Ceci est mon premier message sur ce forum, j'ai décidé de le poster dans la catégorie optimisation même si plusieurs questions sont relative à la sécurité ainsi qu'au réseau parce-que les manipulations effectuées ont pour principal but l'optimisation de mon système récemment installé.
Petit disclamer : Je ne suis pas vraiment habitué à utiliser Windows ayant passé beaucoup de temps sous Archlinux/FreeBSD. Ce thread va être assez long, je part du principe qu'il vaux mieux poser toutes mes questions au même endroit plutôt que créer 15 threads.
Venant du monde Linux/BSD j'ai l'impression qu'il y a énormément de features activées par défaut et j'aimerais bien optimiser tout ça.
Mon PC n'étant pas tout jeune, j'ai installé Windows 10 Home N activé via MS toolkit. Les fonctionnalités de la version Pro me semblaient inutiles, j'essaye depuis de l'optimiser/sécuriser au maximum.
Pour information niveau hardware c'est :
Code : Tout sélectionner
Processor: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz, 3000 Mhz, 2 Core(s), 2 Logical Processor(s)
RAM: 4.00GB
GPU: NVIDIA Quadro FX 1700 (512Mo VRAM)
DISPLAY: DualScreen 1920*1080+1280*1024
-- Disk List ---------------------------------------------------------------
(1) SAMSUNG HD161HJ 41R0186LEN : 160,0 GB ||| 7200 RPM ||| ( C:\ ) USED BY WINDOWS
(2) ST3250820AS : 250,0 GB ||| 7200 RPM ||| DATA
(3) WDC WD2500AAKX-08U6AA0 : 250,0 GB ||| 7200 RPM !!! SMART ERRORS !!!
Ce que j'ai fait pour le moment :
- Désactivation de plusieurs services, j'ai utilisé le script de Black Viper avec les settings "tweaked" ( dispo içi sur github )
- Utilisation du gestionnaire de packet chocolatey pour toutes les applications qui ne s'updatent pas automatiquement histoire de tout garder à jour.
- Optimisations de base genre Cortana/Location/People/Onedrive/Relevant Adds/AutoPlay OFF, tous les trucs dans Privacy OFF, pas de speech recognition, changement des serveurs DNS, ... ( tout ce qui se désactive/configure facilement via le truc de configuration basique de windows )
- Les visual effects au minimum.
J'ai quelques questions concernant d'autres optimisations, n'étant pas très à l'aise sous Windows je préfère demander avant de faire n'importe quoi, je link quelques screenshots pour clarifier si besoin :
- Puis-je me permettre d’exécuter quotidiennement des applications situées dans le dossier AppData de l'administrateur depuis un compte utilisateur sans soucis ?
- Puis-je désactiver la feature "Remote Differential Compression API Support" ? Je ne vois pas vraiment quelle application pourrait s'en servir.
- Puis-je désactiver LLDP & QoS dans les options ethernet ? J'ai déjà désactiver tout le reste sauf IPv4 pour réduire la surface d'attaque au minimum sans problèmes ( Pour info, non je n'ai pas besoin de communiquer avec ou ni même de voir d'autres appareils sur mon réseau local avec l'explorer windows ).
- Tant que nous sommes dans les propriétés ethernet, dans IPv4 j’imagine pouvoir désactiver Netbios over TCP/IP ? ( Netbios est déjà actif de toutes façons et le désactiver içi devrais limiter son traffic au réseau local d'après ce que j'ai compris ).
- Dans les périphériques cachés du gestionnaire de périphériques, désactiver "Remote Desktop Device Enumerator" ne devrais pas poser de soucis ? ( J'ai déjà désactivé la Remote Assistance içi ).
- Puis-je complètement désactiver le protocole IGMP ? ( je suis en connexion directe a mon routeur via ethernet ) Le faisant de cette manière :
Code : Tout sélectionner
Netsh interface ipv4 set global mldlevel=none - La feature "Distributed COM" est active par défault, d'après ce que je comprends c'est utile uniquement pour administrer des machines sur des grands réseaux. Je n'ai pas vraiment compris si la désactiver peux poser problème, microsoft nous dis que si je la désactive :
Le "WMI" et la partie sur les certificats me fait douter sur son utilité globale. Toujours est-il que j'aimerai bien la désactiver, ça n'as pas l'air utile et le faire réduirait la surface d'attaque.-Any COM objects that can be started remotely may not function correctly.
-The local COM+ snap-in will not be able to connect to remote servers to enumerate their COM+ catalog.
-Certificate auto-enrollment may not function correctly.
-Windows Management Instrumentation (WMI) queries against remote servers may not function correctly. - Utilisez vous la feature Data Execution Prevention sur tout vos programmes ? Je me dis que c'est un plus pour la sécurité mais d'un autre côté je recherche aussi la performance. ( Pour info j'utilise l'antivirus de base inclus dans Windows, j'ai plutôt conscience des différents modes d'infections possibles, j'ai un nombre assez limité de programmes installés, je ne me promène pas sur des sites douteux, si je le fait c'est depuis un LiveUSB ou une autre machine que je considère beaucoup plus sécurisée et j'utilise NoScript dans Firefox ). Si oui est-ce que cela impacte les performances ?
- Question con sans doutes mais est-ce que ce genre de modifications sont a refaire une fois que je change d'utilisateur ? J'ai remarqué que c'était le cas pour certaines options.
N'ayant pas utilisé Windows depuis XP, j'ai souvenir d'un OS régulièrement infecté par des virus et autres saloperies, jusqu’où faut-il sécuriser windows 10 ? Mon usage étant principalement constitué de navigation internet ( Firefox+NoScript ), d'un jeu ( League of Legends ), et de programmation ( l’exécution/compilation se faisant sur une autre machine ). Je garde le nombre d'applications installées au minimum.
- Utiliser Firefox en mode "Low Integrity" et lui interdire l'accès a mes documents et autres dossiers est-il nécessaire ?
- J'imagine pouvoir me passer de la création de règles spéciales pour les droit d'accès des utilisateurs et des différentes modifications comme bloquer les interfaces internet quand l'administrateur se connecte, ce genre de choses.
- Sandboxer certaines applications me semble superflu par rapport à l'usage que j'ai de ce PC.
- J'ai quand même augmenté la taille des logs histoire de ne pas rater une intrusion, et j'ai créer une "Custom View" dans l'Event Viewer histoire de rendre la détection d'un possible problème plus facile.
- Je n'ai pas encore pris le temps de configurer le firewall, conseillez vous une configuration avancée avec outbound blocking on, des règles modifiées ainsi que la désactivation d'UPnP ?
Je recherche avant tout les performances ( vieux PC ) ainsi que la facilitée d'utilisation, mais je ne veux pas non plus prendre la sécurité de mon système à la légère. Je privilégie les applications légères & opensource.
Voilà, je suis conscient que ça fait beaucoup de questions, merci d'avoir pris le temps de me lire ! N'hésitez pas si vous avez des suggestions.
