Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée

DropMyRights

Dernière mise à jour : 2017-04-28T00:00 - 28.04.2017
05.04.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

DropMyRights - Appliquer le principe de Moindre Privilège aux comptes utilisateurs sous Windows XP.

L'incroyable risque du travail sous un compte avec droits administratifsL'incroyable risque du travail sous un compte avec droits administratifsL'incroyable risque du travail sous un compte avec droits administratifs

Internet est la source de la quasi-totalité des attaques et de l'insécurité. Vous ne devez ni surfer sur le Web, ni consulter vos e-mail ni accéder sous quelque forme que ce soit (messagerie instantanée, P2P etc. ...) à l'Internet lorsque vous êtes en mode Administrateur.

On le répète sans cesse et on le redit encore une fois

Vous ne devez pas travailler de manière courante, sous Windows, en mode Administrateur, cela est dangereux pour votre ordinateur et vos données. Le mode Administrateur donne des droits extrêmement étendus dont on a besoin extrêmement rarement, comme lors de la modification de Windows lui-même lors d'une mise à jour (Windows Update - Microsoft Update).

Chaque application que vous lancez hérite des droits du compte qui lance cette application. Si vous vous êtes identifié (logué) en mode administrateur, les applications que vous lancez ont, toutes, tous les droits Administratifs. Si une application se connecte alors que vous êtes en mode Administrateur, elle hérite des droits les plus étendus et un attaquant (cybercriminel) peut profiter de ce mode Administrateur et prendre le contrôle total de votre machine, en faire un Zombie et l'injecter dans un BotNet, ou voler vos données, ou les compromettre, etc. ...

Jamais sur le Web en tant qu'administrateur

Aucune application se connectant à l'Internet ne doit bénéficier des privilèges administratifs.

Les parasites les plus dangereux s'installent et fonctionnent correctement à cause de vous ! Parce que vous êtes allé sur le Web ou avez consulté vos e-mail sous votre compte Administrateur. Ils n'auraient rien pu faire, ou bien moins, si vous étiez allé sur le Web avec un compte utilisateur normal.

Les crapules du Net n'ont pas besoin d'implanter un RootKit si vous leur donnez les privilèges Administratifs ! Lire le papier de Symantec (Norton Antivirus) à propos de w32.beagle.av@mm (en particulier l'onglet " Détails techniques ").

Si vous êtes connecté en mode restreint, toutes les applications que vous lancez ont des droits restreints. Avec des droits restreints, il ne serait pas possible à un parasite de :

  • Créer des fichiers dans le répertoire system32
  • Tuer des processus
  • Désactiver le pare-feu Windows
  • Télécharger et écrire des fichiers dans le répertoire system32
  • Détruire des valeurs du Registre Windows dans HKLM
  • Etc. ...
Toutes ces tentatives auraient échoué si l'utilisateur utilisant son client de messagerie (OutLook, Thunderbird, etc. ...) ou son navigateur (Internet Explorer etc. ...) ne s'était pas connecté avec son compte administrateur.

Aucun usage quotidien de Windows ne justifie le mode Administrateur (sauf pour de très rares personnes dont vous ne faites probablement pas partie). Aucune application liée à l'Internet (communiquante), comme les navigateurs, les messageries instantanées, les clients de messagerie, les clients de P2P etc. ... ne devrait jamais être lancée dans un contexte "Administrateur".

A partir de Windows Vista, même si vous vous êtes identifié sous un compte administratif (votre compte administrateur du système), tout ce que vous faites est exécuté avec des privilèges réduits. Il faut demander une élévation de privilège pour pouvoir utiliser les droits administratifs attachés au compte administrateur.

Pour en savoir plus sur ce fonctionnement, à partir de Windows Vista, lire :
Contrôle de compte utilisateur (UAC)
Ouvrir une invite de commande (Comment...)
Comment exécuter un programme en tant qu'administrateur ?

L'incroyable risque sécuritaire que représente la folie de travailler avec un compte administratif existe pour toutes les versions de Windows antérieures à Windows Vista, dont Windows XP qui représente encore 20% des systèmes Windows installés à la date où Microsoft cesse de mettre à jour ce système (le 08.04.2014). A la moindre pénétration de votre ordinateur par un cybercriminel, il se retrouve avec les droits les plus élevés alors que vous-même n'en avez pas besoin et ne vous en servez pas !

Document PDF

Principe de moindre privilège : Un document pdf d'Assiste.com (47 pages - français)

Appliquer le principe de Moindre Privilège aux comptes utilisateurs sous Windows XP.
Ne s'applique qu'à Windows XP - A partir des versions suivantes de Windows, vous travaillez toujours en mode réduit même si votre compte est un compte administratif. Ce document peut être lu, après Windows XP, pour bien s'imprégner du niveau de risques induits avec les privilèges d'administration.

Le principe de moindre privilège ou Comment protéger mon ordinateur en basculant mon compte administratif en compte utilisateur ?

DropMyRightsDropMyRightsDropMyRights

DropMyRights est un petit outil de sécurité, essentiel et gratuit, permettant de travailler, sous les anciennes versions de Windows qui ne connaissent pas la notion d'élévation de privilège (Windows XP et versions antérieures), sans les privilèges administratifs, même si on a ouvert une session en tant qu'administrateur.

DropMyRights va permettre de prendre le minimum de risques avec les applications utilisées : principe du Moindre Privilège (ne jamais utiliser des privilèges élevés alors qu'on n'en a pas besoin).

Il est très vivement conseillé de prendre ce minimum de risques, tout particulièrement, avec les applications se connectant au Web où se situent les plus nombreuses menaces et par où entreront les plus nombreuses attaques. Il s'agit donc, essentiellement, de vos navigateurs internet, de vos clients de messagerie, de vos clients de messagerie instantanée, de vos clients FTP, P2P, etc. ...

DropMyRights permet d'exploiter toutes les applications dans un contexte plus sûr (non administrateur) en restreignant les droits et privilèges des processus bien que l'utilisateur soit identifié en tant qu'administrateur.

Cet outil n'est pas nécessaire sous Windows Vista, Windows 2008 Server, Windows 7, Windows 8... car, par défaut, les utilisateurs, même administrateur, ne peuvent utiliser leurs droits administratifs sans une manipulation spéciale (principe de moindre privilège).

Une alternative (préférable) à DropMyRights

Une alternative (préférable) à DropMyRights est de basculer définitivement et totalement son compte administrateur en compte utilisateur et, lorsque le besoin s'en fait sentir, d'élever ponctuellement les droits d'un processus, juste pour la durée de son exploitation, en lançant ce processus avec "Exécuter en tant que..." (Explorateur de Windows > localiser le processus > clic droit > "Executer en tant que..." et s'identifier, pour ce processus, avec un compte administratif). Tous les autres processus restent en privilèges restreints.

DropMyRights permet donc de limiter les droits de n'importe quelle application exécutée depuis un compte administrateur.

Réduire les droits et utiliser DropMyRightsRéduire les droits et utiliser DropMyRightsRéduire les droits et utiliser DropMyRights

Vous disposez, par défaut, de 4 profils de travail avec Windows XP. Créez un compte dans le profil " Utilisateurs " et travaillez sous ce compte. N'exploitez votre compte dans le profil " Administrateur " qu'exceptionnellement.

  1. Administrateur
    Ont un droit d'accès illimité à l'ordinateur

  2. Utilisateurs avec pouvoirs - ( Power User )
    Possèdent quelques droits administratif sur une machine comme partager des fichiers, installer des imprimantes locales, changer la date et l'heure du système. Ils possèdent des pouvoirs étendus pour accéder aux fichiers dans les répertoires système.

  3. Utilisateurs - (Users)
    Ils possèdent des droits limités et suffisants pour utiliser des applications autorisées etc. ... Ils ne peuvent effectuer des changements, accidentels ou volontaires, dans le système, ne peuvent ouvrir un port dans le pare-feu, ne peuvent lancer un service (ni en arrêter un).

  4. Invités
    Droits restreints par rapport aux droits "Utilisateurs".
Que faire pour les irréductibles du contexte inutile et dangereux "Administrateur" ?

Utiliser " DropMyRights " !

DropMyRights permet de lancer certaines applications, choisies, dans un contexte de droits réduits bien que l'utilisateur soit identifié en tant qu'Administrateur.

Techniquement, Windows XP et Windows Server 2003 (et les versions supérieures) permettent d'utiliser ce que l'on appelle des " jetons restreints " (Restricted tokens) grâce à une fonctionnalité nommée Software Restriction Policy (aussi appelée SAFER) qui permet d'exécuter du code avec moins de privilèges que ceux dont dispose le compte qui lance l'application. Ainsi, un administrateur peut lancer une application en tant q'utilisateur normal en supprimant (restreignant) certains SIDs et privilèges du "jeton" au lancement du processus de cette application.

Comment installer et utiliser DropMyRights (DMR)Comment installer et utiliser DropMyRights (DMR)Comment installer et utiliser DropMyRights (DMR)

DropMyRights va vous permettre de créer des raccourcis de lancement des applications que vous choisissez. Chaque raccourci va lancer DropMyRights et c'est DropMyRights qui va lancer l'application dans un contexte à droits restreints. Vous créez donc autant de raccourcis que vous avez d'applications, surtout, toutes celles se connectant au Web. Les raccourcis habituels, non sécurisés, de lancement de vos applications, restent inchangés et vous pouvez toujours les utiliser (mais cela est vivement déconseillé).

Idée:
Nommez ces raccourcis du même nom que celui qui lance l'application de manière non sécurisée et ajoutez simplement un préfixe ou un suffixe, toujours le même, à ces noms, pour les distinguer. Par exemple :

Internet Explorer > DMR Internet Explorer ou Sécur Internet Explorer
OutLook Express > DMR OutLook Express ou Sécur OutLook Express
Etc. ...

Ensuite, vous pouvez, accessoirement, créez un menu et grouper tous ces raccourcis de lancements sécurisés.

  1. Télécharger DropMyRights
    Téléchargez DropMyRights et enregistrez-le dans un dossier à lui (par exemple c:\DropMyRights ou C:\dmr).

    Télécharger DropMyRights
    Télécharger DropMyRights

    Télécharger DropMyRights
    Télécharger DropMyRights

  2. Vérifiez le téléchargement
    Vérifiez que le téléchargement n'est pas corrompu. Utilisez SummerPropreties (ou HashTab). Les condensats (Hashcodes) doivent êtres identiques à ceux donnés ci-dessus sous la rubrique "Taille" de la fiche fiche DropMyRights.

  3. Installez DropMyRights

    1. Faites un "double click" sur le fichier téléchargé (DropMyRights.msi) pour en lancer l'exécution. Les fichiers .msi utilisent l'instalateur de Microsoft : Windows Installer dont vous devriez disposer (normalement).
      Nota : Windows Installer va tenter d'accéder au Net mais on ne voit pas pour quelle raison donc on le lui interdit au niveau du pare-feu.

    2. Premier écran d'installation - cliquez sur le bouton "Next"

      Installation de DropMyRights
      Installation de DropMyRights


    3. Second écran d'installation - Accepter les conditions de licence et cliquez sur le bouton "Next"

      Installation de DropMyRights
      Installation de DropMyRights


    4. Troisième écran d'installation - Choisissez un répertoire d'installation, par exemple C:\dmr\ et rendez-le exploitable par tous les utilisateurs de cet ordinateur en cochant le bouton radio Everyone. Cliquez sur le bouton "Next"

      Installation de DropMyRights
      Installation de DropMyRights


    5. Quatrième écran d'installation - Windows Installer vous dit qu'il est prêt à installer DropMyRights - Cliquez sur le bouton "Next".

      Installation de DropMyRights
      Installation de DropMyRights


    6. Cinquième écran d'installation - Attendez un dizaine de secondes environ.

      Installation de DropMyRights
      Installation de DropMyRights


    7. Sixième écran d'installation - C'est fini : DropMyRights est installé

      Installation de DropMyRights
      Installation de DropMyRights


    8. Dans le répertoire d'installation vous devez avoir ces 5 fichiers dont le programme DropMyRights.exe (dont le chemin d'accès, dans cet exemple, est c:\dmr\DropMyRights.exe)

      Installation de DropMyRights
      Installation de DropMyRights


    9. Faites un clic droit (clic avec le bouton droit de la souris) sur DropMyRights.exe > Créer un raccourci


    10. Faites un clic droit sur le raccourci > Copier

  4. Utilisez DropMyRights

    1. Créez un menu d'accueil sur votre bureau
      Nous allons créer des raccourcis permettant de lancer certaines applications en mode sûr. Il est possible de laisser traîner ces raccourcis sur le bureau de Windows mais il est préférable et plus propre de les grouper. Nous allons donc créer un menu (un groupe) pour accueillir ces raccourcis.
      Clic droit (clic avec le bouton droit de la souris) sur votre bureau > Nouveau > Dossier et appelez, par exemple, "Navigation sûre DropMyRights"

      Utilisation de DropMyRights
      Utilisation de DropMyRights

      Utilisation de DropMyRights
      Utilisation de DropMyRights


    2. Insérer des raccourcis vers DropMyRights
      Nous allons mettre dans ce groupe plusieurs raccourcis vers DropMyRights - nous en aurons besoin tout à l'heure.
      Clic une fois sur ce nouveau dossier pour le sélectionner (ou double clic pour l'ouvrir - le résultat sera le même) > Clic droit > Coller (vous venez de coller dedans la copie du raccourci vers DropMyRights que nous avions faite ici).
      Refaites "Clic droit > Coller" plusieurs fois. Vous devez obtenir ceci :

      Utilisation de DropMyRights
      Utilisation de DropMyRights


    3. Créez les raccourcis sûrs

      Allez, par exemple, au hasard, sur votre icône de lancement d'Internet Explorer
      Clic droit (clic avec le bouton droit de la souris) > Propriétés (le champ "Cible" est déjà entièrement sélectionné) > Clic droit sur le champ "Cible" > Copier

      Utilisation de DropMyRights
      Utilisation de DropMyRights


      Sur votre bureau, ouvrez le dossier "Navigation sûre DropMiRights" > Clic droit sur l'un des nombreux raccourcis DropMyRights.exe que l'on vient de créer > Propriétés > Dans le champ cible mettez le point d'insertion à la droite du chemin d'accès à DropMyRights (à la droite de "C:\dmr\DropMyRights.exe" pour l'exemple donné) > insérez UN espace > coller > Appliquer > Ok. C'est terminé, le raccourci pour une navigation un peu plus sûre qu'en mode Administrateur et prêt.

      Utilisation de DropMyRights
      Utilisation de DropMyRights


      Renommez ce raccourci, par exemple, en DMR Internet Explorer
      Clic sur le raccourci > Saisissez le nom que vous voulez lui donner.

      Utilisation de DropMyRights
      Utilisation de DropMyRights

      (Dans le cas d'Internet Explorer c'est "C:\Program Files\Internet Explorer\iexplore.exe" - notez que des guillemets ouvrants et fermants entourent la valeur de ce champ car ce chemin d'accès contient des caractères "espace". Il n'y a pas de guillemet (ou ils sont inutiles) lorsque le chemin d'accès ne comporte pas d'espace).


    4. Personnaliser le raccourci.
      Pour finir, éventuellement, une fois le raccourci créé, il suffit de cliquer sur Propriétés du raccourci > "Changer icône" > puis clic sur "Autres icônes" > et choisir un icône dans la liste présentée pour personnaliser le raccourci.


      Recommencez ce point pour vos autres applications se rendant sur le Net
      Les chemins d'accès montrés ici en exemple ne correspondent probablement pas aux vôtres. Vos applications sont, par défaut, installées dans le répertoire "Program Files" du disque système (généralement C:) et sont dans un sous répertoire du nom de l'application. Vous récupérez leurs chemins d'accès complets en faisant un clic droit > Propriété sur leurs icônes de lancement actuel.
      Exemples :
      OutLook Express : "C:\Program Files\Outlook Express\msimn.exe"
      OutLook : C:\ms_office\Office\OUTLOOK.EXE
      Firefox : C:\Navigateurs\Firefox\firefox.exe
      Thunderbird : C:\Courrieleurs\Thunderbird\thunderbird.exe
      Windows Media Player : "C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:1
      Etc. ...

      A la fin, vous obtenez un groupe, sur votre bureau, du genre de celui-ci (affichage en liste ou en icônes selon votre réglage de votre explorateur de Windows) :

      Affichage des raccourcis DropMyRights sous forme de liste
      Affichage des raccourcis DropMyRights sous forme de liste


      Affichage des raccourcis DropMyRights sous forme d'icônes
      Affichage des raccourcis DropMyRights sous forme d'icônes


Attention :
  • Il y a incompatibilité entre DropMyRights et une connexion SSL sous Internet Explorer. Si vous devez aller sur une site en mode SSL avec Internet Explorer, par exemple votre banque, lancez votre navigateur en mode normal et pas en mode restreint. Cela semble fonctionner normalement avec Firefox en mode restreint.

     http://blogs.msdn.com/paranoidmike/archive/2005/01/26/360704.aspx


  • Dito ci-dessus : Il y a incompatibilité entre DropMyRights et une connexion SSL sous OutLook et OutLook Express. Votre compte ****@gmail.com par exemple, qui utilise une connexion sécurisée, devrait, selon la remarque ci-dessus, être joint en mode normal avec OutLook et OutLook Express et pas en mode restreint. Cela semble fonctionner normalement, y compris avec le commutateur U, avec FoxMail (Foxmail lancé avec DRM commutateur U accepte de relever des mails sur @gmail en mode SSL sur le port 995 nous fait remarquer Félix le chat sur nos forums).

  • Allez sur Windows Update (Microsoft Update), (sous Internet Explorer à cause d'ActiveX), en mode normal (avec droits administratifs - sinon vos tentatives de modifications du système (mises à jour) en tant qu'utilisateur à droits restreints seraient, très logiquement, rejetées).


Options :
  1. Il existe une option, dans DropMyRights, qui peut être insérée dans la ligne de commande. La syntaxe est :
    DropMyRights.exe {path} [N|C|U]

    • DropMyRights.exe est le chemin complet d'accès à DropMyRights.exe, comme nous l'avons vu ci-dessus. Dans nos exemples, c'est :
      C:\dmr\DropMyRights.exe

    • {path} est le chemin complet d'accès à l'application que DropMyRights doit lancer.
      Exemple :
      "C:\Program Files\Internet Explorer\iexplore.exe"
      C:\Utilitaires\quicktme\iTunes.exe

      [N|C|U] est l'option dont nous parlons ici. C'est un "argument" qui est "passé" à DropMyRights. Vous pouvez faire suivre {path} d'un espace puis de N ou C ou U.

      Utilisez le mode Normal pour la plupart des applications et « Constrained » pour surfer sur des sites hostiles ou des sites Web potentiellement dangereux.

      • N lance l'application en mode utilisateur normal. C'est la valeur par défaut si vous ne fournissez pas d'argument
        Exemple : les 2 lignes suivantes sont équivalentes :
        C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe"
        C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe" N

      • C lance l'application en tant que "constrained user"
        Exemple :
        C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe" C

      • U lance l'application en tant que "untrusted user". Cela peut perturber certaines applications.
        Exemple :
        C:\dmr\DropMyRights.exe "C:\Program Files\Internet Explorer\iexplore.exe" U

  2. Il existe une autre version de DropMyRights, appelée DropMyRights.NET qui est une ré-écriture en C# du DropMyRights originel de Michael Howard (Microsoft). Développée par The Mentalis.org Team, sa syntaxe est :
    C:\...\DropMyRights.exe [N|C|U] {path} {command-line parameters}
    Attention à l'emplacement de l'option [N|C|U] qui n'est pas le même que dans le DropMyRights originel.

    Cette version apporte 2 petits "plus" :

    1. Lors du lancement d'une application avec DropMyRights originel il y a un très bref affichage (à peine visible sur une machine rapide) d'une fenêtre. DropMyRights.NET évite cet affichage.

    2. DropMyRights.NET permet de passer des arguments à l'application lancée alors que DropMyRights originel ne le permet pas (si vous en indiquez, ils sont simplement ignorés). Par exemple, le lancement de Windows Media Player se fait avec un switch qui, sous DropMyRights originel est "oublié". Dans la ligne suivante, /prefetch:1 est un argument passé à WMP que DropMyRights originel fait tomber alors que DropMyRights.NET le passe à WMP.

      Sous DropMyRights.NET, la syntaxe est :
      C:\dmr\DropMyRights.exe C "C:\Program Files\Windows Media Player\wmplayer.exe" /prefetch:1

  3. Il existe d'autres utilitaires pour ne pas travailler en mode administrateur comme RunAsAdmin par exemple. L'avantage de DMR est qu'il n'y a aucune incidence sur des utilitaires de sécurité qui nécessitent une session en mode administrateur, son action se limitant aux seules applications dont on lui demande de contrôler le raccourci.

  4. Sous Internet Explorer (sous Windows XP et Windows Server 2003 uniquement), il est possible de se rendre compte du mode sous lequel on travaille en installant la PrivBar de Aaron Margosis.

    la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez
    la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez


    la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez
    la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez


    la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez
    la PrivBar, d'Aaron Margosis, vous permet de visualiser sous quel mode de privilèges vous travaillez

    • Téléchargez l'outil dans un emplacement sur votre disque dur.
    • Dézippez (décompressez) PrivBar.zip (double clic dessus) et choisissez un emplacement pour recevoir l'archive décompressée. Vous obtenez 2 fichiers : la dll (PrivBar.dll) et son outil d'enregistrement (PrivBarReg.reg).
    • Copiez PrivBar.dll (clic droit > copier) et coller (clic droit > coller) dans un endroit accessible à tous les utilisateurs - par exemple dans le répertoire Windows (c:\windows par défaut).
    • En mode administrateur, faites Démarrer > Exécuter et, dans la boîte de dialogue, saisissez :

      regsvr32 path\PrivBar.dll

      Installation (enregistrement dans la Registre Windows) de la PrivBar
      Installation (enregistrement dans la Registre Windows) de la PrivBar

      Clic sur Ok

      Installation (enregistrement dans la Registre Windows) de la PrivBar
      Installation (enregistrement dans la Registre Windows) de la PrivBar

    • En mode administrateur, double cliquez sur PrivBarReg.reg pour enregistrer (installer) la PrivBar et cliquez sur "Ok" dans les 2 fenêtres qui vont s'ouvrir.

    • Dans Internet Explorer, autorisez cette nouvelle barre d'outils à s'afficher. Faites Affichage > Barres d'outils > Privbar.

      Installation (enregistrement dans la Registre Windows) de la PrivBar
      Installation (enregistrement dans la Registre Windows) de la PrivBar

RéférencesRéférences" Références "

Applying the Principle of Least Privilege to User Accounts on Windows XP
Application du principe du moindre privilège aux comptes utilisateur sous Windows XP
Browsing the Web and Reading E-mail Safely as an Administrator
Naviguer sur Internet et lire ses E-mails de manière sécurisée en tant qu'administrateur
PrivBar Update, d'Aaron Margosis - version mise à jour pour Windows Vista et 7 - remplace l'ancienne version et fonctionne également sous Windows XP et Windows Server 2003

RessourcesRessources" Ressources "


 Requêtes similairesRequêtes similaires" Requêtes similaires "