Voilà, le but de ce topic est de s'échanger des tips, conseils afin d'améliorer la sécu de ce bon vieux win2000/XP
 
Mes sécu sur mon Win2000 :
 
1- Désactivation des services de partages réseau, accès registre distant, serveur, workstation, Netbios helper etc...
 
Y reste que ceux là :
   Appel de procédure distante (RPC)
   Client DNS
   Extensions du pilote WMI
   Gestionnaire de comptes de sécurité
   Gestionnaire de disque logique
   Infrastructure de gestion Windows
   Journal des évènements
   Médias amovibles
   Notification d'évènement système
   NVIDIA Driver Helper Service
   Plug-and-Play
   COM+
 
C plus secure et ça a l'avantage d'optimiser la mémoire disponible. Il n'y a que 60Mo de bouffés au démarrage et mon système à 6 bons mois et une bonne 100taine d'applis installés.
 
2- PAS de netbios. Dégagé des interfaces réseaux, désactivé sur la pile TCP/IP. Trop dangereux car diffuse les mots de passe en clair (srait temps de changer ça Msieur Billou, mix avec ssh par ex)
 
3- NTFS : Accès aux admins et system, c tout.
 
4- Audits des accès échoués à %windir%
 
5- J'utilise po cette daube d'IE mais mozilla, plus secure
 
 
Vous faites quoi vous ?

rien    

FireWall + antivirus.
 
On désactive comment le netbios ? après les LAN marche tjs ?

+1
 
Les produits Microsoft me servent pour les honeypots. Ya qu'à installer, tout est prêt !
 
Plus sérieusement :
 

• Sécurité physique
• Conrôle d'accès à l'ordinateur (mdp au démarrage du BIOS, éviter les multi-boot, désactiver l'amorçage par disquette, partition en NTFS)
• Après l'installation de Windows, penser au SP, à tous les Hotfixes, arreter les services non utilisés, désinstaller les protocoles réseaux inutiles (IPX/SPX & NetBeui), désactiver les services réseaux inutiles (le fameux NetBIOS).
• Paraméter le système avec les outils d'admin (un est spécifique à la sécurité)
• Stratégies de groupe
• Délégation d'administration
• Gestion des comptes locaux (ouverture de session & verrouillage de l'écran de veille)
• Stratégies de compte (mots de passe robustes, vérrouillage des comptes)
• Droits utilisateurs
• Base de registre (beaucoup de choses possibles)
• Permissions d'accès aux fichiers et répertoires (sous partoch NTFS évidemment)
• Chiffrement possible des fichiers & répertoires (grâce à EFS)
• Protéger les données en sauvegardant régulièrement
• Contrôle quotidien de l'état du système
• Activer l'audit système et lire quotidiennement les journaux

NB : Il faut aussi prendre en compte tous les logiciels installés sur la machine avec leurs correctifs éventuels...

Rien

T1 il m'a trop grillai en fait  

derriere un linux

profites en pour mettre le NVIDIA Driver Helper Service en manuel plutot qu'en automatique
ce n'est pas qu'il joue sur la securite, mais il bouffe des ressources pour rien
NB : il revient en mode automatique a chaque upgrade des Detonator  

derriere un routeur....
 

 
pas d'antivirus
pas de logiciel de protection
pas de NTFS (utilise FAT32)
pas de chiffrement
pas de compte individuel
protection routeur en mode DMZ

 
THX !
 
localhost : Tu srai' pas ingé système des fois ? Ta description ressemble pile poil aux procédures qu'on met en place dans mon job (homologation tech' de services bancaires)

 
Dans les propriétés de sa connexions réseaux (là ou on voit les protocoles etc) on décoche tout sauf tcp/ip, puis on clic sur avancés dans TCP/IP et on désactive "TCP/IP over NETBIOS".
 
On peut aussi désactiver le service serveur comme ça même les partages administratifs sont fermés.
 
Le LAN marche tjrs ensuite mais uniquement en protocole TCP/IP. On peux plus échanger de fichiers par l'explorateur réseaux. C'est le moment de mettre un ftp pour les besoins ponctuels d'échange.

t'appliques un template de secu et ca te fais tout ce qu'il y a plus haut un clic
 
 
 
pas besoin de se prendre la tete

 
pareil

flag cape etre interessant

comment esperer securiser ce truc la...
 
1) derriere un firewall linux + proxy + ne pas utiliser les logiciels crosoft, etc
 
2) ne pas le relier a internet
 
3) ne pas allumer le pc
 
 
il n'y a que ca de valable

   
 
les templates de secu
http://www.remainsecure.com/whitep [...] empsec.htm

 
Non, mais je compte le devenir.