La solution ultime pour atténuer les vulnérabilités Windows

Le par  |  26 commentaire(s)
key

La suppression des droits administrateur permet d'atténuer 94 % des vulnérabilités critiques ayant affecté des produits logiciels de Microsoft en 2016.

La société de sécurité Avecto a compilé les bulletins de sécurité publiés en 2016 par Microsoft dans le cadre de ce qui est communément appelé Patch Tuesday. Ils représentent un total de 530 vulnérabilités détaillées pour des produits de Microsoft, dont 189 critiques.

Il a été déterminé que 94 % de toutes les vulnérabilités critiques pouvaient être atténuées en supprimant les droits administrateur pour des comptes. Un taux d'atténuation qui est également de 94 % pour le cas spécifique Windows.

avecto

Indépendamment du niveau de dangerosité d'une vulnérabilité de sécurité, ce taux d'atténuation atteint 66 % pour l'ensemble des failles. Pour les navigateurs Microsoft Edge et Internet Explorer, ainsi que Office 2016, c'est même du 100 %.

Faire le sacrifice des droits administrateur paraît donc être une parade de premier choix pour éviter l'exploitation de vulnérabilités. Ce n'est évidemment pas une surprise. Une bonne pratique que les utilisateurs Linux connaissent bien.

À noter que l'une des spécialités de Avecto est, également sans surprise, la gestion des privilèges des utilisateurs.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Anonyme
Le #1956182

La solution ultime pour atténuer les vulnérabilités Windows



Faire une session Admin avec mot de passe puis une seconde en limité toujours avec mot de passe, reboot ou juste se déconnecter, allez sur sa session limité sans les droits et comme par magie ça ressemble presque à un Mac ou un Nux dans sa façon de réagir ou d’interagir avec le système.

Tu veux faire quelque chose sur le système ou le modifier avec des droits admin, tu veux une monté de privilège ou installer simplement une application ? Tape le mot de passe de la session Admin...

EDIT : Petit oublie de ma part parce que j'avais tellement l'habitude de le faire mais rappeler par @LGdotfr, mettre l'UAC(User Account Control) sur son plus haut niveau.

PS : Ça me parait tellement être du bon sens mais quand je vois dans le vrai ce que font les personnes tout les jours, au secours quoi...


Il a été déterminé que 94 % de toutes les vulnérabilités critiques pouvaient être atténuées en supprimant les droits administrateur pour des comptes.

Une bonne pratique que les utilisateurs Linux connaissent bien. Oui, merci de le souligner.



#PopCorn_Time!
Le #1956188
Pas forcément besoin de faire une double session (même si c'est effectivement ce qu'il faut faire), ce qu'il faut c'est laisser l'UAC au maximum sur une session de compte administrateur.

Le problème qui s'est posé, et se pose sûrement encore aujourd'hui, est que certains logiciels demandent des droits d'accès permanent. Il faut alors en amont modifier les droits de certains dossiers pour y inscrire le compte pour que ça se fasse sans avoir la demande UAC en permanence lors de, par exemple, mise à jour d'un logiciel bateau (Firefox, pour l'exemple, installe un service qui s'octroie ces droits afin de rendre les mises à jour transparentes, ce qu'une majorité de logiciels ne font pas).
Et cet emmerdement quotidien est, justement, ce qui pousse nombres d'utilisateurs à rester en session administrateur (alors qu'ils ne savent pas forcément ce qu'ils font) et coupent totalement l'UAC (alors qu'ils ne savent pas ce qu'il peut se passer en lançant ce qu'ils peuvent lancer).

C'est surtout ça qui est, finalement, dangereux plus que rester en compte administrateur sous Windows. C'est couper l'UAC qui est un des seuls remparts aux conneries inhérentes des "kisyconés".
Le #1956190
La plus grosse faille de sécurité se situe entre le clavier et l'écran
Le #1956191
LGdotfr a écrit :

Pas forcément besoin de faire une double session (même si c'est effectivement ce qu'il faut faire), ce qu'il faut c'est laisser l'UAC au maximum sur une session de compte administrateur.

Le problème qui s'est posé, et se pose sûrement encore aujourd'hui, est que certains logiciels demandent des droits d'accès permanent. Il faut alors en amont modifier les droits de certains dossiers pour y inscrire le compte pour que ça se fasse sans avoir la demande UAC en permanence lors de, par exemple, mise à jour d'un logiciel bateau (Firefox, pour l'exemple, installe un service qui s'octroie ces droits afin de rendre les mises à jour transparentes, ce qu'une majorité de logiciels ne font pas).
Et cet emmerdement quotidien est, justement, ce qui pousse nombres d'utilisateurs à rester en session administrateur (alors qu'ils ne savent pas forcément ce qu'ils font) et coupent totalement l'UAC (alors qu'ils ne savent pas ce qu'il peut se passer en lançant ce qu'ils peuvent lancer).

C'est surtout ça qui est, finalement, dangereux plus que rester en compte administrateur sous Windows. C'est couper l'UAC qui est un des seuls remparts aux conneries inhérentes des "kisyconés".


C'est d'ailleurs ce que font souvent les malwares, désactiver l'UAC, ce n'est pas pour rien.
Anonyme
Le #1956192
LGdotfr a écrit :

Pas forcément besoin de faire une double session (même si c'est effectivement ce qu'il faut faire), ce qu'il faut c'est laisser l'UAC au maximum sur une session de compte administrateur.

Le problème qui s'est posé, et se pose sûrement encore aujourd'hui, est que certains logiciels demandent des droits d'accès permanent. Il faut alors en amont modifier les droits de certains dossiers pour y inscrire le compte pour que ça se fasse sans avoir la demande UAC en permanence lors de, par exemple, mise à jour d'un logiciel bateau (Firefox, pour l'exemple, installe un service qui s'octroie ces droits afin de rendre les mises à jour transparentes, ce qu'une majorité de logiciels ne font pas).
Et cet emmerdement quotidien est, justement, ce qui pousse nombres d'utilisateurs à rester en session administrateur (alors qu'ils ne savent pas forcément ce qu'ils font) et coupent totalement l'UAC (alors qu'ils ne savent pas ce qu'il peut se passer en lançant ce qu'ils peuvent lancer).

C'est surtout ça qui est, finalement, dangereux plus que rester en compte administrateur sous Windows. C'est couper l'UAC qui est un des seuls remparts aux conneries inhérentes des "kisyconés".





C'est surtout ça qui est, finalement, dangereux plus que rester en compte administrateur sous Windows. C'est couper l'UAC qui est un des seuls remparts aux conneries inhérentes des "kisyconés".



Carrément, je dis pas le contraire, j'ai juste oublié de le mentionné pour l'UAC.
Le #1956193
Des commentaires intéressants ... Ca fait du bien, merci
Le #1956197
Padrys a écrit :

LGdotfr a écrit :

Pas forcément besoin de faire une double session (même si c'est effectivement ce qu'il faut faire), ce qu'il faut c'est laisser l'UAC au maximum sur une session de compte administrateur.

Le problème qui s'est posé, et se pose sûrement encore aujourd'hui, est que certains logiciels demandent des droits d'accès permanent. Il faut alors en amont modifier les droits de certains dossiers pour y inscrire le compte pour que ça se fasse sans avoir la demande UAC en permanence lors de, par exemple, mise à jour d'un logiciel bateau (Firefox, pour l'exemple, installe un service qui s'octroie ces droits afin de rendre les mises à jour transparentes, ce qu'une majorité de logiciels ne font pas).
Et cet emmerdement quotidien est, justement, ce qui pousse nombres d'utilisateurs à rester en session administrateur (alors qu'ils ne savent pas forcément ce qu'ils font) et coupent totalement l'UAC (alors qu'ils ne savent pas ce qu'il peut se passer en lançant ce qu'ils peuvent lancer).

C'est surtout ça qui est, finalement, dangereux plus que rester en compte administrateur sous Windows. C'est couper l'UAC qui est un des seuls remparts aux conneries inhérentes des "kisyconés".


C'est d'ailleurs ce que font souvent les malwares, désactiver l'UAC, ce n'est pas pour rien.


Le fonctionnement est surtout que si l'utilisateur ne sait pas ce qu'il lance, l'UAC se déclenche avec l'exécutable du malware (la majorité font appel à la bêtise de l'utilisateur, pas forcément l'exploitation d'une faille de l'OS pour couper l'UAC et faire des petits) et il rentre car il ne réfléchit pas ou tout simplement ne lit pas.

Après on passe à un autre niveau d'idiot, car rare seront les malwares qui ne seront pas détectés par une solution de sécurité dont l'heuristique se base sur du comportemental.
Là tu as les vétérans du "un antivirus ne sert à rien". En soit, les virus sont la menace qui est le moins répandu, de nos jours les informations valent plus quand elles existent que lorsqu'elles sont effacées mais on continue d’appeler ces logiciels antivirus.. bref.
Alors quand Kevin est: administrateur du poste, coupe l'UAC et n'a pas de solution de sécurité: BINGO !

@ fs0ciety
Oui, je comprenais que tu le sous-entendais mais il m'a semblé que tu partais surtout sur un risque quand l'utilisateur était administrateur. Ce qui n'est pas forcément un problème à la base, ce n'est qu'un facteur de risque augmenté au final mais si tu gardes l'UAC, rares seront les menaces (hors exploitation de faille) qui mettront le boxon
Le comportement de base est, cependant, bien celui que tu décris: ne pas utiliser une session administrateur en permanence. En cas de menace, seul le profil utilisateur est avant tout menacé, et non le système entier (sauf exploitation de faille là encore).
Anonyme
Le #1956198
LGdotfr a écrit :

Padrys a écrit :

LGdotfr a écrit :

Pas forcément besoin de faire une double session (même si c'est effectivement ce qu'il faut faire), ce qu'il faut c'est laisser l'UAC au maximum sur une session de compte administrateur.

Le problème qui s'est posé, et se pose sûrement encore aujourd'hui, est que certains logiciels demandent des droits d'accès permanent. Il faut alors en amont modifier les droits de certains dossiers pour y inscrire le compte pour que ça se fasse sans avoir la demande UAC en permanence lors de, par exemple, mise à jour d'un logiciel bateau (Firefox, pour l'exemple, installe un service qui s'octroie ces droits afin de rendre les mises à jour transparentes, ce qu'une majorité de logiciels ne font pas).
Et cet emmerdement quotidien est, justement, ce qui pousse nombres d'utilisateurs à rester en session administrateur (alors qu'ils ne savent pas forcément ce qu'ils font) et coupent totalement l'UAC (alors qu'ils ne savent pas ce qu'il peut se passer en lançant ce qu'ils peuvent lancer).

C'est surtout ça qui est, finalement, dangereux plus que rester en compte administrateur sous Windows. C'est couper l'UAC qui est un des seuls remparts aux conneries inhérentes des "kisyconés".


C'est d'ailleurs ce que font souvent les malwares, désactiver l'UAC, ce n'est pas pour rien.


Le fonctionnement est surtout que si l'utilisateur ne sait pas ce qu'il lance, l'UAC se déclenche avec l'exécutable du malware (la majorité font appel à la bêtise de l'utilisateur, pas forcément l'exploitation d'une faille de l'OS pour couper l'UAC) et il rentre car il ne réfléchit pas ou tout simplement ne lit pas.

Après on passe à un autre niveau d'idiot, car rare seront les malwares qui ne seront pas détectés par une solution de sécurité dont l'heuristique se base sur du comportemental.
Là tu as les vétérans du "un antivirus ne sert à rien". En soit, les virus sont la menace qui est le moins répandu, de nos jours les informations valent plus quand elles existent que lorsqu'elles sont effacés mais on continue d’appeler ces logiciels antivirus.. bref.
Alors quand Kevin est: administrateur du poste, coupe l'UAC et n'a pas de solution de sécurité: BINGO !

@ fs0ciety
Oui, je comprenais que tu le sous-entendais mais il m'a semblé que tu partais surtout sur un risque quand l'utilisateur était administrateur. Ce qui n'est pas forcément un problème à la base, ce n'est qu'un facteur de risque augmenté au final mais si tu gardes l'UAC, rares seront les menaces (hors exploitation de faille) qui mettront le boxon
Le comportement de base est, cependant, bien celui que tu décris: ne pas utiliser une session administrateur en permanence. En cas de menace, seul le profil utilisateur est avant tout menacer, et non le système entier (sauf exploitation de faille là encore).


Oui mais pas seulement, du moins pas volontairement parce-que j'ai réellement oublié de le mentionner, comme je l'ai dit plus haut, j’appelle ça du bon sens.
Le #1956202
Alomamabobo a écrit :

La plus grosse faille de sécurité se situe entre le clavier et l'écran


La webcam ?
Le #1956203
saepho a écrit :

Alomamabobo a écrit :

La plus grosse faille de sécurité se situe entre le clavier et l'écran


La webcam ?




Moi j'ai mon leapmotion entre le clavier et l'écran ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]