Informatique de l'espace ENAC-IT1
  Accès réseau - Sécurité Windows
french only EPFL > ENAC > ENAC-IT1 > Accès réseau > Page courante

Sécurité des machines sous Windows

AVERTISSEMENT : cette page, relativement ancienne, sera prochainement mise à jour !

1. Introduction

Qu'il s'agisse d'ordinateurs de l'Ecole ou d'ordinateurs privés (PCs des collaborateurs et étudiants), lorsqu'on les raccorde au réseau de l'Ecole ou à Internet il est très important de veiller à ce que les mesures de sécurité de base soient appliquées, faute de quoi leurs utilisateurs encourent de gros risques (virus ou vers, dysfonctionnements, intrusion sur la machine, perte ou vol de données...).

Cette page Web décrit les mesures de sécurité de base relatives aux machines sous Windows.

2. Mesures de sécurité de base

2.1 Mesures générales

La sécurité informatique étant un domaine très vaste faisant l'objet d'ouvrages entiers, nous nous attachons ci-dessous à rappeler les mesures de sécurité essentielles (le "B-A-BA" de la sécurité informatique) qui devraient être prises par tout détenteur d'ordinateur.

a) Mesures globales

  1. se préparer pour le pire: faire régulièrement des copies de sécurité (backup) de ses données (sur plusieurs supports indépendants, stockés dans des lieux séparés...)
  2. disposer d'un logiciel anti-virus, périodiquement mis à jour (voir chapitre dédié ci-dessous)
  3. le cas échéant, disposer d'un logiciel anti-spywares, et ne pas utiliser d'applications particulièrement sensibles aux spywares (applications d'échange P2P, applications autorisant les ActiveX tel que Internet Explorer...)
  4. pour se prémunir contre les failles de sécurité sans cesse découvertes, disposer toujours de la dernière version de "service pack" et appliquer régulièrement les derniers "patches de sécurité" ("hot-fixes") relatifs au système d'exploitation, aux applications Internet (navigateurs Web, clients Email...) et aux logiciels d'application (voir chapitre dédié ci-dessous)
  5. se méfier à priori de toutes les sources informatiques externes : clé USB, disquettes et CDs de programmes ou données, réseau...
  6. "connaître" tout ce qui tourne sur votre machine, être au courant de tout ce qui est installé (ne pas se laisser installer par quelqu'un d'autre un logiciel que vous ne connaissez pas, dont vous n'avez pas besoin...)
  7. éteindre sa machine lorsque l'on ne l'utilise pas
b) Comptes et mots de passe
  1. renommer le compte "Administrateur" ("Administrator" dans les versions anglaises de Windows) en un autre nom
  2. désactiver le compte "Invité" ("Guest" dans les versions anglaises de Windows)
  3. veiller à ce que tous les comptes de votre machine aient des mots de passe difficile à deviner/cracker (pas de noms propres ou de mot de dictionnaires ; utiliser des mots de passe de plus de 8 caractères formés d'un mélange de caractères majuscule, minuscule et spéciaux...)
  4. veiller de même à ce que les dossiers partagés de votre machine soient protégés par des mots de passe robustes
  5. ne pas laisser le système d'exploitation Windows ou les applications (Internet...) mémoriser les mots de passe
c) Précautions par rapport aux fichiers
  1. concernant l'Explorateur Windows (sous Outils>Options des dossiers, puis onglet "Affichage"), ne pas laisser activée l'option "cacher les extensions des fichiers dont le type est connu" (pour être en mesure de détecter visuellement les virus et "chevaux de Troie" qui se déguisent souvent sous des extensions doubles de type "lisez-moi.txt.exe")
  2. configurer les progiciels (notamment votre traitement de texte, tableur, logiciel de présentation) de façon qu'ils n'exécutent pas automatiquement, à l'ouverture des documents, les macros qu'ils pourraient contenir
  3. sous Windows NT/2000/XP, faire en sorte que les partitions-disque soient formatées en NTFS (et non pas en FAT ou FAT32 qui offrent moins de robustesse et de sécurité)
d) Précautions par rapport au réseau et à Internet
  1. ne jamais exécuter aveuglément les annexes reçues par Email ou autres fichiers téléchargés via Internet ; se méfier de tout ce que l'on reçoit (même de personnes connues !)
  2. configurer les applications Email et de forums News de façon qu'elles ne fassent pas usage de plugins et n'affichent pas les images distantes ; idéalement, n'envoyer et afficher les messages Email et articles News qu'en mode texte
  3. désactiver tous les services inutiles (p.ex. serveur FTP, serveur Web...)
  4. si vous disposez, à votre domicile, d'une connexion Internet permanente à haut débit (téléréseau, ADSL...), mettre en oeuvre une protection de type FireWall (pare-feu) :
    • cette fonction peut être intégrée au système d'exploitation de la machine (tel que le pare-feu de Windows XP qui est apparu avec le Service Pack 2, hélas seulement unidirectionnel c'est-à-dire ne protégeant que les connexions entrantes) ou un logiciel pare-feu spécifique (gratuit tel que le remarquable ZoneAlarm, ou payant...)
    • l'usage d'un routeur peut également vous protéger d'attaques extérieures : la plupart des routeurs ADSL, notamment, implémentent soit un mécanisme de "translation d'adresse" (NAT, rendant l'adresse IP de la machine inaccessible de l'extérieur), soit de vraies fonctionnalités de type firewall
  5. ne vous connectez en WiFi qu'en mode sécurisé (logiciel VPN, ou cryptage WEP/WPA...)
  6. si vous disposez à votre domicile de votre point d'accès WiFi (hotspot), sécurisez-le :
    • changez le mot de passe d'administration
    • définissez un SSID, et masquez sa diffusion
    • activez encryptage WEP/WPA
    • activez contrôle d'accès par MAC-adresses...
Et tenez-vous régulièrement informé sur les questions relatives à la sécurité informatique (revenez fréquemment sur cette page, consultez les liens cités plus bas...)

2.2 Services packs

Dans le jargon Microsoft, le terme de "service pack" (SP) désigne une mise à jour intermédiaire destinée à corriger plusieurs problèmes logiciels (dysfonctionnements, failles de sécurité...), donc le regroupement de plusieurs correctifs dans une seule mise à jour. Diffusés gratuitement et de façon périodique (1 à 3 fois par an en ce qui concerne Windows), les services packs sont en outre utilisés par Microsoft pour implémenter de nouvelles fonctionnalités dans l'attente de la prochaine révision majeure du produit.

Les services packs sont spécifiques aux différentes versions de Windows (NT4, 2000, XP...) et langues (français, anglais...). Un service pack intègre les correctifs de tous les services packs précédents, ainsi que les patches (hot-fixes) publiés depuis le dernier service-pack. Relativement volumineux (plus de 100 MB), les services packs peuvent être installés de différentes manières :

Le tableau ci-dessous indique, en date de ce document, le niveau de service pack qu'il faudrait disposer sur sa machine, ainsi que le serveur intranet EPFL à partir duquel on peut procéder à l'installation. Pour connaître le niveau de service pack Windows couramment installé sur votre machine, passez la commande winver (par exemple à partir de Démarrer > Exécuter).

Win NT4 SP6a français : \\ntline\winnt\fixes\winnt400\frn\40.sp6a
anglais : \\ntline\winnt\fixes\winnt400\usa\ussp6a
Win 2000
(workstation ou pro)
SP4 français : \\ntline\winnt\fixes\win2000\fr\sp4 ou \\olympe\ntline2\fixes\Windows2000\FR\SP4
anglais : \\ntline\winnt\fixes\win2000\usa\sp4 ou \\olympe\ntline2\fixes\Windows2000\En\Sp4
Win XP
(home ou pro)
SP2 français : \\olympe\ntline2\fixes\WindowsXP\FR\SP2
anglais : \\olympe\ntline2\fixes\WindowsXP\EN\SP2

2.3 Patches de sécurité Windows

Les "patches" ou "hot-fixes" sont des correctifs destinés à corriger un problème à la fois (par opposition aux service packs qui regroupent plusieurs patches). Comme pour les services packs, les patches sont spécifiques selon la version et la langue du logiciel auquel ils s'adressent. Lorsqu'un nouveau service pack est publié par Microsoft, celui-ci intègre en principe tous les hot-fixes qui sont sortis depuis le dernier service pack.

Les patches les plus importants qu'il faudrait installer sans tarder, dès leur diffusion par Microsoft, sont les "patches de sécurité ", destinés à corriger des "failles de sécurité" critiques mises à jour par Microsoft. Bien que l'on puisse télécharger les patches et les installer manuellement un à un (opération fastidieuse car nécessitant de redémarrer la machine après chaque patch), la technique la plus simple pour "patcher" sa machine consiste à effectuer périodiquement (une fois toutes les 2 semaines environ) via Internet un "Windows Update". Il est aussi possible de configurer sa machine (c'est le cas par défaut dès le SP2 de Windows XP) de façon à exécuter Windows Update automatiquement dès que de nouveaux patches sont disponibles... pour autant que vous disposiez d'une liaison Internet permanente.

La procédure d'utilisation manuelle de Windows Update est la suivante :

  1. la machine devrait idéalement être raccordée à Internet via une liaison à haut débit (sur le réseau de l'EPFL, ou via ADSL, téléréseau, WiFi...)
  2. depuis le menu Démarrer, lancez Windows Update (si vous ne trouvez pas cette rubrique, depuis Internet Explorer seulement allez sur www.windowsupdate.com)
  3. puis cliquez sur la rubrique "Sélectionner les mises à jour à installer", puis "Mises à jour critiques et services packs", puis "Examiner les mises à jour et les installer", et finalement sur le bouton [Installer maintenant]
  4. Windows Update se basant sur Internet Explorer (lui-même bourré de failles de sécurité !), il est possible qu'Internet Explorer commence par se mettre à mettre à jour lui-même... ce qui provoquera un redémarrage de la machine avant que vous puissiez continuer et terminer la procédure Windows Update...
    Effectuez donc les opérations 2 et 3 tant que Windows Update vous signale qu'il y a des patches critiques à installer.

Si vous n'aimez pas Windows Update (on peut ne pas vouloir remettre complètement sa machine dans les mains de Microsoft... même si c'est en fait déjà le cas par le simple fait d'avoir choisi Windows), il n'est bien sûr pas nécessaire de lancer les autres mises à jour Windows Update (de niveau "Windows" et "Pilotes"...) ; contentez-vous alors des "mises à jour critiques" ; dans le même ordre d'idée, n'activez pas la fonction de lancement automatique de Windows Update pour éviter que des mises à jour se fassent à votre insu.

Pour vérifier quels patches ont été installés par Windows Update :

Depuis 2006, il est possible d'opter pour l'outil Microsoft Update, plus global que Windows Update puisqu'il met non seulement à jour le système d'exploitation mais aussi les applications Microsoft.

2.4 Logiciel anti-virus

Les virus informatiques sont de plus en plus nuisibles et utilisent des modes de propagation très variés (annexes Email, failles de sécurité au niveaux système d'exploitation et applications Internet (navigateur Web, logiciel de messagerie...), supports d'échange, etc...) et il est aujourd'hui vital de disposer d'un logiciel anti-virus sur toutes les machines.

Il existe divers logiciels anti-virus gratuits pour Windows, mais l'EPFL dispose de licences pour le produit McAfee VirusScan (de la société Network Associates) pour les machines de l'Ecole ainsi que pour les machines privées des collaborateurs et des étudiants :

  1. en ce qui concerne les machines appartenant à l'EPFL, installez McAfee via l'agent ePO (ePolicy Orchestrator) en suivant ce lien : cet agent procédera automatiquement à l'installation du logiciel VirusScan et à sa configuration de façon que les signatures de virus soient périodiquement mises à jour sans intervention de l'utilisateur

  2. en ce qui concerne les machines privées des collaborateurs et des étudiants, il n'est pas autorisé de procéder au même type d'installation que pour les machines de l'Ecole (agent ePO) ; dans ce cas, il s'agit d'utiliser la version McAfee VirusScan Home téléchargeable depuis cette adresse (où l'on trouve aussi les logiciels McAfee Desktop Firewall pour Windows, et McAfee Virex 7.5 pour MacOS X)

  3. en ce qui concerne les machines acquises dans le cadre du projet POSEIDON, on utilisera le logiciel anti-virus inclu d'office dans la distribution logicielle POSEIDON
Rappelons que tout logiciel anti-virus, quel qu'il soit, devient rapidement inefficace s'il n'est pas fréquemment mis à jour (fichiers de signatures de virus, scan engine...).

En cas d'infection, utilisez l'utilitaire gratuit Stinger de Network Associates qui est en mesure de décontaminer votre machine des vers ou virus les plus récents. La version la plus récente de Stinger peut être téléchargée en suivant ce lien de Network Associates (ou celui-ci pour l'EPFL).

2.5 Sécurité des applications

Il est également important d'installer les patches de sécurité des applications, lorsqu'ils sont disponibles, ou des versions récentes de ces applications. En ce qui concerne Microsoft Office par exemple, on fera usage de Office Update (dès Office 2000) pour tenir à jour cet environnement, ou de Microsoft Update (successeur de Windows Update).

Depuis 2005, la tendance est aussi à la mise à jour des applications critiques (notamment outils Internet) par elles-même (ex: Firefox, Flash, media players...).

Pour gérer un groupe de machines, il existe aussi des outils tierce partie (p.ex. Shavlik HFNetCheck Pro...), comme c'est le cas sous Linux ("up2date" pour Red Hat Enterprise Linux, "yum" pour Fedora...) et MacOS ("Software Update") !

2.6 Liens

Pour davantage d'information sur la sécurité informatique (plus détaillées, ou plus ciblées sur l'EPFL...), voyez en particulier :

3. Besoin d'aide ?

Si vous avez besoin d'aide ou d'explications complémentaires sur ce sujet, contactez en premier lieu le responsable informatique de votre unité. Si celui-ci n'est pas en mesure de vous aider ou que vous êtes étudiant SSIE, vous pouvez alors vous adresser au personnel du service ENAC-IT1.


[Network]    Rédacteur: Jean-Daniel Bonjour    Mise à jour: 23-07-2015    ©2003-2004 ENAC-IT1, EPFL