Assiste.Forums

[Vazkor]

Pour Jim et Pierre et autres experts uniquement,

Je demande aux autres de nous laisser le temps le temps de vérifier tout cela, avant de tenter de mettre en pratique.

J'ai trouvé ce dossier génial mais bourré de fautes d'orthographe.
(Source: http://forum.teamatic.net/viewtopic.php?t=6927 (Maintenant inaccessible))
Je l'ai donc corrigé, ce qui m'a fait un sacré boulot.
Je pense que nous pouvons le publier en citant la source.
J'ai pu constater que le site d'origine a fait de même avec des articles piqués sur Clubic.

Je voudrais quand même que l'on vérifie tout point par point.
A certain moment, les manips, c'est pire que du saut à l'élastique ;-)

Ici il faut absolument sauvegarder toute la BDR avant de commencer à la modifier.

Bonne étude! et @+

JCM

SÉCURITE: DAVE'S PORT LIST: SÉCURISER WINDOWS 2000 & XP

Il y a 65535 ports (ou portes) qui ouvrent l'accès à nos machines.
La Dave's Port List vous donne tous les ports avec les correspondances pour les virus ou les trojans.
Profitez de cette liste pour les règles de sécurité de votre firewall.
http://lists.gpick.com/portlist/portlist.htm

Pour vérifier les ports ouverts de votre machine:

Allez dans Démarrer > Programmes > Accessoires > Invite de commandes
ou Démarrer + Exécuter, tapez: cmd (+ OK pour valider).
Sous Windows 2000: C:\WINNT>netstat -an (une frappe sur Enter pour valider).
*** Respectez l'espace entre netstat et le tiret! ***
Sous Windows XP: C:\WINDOWS>netstat -ano (une frappe sur la touche [Entrée] pour valider).

Si vous voulez faire passer la sécurité avant le reste, il est souhaitable de désactiver un certain nombre de services qui fonctionnent par défaut dans Windows. (L'important est de fermer ces Ports).

SERVICE - PORT(S)/PROTOCOLE(S) - SERVICE(S) WINDOWS

Protocole IKE - 500/UDP - IPSEC Policy Agent
Protocole NTP - 123/UDP - WINDOWS Time
UPnP - 5000/TCP, 1900/UDP - SSDP Discovery Service
Cache DNS - Dynamique >1024/UDP - DNS Client
NetBIOS(TCP) - 137/UDP, 138/UDP, 139/TCP - TCP/IP NetBIOS Helper Service
CIFS/SMB - 139/TCP, 445/TCP - Server, Workstation
Portmapper RPC - 135/TCP, 135/UDP - Remote Procedure Call (RPC)
Tâches programmées - Dynamique >1024/TCP - Schedule
Messenger - Dynamique >1024/UDP - Messenger
Service - 1025 - Services

Pour fermer les ports: 137, 138, 139.

"Désactiver NetBios et fermer les ports 137, 138, 139" (Si vous utilisez pas le partage de fichiers comme le cite H@ck-2600 dans un post plus bas).
Allez dans l'onglet "Propriétés" de votre connexion "Internet",
Dans l'onglet "Gestion du réseau" faites un double-clic sur la ligne "Protocole Internet TCP/IP puis cliquez sur le bouton "Avancé" ou Advanced.
Cliquez sur l'onglet "WINS" et cochez la case: "Désactiver NetBIOS avec TCP/IP".
Refermez tous les onglets et retournez dans l'onglet "Général" pour "Appliquer" les changements.
Fermez les services associés à "NetBIOS".
Le service "LmHosts" qui sert à la résolution de noms NetBIOS peut être arrêté:
Ouvrez une Invite de commandes (cmd).
Allez dans Démarrer + Exécuter.
tapez: cmd (OK pour valider), à l'ouverture de l'Invite de commandes tapez: net stop lmhosts (un clic sur la touche [Entrée] pour valider).
Ensuite désactiver complètement ce service, Démarrer + Exécuter et tapez: services.msc (OK pour valider).
À l'ouverture des services msc, cherchez la ligne "Assistance TCP/IP NetBIOS" faites un double clic sur la ligne et mettez le service en démarrage "désactivé".
Vous venez de fermer complètement les ports 137, le 138 et le 139.
Si vous êtes en "réseau local" pas de problème cela n'influence pas les connexions.

Pour fermer le port 445 qui correspond à NetBT.

Ouvrez une Invite de commandes (Démarrer + Exécuter + tapez: cmd + OK pour valider).
À l'ouverture de la fenêtre de l'invite de commandes tapez:
net stop rdr (faites un clic sur la touche [Entrée] pour valider).
Cette action va arrêter le service "Workstation".

Ensuite toujours dans l'Invite de commandes tapez:
net stop srv (faites un clic sur la touche [Entrée] pour valider).
Cette action va arrêter le service "server".
Maintenant que ces services sont arrêtés, il faut les désactiver:
Allez dans Démarrer + Exécuter et tapez: services.msc
A l'ouverture de services.msc recherchez la ligne "Station de travail" qui correspond à "lanmanworkstation ".
Faites un double clic sur la ligne "Station de travail" et mettez le type de démarrage sur "désactivé".
Faites un double clic sur la ligne "Serveur" qui correspond à "lanmanserver" et mettez le type de démarrage sur "désactivé".
Oubliez pas pour ces deux actions de faire à chaque fois "APPLIQUER" + "OK".
Maintenant que ces services sont arrêtés, le pilote NetBT peut être arrêté à son tour: ouvrez une Invite de commandes et tapez: net stop netbt (faite un clic sur la touche [Entrée] pour valider).
Il vous faut désactiver le pilote NetBT maintenant, pour cela allez dans Démarrer + Exécuter et tapez: regedit (valider par un clic sur OK).
Allez à la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT
À la valeur "Start" modifiez la valeur REG_DWORD à 4
Faites un redémarrage système, le port 445 est fermé.

Dans certaines configurations, il est parfois nécessaire de laisser actif le pilote NetBT, sans utiliser le transport de SMB.
Dans ce cas pour le port 445 il est possible de régler la valeur de la base de registre suivante:
Allez dans la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
A la valeur;" SmbDeviceEnabled" modifiez la valeur REG_DWORD à 0.

Pour fermer le port 123.

Il correspond au service "W32Time" (l'horloge Windows).
Allez dans Démarrer + Exécuter tapez: services.msc validez par OK
À la ligne "Horloge Windows" faites un double clic dessus
Arrêtez le service puis mettez-le en démarrage "désactivé" pour valider faites Appliquer + OK
Le port 123 est fermé
(rien ne vous empêche pour mettre votre horloge à l'heure de faire un double clic sur l'heure dans la barre de tâches, pour la mettre à l'heure manuellement).

Pour fermer le port 500.

Il correspond au service "Internet Key Exchange" (Service IPSEC).
Allez dans Démarrer + Exécuter (tapez: cmd) valider par OK.
A l'ouverture de l'invite de commandes(cmd) tapez: net stop policyagent (cliquez sur la touche [Entrée] pour valider).
Maintenant vous pouvez le désactiver complètement, allez dans:
Démarrer + Exécuter tapez: services.msc valider par OK.
A la ligne "Service IPSEC" faites un double clic dessus.
Mettez-le en démarrage "désactivé" faites Appliquer + OK pour valider.
Le port 500 est fermé.

Pour fermer le port 1900.

Le port 1900 correspond au service "Service de découvertes SSDP".
Allez dans Démarrer + Exécuter tapez: cmd valider par OK.
Dans l'Invite de commandes tapez: net stop ssdpsrv (cliquez sur la touche [Entrée] pour valider).
Ensuite pour désactiver complètement le service allez dans:
Démarrer + Exécuter et tapez: services.msc (faites OK pour valider).
A la ligne "Service de découvertes SSDP" faites un double clic et mettez le démarrage de ce service sur "désactivé".
Le port 1900 est fermé.

Pour fermer les ports supérieurs à 1023 qui correspondent à "Distributed Transaction Coordinator".
Allez dans Démarrer + Exécuter tapez: cmd valider par OK.
Dans l'invite de commandes tapez: net stop msdtc (cliquez sur la touche [Entrée] pour valider).
Ensuite pour désactiver complètement le service allez dans:
Démarrer + Exécuter et tapez: services.msc (faites OK pour valider).
A la ligne "Distributed Transaction Coordinator" faites un double clic et mettez le démarrage de ce service sur "désactivé" (pensez à cliquer sur Appliquer + sur OK pour valider).

Infos: pour Win 2000 serveur, ce service ferme également le port 3372.

(À chaque fois que vous fermez un port servez-vous de l'Invite de commandes (cmd): Démarrer + Exécuter (tapez:
netstat -ano (pour XP) et netstat -an (pour 2000), pour vérifier que vous avez bien fermé le port en question.).

Pour fermer le port 5000.

Le port 5000 correspond à (upnphost) "Hôte de périphérique universel Plug and Play ".
Allez dans démarrer + Exécuter et tapez: services.msc (valider par OK).
Faites un double clic sur la ligne "Hôte de périphérique universel Plug and Play" arrêtez le service et mettez son démarrage sur "désactivé".
Le port 5000 est fermé.

Vous avez chez Steve Gibson un freeware pour désactiver UnPnP.

http://www.grc.com/UnPnP/UnPnP.htm

Pour fermer le port dynamique supérieur à 1024.

Là... c'est un port "délicat" il est utilisé par le pare-feu de connexion Internet ICF (Internet Connection Firewall) intégré dans XP et par le "Gestionnaire de connexion d'accès distant ".
Si vous avez un bon firewall extérieur, c'est pas la peine de vous servir de celui interne à votre XP.

Pour fermer le port dynamique supérieur à 1024.

Qui correspond à (schedule) "Planificateur de tâches".
Allez dans démarrer + Exécuter tapez: cmd, OK pour valider.
Dans l'Invite de commandes tapez: sc config schedule start= disabled (faites la touche [Entrée] pour valider).
(respectez l'espace entre start= et disabled, c'est important).
Ensuite pour désactiver complètement schedule Démarrer + Exécuter tapez: services.msc (valider par OK).
Faites un double clic sur la ligne" Planificateur de taches" arrêtez le service et mettez le démarrage du service sur "désactivé".

Il y a également une autre Invite de commandes à faire, mais celle-ci dépend du gestionnaire de connexion d'accès distant, ce qui risque de nuire à votre connexion, alors prudence... si vous ne sentez pas cette manip, laissez tomber... sinon allez dans Démarrer + Exécuter tapez: cmd, (OK pour valider) tapez: sc config rasman start= disabled
(Attention cette invite touche le gestionnaire de connexion d'accès distant).


Toujours pour le port dynamique supérieur à 1024, qui correspond aussi à "ClientDNS".
Pour fermer ce service allez dans: Démarrer+ Exécuter, tapez: services.msc (faites OK pour valider).

Faites un double clic sur la ligne "ClientDNS ".
Arrêtez le service et mettez le démarrage du service sur "désactivé" (Appliquer + OK pour valider).

Il est possible de désactiver le mécanisme de "cache de socket" utilisé par le service DNScache de Win XP en ajoutant une valeur dans la base de registre sous la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
Ajoutez la valeur: "MaxCachedSockets" et mettez la valeur REG_DWORD à 0


Pour fermer le port dynamique 1027.

Ce port 1027 correspond à "Messenger" (pas le Messenger qui vous sert à dialoguer avec vos amis en live sur la toile!).
Celui-là il sert à des sites peu scrupuleux qui vous envoient de temps en temps des petits messages de pub ou autres sous forme d'une fenêtre style Windows, (en gros, ils s'invitent dans votre PC sans rien vous demander.. sympa...).

Pour fermer ce service allez dans Démarrer + Exécuter et tapez: services.msc (OK pour valider).
Faites un double clic sur la ligne "Affichage des messages".
Arrêtez le service et mettez le démarrage du service sur "désactivé".
Faites Appliquer + OK pour valider.

Pour fermer le port 135.

Le port 135 c'est par celui-ci que le W32.Blaster.Worm (voir la Dave' list) a fait pas mal de PB dans nos PC.
Pour fermer ce port qui correspond au Service "Appel de procédure distante" (ce service ne peut pas être fermé pour cause de blocage de toutes les connexions).
Il faut modifier la base de registre et créer deux clés qui n'existent pas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Rpc\Linkage
"Bind"=hex(7):31,00,00,00,00,00
Avec le bloc-notes, vous allez créer un fichier que vous nommez rpc-bind.reg
Vous faites un copier/coller de ces valeurs et vous les fusionnez dans votre base de registre.

Le portmapper RPC par défaut se met en écoute sur toutes les interfaces réseau.
Une valeur dans la base de registre "ListenOnInternet" permet de paramétrer, si le portmapper RPC se met en écoute sur toutes les interfaces ou non.
Par défaut cette valeur n'existe pas, nous allons la créer:
Allez dans Démarrer + Exécuter, tapez: regedit (faire OK pour valider).
Allez à la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs
Créez la valeur: ListenOnInternet de type: REG_SZ et donnez lui comme contenu: N

Si vous faites une Invite de commandes: netstat -ano pour XP ou netstat -an pour 2000 vous verrez que le port 135 est toujours ouvert...
Pour complètement le fermer il faut désactiver "DCOM".

Allez dans Démarrer + Exécuter et tapez: regedit (faites OK pour valider).
A la clé:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
A la valeur EnableDCOM de type REG_SZ modifiez le contenu: N (pour désactiver).
Le port 135 est fermé.

Vous avez chez Steve Gibson un freeware pour désactiver DCOM.
http://www.grc.com/dcom/

Sécurisez d'avantage votre système Windows 2000/XP
Panneau de configuration + Options des dossiers+ onglet "Affichage"
Désactivez la case: Utiliser le partage de fichier simple.

(Windows XP a ajouté un partage simple par défaut, qui partage l'ensemble des documents du dossiers "Mes documents" de chaque compte utilisateur du PC, cela empêche d'accéder à l'onglet "Sécurité" des dossiers et des fichiers).

Après avoir désactivé la case: Utiliser le partage de fichier simple
Ouvrez la base de registre, Démarrer + Exécuter, tapez: regedit (valider par OK).

A la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
À la valeur: "forceguest" de type REG_DWORD mettez la valeur à 0

Vous avez maintenant un nouvel onglet "Sécurité" dans les "Propriétés des dossiers et des fichiers.

Retournez dans le Panneau de configuration + Options des dossiers + onglet "Affichage ".
Activez la case: Afficher les fichiers et dossiers cachés.

Désactivez la case: Masquer les extensions des fichiers dont le type est connu.
puis Appliquer + OK.

Supprimez ensuite le "Partage de fichiers et d'imprimante sur le réseau ".
Pour cela cliquer sur l'icône de votre connexion Internet + onglet "Propriété + onglet "Gestion de réseau".
Décochez la case "Partages de fichiers et d'imprimantes ".
Sur l'icône "Poste de travail" faire un clic droit + Propriété + "mise à jour automatique".
Désactivez la case: "Maintenir mon ordinateur à jour" puis cliquez sur Appliquer + OK.

(rien ne vous empêchera de faire votre mise à jour manuellement).

Désactivez "Utilisation à distance".

Clic droit sur l'icône du Poste de travail + Propriété + l'onglet "Utilisation à distance ".
Désactivez les 2 cases: "Assistance à distance" et "Bureau à distance ".
Interdisez le compte "Invité". Oui, M. Bill a pensé à tout !

Pour interdire le compte invité, allez dans Démarrer + Panneau de configuration + Outils d'administration + Gestion de l'ordinateur + Outils système + Utilisateurs et groupes locaux + Utilisateurs.

Désactivez le compte "Invité" et profitez en pour désactiver "Help Assistant" et "Support ".
Pour une meilleur sécurité de votre système, n'hésitez pas à convertir votre partition de FAT 32 en NTFS.
Les avantages et l'importance: sécurité des dossiers et des fichiers.
- permissions/restrictions
- cryptage des données
La manip est très simple et sans perte de données: Démarrer + Exécuter puis tapez:
convert C: /FS:NTFS


Supprimez les "dossiers partagés" sous XP par la base de registre:

Démarrer +Exécuter tapez: regedit (OK pour valider).

A la clé:
HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders
supprimez la sous-clé: 59031a47-3f72-44a7-89c5-5595fe6b30ee

Supprimez les partages "Administratif" par défaut.

A la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Dans la partie de droite, créez une nouvelle valeur DWORD: AutoshareWks
Donnez lui comme valeur: 0

Supprimez le partage "Administration à distance ".

A la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters
Dans la partie de droite, créez une nouvelle valeur DWORD: AutoShareServer
Donnez lui comme valeur: 0


Maintenant que vous avez l'onglet "Sécurité" pour les fichiers et les dossiers (si vous avez effectué les manips, voir plus haut dans ce post), sachez qu'il y a certains programmes de Windows qui sont utilisés pour "exploiter" des failles par les pirates informatiques.

Il est souhaitable d'attribuer à ces programmes des droits très stricts.

Les programmes concernés correspondent à tout ce qui touche aux connexions réseau.

Ces programmes sont:

cmd.exe / cmdl32.exe / drwtsn32.exe / net.exe / net1.exe / nbtstat.exe / netdde.exe /
netsh.exe / netstat.exe / nwscript.exe / pathping.exe / ping.exe / proxycfg.exe /
gappsrv.exe / rasdial.exe / rcp.exe / rsh.exe / sessmgr.exe / shadow.exe / shutdown.exe /
smss.exe / systeminfo.exe / telnet.exe

Vous pouvez trouver ces programmes dans:
pour Windows XP > C:\Windows\System32
pour Windows 2000 > C:\Winnt\System32

Pour les bloquer de diverses attaques internes et externes:

Un clic droit sur le programme "Propriété" + onglet "Sécurité" et interdire au "Système" l'exécution de ce programme.
(manip à faire sur tous les programmes mentionnés plus haut).

Vous pouvez également en prenant soin de garder le contrôle du programme avec "l'administrateur" supprimer la ligne "système".

Protections supplémentaires.

Protégez le "Control ICMP" (Internet Control Message Protocol)

Ce protocole est utilisé pour gérer le flux des données sur le réseau à l'aide de séquences de commandes.



Des malveillances sont possibles dans l'utilisation de cette fonctionnalité.

Pour s'en protéger, allez dans Démarrer + Exécuter tapez: regedit (faites OK pour valider).

A la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Modifiez la valeur REG_DWORD: EnableICMPRedirect en lui affectant la valeur:0

(cette astuce a déjà été notifiée par Di@blo, mais en cas où vous l'auriez sautée... je l'ai remise)


Protégez vous des attaques par "flooding" ou "spoofing".

Le flooding, c'est pas très grave, mais assez énervant...

Avec ICQ votre messagerie instantanée par exemple, il est facile de retrouver votre adresse IP, imaginez que des dizaines de personnes (virtuelles) apparaissent dans votre "contact list" et que chaque personne vous envoie un ou plusieurs messages...
Vous pouvez vite vous retrouver avec 500 messages ou plus.

Le Spoofing, ce sont les pirates informatiques qui utilisent cette technique pour contourner les "firewall" (pare-feu) ou autres protections avec une IP bidon (pour se masquer), ce qui leur permet également d'intercepter des données sur le réseau pour les retourner vers eux...

Pour se protéger de tout cela:

Démarrer + Exécuter tapez: regedit (+ OK pour valider).

Allez à la clé:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Dans la partie de droite, vous allez ajoutez des valeurs REG_DWORD:

SynAttackProtect de type: REG_DWORD mettez la valeur à 2

TcpMaxHalfOpen de type: REG_DWORD mettez la valeur à 100

TcpMaxHalfOpenRetried de type REG_DWORD mettez la valeur à 80

TcpMaxPortExhausted de type REG_DWORD mettez la valeur à 5

EnableDeadGWDetect de type REG_DWORD mettez la valeur à 0

KeapAliveTime de type: REG_DWORD mettez la valeur à 300000

Ensuite allez à la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Dans la partie de droite, vous allez ajouter une valeur REG_DWORD

NoNameReleaseOnDemand de type: REG_DWORD mettez la valeur à 1

Ensuite allez à la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AFD\Parameters
Ajoutez cette clé "Parameters" (dans AFD)

Dans cette nouvelle clé "Parameters", et dans la partie de droite vous allez ajouter ces valeurs:

EnableDynamicBacklog de type: REG_DWORD mettez la valeur à 0

MinimumDyamicBacklog de type: REG_DWORD mettez la valeur à20

MaximumDyamicBacklog de type: REG_DWORD mettez la valeur à 20000

DyamicBacklogGrowthDelta de type:REG_DWORD mettez la valeur à 10


Pour compliquer l'authentification de votre "réseau local" (si vous en avez un),
Démarrer + Exécuter tapez: regedit (OK pour valider).

Allez à la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

A la valeur "nolmhash" de type REG_DWORD mettez la valeur à 1

A la valeur "ImcompatibilityLevel" de type REG_DWORD mettez la valeur à 5
(si vous êtes avec Win 98 ou Win ME, mettez cette valeur à 3)



Empêchez les accès "anonymes" qui permettent de connaître les noms d'utilisateurs de votre machine.

Allez dans Démarrer + Exécutez, tapez: regedit et OK pour valider.

Allez à la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

À la valeur: "restrictanonymous", modifiez la valeur REG_DWORD à 2

À la valeur: "restrictanonymoussam", modifiez la valeur REG_DWORD à 1

Pour empêcher le système d'accorder les droits "Tout le monde" aux anonymes:

À la valeur: "everyoneincludesanonymous", modifiez la valeur REG_DWORD à 0
(par défaut sous XP cette valeur est déjà sur 0)


Si vous avez effectué tous les réglages des points ci-dessus, vous avez fermé un certain nombre de services et la sécurité de votre PC a changé.

Il reste cependant d'autres services "à risques" que vous pouvez "arrêter et désactiver".

IMPORTANT: (en tenant compte que ces réglages sont pour un PC seul, sans réseau local)

Pour ceux qui ont un réseau local, regardez d'abord les dépendances avant de fermer certains services, sinon vous aurez des problèmes de partages de fichiers ou de connexions.

Allez dans Démarrer + Exécuter tapez: services.msc (OK pour valider)

Liste des services que vous pouvez arrêter et désactiver pour Win 2000 et Win XP

Faites un double clic sur la ligne du service + Arrêter + Désactiver + Appliquer + OK.

- Accès à distance au registre
- Aide et support
- Assistant TCP/IP NetBIOS
- Avertissement
- Client DHCP
- Connexion secondaire
- DSDM DDE réseau
- Gestionnaire de l'album
- Gestionnaire de session d'aide sur le Bureau à distance
- Journaux et alertes de performance
- Machine Debug Manager
- Mise à jour automatique
- Notification d'événement système
- Ouverture de session réseau
- Partage de bureau à distance NetMeeting
- Routage et accès distant
- Service de rapport d'erreur
- Service Terminal Server
- Telnet
- Web client

Liste des services que vous pouvez mettre en mode démarrage "manuel"
- Application système COM+
- Connexion réseau
- DDE réseau
- Emplacement protégé
- Explorateur d'ordinateur
- Fournisseur de la prise en charge de sécurité LM NT
- Journal des événements
- Localisateur d'appel de procédure distante (RPC)
- MS Software Shadow Copy Provider
- NLA (Network Location Awareness)
- QoS RSVP
- Service de la passerelle de la couche Application
- Système d'évènement Com+
- Windows Installer

Merci particulièrement à M. Jean-Baptiste MARCHAND
("HSC" Cabinet Hervé Schauer Consultants en Sécurité Informatique) pour ses conseils qui m'ont permis de rédiger cet article.

Pour comprendre ce qui est indiqué dans votre Invite de commandes ([b]cmd)[/b]
quand vous faites netstat -ano pour XP ou netstat -an pour 2000

Proto: permet de savoir si c'est un protocole de connexion sur un port de type TCP ou UDP.

Adresse locale: Dans le cas ou le port local correspondant TCP, le 0.0.0.0:xxx(où xxx est un numéro de port différent de 0) cela signifie que le port est en écoute de toute adresse IP réclamant une ouverture de connexion TCP sur ce port.

Adresse distante: dans le cas de port TCP, le 0.0.0.0, pour l'adresse distante, signifie que la connexion sera acceptée en provenance de toute adresse IP utilisant n'importe quel port source.

Dans le cas de port UDP, cette même notion se retrouve avec la représentation *:*.

Etat: TCP (LISTENING) on apprend que nous sommes en attente de connexion sur un certain nombre de ports TCP et également en attente de datagrammes sur un certain nombre de ports UDP.

TCP (ESTABLISHED) on apprend que la connexion sortante est établie depuis un port local, ce port va apparaître aussi dans la liste des ports en écoute (LISTENING) depuis toute adresse (0.0.0) sur le même port.

Du fait de l'implantation de l'API Winsock sur TCP/IP utilisée, netstat ne peut pas distinguer certaines "ouvertures internes à la machine" des ouvertures réelles vers l'extérieur, ce qui donne l'impression qu'il y a des ports ouverts alors qu'ils ne le sont pas.

Scott

Dernière édition par Scott le 16/03/2004 19:51; édité 8 fois
--------------------------------------------------------------------------------------------------------------
Source: http://forum.teamatic.net/viewtopic.php?t=6927
Publié par Scott en Fevrier 2004. Sélectionné et corrigé par JCM!

Les commentaires suivants à retenir
--------------------------------------------------------------------------------------------------------------
H@CK-2600 le: 23 02 2004 19:40

Salut
Bonne idée ça la liste de ports
Quand à Netbios faire attention de ne pas le fermer si l'on utilise le partage de fichiers
--------------------------------------------------------------------------------------------------------------
Scott le 23 02 2004 20:00

Oui tu as raison , les infos de sécurisation sont surtout pour un PC seul, sans réseau local (sans partage de fichiers), je ferai un post avec les explications car les services associés à NetBios sont en relation avec les ports 137,138, et 139, "C'est sûr que la sécurité de son système a aussi des contraintes ..."
Mais c'est un choix, je préfère poster dans le sens de la sécurité + que dans l'autre, surtout que XP principalement a son paquet de failles .
Pour "ne pas flooder le forum " j'éditerai et ajouterai directement dans mes posts.

Scott [Corrigé par Vazkor]
--------------------------------------------------------------------------------------------------------------
Fin du post.

Compléments par JCM

The use of TCP port 445 in Windows 2000

SMB over TCP vs. SMB over NBT

The SMB (Server Message Block) protocol is used among other things for file sharing in Windows NT / 2000. In Windows NT it ran on top of NBT (NetBIOS over TCP/IP), which used the famous ports 137, 138 (UDP) and 139 (TCP). In Windows 2000, Microsoft added the possibility to run SMB directly over TCP/IP, without the extra layer of NBT. For this they use TCP port 445.
http://ntsecurity.nu/papers/port445/

How to read netstat -an results:
http://www.geocities.com/merijn_belleko ... tatan.html

@+

PS: J'ai plus trop envie de "déminer" cette prose. Si vous y trouvez encore des fautes, merci de les signaler. (21/07/2004 12:30)

[Vazkor]

Salut,

Les commentaires sont les bienvenus.
N'hésitez pas à me signaler les fautes d'orthographe qui m'ont échappé. Si vous comparez à l'original, vous comprendrez que c'était pas facile à corriger.

@+

[pierre]

Bonjour

1/ Je le met en "post-it" pour qu'il ne se perde pas dans les limbes le temps de travailler dessus.

2/ Vu en diagonale : Erreur
Messenger Dynamique - port 1024
Il s'agit de "Service d'affichage des messages"
Il écoute sur le port 135 et sur un autre port, choisi dynamiquement, quelconque entre 1024 et ? - des numéros de ports au-delà de 10.000 ont déjà été signalés.

3/ Je vais travailler là-dessus - c'est une bonne récap de diverses notes sur les services à désactiver. Il y a plus d'un an que j'ai commencé des tableaux des services Windows. C'est toujours en plan.

4/ Tout ce qui est préconisé est déjà en place chez moi mais il me semble que j'ai désactivé beaucoup d'autres choses.

5/ Ce n'est pas du tout ce que j'avais prévu de faire ces jours-ci. Grrrrrrrr

@+

[Vazkor]

Pierre,

Il n'y a pas urgence! Fais ce que tu as à faire.

Vu en diagonale : Erreur
Messenger Dynamique - port 1024

C'est pas évident: C'est port > 1024 effectivement.

Je vais devoir tout relire. J'ai tant corrigé de fautes grossières, que j'ai pu écraser un signe par mégarde.

C'est pas clair sur l'original, je trouve :
pour fermer le port dynamique supèrieur (sic) à 1027
suivi directement de:
ce port 1027 correspond à "messenger " Héhé!

@+

[pierre]

Bonjour Jean-Claude

Oui, dans le texte mais dans le tableau récap du début

Messenger Dynamique >1024/UDP Messenger

Et j'ai relu mes pages sur le sujet, c'est bien 1027
Et le service, en français, s'appelle "Service d'affichage des messages"

Globalement, il y a une gymnastique pas possible pour simplement arrêter et désactiver 7 services, chose que je fis il y a très très longtemps.

Par contre c'est éducatif et je vais le reprendre en re-rédigeant et avec captures d'écrans.

[Vazkor]

Oui,

Le tableau du début n'était pas clair. Je l'ai amélioré en mettant des "-".

Il faut lire: Messenger - Dynamique >1024/UDP - Messenger
Il s'agit d'un port dynamique > 1024 Protocole UDP

Ce texte ne pèse que 3885 mots et 514 lignes! Ouf!!!

@+

[Kethryes]

Salut, j'ai tout fait (mais pas encore redémaré). de tt façon une grande partie était deja faite (zebprotect et autres safe XP...)
Par contre il est dit qu'il faut metre refuser tout au "SYSTEME" a un certain nombre de fichiers dans systeme32 mais il y en a 3 que je n'ai pas trouvé : nbtstat.exe
proxycfg.exe
systeminfo.exe
Peut etre spécifiques a Win2000 ou 98, ou alors j'ai mal cherché
@+
Edit : Il faut préciser que les valeurs a metre doivent etre mises en DECIMALE et pas en HEXADECIMALE dans la BDR
Et aussi : pour la protection Syn Flood il est dit de metre la valeur 2 mais SafeXP lui met la valeur 1 (si on met 2 il considère comme si on était pas protégé) Alors qui croire ?

[Jim Rakoto]

Salut Kethries,

voici qq infos :

Proxycfg.exe
http://giraudyp.perso.cegetel.net/SPS/T ... oTech2.htm

Systeminfo.exe
Démarrer => Executer => cmd.exe => systeminfo.exe
tu as une ligne "Duree d'activité systeme" = ton uptime
A mon avis avec windows serveur , exchange

Nbstat.exe
Pour se connecter à une machine distante il faut connaître l'IP de la machine et une fois l'adresse IP connue, on peut utiliser la commande NBTSTAT.EXE.
Cette commande de diagnostics permet d'afficher des statistiques sur les protocoles ainsi que sur les connexions TCP/IP courantes qui utilisent NBT (Netbios par dessus TCP/IP). Cette commande est valable uniquement si TCP/IP est installé sur la machine.

A+

[Vazkor]

Salut,

Sur mes deux systèmes installés sous Windows 2000 Pro, je ne trouve que nbtstat.exe parmi les trois fichiers cités.

Il est bien possible que ce soit dû aux composants optionnels non installés, tels que IIS, etc.

Maintenant je vais faire un break. Il y a bien trop longtemps que je suis là-dessus.

@+

OUR PRODUCT ROADMAP: FEAR, UNCERTAINTY, AND DOUBT
"I can't speak to what ... Longhorn will be."
Microsoft product manager Mario Juarez, displaying a charming coyness on what, exactly, his colleagues will be up to for the next two years, News.com, 5 May 2004 http://news.com.com/2100-7355_3-5206677.html

[pierre]

Bonjour

Pour être complet sur le service d'affichage des messages

Il écoute sur le port 135 et sur un autre port, choisi dynamiquement, quelconque entre 1024 et ? - des numéros de ports au-delà de 10.000 ont déjà été signalés.

Bulletin de sécurité Microsoft MS03-043

Donc la proposition de bloquer le port dynamique du service d'affichage des message est irréaliste (puisqu'il est dynamique !)