Bonsoir à tous,
J'aime bien Vista qui ne me pose pas de problèmes majeurs -- pas du tout
d'écrans bleus -- mais qui au fil du temps accumule les petits désagréments
: restauration uniquement possible en mode sans échecs; smartphone qui n'est
reconnu que s'il est branché avant le boot; copier coller qui déconne en
dépit des patchs.
J'ai donc pris la lourde décision de tout virer et de réinstaller Vista.
Bingo ! Tout marche impec et les petites couilles que j'ai mentionné ont
toutes disparu.
D'où ma question : quel crédit apporter aux bricolages de la BDR que l'on
lit dans la presse "spécialisée"; faut-il installer ZoneZlarm, CCleaner,
Ad-aware, etc.; changer l'emplacement des variables d'environnement; changer
l'emplacement des fichiers temporaires d'IE7, etc. ?
Quel réel avantage peut-on tirer de ces titillages divers, ou faut-il
laisser Vista tricoter tranquillement ?
Merci de vos lumières
--
Cordialement
JL
La réalité n'est pas si simple. Tout d'abord, le Protocol CIFS/SMB (partage de fichiers et d'imprimante) n'est pas la seule porte d'entré et de sortie sur une machine Windows. Ensuite, et contrairement à certaines croyances, un mot de passe ne protège pas toujours contre des attaques, par ex. celles de type Denial of service. En plus, si un protocole est sujet à une vulnérabilité, celle-ci sera souvent exploitable avant de soumettre le moindre mot de passe. Pensez-vous qu'un firewall de périmètre vous aurait protégé contre sasser si, ne serait-ce qu'une seule machine du segment était infectée ? Non. C'est la que les firewalls personnels prenne toute leur importance. Enfin un avantage compétitif des FW personnels est d'être paramétrable en fonction des processus et non des ports/protocoles utilisés, ce qui aide énormément dans le monde Windows aux ports si dynamiques, non ? Encore une fois (et pour les autres lecteurs de ce NG :)), le plus important est de mesurer le risque et de mettre en place un niveau de protection proportionnelle (= adaptée et gérable)
Marc
"MCI (ex do ré Mi chel la si do) [MVP]" wrote in message news:
Bonsoir !
protéger une machine contre d'autres machines sur un même segment.
Protéger contre quoi ? Dans un même réseau local, soit on partage des ressources (dossiers, imprimantes, ...), soit on ne partage pas. Les partages peuvent être protégés par nom_d_utilisateur+mot_de_passe. Et, donc, je ne vois pas contre quoi un parefeu logiciel protègerait.
Voir aussi ma réponse à Machin.
@+
Michel Claveau
La réalité n'est pas si simple. Tout d'abord, le Protocol CIFS/SMB (partage
de fichiers et d'imprimante) n'est pas la seule porte d'entré et de sortie
sur une machine Windows. Ensuite, et contrairement à certaines croyances, un
mot de passe ne protège pas toujours contre des attaques, par ex. celles de
type Denial of service. En plus, si un protocole est sujet à une
vulnérabilité, celle-ci sera souvent exploitable avant de soumettre le
moindre mot de passe. Pensez-vous qu'un firewall de périmètre vous aurait
protégé contre sasser si, ne serait-ce qu'une seule machine du segment était
infectée ? Non. C'est la que les firewalls personnels prenne toute leur
importance.
Enfin un avantage compétitif des FW personnels est d'être paramétrable en
fonction des processus et non des ports/protocoles utilisés, ce qui aide
énormément dans le monde Windows aux ports si dynamiques, non ?
Encore une fois (et pour les autres lecteurs de ce NG :)), le plus important
est de mesurer le risque et de mettre en place un niveau de protection
proportionnelle (= adaptée et gérable)
Marc
"MCI (ex do ré Mi chel la si do) [MVP]" <enleverlesO.OmcO@OmclaveauO.com>
wrote in message news:uqZBlQWhIHA.5368@TK2MSFTNGP04.phx.gbl...
Bonsoir !
protéger une machine contre d'autres machines sur un même segment.
Protéger contre quoi ? Dans un même réseau local, soit on partage des
ressources (dossiers, imprimantes, ...), soit on ne partage pas.
Les partages peuvent être protégés par nom_d_utilisateur+mot_de_passe.
Et, donc, je ne vois pas contre quoi un parefeu logiciel protègerait.
La réalité n'est pas si simple. Tout d'abord, le Protocol CIFS/SMB (partage de fichiers et d'imprimante) n'est pas la seule porte d'entré et de sortie sur une machine Windows. Ensuite, et contrairement à certaines croyances, un mot de passe ne protège pas toujours contre des attaques, par ex. celles de type Denial of service. En plus, si un protocole est sujet à une vulnérabilité, celle-ci sera souvent exploitable avant de soumettre le moindre mot de passe. Pensez-vous qu'un firewall de périmètre vous aurait protégé contre sasser si, ne serait-ce qu'une seule machine du segment était infectée ? Non. C'est la que les firewalls personnels prenne toute leur importance. Enfin un avantage compétitif des FW personnels est d'être paramétrable en fonction des processus et non des ports/protocoles utilisés, ce qui aide énormément dans le monde Windows aux ports si dynamiques, non ? Encore une fois (et pour les autres lecteurs de ce NG :)), le plus important est de mesurer le risque et de mettre en place un niveau de protection proportionnelle (= adaptée et gérable)
Marc
"MCI (ex do ré Mi chel la si do) [MVP]" wrote in message news:
Bonsoir !
protéger une machine contre d'autres machines sur un même segment.
Protéger contre quoi ? Dans un même réseau local, soit on partage des ressources (dossiers, imprimantes, ...), soit on ne partage pas. Les partages peuvent être protégés par nom_d_utilisateur+mot_de_passe. Et, donc, je ne vois pas contre quoi un parefeu logiciel protègerait.
Voir aussi ma réponse à Machin.
@+
Michel Claveau
Lognoul, Marc \(Private\)
Il faut bien être protégé quelque part ! Vous laissez portes et fenêtres ouvertes en permanence, chez vous ?
Par défaut, AUCUN port n'est ouvert dans Windows, dans le sens entrant. Dans un passé maintenant lointain, ce n'était pas le cas. Mais ça fait des années que les ports sont fermés par défaut. Ce qui n'empêche pas de nombreux "journalistes" (pas tous) ou "gourous-autoproclamés" d'utiliser cette formule.
Avec tout le respect que je dois au MVP's, je pense que tu te trompes sur ce point. Il existe un certains nombre de processus, même sous vista/2008 qui sont en mode d'écoute. Une simple commande du style « netstat -ano|findstr "LISTENING" » te le prouvera et c'est tout à fait « normal » car c'est comme cela que Windows fonctionne. Il est également faux de dire que la surface d'attaque s'est réduite car au contraire, même si la configuration par défaut peut parfois inclure moins de processus « listening », les applications additionnelles sapent tout ce travail de réduction de la surface d'attaque. Il faut arrêter d'envisager le scénario du type « je suis à la maison protégé par mon routeur » comme celui le plus courant. Et même ce scénario n'est pas 100% sécurisé. Avec un peu de chance, ce routeur est un point d'accès WIFI, non-protégé ou protégé avec du WEP uniquement (sois avec une clé crackable en quelques minutes au pire). Cette connexion WIFI n'est pas protégée par un FW. Donc les utilisateurs malicieux sont sur le même segment. Les ordinateurs portables se connectent à différent types de réseaux. Ces réseaux ont des niveaux de sécurité inégaux (avec ou sans firewall, avec ou sans NAP/IPSec/802.1x.). Les FW personnels, dont celui de vista sont particulièrement adaptables dans ce cas.
Un FW, un anti-malware et un A-V remplissent des fonctions différentes mais complémentaires, seuls A-V et anti-malware se marchent parfois un peu sur les pieds.
PS : les trames, c'est au niveau du média, le routage c'est IP et les requêtes c'est au niveau transport ou applicatif. Bref on ne route pas des trames et les trames ne sont pas des requêtes. PS2 : Je ne suis ni journaliste, ni gourou-autoproclamé :)
PAR CONTRE, si on lance un malware, ou un logiciel quelconque, sur l'ordinateur, et que ce logiciel établit une connexion vers l'extérieur, tout pourra passer, et traverser les routeurs, et les parefeux centralisés "légers" (comme ceux qui sont dans certains routeurs).
On pourrait croire que les parefeux logiciels ont, dans ce cas, une utilité. MAIS : - ces parefeux ne feront que bloquer certains ports, SANS ENLEVER les malwares. AMHA, il est fortement préférable de les éradiquer, plutôt que de les laisser en place et d'essayer de limiter leur action. - il est facile de créer des scripts qui vont utiliser une instance invisible de FF ou de IE, pour se connecter à un site particulier, et transmettre ce que l'on veut. Et le parefeu ne verra rien, ne fera rien.
Dans ce cas précis, comme certains personal firewalls sont configuables sur base de processus, ils peuvent bloquer ce type de connection sortante. Car peut importe l'interface de programmation utilisée, c'est toujours un processus derrière.
Avec l'analogie citée, je dirais qu'un parefeu logiciel, c'est comme mettre une seconde porte, derrière celle qui est déjà fermée ; ça ne protègera pas plus, mais ce sera plus pénible.
L'analogie est mal choisie. Je te propose: - Un FW de prérimètre, c'est porte blindée - Un FW personnel, c'est un gilet pare-balle. -> Cela protège quand il n'y a pas de porte blindée (et cela arrive) ou quand les méchants sont dans la pièce (et cela arrive aussi). Le gilet on peut l'enlever sous certines circonstances.
Il faut bien être protégé quelque part ! Vous laissez portes et fenêtres
ouvertes en permanence, chez vous ?
Par défaut, AUCUN port n'est ouvert dans Windows, dans le sens entrant.
Dans un passé maintenant lointain, ce n'était pas le cas. Mais ça fait des
années que les ports sont fermés par défaut. Ce qui n'empêche pas de
nombreux "journalistes" (pas tous) ou "gourous-autoproclamés" d'utiliser
cette formule.
Avec tout le respect que je dois au MVP's, je pense que tu te trompes sur ce
point.
Il existe un certains nombre de processus, même sous vista/2008 qui sont en
mode d'écoute. Une simple commande du style « netstat -ano|findstr
"LISTENING" » te le prouvera et c'est tout à fait « normal » car c'est comme
cela que Windows fonctionne. Il est également faux de dire que la surface d'attaque
s'est réduite car au contraire, même si la configuration par défaut peut
parfois inclure moins de processus « listening », les applications
additionnelles sapent tout ce travail de réduction de la surface d'attaque.
Il faut arrêter d'envisager le scénario du type « je suis à la maison
protégé par mon routeur » comme celui le plus courant. Et même ce scénario n'est
pas 100% sécurisé. Avec un peu de chance, ce routeur est un point d'accès
WIFI, non-protégé ou protégé avec du WEP uniquement (sois avec une clé
crackable en quelques minutes au pire). Cette connexion WIFI n'est pas
protégée par un FW. Donc les utilisateurs malicieux sont sur le même
segment.
Les ordinateurs portables se connectent à différent types de réseaux. Ces
réseaux ont des niveaux de sécurité inégaux (avec ou sans firewall, avec ou
sans NAP/IPSec/802.1x.). Les FW personnels, dont celui de vista sont
particulièrement adaptables dans ce cas.
Un FW, un anti-malware et un A-V remplissent des fonctions différentes mais
complémentaires, seuls A-V et anti-malware se marchent parfois un peu sur
les pieds.
PS : les trames, c'est au niveau du média, le routage c'est IP et les
requêtes c'est au niveau transport ou applicatif. Bref on ne route pas des
trames et les trames ne sont pas des requêtes.
PS2 : Je ne suis ni journaliste, ni gourou-autoproclamé :)
PAR CONTRE, si on lance un malware, ou un logiciel quelconque, sur
l'ordinateur, et que ce logiciel établit une connexion vers l'extérieur,
tout pourra passer, et traverser les routeurs, et les parefeux centralisés
"légers" (comme ceux qui sont dans certains routeurs).
On pourrait croire que les parefeux logiciels ont, dans ce cas, une
utilité. MAIS :
- ces parefeux ne feront que bloquer certains ports, SANS ENLEVER les
malwares. AMHA, il est fortement préférable de les éradiquer, plutôt que
de les laisser en place et d'essayer de limiter leur action.
- il est facile de créer des scripts qui vont utiliser une instance
invisible de FF ou de IE, pour se connecter à un site particulier, et
transmettre ce que l'on veut. Et le parefeu ne verra rien, ne fera rien.
Dans ce cas précis, comme certains personal firewalls sont configuables sur
base de processus, ils peuvent bloquer ce type de connection sortante. Car
peut importe l'interface de programmation utilisée, c'est toujours un
processus derrière.
Avec l'analogie citée, je dirais qu'un parefeu logiciel, c'est comme
mettre une seconde porte, derrière celle qui est déjà fermée ; ça ne
protègera pas plus, mais ce sera plus pénible.
L'analogie est mal choisie. Je te propose:
- Un FW de prérimètre, c'est porte blindée
- Un FW personnel, c'est un gilet pare-balle.
-> Cela protège quand il n'y a pas de porte blindée (et cela arrive) ou
quand les méchants sont dans la pièce (et cela arrive aussi). Le gilet on
peut l'enlever sous certines circonstances.
Il faut bien être protégé quelque part ! Vous laissez portes et fenêtres ouvertes en permanence, chez vous ?
Par défaut, AUCUN port n'est ouvert dans Windows, dans le sens entrant. Dans un passé maintenant lointain, ce n'était pas le cas. Mais ça fait des années que les ports sont fermés par défaut. Ce qui n'empêche pas de nombreux "journalistes" (pas tous) ou "gourous-autoproclamés" d'utiliser cette formule.
Avec tout le respect que je dois au MVP's, je pense que tu te trompes sur ce point. Il existe un certains nombre de processus, même sous vista/2008 qui sont en mode d'écoute. Une simple commande du style « netstat -ano|findstr "LISTENING" » te le prouvera et c'est tout à fait « normal » car c'est comme cela que Windows fonctionne. Il est également faux de dire que la surface d'attaque s'est réduite car au contraire, même si la configuration par défaut peut parfois inclure moins de processus « listening », les applications additionnelles sapent tout ce travail de réduction de la surface d'attaque. Il faut arrêter d'envisager le scénario du type « je suis à la maison protégé par mon routeur » comme celui le plus courant. Et même ce scénario n'est pas 100% sécurisé. Avec un peu de chance, ce routeur est un point d'accès WIFI, non-protégé ou protégé avec du WEP uniquement (sois avec une clé crackable en quelques minutes au pire). Cette connexion WIFI n'est pas protégée par un FW. Donc les utilisateurs malicieux sont sur le même segment. Les ordinateurs portables se connectent à différent types de réseaux. Ces réseaux ont des niveaux de sécurité inégaux (avec ou sans firewall, avec ou sans NAP/IPSec/802.1x.). Les FW personnels, dont celui de vista sont particulièrement adaptables dans ce cas.
Un FW, un anti-malware et un A-V remplissent des fonctions différentes mais complémentaires, seuls A-V et anti-malware se marchent parfois un peu sur les pieds.
PS : les trames, c'est au niveau du média, le routage c'est IP et les requêtes c'est au niveau transport ou applicatif. Bref on ne route pas des trames et les trames ne sont pas des requêtes. PS2 : Je ne suis ni journaliste, ni gourou-autoproclamé :)
PAR CONTRE, si on lance un malware, ou un logiciel quelconque, sur l'ordinateur, et que ce logiciel établit une connexion vers l'extérieur, tout pourra passer, et traverser les routeurs, et les parefeux centralisés "légers" (comme ceux qui sont dans certains routeurs).
On pourrait croire que les parefeux logiciels ont, dans ce cas, une utilité. MAIS : - ces parefeux ne feront que bloquer certains ports, SANS ENLEVER les malwares. AMHA, il est fortement préférable de les éradiquer, plutôt que de les laisser en place et d'essayer de limiter leur action. - il est facile de créer des scripts qui vont utiliser une instance invisible de FF ou de IE, pour se connecter à un site particulier, et transmettre ce que l'on veut. Et le parefeu ne verra rien, ne fera rien.
Dans ce cas précis, comme certains personal firewalls sont configuables sur base de processus, ils peuvent bloquer ce type de connection sortante. Car peut importe l'interface de programmation utilisée, c'est toujours un processus derrière.
Avec l'analogie citée, je dirais qu'un parefeu logiciel, c'est comme mettre une seconde porte, derrière celle qui est déjà fermée ; ça ne protègera pas plus, mais ce sera plus pénible.
L'analogie est mal choisie. Je te propose: - Un FW de prérimètre, c'est porte blindée - Un FW personnel, c'est un gilet pare-balle. -> Cela protège quand il n'y a pas de porte blindée (et cela arrive) ou quand les méchants sont dans la pièce (et cela arrive aussi). Le gilet on peut l'enlever sous certines circonstances.
