Administration Windows Vista™ - Chapitre 7 - Atténuer les menaces et les vulnérabilités

Atténuer les menaces et les vulnérabilités

Les menaces pour la sécurité sont en constante évolution. Or, chacun le sait, la sécurité est une préoccupation majeure pour les entreprises. Pour rester protégé contre les menaces sur Internet et sur les réseaux sans fil, le système d'exploitation client doit également évoluer. Par le biais de plusieurs scénarios, nous allons voir comment Windows Vista améliore la sécurité de manière significative en atténuant les menaces et la vulnérabilité.

7.1 Windows Defender

Windows Defender est un antispyware intégré à Windows Vista destiné à un usage domestique. Il faut entendre par usage domestique l'absence de fonctionnalités d'administration.

Windows Defender est le logiciel de Microsoft pour lutter contre les malwares ; il est intégré à Windows Vista. Ce logiciel a des fonctions intégrées de détection, de nettoyage et de blocage en temps réel des spywares. Parmi les actions dont est capable Windows Defender, il sera apte à surveiller ce qui se passe dans Internet Explorer, il aura également la possibilité de surveiller les composants logiciels qui vont être chargés dedans ou rajoutés à l'intérieur d'Internet Explorer, ou encore vérifier les téléchargements qui sont effectués. Windows Defender va surveiller aussi un certain nombre de points d'entrées qui sont fréquemment utilisés sur la machine par les spywares. Il peut s'agir par exemple de la clé de registre HKLM\......\RUN qui permet à des logiciels de se maintenir à chaque redémarrage. La technologie de Windows Defender repose sur neuf agents de surveillance. Il offre la possibilité de réaliser des analyses du système rapide ou complet.

Pour découvrir l'interface de Windows Defender, il faut sélectionner le menu Démarrer (logo de Windows Vista) puis Tous les programmes et pour terminer Windows Defender. Dans la partie haute de la fenêtre Windows Defender, vous retrouvez les sections de l'outil :

Fig. 7.1 : Page d'accueil de Windows Defender

• Accueil affiche l'état général de Windows Defender.

On retrouve la date de la dernière recherche (Last scan), l'état de la protection en temps réel (Real-time protection) et la version des signatures utilisées par Windows Defender (Spyware signatures).

• Analyser analyse l'ordinateur à la recherche de spywares. Différentes analyses sont proposées (Quick Scan, Full Scan, Custom Scan…).

• Historique affiche l'historique de toutes les activités de Windows Defender.

• Outils regroupe plusieurs paramètres et outils.

La partie Outils se décompose elle-même en quatre sections :

• Options affiche les paramètres généraux de Windows Defender.

• Microsoft SpyNet permet d'échanger des conseils avec la communauté Spynet.

• Eléments en quarantaine contient les éléments qui ont été mis en quarantaine.

• Explorateur de logiciels affiche les logiciels qui s'exécutent sur la machine ; il écoute aussi le réseau et le niveau de classification associé.

Fig. 7.2 : Affichage des options de Windows Defender

Utilisation de Windows Defender

Les utilisateurs visés par Windows Defender se limitent aux particuliers. Windows Defender ne rentre pas dans le cadre de la gestion d'entreprise, c'est-à-dire au travers de stratégies de groupes ou de consoles d'administration centralisées. Il sera possible d'utiliser une version d'entreprise pour la gestion des malwares, mais cela sera proposé dans une version payante du produit qui s'appelle Microsoft Client Protection. Cette version ne se limitera pas à la simple gestion de spywares, elle intégrera également l'antivirus de Microsoft et sera administrable sous forme de solution.

Utiliser Windows Defender

Même si Windows Defender n'est pas un logiciel d'entreprise car il ne possède pas de fonctions d'administration centralisées, il n'empêche qu'il est possible de paramétrer des analyses automatiques, qu'il est nécessaire de le mettre à jour et qu'il possède plusieurs fonctions.

Pour mettre Windows Defender à jour, procédez comme suit :

1 Sélectionnez le menu Démarrer puis Tous les programmes et pour terminer Windows Defender.

2 Cliquez sur Vérifier maintenant. Dans la fenêtre Contrôle de compte d'utilisateur, sélectionnez Continuer. Une fois la mise à jour terminée, le bouclier devient vert et il est possible de voir la date de la dernière définition des signatures.

Pour planifier les analyses automatiques, respectez les étapes suivantes :

1 Sélectionnez le menu Démarrer puis Tous les programmes et pour terminer Windows Defender. Dans la partie haute de la fenêtre Windows Defender, vous retrouvez les sections de l'outil.

2 Sélectionnez Outils, dans la fenêtre Outils et options, puis cliquez sur Options de la section Paramètres.

3 Vérifiez que la case Analyser automatiquement mon ordinateur (recommandé) soit cochée. C'est impératif pour pouvoir paramétrer les différentes options.

4 Dans Fréquence d'analyse : sélectionnez Mercredi.

5 Dans Heure : choisissez 13:00.

6 Dans le type d'analyse, laissez (Analyse rapide).

7 Cochez la case Rechercher les définitions mises à jour avant l'analyse.

8 Cochez la case Appliquer les actions par défaut aux éléments détectés lors d'une analyse.

9 Cliquez sur Enregistrer.

Fig. 7.3 : Configuration de l'analyse automatique de Windows Defender

Pour lancer une analyse manuelle, procédez comme suit :

1 Sélectionnez le menu Démarrer puis Tous les programmes et pour terminer Windows Defender. Dans la partie haute de la fenêtre Windows Defender, vous retrouvez les sections de l'outil.

2 Sélectionnez la flèche d'Analyser, la fenêtre de sélection d'analyse vous propose trois options d'analyse :

• Analyse rapide ;

• Analyse complète ;

• Analyser les fichiers et les dossiers sélectionnés.

3 Une fois l'option d'analyse sélectionnée, cliquez sur Analyser maintenant.

Pour désactiver ou activer la protection en temps réel de Windows Defender, procédez comme suit :

1 Cliquez sur le logo Windows Vista (anciennement le menu Démarrer) puis ouvrez le Panneau de configuration.

2 Sélectionnez l'icône Sécurité.

3 Cliquez sur l'icône Windows Defender.

4 Cliquez sur Outils, puis sur Options.

5 Sous Options de protection en temps réel, activez la case à cocher Utiliser la protection en temps réel (recommandé).

6 Sélectionnez les options voulues. Pour préserver vos données personnelles et protéger votre ordinateur, il est recommandé de sélectionner toutes les options de protection en temps réel.

7 Sous Choisissez si Windows Defender doit vous avertir à propos des événements suivants, sélectionnez les options requises, puis cliquez sur Enregistrer.

Consulter l'historique

Il vous est tout à fait possible de connaître l'historique de Windows Defender, car il garde une trace d'un grand nombre d'actions. Pour l'afficher, procédez de la façon suivante :

1 Sélectionnez le menu Démarrer puis cliquez sur Tous les programmes. Ensuite, lancez Windows Defender.

2 Cliquez sur Historique.

3 Pour supprimer tous les éléments de la liste, cliquez sur Effacer l'historique. Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

Informations complémentaires

Vous en saurez plus sur la sécurité de Windows Vista en consultant les sites suivants :

• http://www.microsoft.com/athome/security/spyware/software/default.mspx ;

• http://msevents.microsoft.com/CUI/WebCastEventDetails.aspx?EventID=1032293588&EventCategory=5&culture=en-US&CountryCode=US ;

• http://www.microsoft.com/athome/security/spyware/software/support/reportspyware.mspx ;

• http://www.microsoft.com/athome/security/spyware/software/newsgroups/default.mspx ;

• http://www.microsoft.com/athome/security/spyware/spywaresigns.mspx ;

• http://www.microsoft.com/technet/windowsvista/security/default.mspx ;

• http://www.microsoft.com/france/technet/content/produits/windowsvista/wv_windowsdefender.asx.

7.2 Le centre de sécurité

Bien qu'il soit important de rester informé des dernières mises à jour logicielles, la gestion des mises à jour peut devenir coûteuse, longue et perturbante pour les entreprises et les utilisateurs. Windows Vista répond à ces problèmes en imposant un redémarrage moins fréquent des ordinateurs, ce qui simplifie le processus de déploiement des mises à jour, l'utilisation plus efficace de la bande passante, la possibilité pour les administrateurs de suivre les mises à jour ayant réussi ou échoué, ainsi que des améliorations de l'agent WUA (Windows Update Agent).

Avec l'arrivée de Restart Manager (Redémarrer Manager), les utilisateurs n'ont plus besoin de redémarrer Windows Vista lors de l'installation ou de la mise à jour d'une application. Certaines mises à jour peuvent installer une nouvelle version d'un fichier mis à jour, même si l'ancien fichier est en cours d'utilisation par une autre application. Windows Vista remplace le fichier lors du prochain redémarrage de l'application. L'objectif avec Redémarrer Manager est de pouvoir diviser le nombre de redémarrages par deux concernant l'application de correctifs de sécurité.

Freeze Dry est l'un des composants de Redémarrer Managers : il permet à Windows Vista de déterminer quelle application utilise un fichier devant être mis à jour. Ainsi, si l'application tire parti des API de notifications d'arrêt et de redémarrages, les données de l'application seront enregistrées, l'application fermée, les fichiers mis à jour, puis l'application sera redémarrée. Par conséquent, la plupart des mises à jour ne perturbent pas le travail des utilisateurs, ce qui permet de ne plus perturber la productivité et ainsi de réduire les coûts de gestion des mises à jour. Office 12 est l'exemple d'un logiciel qui tire parti des API de notifications d'arrêt et de redémarrages.

WSUS (Windows Server Update Services) est une nouvelle version de SUS (Software Update Services), et il permet d'améliorer la gestion des mises à jour. Les administrateurs peuvent utiliser WSUS pour prendre connaissance plus facilement des nouvelles mises à jour disponibles et déterminer si ces mises à jour sont nécessaires dans leurs environnements. Pour les environnements qui utilisent les mises à jour automatiques, les administrateurs peuvent utiliser WSUS afin de déployer toutes les mises à jour. Dans les versions antérieures de Windows, seules les mises à jour critiques pouvaient être déployées à l'aide de la fonctionnalité Mises à jour automatiques.

L'agent WUA (Windows Update Agent) est désormais une application autonome pouvant télécharger des mises à jour directement à partir du site de Microsoft ou d'un serveur WSUS interne. Dans la mesure où WUA offre une interface unique vers les mises à jour téléchargées à partir du site de Microsoft ou d'un serveur d'entreprise interne, les utilisateurs n'ont pas à apprendre comment utiliser deux outils distincts.

Pour découvrir le Centre de sécurité Windows, procédez comme suit :

1 Dans le menu Démarrer, ouvrez le Panneau de configuration.

2 Une fois la fenêtre du Panneau de configuration ouverte, cliquez sur Sécurité, puis sur Centre de sécurité Windows.

3 Dans la fenêtre Centre de sécurité Windows, deux nouvelles catégories ont fait leur apparition :

• Protection contre les programmes malveillants. Elle comporte les logiciels antispywares ainsi que l'antivirus.

• Autres paramètres de sécurité est une catégorie qui affiche l'état des paramètres d'Internet Explorer suivants : Paramètres de sécurité Internet et Contrôle de compte d'utilisateur.

Pour découvrir les nouvelles options des mises à jour automatiques (Windows Update), procédez comme suit :

1 Dans la partie gauche de la fenêtre, cliquez sur Windows Update, la fenêtre Windows Update s'ouvre.

Fig. 7.4 : Fenêtre d'option de Windows Update

2 Plusieurs options apparaissent dans la partie gauche de la fenêtre :

• Rechercher les mises à jour lance une vérification des mises à jour sans naviguer sur le site web Windows Update. Auparavant, cette fonctionnalité n'était disponible qu'en ligne de commande avec wuauclt.exe /detectnow.

• Modifier les paramètres change les paramètres de Windows Update.

• Afficher l'historique des mises à jour affiche l'historique des mises à jour. L'historique comprend le nom, la date d'installation, le statut de l'installation et la criticité de la mise à jour.

• Restaurer les mises à jour marquées restaure les mises à jour cachées. Les mises à jour comprennent aussi les signatures pour l'antispyware intégré à Windows Vista (Windows Defender) .

3 Fermez la fenêtre de Windows Update, la fenêtre du Centre de sécurité et la fenêtre du Panneau de configuration.

Fig. 7.5 : Mise à jour de Windows Vista à partir de Windows Update

7.3 Pare-feu personnel

Un grand nombre d'applications potentiellement dangereuses, telles que les applications clientes de partage poste à poste susceptibles de transmettre des informations personnelles sur Internet, sont conçues pour ignorer les pare-feu qui bloquent les connexions entrantes. Le pare-feu de Windows Vista permet aux administrateurs d'entreprise de configurer les paramètres de la stratégie de groupe pour les applications devant être autorisées ou bloquées, en leur donnant le contrôle sur les applications pouvant communiquer sur le réseau.

L'un des moyens les plus importants pour les services informatiques d'atténuer les risques de sécurité consiste à limiter les applications pouvant accéder au réseau. Le pare-feu personnel intégré à Windows Vista constitue une part importante de cette stratégie. Avec le pare-feu personnel, les administrateurs peuvent autoriser l'exécution locale d'une application sur des ordinateurs mais l'empêcher également de communiquer sur le réseau. Ceci donne aux administrateurs la finesse de contrôle dont ils ont besoin pour atténuer les risques de sécurité sans compromettre la productivité des utilisateurs.

Utiliser le pare-feu standard de Windows Vista

Pour lancer le pare-feu Windows, procédez de la façon suivante :

1 Cliquez sur Démarrer, puis ouvrez le Panneau de configuration.

2 Sélectionnez le Centre de sécurité.

3 Dans le volet de gauche de la fenêtre Centre de sécurité Windows, sélectionnez le Pare-feu Windows.

L'onglet Général du Pare-feu Windows comporte trois paramètres. Nous allons examiner à présent ce que vous pouvez faire avec ces paramètres et quand les utiliser.

7.4 Fonction Activé

Ce paramètre est sélectionné par défaut. Lorsque le Pare-feu Windows est activé, la communication à travers le feu est bloquée pour la plupart des programmes. Si vous souhaitez débloquer un programme, vous pouvez l'ajouter à la liste des exceptions (dans l'onglet Exceptions). Ainsi, vous ne pourrez peut-être pas envoyer des photos à l'aide d'un programme de messagerie instantanée avant d'avoir ajouté ce programme à la liste des exceptions.

Pour activer le pare-feu Windows, procédez de la façon suivante :

1 Cliquez sur Démarrer, puis ouvrez le Panneau de configuration.

2 Sélectionnez le Centre de sécurité.

3 Dans le volet de gauche de la fenêtre Centre de sécurité Windows, sélectionnez le Pare-feu Windows.

4 Cliquez sur Activer ou Désactiver le pare-feu Windows.

5 Cliquez sur Activé (recommandé), puis sur OK.

Fonction Désactivé

Évitez d'utiliser ce paramètre à moins qu'un autre pare-feu ne soit exécuté sur votre ordinateur. La désactivation du Pare-feu Windows peut rendre votre ordinateur (et votre réseau si vous en utilisez un) plus vulnérable à des attaques de pirates informatiques ou de logiciels malveillants tels que des vers.

Pour désactiver le pare-feu Windows, procédez de la façon suivante :

1 Cliquez sur Démarrer, puis ouvrez le Panneau de configuration.

2 Sélectionnez le Centre de sécurité.

3 Dans le volet de gauche de la fenêtre Centre de sécurité Windows, sélectionnez le Pare-feu Windows.

4 Cliquez sur Activer ou Désactiver le pare-feu Windows .

5 Cliquez sur Désactivé (non recommandé), puis sur OK.

Désactivation du Pare-feu

Vous devez désactiver le Pare-feu Windows uniquement si un autre pare-feu est activé sur votre ordinateur. La désactivation du Pare-feu Windows peut rendre votre ordinateur (et votre réseau si vous en utilisez un) plus vulnérable à des attaques de vers ou de pirates informatiques.

Fonction Bloquer toutes les connexions

Ce paramètre bloque toutes les tentatives non sollicitées de connexion à votre ordinateur. Utilisez ce paramètre lorsque vous avez besoin d'une protection maximale pour votre ordinateur, par exemple lorsque vous vous connectez à un réseau public dans un hôtel ou un aéroport ou lorsqu'un ver dangereux se répand sur Internet. Si ce paramètre est activé, vous n'êtes pas averti lorsque le Pare-feu Windows bloque tous les programmes, et les programmes de la liste des exceptions sont ignorés.

Lorsque vous sélectionnez Bloquer toutes les connexions, vous pouvez quand même afficher la plupart des pages web, et recevoir et envoyer du courrier électronique ainsi que des messages instantanés.

1 Cliquez sur Démarrer, puis ouvrez le Panneau de configuration.

2 Sélectionnez le Centre de sécurité.

3 Dans le volet de gauche de la fenêtre Centre de sécurité Windows, sélectionnez le Pare-feu Windows.

4 Cliquez sur Activer ou Désactiver le pare-feu Windows.

5 Cliquez sur Activé (recommandé), puis sur Bloquer toutes les connexions entrantes et terminez en cliquant sur OK.

Utiliser le pare-feu avancé

Pour lancer le pare-feu avancé de Windows par la Microsoft Management Console, procédez comme suit :

1 Dans le menu Démarrer, sélectionnez Exécuter puis tapez mmc, et appuyez sur la touche ↵.

2 Dans la fenêtre Contrôle de compte d'utilisateur, cliquez sur Continuer.

3 Dans la fenêtre Console MMC, cliquez sur Fichier, puis cliquez sur Ajouter/Supprimer un composant logiciel enfichable… (Ctrl+M).

4 Dans la liste Composants logiciels enfichables disponibles, sélectionnez Pare-feu Windows avec sécurité avancée, puis cliquez sur Ajouter.

Fig. 7.6 : Configuration de la Microsoft Management Console (MMC) pour utiliser le pare-feu avancé de Windows Vista

5 Une fenêtre s'ouvre vous invitant à sélectionner un ordinateur. Cliquez sur Ordinateur local (l'ordinateur sur lequel cette console s'exécute) et cliquez sur Terminer.

6 Une fois revenu dans la Microsoft Management Console, cliquez sur OK.

7 Dans la partie droite de la Console MMC, cliquez sur Pare-feu Windows avec sécurité avancée Ordinateur local. La partie du milieu présente les paramètres généraux du pare-feu. Prenez le temps d'examiner les paramètres par défaut affectés aux différents profils du pare-feu.

Fig. 7.7 : Présentation du Pare-feu Windows avec sécurité avancée sur l'ordinateur local

À présent, vous pouvez tester le pare-feu. Pour cela, vous allez créer une règle de restriction sortante pour le Lecteur Windows Media.

Dans un premier temps, le test consiste à lancer une station de radio sur Internet à partir du Lecteur Windows Media. Pour ouvrir une radio en ligne à l'aide de Windows Media Player, procédez comme suit :

1 Dans le menu Démarrer, cliquez sur Tous les programmes, puis cliquez sur Lecteur Windows Media.

2 Une fois que le lecteur Windows Media s'ouvre, appuyez simultanément sur les touches Ctrl+U ; la fenêtre Ouvrir une URL s'ouvre.

3 Dans la fenêtre Ouvrir une URL, tapez l'URL de la radio en ligne http://www.ouirock.com/player/metafile/windows.asx, puis cliquez sur OK. Le Lecteur Windows Media accède à l'URL indiquée. Par défaut, toutes les applications sont autorisées à traverser le pare-feu.

URL

Il s'agit ici d'une URL prise à titre d'exemple. Il existe un grand nombre d'autres liens sur Internet pouvant servir d'exemple à cet exercice.

4 Fermez le Lecteur Windows Media.

Puisque l'accès à la radio fonctionne, vous pouvez en restreindre l'accès en créant la règle suivante qu'est Lecteur Windows Media.

Cette règle comporte les caractéristiques suivantes :

• Nom : Lecteur Windows Media ;

• Appliquer à : %ProgramFiles%\Windows Media Player\wmplayer.exe ;

• Action : Block.

Pour créer la règle qui pourra bloquer le lecteur Windows Media, procédez comme suit :

1 Dans la fenêtre Console MMC, dans la partie centrale, cliquez sur Règles du trafic sortant situé dans la partie Démarrer. Vous retrouvez dans la partie centrale de la fenêtre toutes les règles utilisées par le Pare-feu pour filtrer le trafic entrant.

2 Dans la partie droite de la fenêtre, cliquez sur Nouvelle règle… pour créer une nouvelle règle.

3 Une fois que la fenêtre Assistant Nouvelle règle sortante s'ouvre, dans la section Quel type de règle voulez-vous créer ?, sélectionnez Programme, puis cliquez sur Suivant.

Fig. 7.8 : Sélection du type de règles

4 Dans la section Programme, Quels programmes sont concernés par cette règle ?, deux choix vous sont proposés :

• Tous les programmes. Ce qui veut dire que la règle s'appliquera à tout le trafic de l'ordinateur.

• Ce programme. Cette règle permet de restreindre l'accès à un programme uniquement en spécifiant le chemin de celui-ci.

Sélectionnez Ce programme et saisissez %ProgramFiles%\Windows Media Player\wmplayer.exe, puis cliquez sur Suivant.

5 Dans la section Action, sélectionnez Refuser, puis cliquez sur Suivant.

6 Dans la section Profil, Quels profils sont concernés par cette règle ?, vous pouvez définir trois possibilités :

• Domaine : s'applique lors de la connexion d'un ordinateur à son domaine d'entreprise.

• Privées : s'applique lors de la connexion d'un ordinateur à un groupe de réseau privé

• Publiques : s'applique lors de la connexion d'un ordinateur au groupe de réseau public.

Laissez les trois profils sélectionnés et cliquez sur Suivant.

7 Tapez Lecteur Windows Media dans le champ Nom :, puis cliquez sur Terminer.

Modification d'une règle

Si vous souhaitez modifier une règle après sa création, il vous suffit de double-cliquer dessus. Toutes ces étapes sont représentées par des onglets.

Pour terminer, il ne reste plus qu'à tester le bon fonctionnement de la règle Lecteur Windows Media en ouvrant une radio en ligne à l'aide du lecteur Windows Media.

Pour tester la règle, procédez comme suit :

1 Dans le menu Démarrer, cliquez sur Tous les programmes, puis cliquez sur Lecteur Windows Media.

2 Une fois que le lecteur Windows Media s'ouvre, appuyez simultanément sur les touches Ctrl+U ; la fenêtre Ouvrir une URL s'ouvre.

3 Dans la fenêtre Ouvrir une URL, tapez l'URL de la radio en ligne http://www.ouirock.com/player/metafile/windows.asx, puis cliquez sur OK. Après quelques secondes, un message apparaît indiquant que le fichier n'a pas été trouvé (Le lecteur Windows Media ne le trouve pas). Le lecteur Windows Media n'est plus en mesure de contacter la radio en ligne, il ne peut plus traverser le pare-feu.

4 Cliquez sur Fermer.

5 Fermez le Lecteur Windows Media.

6 Fermez la fenêtre Console MMC et cliquez sur Non.

Informations complémentaires

Vous en saurez plus sur le pare-feu de Windows Vista en consultant les sites suivants :

• http:// www.microsoft.com/france/technet/communaute/cableguy/cg0106.mspx ;

• http://www.microsoft.com.

7.5 Renforcement des services Windows

Le coût de la mise en péril de la sécurité peut être énorme. Les données confidentielles peuvent être compromises, les utilisateurs peuvent perdre des données et la productivité peut être perturbée, voire même interrompue. Un service informatique peut passer plusieurs semaines à réparer les dommages faisant suite à un problème grave. Le renforcement du service Windows ou Windows Service Hardening réduit les dommages provoqués par un service compromis en empêchant ce dernier de changer des paramètres de configuration importants ou d'infecter d'autres ordinateurs du réseau. Avec le renforcement du service Windows, ce qui aurait pu être une faille de sécurité majeure peut se limiter à un problème mineur.

Le durcissement des services empêche les services critiques de Windows d'effectuer des activités anormales dans le système de fichiers, le registre, le réseau ou d'autres ressources qui pourraient être utilisées pour permettre au malware de s'installer ou d'attaquer d'autres ordinateurs. Par exemple, le service RPC (Remote Procedure Call) peut être empêché de remplacer les fichiers système ou de modifier le registre. Les services Windows représentent un pourcentage élevé de la surface globale d'attaque de Windows du point de vue de la quantité d'espace occupé global du code toujours actif du système, et du niveau de privilège de ce code. Windows Vista limite le nombre de services exécutés et opérationnels par défaut. Aujourd'hui, de nombreux services système et tiers s'exécutent dans le compte LocalSystem, où toute faille peut se traduire par des dommages illimités à la machine locale, y compris le formatage du disque, l'accès aux données de l'utilisateur ou l'installation de pilotes.

La fonction de renforcement du service Windows réduit les dommages potentiels d'un service compromis en introduisant de nouveaux concepts utilisés par les services Windows :

• L'introduction d'un identificateur de sécurité (SID) par service permet l'identité par service qui permet ensuite le partitionnement du contrôle d'accès dans le modèle de contrôle d'accès existant de Windows qui couvre tous les objets et gestionnaires de ressources utilisant des listes de contrôle d'accès (ACL). Les services peuvent désormais appliquer des ACL explicites aux ressources privées du service, ce qui empêche les autres services et l'utilisateur d'accéder à la ressource.

• Le passage de services de LocalSystem à un compte disposant de droits plus restreints tels que LocalService ou NetworkService. Le niveau de privilège global du service s'en trouve réduit, ce qui est similaire aux avantages inhérents à la protection des comptes d'utilisateurs.

• L'élimination des droits non nécessaires de Windows service par service, par exemple la possibilité d'effectuer le débogage.

• L'application d'un jeton d'écriture restreinte au processus de service. Ceci peut être utilisé dans les situations où l'ensemble des objets écrits par le service est limité et peut être configuré. Les tentatives d'écriture dans des ressources qui n'accordent pas de façon explicite l'accès SID au service échoueront.

• Une stratégie de pare-feu réseau est affectée aux services, ce qui empêche l'accès au réseau en dehors des limites normales du programme de service. La stratégie de pare-feu est directement liée à l'identificateur de sécurité (SID) par service.

Le renforcement du service Windows apporte une couche supplémentaire de protection aux services basés sur le principe de sécurité de défense en profondeur. Le renforcement du service Windows ne peut empêcher un service vulnérable d'être compromis mais d'autres composants de Windows Vista et des stratégies de défense en profondeur telles que le Pare-feu Windows et des processus adaptés de gestion des correctifs vous y aident. En revanche, le renforcement du service Windows limite les dommages qu'un pirate peut provoquer dans l'hypothèse improbable où il pourrait identifier et exploiter un service vulnérable.

7.6 Network Access Protection

Dans les entreprises, la protection d'accès du réseau peut améliorer grandement la sécurité des ordinateurs portables et de vos réseaux internes. Il est fréquent que les utilisateurs qui voyagent avec leur ordinateur ne puissent se connecter à votre réseau interne pendant des semaines entières. Lorsqu'ils parviennent à se connecter, leurs connexions peuvent durer si peu de temps que leur ordinateur n'a pas le temps de télécharger les dernières mises à jour, les paramètres de configuration de sécurité et les signatures de virus les plus récents. C'est pourquoi la sécurité des ordinateurs portables est souvent moins bonne que celle des autres ordinateurs. La protection d'accès du réseau améliore la sécurité de ces ordinateurs portables en vérifiant que les dernières mises à jour sont installées avant que les utilisateurs ne se connectent à votre réseau. NAP apporte en quelque sorte une surcouche de santé au réseau.

Pour utiliser NAP, il vous faudra disposer de la prochaine version de serveur Windows (le successeur de Windows Server 2003) ; la protection d'accès du réseau de Windows Vista vous permet de configurer les conditions de l'état de santé du client d'accès distant. Si un ordinateur client ne respecte pas ces exigences, vous le pourrez grâce à des validations politiques :

• Empêcher l'ordinateur de se connecter à votre réseau interne et de ce fait propager éventuellement un virus ou un ver.

• Fournir des instructions aux utilisateurs sur la façon de mettre à jour leur ordinateur, ou d'effectuer cette mise à jour automatiquement si les technologies appropriées d'assainissement sont en place.

• Accorder l'accès à un nombre limité de serveurs de votre réseau pour permettre aux utilisateurs de télécharger les mises à jour.

Cette fonction de Windows Vista inclut un agent qui peut empêcher un client de se connecter à votre réseau interne si ses mises à jour de sécurité et ses signatures de virus ne sont pas actualisées, ou s'il ne respecte pas vos critères de sécurité. La protection d'accès du réseau permet de protéger les clients d'accès à distance ainsi que les connexions au réseau local. L'agent signale l'état de santé du client Windows Vista, notamment s'il a effectué les mises à jour et si les signatures de virus récentes sont installées, au service d'application de la protection d'accès du réseau basée sur le serveur qui détermine si le client peut se voir accorder l'accès au réseau interne ou si cet accès doit être limité à un réseau protégé. La fonctionnalité du client dépend de l'infrastructure de protection d'accès du réseau, incluse à Windows Server Longhorn.

Informations complémentaires

Vous en saurez plus sur la sécurité de Windows Vista en consultant les sites suivants :

• http://www.microsoft.com/france/technet/produits/windowsvista/secfeat.mspx ;

• http://www.microsoft.com/france/technet/produits/windowsvista/mngsec.mspx ;

• http://www.microsoft.com/france/technet/communaute/cableguy/cg0106.mspx ;

• http://www.microsoft.com/france/technet/produits/windowsvista/security/uacppr.mspx ;

• http://download.microsoft.com/download/c/2/9/c2935f83-1a10-4e4a-a137-c1db829637f5/WindowsVistaSecurityWP.doc ;

• http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx ;

• http://www.microsoft.com/technet/security/learning/clientsecurity/all/default.mspx.

7.7 Malicious Software Removal Tool

Malicious Software Removal Tool est un outil de nettoyage. Il ne remplace en rien un antivirus mais permet de détecter un grand nombre de logiciels malveillants. La liste des logiciels malveillants est régulièrement mise à jour par Microsoft.

Lancer Malicious Software Removal Tool

Pour lancer Malicious Software Removal Tool, procédez de la façon suivante :

1 Cliquez sur le menu Démarrer.

2 Sélectionnez Tous les programmes, puis cliquez sur Accessoires et sur Invites de commandes.

3 À l'ouverture de l'invite de commandes, tapez mrt puis appuyez sur la touche ↵.

Créer un raccourci sur le Bureau

La façon de lancer l'utilitaire Malicious Software Removal Tool par le biais de l'invite de commandes fonctionne, mais cependant cette méthode reste plus liée aux entreprises par les options ainsi offertes.

Si vous souhaitez connaître les possibilités d'utilisation de Malicious Software Removal Tool, effectuez les tâches suivantes :

1 Cliquez sur le menu Démarrer.

2 Sélectionnez Tous les programmes, puis cliquez sur Accessoires et sur Invites de commandes.

3 À l'ouverture de l'invite de commandes, tapez mrt /? puis appuyez sur la touche ↵.

4 Dans la fenêtre Contrôle de compte d'utilisateur, cliquez sur Continuer. Les différentes façons de lancer l'outil apparaissent dans la fenêtre Outils de suppression de logiciels malveillants.

L'une des possibilités pour rendre effective l'utilisation de Malicious Software Removal Tool consiste à créer un raccourci sur le bureau. Pour cela, procédez de la façon suivante :

1 Dans le Bureau, cliquez avec le bouton droit de la souris sur Nouveau, puis sur Raccourci.

2 Dans le champ Entrez l'emplacement de l'élément de la fenêtre Créer un raccourci, tapez mrt puis cliquez sur Suivant.

3 Dans la fenêtre Comment souhaitez-vous nommer ce raccourci ?, laissez mrt et cliquez sur Terminer. Le raccourci apparaît sur le Bureau.

Vérifier les mises à jour

Si vous souhaitez connaître le mois de la mise à jour du moteur de Malicious Software Removal Tool, à l'invite de commandes, tapez mrt / ?

Microsoft Windows [version 6.0.5744]

C:\Windows\System32>mrt /?

Consulter la liste des logiciels malveillants

Si vous désirez connaître la liste des logiciels malveillants, l'utilitaire vous offre la possibilité de regarder la totalité des logiciels qu'il est capable de reconnaître et supprimer. Pour consulter cette liste, procédez de la façon suivante :

1 Cliquez sur le menu Démarrer.

2 Sélectionnez Tous les programmes, puis cliquez sur Accessoires et sur Invites de commandes.

3 À l'ouverture de l'invite de commandes, tapez mrt puis appuyez sur la touche ↵.

4 Dans la fenêtre Contrôle de compte d'utilisateur, cliquez sur Continuer. La fenêtre Outil de suppression de logiciels malveillants Microsoft Windows – Le mois de la dernière mise à jour apparaît. Cliquez sur Affichez la liste des logiciels malveillants que cet outil peut détecter et supprimer.

Consulter des informations sur un logiciel malveillant

Pour avoir des informations sur un logiciel malveillant détecté par l'outil, procédez de la manière suivante :

1 Lancez Windows Defender depuis votre raccourci, par exemple.

2 Dans la fenêtre Contrôle de compte d'utilisateur, cliquez sur Continuer. La fenêtre Outil de suppression de logiciels malveillants Microsoft Windows – Le mois de la dernière mise à jour apparaît. Cliquez sur Affichez la liste des logiciels malveillants que cet outil peut détecter et supprimer.

3 Dans la fenêtre Outil de suppression de logiciels malveillants, sélectionnez le nom de votre choix et double-cliquez dessus. Une page Internet s'affiche avec les informations concernant le logiciel.

Cette page vous informe de la date de découverte, des variantes que le logiciel possède ainsi que de son niveau de sévérité.

Des informations plus techniques vous indiquent les parties de la base de registre que le logiciel a infectées :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32

HKEY_CURRENT_USER\CLSID\{35CEC8A3-2BE6-11D2-8773-92E220524153}\InProcServer32

Programme antilogiciels espions

Si vous souhaitez obtenir plus d'informations sur les logiciels anti-espions, consultez l'adresse Internet suivante : http://www.microsoft.com/france/securite/gpublic/protect/windowsxpsp2/antispy.mspx.

7.8 Check-list

Avec ce chapitre, nous avons abordé la sécurité de Windows Vista grâce aux points suivants :

• l'atténuation des menaces ;

• Windows Defender ;

• le centre de sécurité ;

• le pare-feu standard ;

• le pare-feu avancé ;

• le renforcement des services Windows ;

• Network Access Protection (NAP) ;

• Malicious Software Removal Tool (MSRT).