Pour corriger cette conception qui certes permet d'utiliser un PC les yeux fermés avec des logiciels ou du matériel récents, pas trop pour les pilotes toutefois, il existe 2 grandes stratégies.
1.Utiliser le compte administrateur et des logiciels qui limitent les droits en écriture à travers les applications ainsi protégées.
2.Utiliser un compte limité pour restreindre les droits en écriture dans les fichiers
La deuxième solution est de loin la plus fiable, mais pour un débutant elle peut être parfois délicate à mettre en oeuvre, nous verrons pourquoi.
1.Utiliser le compte administrateur et des logiciels qui limitent les droits en écriture.
Typiquement, les applications qui doivent être limitées en droits sont :
les navigateurs : IE, Firefox, Opera,...
les courielleurs : Thunderbird, Outlook et Outlook express, ....
MSN, Yahoo chat, ICQ, Instant messenger, GAIM, ...
Skype, Windows Media Player, iTunes, QuickTime Player, WinAMP,...
Azureus et autres P2P
FileZilla, WinRAR, WinZIP. Adobe reader,
Par ordre de simplicité, quelques applications :
RunSafe
Proposé par GetData en version free (mais permet seulement de gérer 3 applications) ou en version pro (19.95 $)
Runsafe détecte automatiquement les applications à protéger.
Téléchargement : http://www.download3k.com/Security/Acce ... nSafe.html
ou http://www.shareup.com/downloading-47492.html
Pas trouvé de téléchargement au départ du site GetData
Mode d'emploi :
Quand RunSafe est téléchargé > clic > installation > laisser l'installation se faire par défaut
Cocher créer icône sur bureau et lancer au démarrage (run as startup)
Attention, il faudra
- autoriser le contrôle des fenêtres d'autres applications
- autoriser requêtes dns
- autoriser injection dans composants.
Quand RunSafe s'ouvre, il propose les applications qu'il doit lancer, (FF, IE, Windows Media Player, Thunderbird, etc ) on peut en ajouter si besoin (sauf dans version free limitée à 3 applications)
On retrouve alors les applications à utiliser avec des droits restreints dans une fenêtre et il suffit de cliquer sur icône Firefox par exemple
Quand FF s'ouvre, tout au dessus de la fenêtre apparaît alors la mention : secured by RunSafe
Quand on clique sur icône dans barre des tâches, il propose une mise à jour vers la version 1.1.0.120
Avantages
RunSafe fonctionne comme un processus et est visible tant dans le gestionnaire des tâches (ctrl-alt-del) que dans d'autres applications comme Currports par exemple.
Il n'y a rien à faire pour utilisateur, le programme fait tout.
DropMyRights
DMR est déjà un peu plus complexe car il nécessite des manipulations de l'utilisateur pour créer les raccourcis à travers lesquels seront lancées les applications citées plus haut. Il s'agit d'un script qui modifie les droits de l'utilisateur sur une application.
Avantage, il n'est pas limité à 3 applications comme RunSafe free.
Une page lui est consacrée sur le site
http://assiste.com.free.fr/p/logitheque ... ights.html
Inconvénients
l'utilisation de DMR n'est pas transparente. On ne le retrouve pas dans le gestionnaire de tâches en tant que processus ou dans le le navigateur lancé à travers lui et le contrôle de son lancement nécessite l'utilisation d'outils comme FaberToys ou Processexplorer que j'évoquerai plus loin.
Une autre approche consiste à isoler une application
GeSWall
GeSWall est un nouveau détecteur d'intrusion qui a la capacité d'appliquer votre politique de sécurité pour prévenir tout attaque provenant par exemple d'un rootkit.
Il a la particularité de discerner objectivement les attaques et différente tentatives de prises de contrôles, et de vérifier l'intégrité générale du système.
Mais au delà de cela, c'est bien son coté évolutif et proactif dans sa capacité à bloquer des attaques encore inconnues basées sur une stratégie 0-days.
L'intérêt de l'utilitaire réside également dans sa capacité à isoler les différentes applications tel que navigateurs, messagerie, chat, p2p, client irc et autres applications pouvant servir de points d'entrée à une attaque via un virus, un trojan, un rootkit, un keyloggers ou tout autres exploit (buffer overflow, privilege escalation...etc)
A contrario des autres autres solutions de ce type, GeSWall tente de se démarquer en ne se basant plus exclusivement sur le sandboxing et la virtualiz=sation, il traque également les possibles fichier ou process qui lui semblerait douteux.
Une sorte de super runguardian pour ceux qui auraient connus ce sytème de surveillance pour psychopathes de la sécurité...
A noter également que l'outil est livré avec des règles pré-configurées pour IIS, Oracle, MS SQL. Server Edition, et qu'il est livré dans une version desktop en freeware !
http://www.blocus-zone.com/modules/news ... tem_id=779
Techniquement, la solution s'articule autour d'un driver inséré dans le kernel même de Windows.
Ce pilote permet d'appliquer une politique flexible de contrôle d’accès aux ressources du système à partir d'ACL (Access Control List), précisant les droits de chaque programme, de l'accès à la mémoire à l'intervention dans la base de registre, du disque dur aux différents processus en cours...
http://www.weka.fr/informatique/securit ... win/42985/
Téléchargement : http://www.gentlesecurity.com/download.html
Mode d'emploi
Après avoir lancé l'installation de GeSWall, le programme vous demande de redémarrer le PC
Un icône G apparaît dans le systray.
Lorsqu'on lance un navigateur ou une autre application sur le Net, GeSWall ouvre une fenêtre et vous propose d'isoler cette application du reste du système > répondre OK
Un clic droit sur l'icône G > GeSWall console > logs > montre les mesures prises par le programme pour isoler une application.
Exemple :
2007.01.04 16:09:55 firefox.exe ISOLATE on access to (null) (Network)
2007.01.04 16:09:55 firefox.exe REDIRECT access to C:\wl_hook.log (File)
2007.01.04 16:29:51 firefox.exe READONLY access to HKLM\SOFTWARE\Classes\http\shell\open\ddeexec (Registry)
2007.01.04 16:29:51 firefox.exe
READONLY access to HKLM\SOFTWARE\Classes\https\shell\open\ddeexec (Registry)
2007.01.04 16:29:51 firefox.exe
READONLY access to HKLM\SOFTWARE\Classes\ftp\shell\open\ddeexec (Registry)
2007.01.04 16:29:51 firefox.exe
READONLY access to HKLM\SOFTWARE\Classes\gopher\shell\open\ddeexec (Registry)
2007.01.04 16:29:51 firefox.exe
READONLY access to HKLM\SOFTWARE\Classes\CHROME\shell\open\ddeexec (Registry)
2007.01.04 16:29:51 firefox.exe
READONLY access to \Device\NamedPipe\lsass (File)
2007.01.04 16:30:01 firefox.exe
READONLY access to \Device\NamedPipe\srvsvc (File)
2007.01.04 16:30:02 firefox.exe
REDIRECT access to HKU\S-1-5-21-299502267-839522115-1801674531-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\@Shell32.dll,-12692 (Registry)
2007.01.04 16:30:07 firefox.exe
REDIRECT access to HKU\S-1-5-21-299502267-839522115-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU\b (Registry)
2007.01.04 16:30:07 firefox.exe
REDIRECT access to HKU\S-1-5-21-299502267-839522115-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedMRU\MRUList (Registry)
2007.01.04 16:30:07 firefox.exe
READONLY access to HKU\S-1-5-21-299502267-839522115-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\htm (Registry)
GeSWall n'empêche toutefois pas d'enregistrer une page ou un fichier dans le répertoire C:\ comme le font RunSafe et DMR.
Il peut s'utiliser en complément de ceux-ci. GeSWall lancera alors Firefox lorsque vous cliquerez sur le raccourci DMR ou RunSafe
Lorsque vous enregistrez un fichier sur le bureau ou dans "Mes documents", l'icône G est placé à gauche du fichier téléchargé.
Cela signifie que GeSWall surveille le fichier. Si vous devez le "dézipper" par exemple, GeSWall vous signalera que Izarc (ou WinZip) essaye d'établir une connexion.
Il empêche également l'installation d'un fichier téléchargé au départ du bureau.
Lorsque vous lancez un processus surveillé par GeSWall, il vous demande à chaque lancement si vous souhaitez isoler ce processus, auquel cas, il n'aura pas accès aux modifications du registre.
Vous pouvez également choisir de le lancer par défaut en "isolé" avec clic droit sur le fichier > Run isolated
GeSWall vous proposera de passer à la version pro, faire un clic sur Later et cliquer sur la case : « Ne plus me poser la question »
A noter que GeSWall accorde une licence public de 6 mois. Je verrai donc ce qui se passera le 01/08/2007
CoreForce
Note : CoreForce semble plus fonctionner comme un pare-feu très fin dans son paramétrage.
Core Force se définit comme un environnement de sécurité qui s’ajoute et remplace celui du système Windows.
Il est basé sur plusieurs modules qui s’intègrent au cœur du noyau et se chargent comme driver. Ceux-ci permettent d’appliquer des politiques de sécurité qui seront propres à chaque application du système.
Ainsi toutes les modifications de la bases de registres, du système de fichier ou encore tous les accès réseau effectué par des applications peuvent être détectée et éventuellement bloqués.
Notons que ce programme n’utilise pas des fonctions de API hooking classiques mais mise plutôt sur une intégration directe dans le kernel windows.
Un outil graphique permet de définir ces politiques, et des configurations sont incluses pour les applications les plus communes. Un composant permettant de filtrer les accès réseau est également inclut.
Les développeurs n’étant pas satisfait par le firewall intégré à Windows, ils ont effectué un port pour ce système du firewall pf, qui est intégré au système OpenBSD et est aussi probablement la solution libre la plus efficace pour cette fonction.
Des fonctions ont été rajoutée à l’occasion, comme la possibilité de rajouter à la volée des règles, en fonction de l’application qui génère le trafic, ou encore la possibilité pour le logiciel de demander quelle action il doit effectuer face à un trafic particulier. (rajout d’une cible ASK en plus de DENY, ALLOW, etc).
De nombreux fichiers de configuration sont disponibles sur le site du projet, permettant de protéger la plupart des applications courantes, comme par exemple Firefox, Internet Explorer, Thunderbird ou Outlook/Outlook Express. L’aspect communautaire du projet permet à tous les utilisateurs de contribuer à la définition de règles pour de nouvelles applications.
Cette solution de prévention d’intrusion locale offre une méthode de protection, qui sans se baser sur l’analyse de signature, peut se révéler particulièrement efficace, en particulier contre les virus inconnus, qui ne sont pas détectés par les outils basés sur des signatures (la plupart des antivirus).
L’utilisation de ces techniques est également sans nul doute une tendance importante de la protection des postes clients mais est encore peu utilisée par les éditeurs d’antivirus commerciaux.
CoreForce est développé sous la licence Apache 2.0 par les développeurs de l’équipe de recherche et développement de Core Security. Il est possible de le télécharger gratuitement sur le site du projet. Cette application est compatible avec Windows XP et Windows 2000.
http://www.secuobs.com/news/12122005-coreforce.html
Vérifier la compatibilité de votre antivirus avec CoreForce
http://force.coresecurity.com/index.php ... own-issues
Téléchargement : http://force.coresecurity.com/download/ ... 95.167.exe
Le site de CoreForce : http://force.coresecurity.com/index.php ... &page=main
Pour ceux qui veulent en savoir plus : http://force.coresecurity.com/download/ ... rGuide.pdf
Pas encore testé.
Ce logiciel ne me semble pas indiqué aux débutants. Je confirme ou infirme après tests
Une autre approche consiste à isoler les applications se connectant sur le Net dans un bac à sable.
Certains pare-feu comme Outpost 4.0 proposent une application semblable.
Sandboxie
Lire la page que lui consacre Jacques Calicis
http://babin.nelly.free.fr/sandboxie.htm
Non testé car Outpost est installé sur le système et les deux sont incompatibles. Outpost utilisant un principe Sandbox également.
Lire également le test
http://forum.pcastuces.com/sujet.asp?f=25&s=14821
Un gros avantage de Sandboxie par rapport à DropMyRights est qu'il isole une application dans un bac à sable. Toute modification de cette application peut être effacée tout en permettant de garder ce que l'on souhaite comme des favoris par exemple.
Inconvénients
Il peut consommer assez bien de ressources suivant les systèmes.
Comment vérifier que mes logiciels sont bien limités en droits ?
Deux utilitaires permettent de le faire aisément.
Processexplorer
Process Explorer fonctionne sous Windows 9x/Me, Windows NT 4.0, Windows 2000, Windows XP, Server 2003, et versions 64-bit de Windows pour les processeurs x64, ainsi que Windows Vista.
Téléchargement : http://download.sysinternals.com/Files/ ... plorer.zip
Extraire le fichier et lancer procexp.exe
Le programme affiche en temps réels les applications en cours
Pour vérifier les droits de Firefox que ce soit avec DMR, RunSafe, lancer FF au départ du raccourci DMR ou de la fenêtre RunSafe
Firefox apparaît dans le fenêtres du haut
Cliquer alors sur l'icône « Show process tree »
Une série de lignes apparaissent dans la fenêtre inférieure
Descendre jusqu'à la première ligne commençant par « File »
Vous devez voir apparaître à la fin de cette ligne : Dropmyrights ou RunSafe
Processexplorer est un programme très intéressant qui permet également de faire pas mal d'autres choses et notamment remplacer le Gestionnaire des tâches de Windows.
Pour en savoir plus, l'excellent tutoriel de Tesgaz
http://forum.zebulon.fr/index.php?showtopic=92628
Un fichier d'aide en français à télécharger : http://manuelsdaide.com/System/ProcessE ... plorer.htm
> choisir le fichier avec drapeau français
Félix le Chat me signale également (merci à Félix) qu'il est possible de modifier les droits d'un processus (Firefox par exemple en utilisant l'option Run As ou Run as Limited User > voir le tuto de Tesgaz)
Ne vous étonnez pas de trouver des infos sur Processexplorer sur le site de Microsoft, c'est normal puisque Microsoft a acheté Sysinternals. ProcessExplorer devrait d'ailleurs remplacer le gestionnaire des tâches actuel.
FaberToys
Téléchargement : http://www.faberbox.com/fabertoys.asp?a ... rsion=Full
Mode d'emploi
Dans le cas d'une vérification des droits limités
Si FT n'ouvre pas par défaut la fenêtre des processus, aller dans Outils > dépendances
Les processus lancés par le système sont présents.
test 1 : lancer Firefox normalement > descendre sur la ligne Firefox et regarder dans la colonne "exécuté par"
Il doit être inscrit Explorer.exe > fermer FF
test 2 : lancer Firefox par le raccourci DMR > clic sur rafraichir > dans la colonne "exécuté par" apparaît alors un nombre aléatoire entre {****}. Cela signifie que DMR a bien lancé FF > fermer FF
test 3 : lancer FF par le raccourci RunSafe > clic sur rafraichir > on voit que FF est exécuté par RunSafe
fin de la première partie. La suite portera sur l'utilisation d'un compte limité mais en se donnant des droits administrateurs à l'occasion.
Il est fort possible et même certain que je remanie le texte pour corriger ou ajouter des éléments
