Blocage d'application à risque !

Lord_Amano · Juillet 25, 2005, 7:07

salut les geeks voici ma problematique

j’ai un lan @home avec un workgroup sous windows xp pro
certain utilisateur de ce lan sont de gros beta testeur de spyware, et j’aimerais donc bloquer certaine appli (client p2p en priorité)

quel sont vos conseils et tips pour bloquer l’exécution de certaine application à risque (emule, kazaa et autre merde)

merci de vos conseils

GiomBee · Juillet 25, 2005, 7:56

Heu, blocage des ports eMule, KaZaA and co pour commencer ?

mmenfin · Juillet 25, 2005, 8:01

avec un firewall genre kerio, tu peux empecher totalement une application de se connecter au net, et donc la rendre inutilisable… un mot de passse admin sur la config du firewall et hop. je crois qu’il y a même moyen d’empêcher certaines appli de se lancer (controle comportemental des applications).

bon, par contre, les spywares ne sont pas forcement lié au P2P, hein, on croirait entendre quelqu’un de la RIAA… kazaa dans sa version de base à la rigueur, mais plus personne ne l’utilise .

(« application à risque » )

Lord_Amano · Juillet 26, 2005, 7:01

le blocage de port basique dans la config de mon firewall (wag54g) c’est bien, mais moi j’aimerais aller plus loin, c’est à dire bloquer carrément les .exe incriminé

alors qui a la soluce

peut-être pour le utilisateur avancé de cafzone, ça pose pas de problème, mais pour les boulet qui utilise mon lan, c’est des vrais aspirateur à spy et autre malware

Tzim · Juillet 26, 2005, 7:15

Si t’as pas acces au PCs, tu pourras pas bloquer le traffic d’exes spécifiques. Les petits paquets réseau, ils disent pas : “Je viens d’emule.exe” ou “Je viens de kazaa.exe”.

Pour moi, la meilleure solution, c’est de n’autoriser que le traffic “de base” (web, ftp, mail) sur le routeur pour les PCs incriminés.

Si tu as plus de controle sur les PCs, et que les utilisateurs n’ont pas les droits d’admin, ca se regle avec une petite GPO.

Lord_Amano · Juillet 26, 2005, 9:02

GPO kezako?
ca m’interesse

pour moi la solution ultime, je le repete, ca serait de bloquer carrement l’execution de certain .exe

Rabban · Juillet 26, 2005, 9:06

et si tu leur interdisais tout simplement d’installer quoi que ce soit dessus?

Tzim · Juillet 26, 2005, 9:22

[quote name=‹ Lord_Amano › date=’ 26 Jul 2005, 10:02’]GPO kezako?
ca m’interesse

pour moi la solution ultime, je le repete, ca serait de bloquer carrement l’execution de certain .exe
[right][post=« 380260 »]<{POST_SNAPBACK}>[/post][/right][/quote]
GPO = group policies.
A la base, c’est fait pour être appliqué sur les grouppes d’un domaine, mais tu peux l’utiliser sur les comptes locaux en lançant gpedit.msc.

Mais plus efficace, tant que j’y pense : outils d’admins, dans Local Security, t’as une section Software Restriction Policies (clic droit, new Software Restriction Policies), qui, je pense, correspondra plus a tes besoins. Tention, cependant, les settings s’appliquent ici a tout le monde, donc evite de refuser l’acces a mmc.exe, sinon, tu pourra plus les changer (sauf via réseau local).

Lord_Amano · Juillet 26, 2005, 9:49

oki, merci de tes conseils tzim
je vais tester gpedit.msc et les Software Restriction Policies ce soir

je vous tient au courant

Tzim · Juillet 26, 2005, 10:06

[quote name=‹ Lord_Amano › date=’ 26 Jul 2005, 10:49’]oki, merci de tes conseils tzim
je vais tester gpedit.msc et les Software Restriction Policies ce soir

je vous tient au courant
[right][post=« 380278 »]<{POST_SNAPBACK}>[/post][/right][/quote]
Bon, jviens de rejetter un oeil sur cette fonctionnalité, et je te conseille direct les SRP.
Tu rebootes une fois activées la premiere fois. Ensuite, les restrictions sont immédiates (eventuelement, tu lances gpupdate) sans reboot.

Sinon, pour ceux que la fonctionalité interresse, les SRP permettent autre chose que Autorisé/ou Pas, du genre : droits restreints pour certainnes applis. Je vous conseille de jeter un oeil a ca : Browsing the Web and Reading E-mail Safely as an Administrator, Part 2.
Pour activer les autres niveaux dans les SRP, utilisez le .reg suivant:

Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\windows\safer\codeidentifiers] "Levels"=dword:ffffffff

Lord_Amano · Juillet 26, 2005, 9:33

bon je viens de tester tous ça, suivant les bon conseil de Tzim et je dois avouer que ça marche pas mal

j’ai fais faire un pti tuto vite fais, ça peut aider certain

donc tous d’abord lancer gpedit.msc dans Démarrer\Exécuter

ensuite dans Stratégies de restriction logicielle, clic droit nouvelle règle de chemin d’accès

après spécifier le chemin d’accès à bloquer

et pour finir vous pouvez ajouter un commentaire explicite comme ici

voila, c’est assez pratique et facile à mettre en place

si vous avez des commentaires ou des idées pour améliorer tous ça, je suis toute ouie

kineox · Juillet 26, 2005, 9:40

Mais, avec cette solution, il suffit que l’utilisateur réinstalle emule à un autre endroit du disque pour que ça marche ?

Tzim · Juillet 26, 2005, 9:51

[quote name=‘kineox’ date=’ 26 Jul 2005, 22:40’]Mais, avec cette solution, il suffit que l’utilisateur réinstalle emule à un autre endroit du disque pour que ça marche ?
[right][post=“380546”]<{POST_SNAPBACK}>[/post][/right][/quote]
Indeed, c’est pourquoi c’est plus efficace de tout bloquer et d’autoriser seulement les apps ‘sures’. (par défaut, les apps windows, et le program files, ou seul l’admin peut ecrire sont autorisées).

Sinon, tu peux désigne un exe non pas par son chemin, mais par son hash (sa signature). Bon, ok, ca marche plus si tu change de version, mais ca peux stopper les plus neuneus.

Lord_Amano · Juillet 27, 2005, 10:09

oki merci pour ces infos simplementaire Tzim
c’est vrais que si on install le soft dans un autre chemin, la restriction sert plus à rien lol
je vais essayer d’améliorer ca

Rabban · Juillet 27, 2005, 11:46

bloque le disque en écriture pour l’utilisateur: s’il n’a rien le droit d’installer, tu es tranquille.

Baphomet · Juillet 27, 2005, 11:49

edites tes groupe locaux avec GPedit.msc
apres tu peut lui specifier les appli a bloqué.