Une amie qui ne connaît rien à l'informatique vient de s'acheter un
très bel ordinateur, et sur les conseils des commerciaux de France
Telecom elle s'est abonnée à l'ADSL chez Wanadoo. Je l'ai mise en
garde contre les risques de virus et autres problèmes de sécurité,
mais elle a une totale confiance en Wanadoo/France Telecom et
Microsoft.
Je pense lui donner un coup de main pour configurer ce qu'il faut,
sinon je pense que d'ici peu son ordinateur, comme beaucoup
d'autres, déversera en permence un flot important de saloperies
dans nos boites aux lettres.
Le problème est que moi-même, je n'ai jamais configuré un accès
ADSL, ni un Firewall, que je ne connais pas Windows XP, ni
Outlook Express.
Sur le plan de la sécurité, je pense que ce qui est nécessaire
est :
- de configurer le Firewall fourni avec Windows XP
- d'appliquer les patches appropriés
- à Windows XP
- à Outlook Express
- à Internet Explorer
- de configurer correctement Outlook Express
(l'antivirus Norton AV est déjà en place)
Pouvez-vous m'indiquer des tuyaux pour tout ça, en particulier
comment déterminer les patches à appliquer.
Peut-on faire confiance à Windows Update ?
Quelles sont les mesures à prendre impérativement avant la toute
première connexion (je pense télécharger les patches depuis la
machine elle-même) ?
Pour la configuration d'Outlook Express puis-je faire confiance
au logiciel ConfigSecu ? sinon avez-vous l'adresse d'un document
qui indique les mesures de sécurité à prendre.
--
Ne pas de répondre pas mail, l'adresse du From est valide, mais
la boite ne sera pas lue.
voila ce que je ferais - cela n'engage que moi - dans le desordre:
Sur le plan de la sécurité, je pense que ce qui est nécessaire est : - de configurer le Firewall fourni avec Windows XP tu lui expliques a quoi sert un firewall, - il a plein de tutos partout
- en lui donnant la regle: on ferme tout part defaut et on ouvre les ports que l'on a reellement besoin
- d'appliquer les patches appropriés - à Windows XP - à Outlook Express - à Internet Explorer oui
il faut aussi configurer les services : pour cela, verifie les ports qui sont ouverts avec un scanner de ports tcp (superscan fonctionne bien) et udp cela te dresse la liste des ports ouverts et tu determines avec fport (en ligne de commande) ou avec active ports (version graphique) les applications qui utilisent ces ports par defaut, Xp te demarre automatiquement les services acces a distance à la base de registre, horloge windows, partage de bureau a distance. si elle n'en a pas besoin, vaut mieux qu'elle les fermes dans outils d'administration strategie de securité locale empeche l'administrateur de se connecter via le reseau
je sais que c'est pas evident pour quelqu'un qui debute, mais ne pas se connecter en permence sous une session administrateur est indispensable (par defaut les comptes crées par XP sont des comptes admin)
pour la gestion du client, va faire un tour du coté de http://www.drakar.com.au/ la version gratuite de leur utilitaire va te telecharger un activeX qui va tester certains parametres de securité (droits d'acces aux fichiers, services demarrés essentiellement), et te dresser un bilan, avec les explications necessaires pour les corriger.
- de configurer correctement Outlook Express
(l'antivirus Norton AV est déjà en place)
cree lui une tache plannifiée qui scanne entièrement son dur une fois
par jour: le tout n'est pas d'avoir un antivirus, mais qu'il serve a qq chose :)
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
bonjour,
voila ce que je ferais - cela n'engage que moi - dans le desordre:
Sur le plan de la sécurité, je pense que ce qui est nécessaire
est :
- de configurer le Firewall fourni avec Windows XP
tu lui expliques a quoi sert un firewall, - il a plein de tutos partout
- en lui donnant la regle: on ferme tout part defaut et on ouvre les
ports que l'on a reellement besoin
- d'appliquer les patches appropriés
- à Windows XP
- à Outlook Express
- à Internet Explorer
oui
il faut aussi configurer les services : pour cela, verifie les ports qui
sont ouverts avec un scanner de ports tcp (superscan fonctionne bien) et udp
cela te dresse la liste des ports ouverts et tu determines avec fport
(en ligne de commande) ou avec active ports (version graphique) les
applications qui utilisent ces ports
par defaut, Xp te demarre automatiquement les services acces a distance
à la base de registre, horloge windows, partage de bureau a distance.
si elle n'en a pas besoin, vaut mieux qu'elle les fermes
dans outils d'administration strategie de securité locale empeche
l'administrateur de se connecter via le reseau
je sais que c'est pas evident pour quelqu'un qui debute, mais ne pas se
connecter en permence sous une session administrateur est indispensable
(par defaut les comptes crées par XP sont des comptes admin)
pour la gestion du client, va faire un tour du coté de
http://www.drakar.com.au/
la version gratuite de leur utilitaire va te telecharger un activeX qui
va tester certains parametres de securité (droits d'acces aux fichiers,
services demarrés essentiellement), et te dresser un bilan, avec les
explications necessaires pour les corriger.
- de configurer correctement Outlook Express
(l'antivirus Norton AV est déjà en place)
cree lui une tache plannifiée qui scanne entièrement son dur une fois
par jour: le tout n'est pas d'avoir un antivirus, mais qu'il serve a qq
chose :)
voila ce que je ferais - cela n'engage que moi - dans le desordre:
Sur le plan de la sécurité, je pense que ce qui est nécessaire est : - de configurer le Firewall fourni avec Windows XP tu lui expliques a quoi sert un firewall, - il a plein de tutos partout
- en lui donnant la regle: on ferme tout part defaut et on ouvre les ports que l'on a reellement besoin
- d'appliquer les patches appropriés - à Windows XP - à Outlook Express - à Internet Explorer oui
il faut aussi configurer les services : pour cela, verifie les ports qui sont ouverts avec un scanner de ports tcp (superscan fonctionne bien) et udp cela te dresse la liste des ports ouverts et tu determines avec fport (en ligne de commande) ou avec active ports (version graphique) les applications qui utilisent ces ports par defaut, Xp te demarre automatiquement les services acces a distance à la base de registre, horloge windows, partage de bureau a distance. si elle n'en a pas besoin, vaut mieux qu'elle les fermes dans outils d'administration strategie de securité locale empeche l'administrateur de se connecter via le reseau
je sais que c'est pas evident pour quelqu'un qui debute, mais ne pas se connecter en permence sous une session administrateur est indispensable (par defaut les comptes crées par XP sont des comptes admin)
pour la gestion du client, va faire un tour du coté de http://www.drakar.com.au/ la version gratuite de leur utilitaire va te telecharger un activeX qui va tester certains parametres de securité (droits d'acces aux fichiers, services demarrés essentiellement), et te dresser un bilan, avec les explications necessaires pour les corriger.
- de configurer correctement Outlook Express
(l'antivirus Norton AV est déjà en place)
cree lui une tache plannifiée qui scanne entièrement son dur une fois
par jour: le tout n'est pas d'avoir un antivirus, mais qu'il serve a qq chose :)
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
Eric Belhomme
Matthieu wrote in news:3f71525b$0$27034$:
Pas tant que cela, mais on n'a pas le choix :-(
question bete : pourquoi?
parce que MS est le seul éditeur apte a te fournir des correctifs de
sécurité pour des logiciels MS... du fait de - la non disponibilité des sources - les termes de la license, qui interdisent entre autre le reverse enginneering - ...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Matthieu <ermelir@ifrance.com.invalid> wrote in
news:3f71525b$0$27034$626a54ce@news.free.fr:
Pas tant que cela, mais on n'a pas le choix :-(
question bete : pourquoi?
parce que MS est le seul éditeur apte a te fournir des correctifs de
sécurité pour des logiciels MS... du fait de
- la non disponibilité des sources
- les termes de la license, qui interdisent entre autre le reverse
enginneering
- ...
--
Rico (RicoSpirit) - http://www.ricospirit.net
Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) :
http://www.ricospirit.net/inn/
parce que MS est le seul éditeur apte a te fournir des correctifs de
sécurité pour des logiciels MS... du fait de - la non disponibilité des sources - les termes de la license, qui interdisent entre autre le reverse enginneering - ...
-- Rico (RicoSpirit) - http://www.ricospirit.net Pour en savoir autant que moi sur INN (c.a.d. pas grand chose !) : http://www.ricospirit.net/inn/
Thierry
Bonjour,
Jean-Yves Bernier a écrit :
J'ai réduit la liste à:
- Appels RPC - Comptes de sécurité (?) - Plug and Play
et j'ai toujours les ports 135 (epmap) et 445 (microsoft-ds) ouverts.
-- "MOI JE VEUX JOUER DE L'HELICON (PON PON PON PON)"
Stephane Catteau
Matthieu nous disait récement dans fr.comp.securite <news:3f71525b$0$27034$ :
Peut-on faire confiance à Windows Update ? Pas tant que cela, mais on n'a pas le choix :-(
question bete : pourquoi?
Parce que les serveurs sont beaucoup trop vulnérables. Non seulement ils tournent sur du 100% microsoft avec les failles que cela implique[1], mais en plus Microsoft à maintenant décidés d'utiliser les services d'Akamai pour "répartir" les serveurs, et minimiser les risques de DDoS. Même si au final les serveurs ne sont pas forcément dupliqués, amha cela augmente les risques de compromissions.
[1] <http://www.datarescue.com/fprot/virinfo/hackedbychinese.gif> par exemple...
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Matthieu nous disait récement dans fr.comp.securite
<news:3f71525b$0$27034$626a54ce@news.free.fr> :
Peut-on faire confiance à Windows Update ?
Pas tant que cela, mais on n'a pas le choix :-(
question bete : pourquoi?
Parce que les serveurs sont beaucoup trop vulnérables. Non seulement
ils tournent sur du 100% microsoft avec les failles que cela
implique[1], mais en plus Microsoft à maintenant décidés d'utiliser les
services d'Akamai pour "répartir" les serveurs, et minimiser les
risques de DDoS. Même si au final les serveurs ne sont pas forcément
dupliqués, amha cela augmente les risques de compromissions.
[1]
<http://www.datarescue.com/fprot/virinfo/hackedbychinese.gif>
par exemple...
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Matthieu nous disait récement dans fr.comp.securite <news:3f71525b$0$27034$ :
Peut-on faire confiance à Windows Update ? Pas tant que cela, mais on n'a pas le choix :-(
question bete : pourquoi?
Parce que les serveurs sont beaucoup trop vulnérables. Non seulement ils tournent sur du 100% microsoft avec les failles que cela implique[1], mais en plus Microsoft à maintenant décidés d'utiliser les services d'Akamai pour "répartir" les serveurs, et minimiser les risques de DDoS. Même si au final les serveurs ne sont pas forcément dupliqués, amha cela augmente les risques de compromissions.
[1] <http://www.datarescue.com/fprot/virinfo/hackedbychinese.gif> par exemple...
-- "Si ceux qui disent du mal de moi savaient exactement ce que je pense d'eux , ils en diraient bien davantage." Sacha Guitry
Fabien LE LEZ
On 24 Sep 2003 12:33:55 GMT, Xtrauto wrote:
Lui interdire l'accès à la BDR.
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
On 24 Sep 2003 12:33:55 GMT, Xtrauto <xtrauto@hotmail.com> wrote:
Lui interdire l'accès à la BDR.
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se
looger en root (Administrateur)... Je lui donne deux mois pour
abandonner totalement son compte "utilisateur normal" (Je sais de quoi
je parle, j'ai essayé, et avec un gars qui était pourtant conscient
des problèmes encourus :-/ )
--
Let's face it, boys: the Trash Heap _is_ all.
-- the Trash Heap, Fraggle Rock, ep 1
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
-- Let's face it, boys: the Trash Heap _is_ all. -- the Trash Heap, Fraggle Rock, ep 1
Matthieu
On 24 Sep 2003 12:33:55 GMT, Xtrauto wrote:
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
non pas forcement: sans quitter son compte courant on peut ajouter des
logiciels : il suffit de faire executer en tant que puis choisir un compte admin, cela executera l'installation avec l'environnement de l'admin.
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
On 24 Sep 2003 12:33:55 GMT, Xtrauto <xtrauto@hotmail.com> wrote:
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se
looger en root (Administrateur)... Je lui donne deux mois pour
abandonner totalement son compte "utilisateur normal" (Je sais de quoi
je parle, j'ai essayé, et avec un gars qui était pourtant conscient
des problèmes encourus :-/ )
non pas forcement: sans quitter son compte courant on peut ajouter des
logiciels : il suffit de faire executer en tant que puis choisir un
compte admin, cela executera l'installation avec l'environnement de l'admin.
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
non pas forcement: sans quitter son compte courant on peut ajouter des
logiciels : il suffit de faire executer en tant que puis choisir un compte admin, cela executera l'installation avec l'environnement de l'admin.
pour une reponse par email, enlevez le .invalid for an email answer, please remove the .invalid -----------------------------------------------
Bertrand Masius
Bonjour,
Le 24 Sep 2003 18:51:49 GMT, Fabien LE LEZ a
On 24 Sep 2003 12:33:55 GMT, Xtrauto wrote:
Lui interdire l'accès à la BDR.
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
Il suffit de lui donner les droit d'"utilisateur avec pouvoir", et elle pourra installer des programmes quand elle voudra. -- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
(Nicolas Boileau, l'Art poétique)
Bonjour,
Le 24 Sep 2003 18:51:49 GMT, Fabien LE LEZ <gramster@gramster.com> a
On 24 Sep 2003 12:33:55 GMT, Xtrauto <xtrauto@hotmail.com> wrote:
Lui interdire l'accès à la BDR.
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se
looger en root (Administrateur)... Je lui donne deux mois pour
abandonner totalement son compte "utilisateur normal" (Je sais de quoi
je parle, j'ai essayé, et avec un gars qui était pourtant conscient
des problèmes encourus :-/ )
Il suffit de lui donner les droit d'"utilisateur avec pouvoir", et elle
pourra installer des programmes quand elle voudra.
--
"Ce que l'on conçoit bien s'énonce clairement,
Et les mots pour le dire arrivent aisément."
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
Il suffit de lui donner les droit d'"utilisateur avec pouvoir", et elle pourra installer des programmes quand elle voudra. -- "Ce que l'on conçoit bien s'énonce clairement, Et les mots pour le dire arrivent aisément."
(Nicolas Boileau, l'Art poétique)
Paul GABORIT
À (at) 24 Sep 2003 12:33:55 GMT, Xtrauto écrivait (wrote):
La première chose à faire est de lui créer un profil "poweruser" ou "user" [...]
Lui interdire l'accès à la BDR.
Convertir les partitions FAT32 en partitions NTFS si XP est en version familiale sinon les deux actions ci-dessus n'ont pas grand intérêt.
[...]
ce sera déja un bon début! P.S: Cette liste est loin d'être exhaustive!!!
C'est sûr ! ;-)
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/> Remove '.OOO' from e-mail address - Supprimez '.OOO' de l'adresse e-mail
À (at) 24 Sep 2003 12:33:55 GMT, Xtrauto écrivait (wrote):
La première chose à faire est de lui créer un profil "poweruser" ou "user" [...]
Lui interdire l'accès à la BDR.
Convertir les partitions FAT32 en partitions NTFS si XP est en version familiale sinon les deux actions ci-dessus n'ont pas grand intérêt.
[...]
ce sera déja un bon début! P.S: Cette liste est loin d'être exhaustive!!!
C'est sûr ! ;-)
-- Paul Gaborit - <http://www.enstimac.fr/~gaborit/> Remove '.OOO' from e-mail address - Supprimez '.OOO' de l'adresse e-mail
Xtrauto
Fabien LE LEZ wrote:
On 24 Sep 2003 12:33:55 GMT, Xtrauto wrote:
Lui interdire l'accès à la BDR.
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
Au lieu de te loger en root, execute simplement ton process avec les
privilèges root. Comment : Tu sélectionne l'exécutable, "MajG" enfoncée plus "clic droit" et pointer sur "exécuter en tant que" Tu pourrais aussi le lancer avec la commande "runas". bien à toi
Fabien LE LEZ wrote:
On 24 Sep 2003 12:33:55 GMT, Xtrauto <xtrauto@hotmail.com> wrote:
Lui interdire l'accès à la BDR.
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se
looger en root (Administrateur)... Je lui donne deux mois pour
abandonner totalement son compte "utilisateur normal" (Je sais de quoi
je parle, j'ai essayé, et avec un gars qui était pourtant conscient
des problèmes encourus :-/ )
Au lieu de te loger en root, execute simplement ton process avec les
privilèges root.
Comment :
Tu sélectionne l'exécutable,
"MajG" enfoncée plus "clic droit" et pointer sur "exécuter en tant que"
Tu pourrais aussi le lancer avec la commande "runas".
bien à toi
Et dès qu'elle voudra installer le moindre logiciel, il lui faudra se looger en root (Administrateur)... Je lui donne deux mois pour abandonner totalement son compte "utilisateur normal" (Je sais de quoi je parle, j'ai essayé, et avec un gars qui était pourtant conscient des problèmes encourus :-/ )
Au lieu de te loger en root, execute simplement ton process avec les
privilèges root. Comment : Tu sélectionne l'exécutable, "MajG" enfoncée plus "clic droit" et pointer sur "exécuter en tant que" Tu pourrais aussi le lancer avec la commande "runas". bien à toi
