Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

[INFO]Un excellent bouquin sur la sécurité dans VISTA ...

0 views
Skip to first unread message

Jean-Claude BELLAMY

unread,
Feb 12, 2009, 4:06:35 AM2/12/09
to
Hello World !
Dans la série "J'ai lu pour vous ...", je viens de découvrir (aux MS
TechDays) et littéralement "dévorer" un ouvrage consacré à la sécurité sous
VISTA.
(NB: je tiens à préciser que c'est de la pub totalement gratuite, je n'ai
aucun intérêt chez l'éditeur et n'ai aucun lien avec l'auteur !)

Il s'intitule :
"La sécurité sous VISTA",
par Emmanuel DREUX (ancien ingénieur support chez MS)
Publié en février 2009 (c'est "tout chaud"!) aux éditions ENI
(www.editions-eni.com) , dans la collection "Expert IT"
ISBN 978-2-7460-4780-2
39 euros / 323 pages

Si j'en parle ici et suis autant enthousiaste, c'est parce que c'est un
ouvrage à la fois :
- complet
- sortant des sentiers battus
- très bien écrit, très clair
- très pédagogique
- illustré par des captures d'écran
- plein de références vers des outils et URL utiles
- reprend les "bases" de chaque concept (il n'est pas
nécessaire d'être déjà un expert!)

Il traite de tout ce qui concerne la sécurité :
- le pare-feu
- le réseau, avec une étude particulière de tout ce qui WIFI (WEP, WPA,
...)
- les comptes utilisateurs (SID, les "jetons", UAC, la virtualisation
,...)
- les comptes système (service local, service réseau, system)
- les contrôles d'accès (ACL, ACE, ..., "trustedInstaller",
"propriétaire",... )
- la sécurité dans IE
- EFS et Bitlocker
- ...

Personnellement, j'ai découvert des tas de choses, et compris CLAIREMENT
certains sujets qui étaient encore un peu "brumeux" dans mon esprit, ...

Par exemple :

- j'ai appris pourquoi dans le gestionnaire de tâches, onglet "Processus",
il y avait des processus (audiodg.exe) avec une ligne de commande totalement
vide (eh oui !!! un truc qui m'intriguait, mais dont je n'avais pas
l'explication)
C'est parce que "AUDIODG.EXE" est un processus PROTÉGÉ, conforme à la norme
AACS (Advanced Access Content System) qui permet (pour faire simple) de
restreindre l'accès aux contenus de DVD Blue-ray, et empêcher le piratage!
Pour cela, les logiciels autorisés (dont audiodg.exe) ne peuvent pas être
débugués, et d'autres applis ne peuvent pas accéder à leur mémoire
virtuelle.
Donc cela empêche (dans le cas d'un programme de lecture de DVD Blue-ray) de
trouver la clef de chiffrement !

- j'ai compris pourquoi il était impossible d'accéder (par défaut) à des
partages administratifs sur une machine distante sur laquelle tourne VISTA
(ou Seven) avec UAC activé : c'est par ce que le compte qui se connecte
reçoit de la machine distante un jeton "filtré" (=sans privilège) même si
c'est "Administrateur" avec le bon mot de passe! Cela interdit toute autre
requête réseau telle que "NetServerGetInfo" (pour récupérer des infos sur la
machine), démarrer un service à distance, ...

Pour pallier cela, il suffit d'ajouter une entrée dans
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\
(la clef où on trouve tous les paramètres de UAC, cf.
http://www.bellamyjc.org/fr/windowsvista.html#UAC)

Cette entrée (de type REG_DWORD) s'appelle "LocalAccountTokenFilerPolicy" et
il faut lui attribuer la valeur 1 pour pouvoir gérer à distance SANS
contrainte, avec un compte admin, une machine où UAC est activé.
Elle N'EXISTE PAS par défaut (il faut donc la créer)

Microsoft n'en parle pas dans le centre de sécurité de Vista (ni de Seven),
mais seulement dans ces articles de la KB :
http://support.microsoft.com/kb/947235
http://support.microsoft.com/kb/942817
http://support.microsoft.com/kb/951016
http://support.microsoft.com/kb/927832
http://support.microsoft.com/kb/947232

MS a du se rendre compte que c'était un problème sérieux, car un outil
correctif a été créé pour çà (il ajoute cette entrée dans la BDR)
C'est un fichier .MSI disponible ici :
http://go.microsoft.com/?linkid=9646956
Son nom est "AllowAdminShareAccessInAWorkgroupForWindows.msi" et fait 105 ko
(il s'installe immédiatement, il n'y a pas besoin de rebooter)

Merci pour votre attention !


--
May the Force be with You!
La Connaissance s'accroît quand on la partage
----------------------------------------------------------
Jean-Claude BELLAMY [MVP] - http://www.bellamyjc.org

Mysoft

unread,
Feb 12, 2009, 6:11:03 AM2/12/09
to
Bonjour,

Un gros merci pour toutes ces informations!

Bonne journée!

"Jean-Claude BELLAMY" <Jean-Clau...@wanadoo.fr> a écrit dans le
message de news: D8843FD4-EE52-431E...@microsoft.com...

Le Claude

unread,
Feb 12, 2009, 1:31:55 PM2/12/09
to
Salut JCB,

Merci de l'info, mais tu ne nous a pas dit si cette lecture t'avait
converti à l'UAC ?
MDR !
--
Amicalement, Claude.

Claude CHARNEAU MVP-Windows Desktop Experience.

La fé sens òbras, mòrta es.


"Jean-Claude BELLAMY" <Jean-Clau...@wanadoo.fr> a écrit dans le
message de news:D8843FD4-EE52-431E...@microsoft.com...

Jean-Claude BELLAMY

unread,
Feb 12, 2009, 2:21:07 PM2/12/09
to
"Le Claude" <Claude.Charn...@Wanadoo.fr> a écrit dans le message
de news:%230E3wAU...@TK2MSFTNGP04.phx.gbl...

> Salut JCB,
>
> Merci de l'info, mais tu ne nous a pas dit si cette lecture t'avait
> converti à l'UAC ?
> MDR !

;-)
Disons qu'au vu des clefs supplémentaires que j'ai pu découvrir, qui m'ont
renvoyé p.ex. vers l'outil de MS qui redonne un rôle "plein pot" à tout
admin distant, j'ai l'impression (mais c'est plus qu'une impression!) que MS
essaye de rendre l'UAC "buvable" !
J'ai pu discuter cet après midi avec l'auteur du bouquin dont je parle
(Emmanuel DREUX), quelqu'un de très sympa, mais je me suis souvenu que c'est
avec lui que je m'étais bien "accroché" au sujet de UAC quand il travaillait
chez MS !
Et il a reconnnu qu'il y avait eu des concetés de faites au départ ...

Maintenant je peux pleinement accéder à une babasse à distance en tant
qu'admin sans être bridé par UAC (alors qu'UAC est actif sur cette machine,
sous Vista ou sous Seven).

Un autre truc très facilitant le transit intestinal dans UAC, c'est le
"bureau sécurisé", à savoir un AUTRE bureau pour afficher la boite de
dialogue d'élévation de privilège. Or MS s'est rendu compte que c'était une
sacré conceté dans le cas d'assistance à distance, de bureau distant, ...
(et autres outils similaires de prise de main à distance tels VNC), car si
le "debuggueur" distant a besoin d'une élévation de privilèges, il ne VOIT
PAS cette boite de dialogue, donc il faut que LOCALEMENT, sur la machine
distante, quelqu'un soit présent et capable de cliquer dessus!
Donc il a été prévu de supprimer ce bureau sécurisé quand on lance une
session d'assistance à distance , ...
On voit donc que petit à petit la "forteresse" UAC est amenée à s'assouplir
! ;-)

Et çà je ne peux que m'en réjouir ...

LSteph

unread,
Feb 12, 2009, 4:08:43 PM2/12/09
to
Bonsoir,

Merci de nous faire partager cela.
Pour de "nouveaux ou plus ou moins" utilisateurs de Vista voilà qui est
au coeur de nos préoccupations
l'Uac comment je la gère, j'aimerais bénéficier de ses avantages mais
pas être enquiquiné avec ses sempiternelles questions de savoir si
c'est vraiment moi qui veut vraiment faire ce que je veux faire.

..
entre autres..
.. je cite ce point qui est de premier ordre mais il y en aurait d'autres.
Demain je cours me procurer cet ouvrage.

--
lSteph

Jean-Claude BELLAMY a écrit :

MCI (ex do ré Mi chel la si do) [MVP]

unread,
Feb 12, 2009, 7:21:51 PM2/12/09
to
Bonsoir !

Si on parle littérature, et si vous avez l'esprit solide, je vous
conseille cet(te) auteur :
http://www.chloedelaume.net/bio
Bon, c'est vrai, ce n'est pas le même genre de lecture que Jean-Claude
vous a proposé. Mais, ça titille aussi le cervelet...

@-salutations
--
Michel Claveau


Lognoul Marc [MVP]

unread,
Feb 13, 2009, 1:45:28 AM2/13/09
to
Bonjour JC,

Pour une fois (?) je suis d'accord à 99% avec toi et étant donné le style
d'écriture, je comprends que tu y accroches ;)
Ce rtype de livre est beaucoup trop rare en version francophone.

Juste deux commentaires sur ton post, pas sur le livre:

> - j'ai appris pourquoi dans le gestionnaire de tâches, onglet
> "Processus", il y avait des processus (audiodg.exe) avec une ligne de
> commande totalement vide (eh oui !!! un truc qui m'intriguait, mais dont
> je n'avais pas l'explication)
> C'est parce que "AUDIODG.EXE" est un processus PROTÉGÉ, conforme à la
> norme AACS (Advanced Access Content System) qui permet (pour faire simple)
> de restreindre l'accès aux contenus de DVD Blue-ray, et empêcher le
> piratage!
> Pour cela, les logiciels autorisés (dont audiodg.exe) ne peuvent pas être
> débugués, et d'autres applis ne peuvent pas accéder à leur mémoire
> virtuelle.
> Donc cela empêche (dans le cas d'un programme de lecture de DVD Blue-ray)
> de trouver la clef de chiffrement !

Ce procédé étaiet déjà diffusé publiquement en 2007 sur Technet: voici la
version fracophone:
http://technet.microsoft.com/fr-fr/magazine/2007.04.vistakernel.aspx, voir
le petit encadré à droite sur fond bleu.

Ayant rencontré ce problème avant qu'il ne soit documenté sous forme de KB,
je pense avoir trouvé la solution dans le PSDK à cette époque.
OK, j'accepte la critique que le PSDK, ce n'est pas pour le commun des
mortels ;)

--
Marc [MCSE, MCTS, MVP]
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]

0 new messages