fermer le port dynamique supèrieur à : "1024" qui correspond à "clientDNS"
Peut être fermé en arrêtant et en désactivant le service
vous allez dans "exécuter" et vous tapez : services.msc
A la ligne : "ClientDNS" vous "Arrêter" et vous "désactiver" le service
Il est possible de désactiver le mécanisme de cache de socket utilisé par le service dnscache de Windows XP, en ajoutant une valeur dans la base de registres sous la clé :

Allez à la clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters\
Aoutez la valeur "MaxCachedSockets" et donner la valeur REG_DWORD à 0

Femer le port "135"
Pour fermer ce port qui utilise le service "Appel de procédure distante" qui lui ne peut, en aucun cas être fermer pour cause de blocage de toutes connexions, il faut modifier plusieurs paramètres dans la base de registre, dont voici la procédure :
Création des "Restrictions des interfaces d'écoute sur Windows"
Une valeur de la base de registres permet de configurer la liste des interfaces réseau sur lesquelles les services RPC se placeront en écoute. Cette valeur reçoit une liste d'entiers, correspondant aux index des interfaces réseau. Cette valeur doit contenir des index d'interfaces réseau, commençant à 1 qui correspond à loopback 127.0.0.1
Pour le faire nous allons créer 2 clés qui n'existent pas :

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Linkage]
"Bind"=hex(7):31,00,00,00,00,00

Avec le bloc-notes, vous allez créer un fichier que vous nommez rpc-bind.reg, vous faites un copier/coller de ces valeurs, et vous le fusionnez dans votre base de registre.

Par défaut, le portmapper RPC se met en écoute sur toutes les interfaces réseau.
Une valeur de la base de registres, "ListenOnInternet", permet de paramétrer si le portmapper RPC se met en écoute sur
toutes les interfaces ou non. Par défaut, cette valeur n'existe pas et a une valeur implicite de "Y":
Nous allons la créer :

Dans la base de registre, allez à la clé
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs\
Créez la valeur : ListenOnInternet de Type: REG_SZ et donnez lui comme contenu N

Lorsque ListenOnInternet contient "N", le port TCP 135 devient en écoute uniquement sur les interfaces dont les index apparaissent dans la valeur Bind soit 1 qui correspond à l'interface "Ethernet: MS TCP Loopback interface" 127.0.0.1

Désactiver DCOM
Pour l'instant le port TCP 135 est toujours ouvert car il est utilisé pour recevoir les requêtes d'activation à distance d'objets
COM. Il existe un réglage global dans la base de registres, permettant de désactiver DCOM :
Nous allons modifier une valeur dans la base de registre :

Allez à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
A la valeur EnableDCOM de Type: REG_SZ modifiez le contenu N (pour désactiver)

Le port 135 est désormais fermé.

Il existe quelques ports spéciphiques à 2000 Server et à IIS mais comme ce sytème s'adresse en principe à des professionnels (Administrateur réseau, etc..) ils ne sont pas traités dans cet article. Vous pouvez néanmoins les retrouver sur le site de HSC.



Fermer les autres Services à risque

Voici la liste des autres services que vous pouvez "arrêter" et "désactiver" pour une meilleure sécurité


- Accès à distance au registre
- Aide et support
- Assistant TCP/IP NetBIOS
- Avertissement
- Client DHCP
- Connexion secondaire
- DSDM DDE réseau
- Gestionnaire de l'album
- Gestionnaire d'aide sur le Bureau à distance
- Journaux et alertes de performance
- Machine Debug Manager
- Mises à jour automatiques
- Notification d'évènement système
- Ouverture de session réseau
- Partage de bureau à distance NetMeeting
- Routage et accès distant
- Service de rapport d'erreur
- Service Terminal Server
- Telnet
- WebClient

Voici la liste des autres services que vous pouvez "arrêter" et mettre en mode "manuel"

- Application système COM+
- Connexion réseau
- DDE réseau
- Emplacement protégé
- Explorateur d'ordinateur
- Fournisseur de la prise en charge de sécurité LM NT
- Journal des évènements
- Localisateur d'appel de procédure distante (RPC)
- MS Software Shadow Copy Provider
- NLA (Network Location Awareness)
- QoS RSVP
- Service de la passerelle de la couche Application
- Système d'évènement COM+
- Windows Installer


Ces 2 listes sont prévus pour un PC seul, sans réseau local. Pour ceux qui ont un réseau local, regardez d'abord les dépendances avant de fermer certains services, sinon, vous auriez des problèmes de partages de fichiers ou de connexions.
avatar
roro
Admin

Messages : 25
Date d'inscription : 29/04/2010
Age : 32

Voir le profil de l'utilisateur

Revenir en haut Aller en bas

Voir le sujet précédent Voir le sujet suivant Revenir en haut

- Sujets similaires

 
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum