Dernière mise
à jour : 11/01/2006
- N'autoriser l'accès
qu'à certains sites :
1) Dans Internet Explorer cliquez sur Outils/Options Internet...
puis l'onglet Contenu.
2) Cliquez sur le bouton Paramètres... puis l'onglet Sites
autorisés.
3) Dans la zone de texte Autoriser ce site Web, saisissez ceci
: *.*
4) Cliquez sur le bouton Jamais.
5) Entrez manuellement les adresses des sites que vous autorisez.
Par exemple : http://www.microapp.com.
6) Cliquez sur le bouton Toujours.
7) Cliquez sur l'onglet Général.
8) Décochez la case Les utilisateurs peuvent visiter les
sites sans contrôle d'accès.
Il est éventuellement plus simple de décocher la
case Le superviseur peut entrer un mot de passe pour permettre
aux utilisateurs de visualiser le contenu de pages à accès
limité.
9) Validez pour le reste...
Afin de revenir en arrière vous avez deux choix : Désactiver
le Gestionnaire d'accès ou cochez la case Les utilisateurs
peuvent visiter les sites sans contrôle d'accès.
Remarque : Les paramètres du Gestionnaire
d'accès par défaut est un fichier nommé Rsaci.rat
qui se trouve dans \Windows\system32.
- Bloquer sélectivement
votre trafic Internet en utilisant IPSec :
IPSec est un protocole destiné à fournir différents
services de sécurité. Si sa principale application
réside dans l'élaboration d'un réseau privé
virtuel, il permet également de fonctionner comme un pare-feu
de connexion Internet.
En voici un exemple d'utilisation simple : bloquer tout trafic
Internet tout en autorisant les échanges de données
en Intranet. Nous exposons la procédure sur un ordinateur
en local, mais il est bien entendu possible de déployer
ce type de stratégie dans un domaine.
1) Cliquez sur Démarrer/Exécuter puis saisissez
: gpedit.msc
Il vous est possible d'ajouter ce composant logiciel enfichable
dans une console MMC : Moniteur de sécurité IP.
2) Dans l'éditeur de stratégie de groupe, ouvrez
Configuration ordinateur/Paramètres Windows/Paramètres
de sécurité/Stratégie de sécurité
IP sur Ordinateur local.
3) Avec le bouton droit de la souris, cliquez sur ce conteneur
puis sur le sous-menu Gérer les listes de filtres d'adresses
IP et les actions de filtrage...
4) Cliquez sur le bouton Ajouter...
5) Dans la rubrique Description, saisissez ce que vous voulez
: HTTP, par exemple.
6) Cliquez sur les boutons Ajouter... puis Suivant.
7) Dans la liste déroulante Adresse source :, laissez le
choix par défaut (Mon adresse IP) puis cliquez sur le bouton
Suivant.
8) Dans la liste déroulante Adresse de destination :, sélectionnez
le choix Toute adresse IP puis cliquez sur le bouton Suivant.
9) Dans la liste déroulante Sélectionnez un type
de protocole :, sélectionnez TCP puis cliquez sur le bouton
Suivant.
10) Cochez le bouton radio Vers ce port et inscrivez le nombre
80 puis cliquez sur le bouton Suivant.
11) Cochez la case Modifier les propriétés puis
cliquez sur le bouton Terminer.
Il vous est aussi possible de bloquer les pages sécurisées
(HTPPS:) en spécifiant cette fois-ci, comme destination,
le port 443.
Afin d'autoriser le trafic Intranet, répétez la
même procédure, mais dans la liste déroulante
Adresse de destination : sélectionnez le choix Un nom DNS
spécifique ou une adresse IP spécifique. Il vous
suffira de saisir le nom du serveur, l'adresse IP ou la plage
d'adresse IP. Si vous optez pour le choix Un sous-réseau
spécifique, il vous faudra saisir l'adresse IP ainsi que
le masque de sous-réseau.
En bref, spécifiez toutes les actions de filtrage dont
vous avez besoin.
12) Cliquez sur l'onglet Gérer les actions de filtrage
puis sur les boutons Ajouter..., Suivant.
13) Saisissez un nom et une description pour votre action de filtrage
: Bloquer, par exemple, puis cliquez sur le bouton Suivant.
14) Cochez le bouton radio Refuser puis cliquez sur les boutons
Suivant et Terminer.
15) Avec le bouton droit de la souris, cliquez sur le conteneur
Stratégies de sécurité IP sur Ordinateur
local puis sur le sous-menu Créer une stratégie
de sécurité IP... et sur le bouton Suivant.
16) Là encore, saisissez un nom et une description qui
va définir au mieux votre stratégie, puis cliquez
sur le bouton Suivant.
17) Décochez la case Activer la règle de réponse
par défaut puis cliquez sur les boutons Suivant et Terminer.
18) Cochez éventuellement le bouton radio Toutes les connexions
réseau puis Suivant.
19) Cliquez sur les boutons Ajouter... et Suivant.
Dans le cas d'un ordinateur local, cochez le bouton radio Utiliser
un certificat émis par cette Autorité de certification
:, puis cliquez sur le bouton Parcourir...
Choisissez alors ce certificat : Microsoft Root Authority.
20) Dans la rubrique Listes de filtre IP :, cochez le bouton radio
qui correspond au filtre que vous avez créé puis
cliquez sur le bouton Suivant.
21) Dans la rubrique Actions de filtrage :, cochez le bouton radio
qui correspond à l'action de filtrage que vous avez créé
puis cliquez sur les boutons Suivant et Terminer.
22) Cliquez sur les boutons OK et Fermer.
La procédure est identique concernant votre règle
pour autoriser le trafic en Intranet.
Si vous retournez dans la fenêtre Stratégie de groupe,
votre stratégie est listée, mais, dans la colonne
Stratégies attribuée, il est indiqué qu'elle
n'est pas encore attribuée.
23) Avec le bouton droit de la souris, cliquez sur son nom puis
sur la commande Attribuer.
Faites un test en essayant de surfer sur Internet...
Avec Internet Explorer, vous aurez une fenêtre vous prévenant
qu'il est impossible d'afficher la page.
Avec Mozilla, il y a une boîte de dialogue vous annonçant
que la connexion est refusée lors de la tentative de contact
avec le site demandé.
Évidemment, vous avez normalement accès à
votre messagerie ainsi qu'à votre réseau en Intranet.
Si, avec le bouton droit de la souris, vous cliquez sur votre
stratégie puis sur la commande Supprimer l'attribution,
tout fonctionne à nouveau.
Afin d'exporter votre stratégie en vue d'implémenter
sur une autre machine, suivez cette procédure :
1) Avec le bouton droit de la souris, cliquez sur le conteneur
Stratégies de sécurité IP sur Ordinateur
local puis sur Toutes les tâches/Exporter des stratégies...
2) Dans la zone de texte Nom du fichier :, saisissez un nom évocateur
puis cliquez sur le bouton Enregistrer.
Un fichier avec l'extension .ipsec sera généré.
Il vous est possible de l'exporter ou de l'importer en utilisant
le mode d'interface graphique ou la commande Netsh à partir
de l'Invite de commandes :
1) Cliquez sur Démarrer/Exécuter puis saisissez
: cmd
2) En Invite de commandes, saisissez une de ces commandes :
* netsh ipsec static exportpolicy ..\ipsec_policy.ipsec
* netsh ipsec static importpolicy ..\ipsec_policy.ipsec
- Bloquer
des ports et des protocoles réseau spécifiques en
utilisant IPSec :
Signalons que ce paragraphe fait directement suite au précédent.
Le propos est d'appliquer une stratégie en se servant d'un
outil nommé Ipseccmd.exe et qui est disponible en installant
le "Windows XP Service Pack 2 Support Tools". Vous pouvez
le télécharger à partir de cette adresse
: http://www.microsoft.com/downloads/details.aspx?FamilyID=49ae8576-9bb9-4126-9761-ba8011fabf38&DisplayLang=en
Une fois le programme installé ("WindowsXP-KB838079-SupportTools-ENU.exe")
cliquez sur Démarrer/Tous les programmes/Windows Support
Tools/Command Prompt afin d'accèder directement à
l'Invite de commandes.
Signalons que certains types de trafic sont volontairement dispensés
de la protection d'IPSec, même lorsque la stratégie
IPSec spécifie que tout le trafic IP doit être sécurisé.
Les exceptions IPSec s'appliquent aux trafics Broadcast, Multicast,
RSVP, IKE et Kerberos.
Ipseccmd comporte trois modes : le mode dynamique, le mode statique
et le mode requête.
Le mode dynamique permet d'ajouter des règles présentes
même après le redémarrage des services IPSEC.
C'est le mode par défaut.
Vous pouvez utiliser le mode statique de Ipseccmd pour créer
des stratégies nommées ou pour modifier des stratégies
et des règles existantes, à condition qu'elles aient
été créées à l'origine avec
Ipseccmd.
Le mode requête permet d'afficher la base de données
des stratégies de sécurité IPSec.
Les syntaxes de ces trois modes sont disponibles en ouvrant le
"Support Help Tools" puis en faisant une recherche sur
cette expression : IPSeccmd. Cliquez ensuite sur le lien nommé
IPSeccmd.
Nous n'allons pas reproduire les explications concernant la syntaxe
mais simplement essayer de vous donner quelques exemples d'application...
Afin d'afficher les filtres et les stratégies pour l'ordinateur
local, saisissez :
ipseccmd show filters policies
Afin d'empêcher toute navigation sur Internet, saisissez
:
ipseccmd -x -w REG -p "HTTP80" -r "Blocage"
-n BLOCK -f *=*:80:TCP
-x : spécifie que c'est la stratégie de Registre
local qui sera assignée.
-w REG : spécifie que les stratégies et les règles
seront écrites dans le Registre local.
-p "HTTP80" : définit le nom de la stratégie.
-r "Blocage" : spécifie le nom de la règle.
-n BLOCK : permet d'indiquer les filtres d'autorisation et de
blocage. Le drapeau Block précise que tous les filtres
seront transformés en filtres de blocage.
-f *=*:80:TCP : spécification de filtre se composant d'un
ou plusieurs filtres séparés par des espaces et
définis par le format :
AdresseSource/MasqueSource:PortSource=AdresseDest/MasqueDest:PortDest:Protocole
Cette stratégie sera affichée dans l'éditeur
de stratégie de groupe en ouvrant cette arborescence :
Stratégie Ordinateur local/Configuration ordinateur/Paramètres
Windows/Paramètres de sécurité/Stratégies
de sécurité IP sur Ordinateur local.
Il ne vous sera pas possible de naviguer sur Internet mais cela
ne vous empêchera pas d'utiliser votre programme de messagerie.
Afin de supprimer cette stratégie, saisissez :
ipseccmd -w REG -p "HTTP80" -o
Un redémarrage semble parfois nécessaire...
Vous pouvez aussi la désactiver en saisissant :
ipseccmd -w REG -p "HTTP80" -y
Dans ce cas la stratégie présente dans l'éditeur
de stratégie de groupe sera indiquée comme étant
"non attribuée".
Afin de, par exemple, bloquer l'accès aux ports TCP 139
et 445, saisissez cette commande :
ipseccmd -x -w REG -p "NetBIOS" -r "Blocage"
-n BLOCK -f [*=*:139:TCP] [*=*:445:TCP]
- Gestion des mots de
passe et des formulaires dans Internet Explorer et Outlook Express
:
Il peut arriver que vous ayez ce type d'erreur : "Le mot
de passe que vous avez entré ne correspond pas à
celui stocké par Windows pour ce nom d'utilisateur. Voulez-vous
substituer le mot de passe que vous venez d'entrer à celui
stocké dans la saisie semi-automatique ?". Si vous
cliquez sur le bouton Non, vous obtiendrez un échec lors
de votre authentification. Il y a une manière simple de
résoudre le problème :
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
puis l'onglet Contenu.
2) Cliquez sur le bouton Saisie semi-automatique...
3) Cliquer sur le bouton Effacer les mots de passe.
La même remarque peut être faite si vous ne souhaitez
pas que votre nom d'utilisateur continue à être suggéré.
Il suffit alors de cliquer sur le bouton Effacer les formulaires.
Si cette procédure s'avère complètement inefficace,
procédez à cette modification dans le Registre :
1) Cliquez sur Démarrer/Exécuter puis saisissez
: regedit
2) Dans l'éditeur du registre Windows ouvrez : HKEY_CURRENT_USER\Software\Microsoft\Protected
Storage System Provider\S-1-5-21-1482476501-2111687655-854245398-1003.
Le nom de cette dernière clé peut varier d'un ordinateur
à l'autre.
3) Avec le bouton droit de la souris cliquez sur cette clé
puis sur la commande Autorisations...
4) Cliquez sur les boutons Ajouter.../Avancé... puis Rechercher.
5) Dans la colonne Nom(RDN), sélectionnez votre nom d'utilisateur
puis cliquez deux fois sur le bouton OK.
6) Cochez la case Contrôle total sous la colonne Autoriser.
L'utilisateur aura la possibilité de modifier cette arborescence
du Registre.
7) Cliquez sur OK puis appuyez sur la touche F5 du clavier afin
d'actualisation l'affichage du Registre.
En déroulant les arborescences, vous vous rendrez compte
que les mots de passe sont tous cryptés.
Ceux ayant trait à une session d'authentification sur un
site Web ou FTP se trouvent dans cette branche du Registre : HKEY_CURRENT_USER\Software\Microsoft\Protected
Storage System Provider\S-1-5-21-1482476501-2111687655-854245398-1003\Data\e161255a-37c3-11d2-bcaa-00c04fd929db\e161255a-37c3-11d2-bcaa-00c04fd929db.
En face de chaque clé, la valeur chaîne Display String
vous permet d'identifier l'emplacement des données cryptées.
Par exemple, mon nom d'utilisateur et mon mot de passe nécessaires
à l'ouverture du compte mail que je possède chez
"Laposte.net" sont stockés dans ces deux clés
:
* http://www.laposte.net:StringData
* http://www.laposte.net:StringIndex
8) Supprimez les clés visées.
Si maintenant je me reconnecte sur mon compte "Laposte.net",
j'aurai la boîte de dialogue suivante : "Voulez-vous
que Windows retienne ce mot de passe, de sorte que vous n'ayez
pas à l'entrer de nouveau à votre prochaine visite
de cette page.
Si vous cochez la case ne plus retenir aucun mot de passe supplémentaire,
cette boîte de dialogue n'apparaîtra plus. Cela correspond
à cette option :
1) Dans Internet Explorer, cliquez sur Outils/Options Internet...
puis l'onglet Contenu.
2) Cliquez sur le bouton Saisie semi-automatique...
3) Décochez la case Demander l'enregistrement des mots
de passe.
Les autres cases à cocher présentes dans la rubrique
Utiliser la saisie semi-automatique vous permettent d'affiner
le champ d'application de cette fonctionnalité. Si la fonctionnalité
de l'auto-complètion ne fonctionne pas, suivez cette démarche
:
1) Dans l'éditeur du Registre système ouvrez : HKEY_CURRENT_USER\Software\Microsoft\Protected
Storage System Provider\S-1-5-21-1482476501-2111687655-854245398-1003.
2) Dans le volet de droite, éditez une valeur DWORD nommée
Migrate.
3) Affectez-lui comme données de la valeur le chiffre 2.
Nous pouvons imaginer la manipulation suivante :
1) Dans Outlook Express, cliquez sur Fichier/Identités/Gérer
les identités...
2) Dans la rubrique Identités :, sélectionnez le
nom d'utilisateur puis cliquez sur le bouton Propriétés.
3) Cochez la case Exiger un mot de passe.
4) Renseignez le mot de passe puis essayez d'accéder à
cette identité.
Si tout se passe normalement vous devez saisir le mot de passe
protégeant maintenant votre identité.
Afin de supprimer ce mot de passe (en cas d'oubli malencontreux)
suivez ces étapes :
1) Dans l'éditeur du Registre ouvrez HKEY_CURRENT_USER\Software\Microsoft\Protected
Storage System Provider\S-1-5-21-1482476501-2111687655-854245398-1003\Data\89c39569-6841-11d2-9f59-0000f8085266\28c3744f-516c-4cad-bc0e-a92668fbe008.
La valeur chaîne Display String indique comme données
de la valeur ceci : Identities.
Il doit normalement y avoir différentes clés. Voici
la démarche à suivre pour localiser la bonne cible
:
1) Ouvrez HKEY_CURRENT_USER\Identities.
Il y a dans cette arborescence différentes clés
CLSID qui correspondent à chacune de vos identités.
La valeur chaîne Username vous permet de faire le lien entre
une identité et la clé CLSID correspondante.
2) Dans l'arborescence précédente supprimez la clé
qui correspond à celle de votre identité.
Par exemple, si j'ai trouvé cette clé CLSID : {A7BF05A6-6A16-462E-A900-0BCCF4DC3C57},
je supprimerai cette clé : HKEY_CURRENT_USER\Software\Microsoft\Protected
Storage System Provider\S-1-5-21-1482476501-2111687655-854245398-1003\Data\89c39569-6841-11d2-9f59-0000f8085266\A7BF05A6-6A16-462E-A900-0BCCF4DC3C57.
Si vous retournez dans Outlook Express et vous connectez sur cette
identité vous pourrez constater que le mot de passe n'est
plus demandé.
Il est peut-être préférable de remettre le
masque des permissions par défaut pour la clé HKEY_CURRENT_USER\Software\Microsoft\Protected
Storage System Provider\S-1-5-21-1482476501-2111687655-854245398-1003.
Astuces sur les mots
de passe
- Supprimer le mot de passe superviseur du Gestionnaire d'accès
Internet Explorer :
1) Cliquez sur Démarrer/Exécuter, puis saisissez
: regedit
2) Dans le Registre Windows, ouvrez HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Ratings.
3) Dans le volet de droite, supprimez une valeur binaire nommée
Key.
L'entrée sera automatiquement recréée à
la prochaine ouverture de session.
4) Redémarrez votre ordinateur, puis ouvrez Internet Explorer.
5) Cliquez sur Outils/Options Internet/Contenu, puis sur le bouton
Paramètres.
6) Sélectionnez l'onglet Général, puis cliquez
sur le bouton Créer un mot de passe.
7) Choisissez un nouveau mot de passe et validez pour le reste.
Éventuellement, désactivez le Gestionnaire d'accès
en indiquant votre nouveau mot de passe. Sinon, il vous suffit
de supprimer le fichier RATINGS.POL, qui est placé dans
\WINDOWS\system.
- Retrouver le mot de passe de votre connexion Internet
:
Dialupass v2.41 est téléchargeable à cette
adresse :
http://members.lycos.co.uk/nirsoft1. Décompressez l'archive
ZIP à l'emplacement de votre choix, puis double-cliquez
sur le fichier exécutable dialupass.exe. Les colonnes User
Name et Password indiqueront votre login et votre mot de passe
pour l'ensemble de vos connexions réseau à distance.
Pratique si vous avez égaré la documentation de
votre fournisseur d'accès Internet !
- Retrouver votre mot de passe d'accès à
certains sites :
AsterWin IE v1.02 ne fonctionne que si vous avez choisi de conserver
le mot de passe sur votre disque dur. Il est téléchargeable
à cette adresse :
http://members.lycos.co.uk/nirsoft1. Une fois l'archive ZIP
téléchargée et décompressée,
ouvrez la page web qui requiert une authentification. Entrez votre
login. Si le mot de passe est stocké sur votre disque dur,
il apparaîtra sous forme d'astérisques. Double-cliquez
alors sur le fichier asterie.exe, puis sur le bouton Show Internet
Explorer Passwords.
- Retrouver un mot de passe ICQ, Internet ou ZIP :
Il existe deux freewares permettant de récupérer
les mots de passe ICQ ou Internet, que vous pouvez télécharger
à partir de ces deux adresses :
www.lostpassword.com/messenger.htm et www.lostpassword.com/asterisk.htm.
Pour les fichiers .zip, vous pouvez vous servir d'un freeware
nommé ZIP password finder qui est téléchargeable
à cette adresse : www.astonsoft.com/products/zpf/features.
Sécuriser Internet
Explorer
- Effacer toutes traces laissées derrière vous :
Ce programme se charge de nettoyer tout ce qui a trait à
Internet Explorer mais il est également compatible avec
des navigateurs alternatifs comme "Avant Browser". CleanCache
se télécharge à partir de cette adresse :
www.majorgeeks.com/download4122.html.
Double-cliquez sur un fichier nommé Cleancache.exe afin
de lancer l'installation du programme.
Un autre programme du même éditeur vous permet d'exécuter
les mêmes actions que son frère jumeau si vous utilisez
un navigateur comme Mozilla/Netscape, Firefox et Opera. CleanMOCache
se télécharge à partir de cette adresse :
www.majorgeeks.com/download4232.html.
Double-cliquez sur un fichier nommé Cleanmocache.exe afin
de lancer l'installation du programme.
Il suffit de sélectionnez l'onglet de votre navigateur
puis de cocher les cases correspondant aux objets que vous souhaitez
supprimer et de cliquer sur le bouton Clean Checked Items.
Ces deux programmes sont dans leur genre les plus complets.
- Installer un logiciel de contrôle parental :
Si vos enfants accèdent se servent librement de votre machine
ou possède un ordinateur personnel il est nécessaire
de poser un certain nombre de limites afin de pouvoir contrôler
ce à quoi ils peuvent accéder et ce qui leur sera
interdit. "Kiddyweb Free edition" peut se télécharger
à partir de cette adresse : www.kiddyweb.net/telechargement.html.
Après le redémarrage de votre ordinateur définissez
un mot de passe pour les parents. Une icône viendra se placer
dans la zone de notification. Notez que la page de démarrage
sera automatiquement paramétrée sur le site web
de l'éditeur…Rien ne vous empêche de la modifier
à nouveau. Le profil d'utilisateur par défaut est
le profil "Enfants". Faisons maintenant un test simple
:
1) Dans un moteur de recherche saisissez cette expression : violence
Une boîte de dialogue vous avertira que vous tentez d'accéder
à un document non autorisé.
2) Fermez la fenêtre du navigateur puis cliquez avec le
bouton droit de la souris sur l'icône Kiddyweb
3) Sélectionnez la commande Changer de profil puis saisissez
le mot de passe "Parents".
4) Procédez à la même manipulation
Là aucune boîte de dialogue viendra vous mettre des
bâtons dans les roues. Le sous-menu Options vous donne accès
aux paramètres suivants :
* Mots clés et Sites Internet : permet de définir
des listes blanches et noires selon les expressions et les sites
que vous souhaitez autoriser ou interdire.
* Réglages : il est possible d'interdire un certain nombre
de fichiers comme des exécutables ou des fichiers compressés.
* Historique : retrace les différentes précédentes
interventions initiées par le programme.
Le bouton Options vous laisse la possibilité de rendre
Kitty invisible ainsi que d'interdire l'accès au Registre
Windows.
La version enregistrée offre évidemment beaucoup
plus de possibilités. À vous de voir si vous souhaitez
franchir le pas.
|
|
