Limites de DropMyRights ?

[etiab]

Bonjour


J'ai XP comme OS sur mon vieux PC fixe et j'entends ne pas céder à la pression de µsoft : j'ai décidé de garder XP malgré la fin annoncée du support le 8 Avril prochain.

Pour protéger XP, j'ai installé Firefox et Thunderbird comme utilisateur restreint par DropMyRights grâce au tuto de Malekal.

Seulement, je ne pense pas que DropMyRights protège XP quand j'ouvre un fichier téléchargé sur FF (exécutable, fichier JPEG ou pdf par exemple) ou quand j'ouvre une pièce jointe (fichier doc ou pdf par exemple) à un message dans TB.

Est-ce possible de sécuriser aussi ces opérations ? Si oui, comment ?

Merci d'avance pour vos conseils.

[Malekal_morte]

Salut,

Bha c'est déjà pas mal.
Faut pas tomber dans la psychose.

A lire : https://www.malekal.com/2014/03/17/fr-f ... -securite/

Sinon pour répondre à la question, c'est que le navigateur qui est en limité et tout ce qui vient de lui, donc les vulnérabilités en autre.
Les téléchargements, si tu les ouvres avec l'explorateur, ils seront en administrateur, si tu les lances depuis le navigateur, ils seront en session limitée.

Tu peux le vérifier avec les jetons sur Process Explorer.

[etiab]

Bonsoir


Merci pour ton tuto et d'avoir pris le temps de me répondre en personne Malekal
J'ai installé Process Explorer c'est trop hard pour moi.

Je ne comprends pas : si je télécharge, par FF restreint, par exemple un fichier pdf vérolé : tant que ce pdf reste dans mon dossier Téléchargements de FF, pas de problème.
Mais qu'est-ce qui va se passer dès que s'ouvrira Adobe Reader pour lire ce fichier ?

[Malekal_morte]

Ca n'a rien à voir avec l'emplacement sur le disque mais avec quel programme tu le lances.

Ex : tu as Firefox, tu lances le pdf depuis Firefox, normalement le processus parent est Firefox et le processus enfant (lecteur PDF) hérite des droits, donc normalement restreint.
Par contre, si tu enregistres le PDF sur le disque et que tu n'ouvres pas avec le gestionnaire de téléchargement de Firefox mais en allant comme un grand dans ton dossier Telechargement, le lecteur PDF est lancé par l'explorateur et donc sera en admin.

Pour les droits sur Process Explorer, il faut regarder cette vidéo : http://forum.malekal.com/securite-opera ... ox#p259570
C'est Onglet Sécurité, j'essayerai de détailler.

Je n'ai pas vérifié, mais dans la logique ça devrait être cela.
Faudrait confirmer avec Process Explorer
D'ailleurs, si tu peux fournir les captures d'écran des onglets Sécurité, on pourra alors vérifier.

[etiab]

Bonjour

Plusieurs vidéos sur le lien.
J'ai envie de mettre tous mes utilitaires (Adobe Reader, Flash, VLC, etc.) en utilisation restreinte.

[Malekal_morte]

Pourquoi tu ne surfs tout simplement pas depuis une session limitée ?
Ce serait bcp plus simple à mettre en place.

[etiab]

Bonjour


Euh...session limitée sur XP ça veut dire il me semble, me créer un compte non Admin pour ouvrir Firefox dedans ?
Si c'est ça, il reste le cas de Thunderbird (pièces jointes aux e-mails) : je peux faire pareil ?

[EDIT] : Je viens d'aller dans l'Aide de Windows XP. Il y est indiqué dans Compte limité :
"L'utilisateur ne peut en général installer un logiciel ou un composant matériel" Je n'aime pas l'expression "en général"... Qu'en pensez-vous ?
Par contre dans Compte invité, il sont plus catégoriques : ne peut pas installer etc...
Mon problème dans le compte invité, c'est qu'il ne peut être protégé par mot de passe (c'est possible avec un compte limité).

Merci d'avance.

[Malekal_morte]

Voir explications : https://www.malekal.com/2010/11/12/gest ... windows-2/

En gros, tu surfs avec une session limitée, quoique tu lances dessus volontairement ou pas (virus), ça restera sur ta session, impossible d'installer quelque chose pour tous les utilisateurs ou au niveau systèmes (drivers, services etc) donc pas de rootkits possibles.

Si tu veux installer un programme, tu vas dans la session administrateur ou si tu lances depuis ta session, le mot de passe du compte administrateur te sera demandé.

Ca limite grandement les infections, et surtout comme c'est limité à ton compte, l'antivirus qui tourne au niveau système (au dessus) garde la main sur le système et pourra facilement virer les m*rdes qui se limiteront à ta session.

[etiab]

OK Malekal, merci encore.
Cette solution semble effectivement la plus radicale pour FF et TB.

Mais il y a un dernier point délicat : une vérole ne faisant pas de dégât en mode restreint, comment être certain qu'un exécutable (téléchargé en mode restreint) n'est pas vérolé, avant de l'installer (nécessairement en mode Admin) ? L'antivirus ne servira plus à rien après la fin du support de XP...

[Malekal_morte]

D'où tu sors que les antivirus ne fonctionneront plus ? Avast! &co continueront de fonctionner dessus.
Mais la version 10 devrait ne plus pouvoir être installé sur XP je pense, ils vont l'abandonner.

Y a aussi VirusTotal.

[etiab]

D'où tu sors que les antivirus ne fonctionneront plus ?

Ben, je te cite le post de chef du 18 Mars 2014 9:10 en réponse à cette question dans ce fil http://forum.malekal.com/fin-support-wi ... 44-15.html :

« alors que déjà même avec les antivirus et les correctifs et les mises a jour de sécurité y a des infections (ect...) alors tu pense bien que sans correctifs sa va être la (fête).
donc quand les antivirus disent , on vous protégera , il me fond bien rire !! »


PS : j'ai KAV qui déclare assurer la protection de XP jusqu'en 2018.

[Malekal_morte]

il n'a pas écrit que les antivirus ne fonctionneront plus.
Tu pourras toujours installer Avast! 9 par exemple.

[etiab]

S'ils fonctionneront sans protéger, comme l'affirme chef, à quoi serviront-ils ?

Euh, ça fait deux fois que tu mentionnes Avast! dans ce fil : tu le préfères à KAV ?

Merci.

[SkyTech]

Bonjour,

S'ils fonctionneront sans protéger, comme l'affirme chef, à quoi serviront-ils ?

Les éditeurs antivirus comme toujours prônent leur logiciel comme la solution miracle (99 % de détection ), alors que déjà en temps normal avec un Windows maintenu à jour, ils en laissent passés, ça ne pourra pas être mieux après la fin des mises à jour de Windows XP, voilà le sens de la remarque du chef ;)