Configuration sécuritaire raisonnable

[EboO]

Bonjour,

Je suis en train de refaire ma config sécurité et en discutant sur un autre forum un problème a été soulevé :
J'ai clear cloud et wot, vipre antivirus et OA free. Le hips d'OA et l'uac (elle est activée) font-ils double emploi ?
Concernant l'uac quel niveau de sensibilité faut-il mettre ? Celui par défaut convient-il ?
Je suis sous windows 7 64 bits.

Merci.

[Jejewen]

Salut,

un HIPS et l'UAC ne font pas double emploi (pas tout à fait) :
- l'UAC s'assure que les exécutables qui demandent les droits administrateurs (et qui sont donc des vecteurs potentiels d'infection) aient bien été lancé par l'utilisateur. Le PC ne demande pas confirmation (comme certains le pensent), c'est une vérification. Après, étant sous Vista je connais pas les niveaux de sensibilité, perso je le laisserais par défaut (ça permet surtout de dire qu'on prend en compte les remarques des personnes que l'UAC embête, faut pas oublier par contre que c'est une énorme avancée en matière de sécurité attendue sur Windows depuis pas mal de temps par les spécialistes).
- un HIPS permet à l'utilisateur de gérer les interactions entre programmes, et ne permet pas (du moins si mes souvenirs de Comodo sont bons) d'interdire l'accès aux droits administrateurs à un programme.

Pour le reste je connais pas (je connais un WOT qui est une extension de Firefox, mais je considère pas ça comme un logiciel de sécurité, surtout que c'est des avis d'utilisateurs...).


En tout cas, un antivirus et un parefeu constitue le minimum (le parefeu de Windows suffit si t'arrives à le paramétrer). Le filtrage DNS (Cleacloud par exemple) ou d'autres fonctions du genre sont "optionnelles", à réserver aux plus paranos.

Rajoutes à ça un navigateur web sécurisé (gestion des scripts, des fenêtres de pubs).

Et bien sûr le plus important : une utilisation intelligente de l'ordinateur (l'interface chaise-clavier cause une majorité de problèmes).

[EboO]

Merci pour les éclaircissements concernant l'uac et le hips.
Wot ça ne mange pas beaucoup de ressources et c'est assez efficace pour le phishing, clear cloud c'est pour les malwares.

[Gilles Gropaquet]

Bonsoir,

et ne permet pas (du moins si mes souvenirs de Comodo sont bons) d'interdire l'accès aux droits administrateurs à un programme.

Online Armor peut interdire les droits administrateurs si l'utilisateur le configure pour ça, il existe une fonction.

Simple précision, je sais que tu parlais de Comodo.

@+

[EboO]

Pour OA il suffit de cocher "exécuter les programmes inconnus avec des droits restreints", de même on peut restreindre des programmes connus.
De ce fait l'uac a-t-elle un intérêt ?
Concernant l'uac j'ai une autre question (suite à la lecture du topic sur l'uac), n'y a-t'il qu'ie qui est sandboxé ? (c'est le seul pour lequel la virtualisation de compte est cochée)

[Malekal_morte]

Je vais poser la question autrement : "l'UAC ne te suffit pas ?"
Tu passes pas mal de temps sur les forums, donc j'imagine que tu es un utilisateur averti.

Clear Cloud et Wot, Vipre antivirus (doit aussi y avoir Windows Defender aussi) + UAC ce n'est pas suffisant ?
T'as vraiment besoin d'un HIPS ? C'est vraiment pour la protection ou c'est pour être à la mode ou savoir tout ce qui se passe sur le système (qui ouvre quoi etc).

[EboO]

Defender est désactivé.
La question mérite réflexion en effet. Il y a sûrement des 2
En utilisant convenablement le hips (c'est à dire sans cliquer sur autoriser comme un malade), je me suis rendu compte que pas mal de choses cherchent à se charger au démarrage et je peux les bloquer lors de l'installation (par exemple quicktime), ce qui m'évite de devoir faire le ménage avec autoruns (les entrées ne sont parfois pas visibles dans msconfig). Et puis j'aime bien savoir ce qui se passe sur mon pc et le hips va limiter les risques avec une faille 0-day non ?. Toutefois je concède que si OA avait un ids je serais le plus heureux.

[Malekal_morte]

Toutefois je concède que si OA avait un ids je serais le plus heureux.

Tu entends quoi par IDS ?

[EboO]

Behavior analysis, si j'ai bien compris ce sont des hips intelligents (avec des règles prédéfinies et qui ne s'exclament pas pour tout).
Peux-tu me dire si seul ie est sandboxé ou si les autres navigateurs le sont aussi ?

[Malekal_morte]

Internet Explorer (et seulement lui) est executé en mode protect depuis Vista.

Pour le reste du HIPS, je vois pas trop ce qu'est la Behavior analysis.
Mais normalement tous les HIPS scannent les PC pour générer des règles sur les processus existants (avec peut-être pour certains une vérif sur la légitimité des programmes, je crois qu'OA fait ça).
Ensuite tu as le mode apprentissage, pour les installations dont tu es certains que le programme est légitime qui génère les règles automatiques sans intervention de l'utilisateur.

[EboO]

Merci pour l'info concernant ie.

Je confirme pour OA, il scanne et crée les règles adéquates pour les éléments approuvés. De même le mode installation réduit les pop-ups en effet.
Le behavior analysis analyse les acitons d'un programme et regarde si elles sont en adéquation avec sa fonction : par exemple paint n'est pas censé créé un .exe

EDIT : si j'essaie d'être raisonnable et que je met de côté mon envie de savoir tout ce qu'il se passe sur mon pc et que je laisse juste l'uac j'aurais tout de même une très bonne protection non ? (je garderais le pare-feu d'OA)

[Malekal_morte]

yep OA, c'est pas mal.

[EboO]

Merci, je vais tâcher de m'assagir
Je m'interroge sur un point : virer l'uac pour éviter le double emploi avec un hips ne va-t-il pas poser problème ? Si un exploit passe le hips ne va pas réagir vu que le navigateur est autorisé, mais l'uac si. De ce fait l'uac protègerait mieux que le hips contre les modifications du système ?
Merci de m'éclairer.

[Malekal_morte]

heu c'est plus compliqué que ça.

L'UAC c'est juste pour ne pas donner les droits administrateurs, ça empêche pas un exploit de fonctionner.
Si l'infection est pensée pour ne pas tourner en droit administrateurs et que tu refuses sur l'UAC, elle va ajouter par exemple une clef run HKU pour se lancer.
Après si c'est une infection qui a besoin des droits administrateurs (ajout de service pour un rootkit, patch d'un fichier système) oui là elle va lamentablement se viander !
Donc si t'es vulnérable, au pire l'exploit se lance, il lance le dropper, alerte UAC, tu refuses, selon l'infection, ça foire ou ça marche.

Si un exploit passe le hips ne va pas réagir vu que le navigateur est autorisé

Ca marche pas comme ça.
Tu dis pas, mon navigateur WEB est OK, j'autorise tout, j'ai la paix et c'est la fete du slip.

Voir fonctionnement exploit : http://forum.malekal.com/exploitation-s ... 13629.html

Si l'exploit utilise une vulnérabilité du navigateur WEB, ça va être le processus du navigateur WEB qui va lancer le dropper.
Si l'exploit utilise un logiciel tier (style Adobe Reader si c'est un PDF malicieux, ou Adobe Flash si c'est une applet flash pourrie, ou Winzip si c'est un zip merdique), le navigateur WEB va lancer le logiciel en processus enfant.

Conclusion, faut pas donner tous les droits au navigateur WEB et notamment faut surveiller ce qu'il lance.
Le navigateur WEB, ça reste une porte d'entrée, donc faut surveiller, donc le hips va faire des règles en conséquence et tu peux éventuellement avoir des alertes venant du navigateur WEB.

Par exemple, pour Internet Explorer et Acrobat Reader, le mieux ça reste de demander les autorisations pour les processus enfants pour ton navigateur WEB.
Comme ça, tu surfs, le navigateur WEB tente de lancer Adobe Reader alors que t'as ouvert aucun PDF.
Tu vois que le nom du PDF lancé est débile, tu refuses.

Pour Firefox, comme y a plugin-container, je sais pas trop comment les ouvertures de PDF sont gérées.
Faut regarder.

Après tu peux affiner, tu dis, sur le HIPS j'autorise le processus du navigateur WEB à lancer le processus d'Acrobat Reader et seulement celui-ci (si au quotidien ça génère trop d'alerte), par contre tu interdits à Acrobat Reader de lancer un processus enfant.
Si tu tombes sur un exploit avec un PDF malicieux, le navigateur WEB lance Acrobat Reader avec son PDF merdique qui va télécharger le dropper et l'exécuté et là ton HIPS warn.

J'espère que c'est clair :/

[EboO]

Je te remercie de prendre le temps d'expliquer.
C'est très clair comme explications. J'avais désactivé la liste blanche d'OA pour éviter de tout laisser passer mais je vois que j'avais une fausse idée de la sécurité, la preuve étant que je peux ouvrir un pdf avec opera (ou firefox) sans que le hips bronche. Je vais devoir mettre les navigateurs en non-approuvé. J'empêche le global hook, je ne vois pas pourquoi ils en ont besoin.
Sinon au niveau de l'uac quel est le meilleur réglage (entre efficacité en terme de sécurité et confort d'utilisation) ?
Au final existe-t-il une autre façon de bloquer les exploits (mis à part le webshield) ? Parce qu'un hips configuré pour être sensible c'est loin d'être autonome...