Sécurisation de Windows

Vous venez d'installer Windows 10 ou vous l'avez déjà de base, voici quelques astuces pour le préserver au maximum des problèmes venant de l'extérieur

Attention, si vous venez d'installer Windows 10, vérifiez que tous les drivers sont bien installés.

Pour cela, appuyez simultanément sur la touche Windows + R
Tapez dans la fenêtre qui apparait devmgmt.msc.

Une nouvelle fenêtre va s'ouvrir, vérifier qu'aucun périphérique n'a de petite icône de type panneau jaune attention avec un point d'exclamation dedans, sinon c'est qu'il manque des drivers.

Pour remédier à cela, téléchargez les drivers manquants pour Windows 10 sur le site du constructeur de votre ordinateur. souvent les grands constructeurs t-elles que DELL et HP mettent à disposition des outils qui téléchargent tous les drivers pour votre ordinateur automatiquement

Pour retrouver le périphérique qui n'a pas de drivers :

  • Pour savoir de quel périphérique il s'agit, faite un clic droit sur le périphérique qui a l'icône avec le panneau, puis cliquez sur propriété
  • Une nouvelle fenêtre apparait, dans les onglets sur le haut de la fenêtre, allez dans Détails, en dessous de propriété, cliquez sur la liste déroulante et choisissez chemin d'accès à l'instance du périphérique.
  • Faite un clic droit sur la valeur PCI\ puis copiez, collez cela sur internet et vous aurez des résultats
  • Si vous ne trouvez rien, ne laissez que la valeur VEN et DEV, les séparations se font par des &

    Exemple : PCI\VEN_8086&DEV_100E&SUBSYS_001E8086&REV_02.......... (ne garder que la partie en gras)

Vous avez déjà créé votre compte et vous êtes sur le bureau. Mettez à jour Windows 10, si vous ne savez pas comment faire ? mettre à jour Windows 10

Déverrouillage du compte administrateur et suppression des droits administrateur de votre compte

Avoir les droits administrateur ne peut que vous desservir, en les enlevant vous allez pouvoir choisir lorsqu'une application a besoin d'une élévation de droit et de refuser si cela ne vous semble pas normal

Le but :

  • Vous sensibilisez sur la sécurité, car vous serez averti, mais aussi il faudra entrer le mot de passe administrateur pour autoriser l'élévation de privilège. Donc si vous le faites c'est que vous êtes certain de vouloir autoriser cette élévation de privilège.
  • Ne plus avoir de programmes indésirables qui élèvent leurs droits sans avoir votre consentement (virus, spyware, etc.)

Vous ne savez pas si vous devez donner ou non les droits à une élévation de privilège. Faite comme suit.

Une élévation de droit apparait juste après une manipulation de votre part. Analyser l'exécutable qui essaie de se lancer. Si vous êtes hésitant ou avez peur de mal faire, refuser.

  • Refuser vous permettra de voir si vous aviez ou non besoin de cette élévation de privilège, car si vous étiez en train de faire quelque chose et que le refus bloque votre manipulation, c'est forcément qu'il fallait accepter. Si vous avez une erreur ou que la manipulation que vous avez faite ne fonctionne pas, refaites-la. vérifier encore l'exécutable, si c'est le même que précédemment alors acceptez

    Vaut mieux refuser puis accepter qu'accepter et se tromper, car dans ce sens impossible de revenir en arrière. Vous avez peut être vérolé votre ordinateur
    Quand vous allez installer des programmes, il faudra forcément accepter l'élévation de privilège pour que l'application puisse s'installer correctement.
    Pour cela télécharger les applications uniquement sur les sites des éditeurs.

Certains éditeurs proposent aussi de vérifier le checksum de l'exécutable, via un checksum (code) fourni avec l'exécutable. Ainsi vous pourrez vérifier si l'exécutable téléchargé est bien celui de l'éditeur. Tapez sur votre moteur de rechercher : vérifier intégrité logiciel

Pour activer le compte administrateur et vous enlever les droits administrateurs, entrez les commandes suivantes :

Appuyer simultanément sur la touche Windows + R, une fenêtre va s'ouvrir, taper cmd puis appuyer sur la touche entrée du clavier

  • Tapez net user Administrateur *
  • Entrez le mot de passe qui vous servira pour avoir les droits administrateur
  • Entrez une seconde fois le mot de passe choisie pour valider
  • Tapez net user Administrateur /active:yes pour activer le compte administrateur
  • Tapez echo %username% le nom qui s'affiche sera à entrée à la place de VOTREUSER dans les lignes suivantes
  • Tapez net localgroup Administrateurs VOTREUSER /delete Remplacer VOTREUSER par l'utilisateur récupérez au-dessus
  • Tapez net localgroup Utilisateurs VOTREUSER /add pour ajouter votre utilisateur dans le groupe utilisateurs
  • Tapez net localgroup Utilisateurs et vérifier que votre utilisateur est bien dans la liste qui s'affiche
    Redémarrer l'ordinateur
    Bonne nouvelle, vous n'êtes plus Administrateur.

N'ouvrez jamais la session Administrateur, ouvrez votre session comme d'habitude et ne perdez pas le mot de passe de la session Administrateur, il servira pour l'installation et le lancement d'application en Administrateur.

Voici le type de fenêtre qui demande les accès administrateur

Demande de droit

  • Le programme qui souhaite avoir les droits est affiché en haut (dans notre cas c'est Windows Powershell)
  • En dessous l'éditeur est indiqué comme vérifié, c'est Microsoft (le fait qu'il soit vérifié est utile, mais tous ne le sont pas)
  • En bas, il demande les droits du compte Administrateurs pour se lancer
  • Avec tous ces éléments, vous devez savoir si vous pouvez entrer le mot de passe est validé pour que le programme s'exécute en Administrateur

    Comme indiqué plus haut, si vous n'êtes pas sûr, refusé. Si cela vous bloque, relancez votre manipulation et entrez le mot de passe puis validez.

Accéder à internet via un environnement protégé Sandbox (Windows 10 uniquement)

Nous allons installer l'outil de Windows Sandbox, cet outil permet de créer un environnement virtuel séparé de vos systèmes qui se réinitialise dès que vous le fermez
L'intérêt d'un tel outil peut servir à deux choses

  1. Aller sur internet en abaissant le niveau de risque
  2. Tester l'installation de programmes téléchargés pour vérifier leur fiabilité

Une fois la sandbox mis en place, je recommande vivement d'accéder à internet uniquement via ce logiciel.

Avant de l'installer, il va falloir activer dans le bios la virtualisation, vous pouvez rechercher sur internet comment faire, en général ça se trouve dans la partie CPU du BIOS

  • Pour AMD, ça se nomme SVM
  • Pour Intel c'est VTx

    Pour aller dans le bios, au démarrage de la machine, il faudra tapoter sur Echap ou Supr du clavier jusqu'à l'apparition du BIOS (ça peut aussi être d'autre touche, c'est indiqué en général au démarrage sur la partie basse de l'écran)
    Il faudra trouver le paramètre SVM pour AMD ou VTx pour les processeurs Intel et le mettre sur Enable.
    Une fois la virtualisation activée quittez en enregistrant

Nous allons installer l'outil sous Windows

  • Dans la barre de recherche tapez powershell
  • Vous allez avoir Windows Powershell qui va apparaitre sur la partie haute de la fenêtre
  • Faites un clic droit dessus, puis cliquez sur Exécuter en tant qu'administrateur

    Vérifiez bien que c'est powershell qui essaie de se lancer et que l'éditeur vérifié est bien Microsoft Windows.

  • Entrez le mot de passe administrateur puis validez
  • Tapez la commande suivante : Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
  • Une fois terminé, il vous demande si vous souhaitez redémarrer, appuyer sur la touche y puis la touche entrée du clavier
  • L'ordinateur va redémarrer
  • Pour lancer le programme, dans la barre de recherche, tapez sandbox
  • Vous allez avoir Windows Sandbox qui va apparaitre sur la partie haute de la fenêtre, cliquer dessus

Si au lancement de l'application vous avez le message suivant, c'est que la virtualisation du processeur n'a pas été activée

Aucun hyperviseur n'a été trouvé activez la prise en charge de l'hyperviseur

Error 0xc0351000. Aucun hyperviseur n'est présent sur ce système.

Aimeriez-vous soumettre vos commentaires sur ce problème ?

Le programme lancé, vous pouvez aller sur internet, télécharger et lancer des applications.
Attention, une fois le programme fermé, toutes les modifications effectuées à l'intérieur seront supprimées

Nous allons créer un fichier sur le bureau qui permettra de lancer sandbox avec un partage entre la sandbox et le système.
Cela permettra de récupérer les téléchargements effectués depuis la sandbox

Sur le bureau, effectuez les manipulations suivantes :

  • Tapez dans la barre de recherche notepad
  • Cliquez sur le logiciel Bloc-notes qui apparait en haut
  • Tapez ce qui suit dans le bloc-notes qui apparait
<Configuration> 
   <Networking>Enable</Networking>
   <MappedFolders>
      <MappedFolder>
         <HostFolder>C:\sandbox</HostFolder>
      </MappedFolder>
   </MappedFolders>
</Configuration>
  • Maintenant cliquez sur Fichier / Enregistrer sous
  • Dans la nouvelle fenêtre au dessus d'enregistrer, dans type vous avez fichier texte (*.txt), cliquez dessus et choisissez Tous les fichiers
  • Au-dessus dans Nom de fichier, indiqué sandbox.wsb
  • Choisissez le Bureau pour destination à gauche, cliquez sur Enregistrer
  • Vous avez une icône de sandbox qui s'affiche sur votre Bureau
  • Allez sur le disque C:\ avec l'exploreur et créer le dossier sandbox
  • Doublecliquez sur sandbox présent sur le bureau
  • Votre sandbox va s'ouvrir avec le partage qui vous permettra de transférer vos fichiers téléchargés depuis la sandbox vers votre ordinateur dans C:\sandbox

Petite astuce, sur le partage laissez juste un document texte, ainsi si vous lancez un ransomware, vous allez le remarquer rapidement, car votre fichier sera chiffré

Résumé : La sandbox a pour but de protéger votre ordinateur des menaces présentes sur internet. Vous avez deux possibilités qui s'offrent à vous.

  1. Accéder à internet uniquement via cet outil, et tester tous les programmes et fichiers téléchargés en les lançant/installant sur la sandbox pour être surs qu'il ne représente pas une menace pour votre système.
    • Avantage : Risque de menace grandement atténué
    • Inconvénient : Comme l'outil se réinitialise après chaque fermeture, vous perdrez à chaque fois vos marque-pages.
      • Vous pouvez remédier à cela en téléchargeant un navigateur portable Applications portables puis en le copiant sur le partage.
      • De temps en temps, faites une archive du navigateur sur le partage avec 7zip puis transféré là sur votre ordinateur (ne jamais extraire ou ouvrir le programme depuis votre ordinateur, il pourrait contenir des logiciels malveillants ou avoir été corrompu sans que vous le remarquiez)
      • Téléchargé et laisser sur le partage tous les outils portables nécessaires à la vérification des fichiers avant le transfert sur l'ordinateur. Suite office, lecteur PDF, etc.
  2. S'en servir pour le téléchargement des outils et l'installation afin de vérifier qu'ils soient sains
    • Avantage : Réduis les risques
    • Inconvénient : vous n'enlevez pas les risques liés à la navigation depuis votre système (hors de la sandbox)

Dans le second cas, vous pouvez aussi utiliser Microsoft Application Guard IT-Connect mettre en place application guard, cela vous permettra de sécuriser votre accès à internet

Je vous recommande de ne rien garder sur le partage (hors logiciel nécessaire à l'utilisation et un fichier texte inutile). Après avoir vérifié que le document ou le logiciel téléchargé est sain, transférez-le sur votre poste. Puis supprimer le dû partage.

Antivirus

Si votre ordinateur est dédié en partie ou complètement à une utilisation professionnelle, je vous recommande d'acheter un antivirus professionnel.
Ils ont plus d'options et n'envoient pas de données personnelles
Pour faire votre choix vous avez un site dédié à cela AV-test
Allez dans la rubrique pour les entreprises à droite
Votre analyse devra se porter sur la liste du site mais aussi sur vos besoins
Chaque antivirus a ses options et certaines options seront sûrement plus importantes à vos yeux que d'autres. Pour cela il faudra aller sur le site des antivirus et voir ce que propose leur version payante