• Article

Windows Vista

Protégez votre PC grâce aux nouvelles fonctionnalités de sécurité de Windows Vista

Justin Harrison

 

Vue d'ensemble:

  • Utilisation du Centre de sécurité Windows
  • Configuration et gestion des paramètres de contrôle des comptes utilisateur
  • Recherche de logiciels espions à l'aide de Windows Defender

Il y a plusieurs années, le président de Microsoft Bill Gates (qui occupait alors également le poste de Chief Software Architect) avait invité ses employés à faire de l'informatique fiable, la première de leurs priorités. Cette annonce fut suivie d'une série de changements dans les méthodes de développement de logiciels de Microsoft.

Windows Vista™ est le premier système d'exploitation totalement développé sur la base des instructions du cycle de vie de développement de la sécurité (Security Development Lifecycle, SDL), processus d'ingénierie orienté « sécurité » destiné à faire pénétrer la sécurité au cœur de la conception de logiciels. L'ensemble des produits Microsoft largement déployés doivent respecter ces instructions. (Pour plus d'informations sur le SDL, consultez l'ouvrage The Security Development Lifecycle [Le cycle de vie de développement de la sécurité] de Michael Howard et Steve Lipner, Microsoft Press®, 2006).

Windows Vista inclut également des technologies de sécurité intégrées nouvelles ou mises à niveau, qui œuvrent activement à la détection et à la suppression des menaces de sécurité. Toutes ces modifications signifient que Windows Vista est déjà la version Windows® la plus sécurisée. Au cours de cet article, nous allons aborder le nouvel applet Panneau de configuration de sécurité, le Centre de sécurité Windows, ainsi que la protection intégrée incluant Windows Defender, le Pare-feu Windows et le contrôle des comptes utilisateur.

Panneau de configuration de sécurité

Lorsque vous ouvrez le Panneau de configuration dans Windows Vista, vous remarquez qu'il est composé de dix domaines de fonctionnalités, la plupart des applets de sécurité étant répartis entre la sécurité, les programmes, le réseau et Internet. Vous pouvez utiliser l'applet de sécurité pour accéder à nombre des nouvelles technologies de sécurité protectrices qu'offre Windows Vista, comme indiqué sur la figure 1.

Figure 1 Technologies de sécurité de Windows Vista

Fonction Description
Centre de sécurité Recherche de mises à jour, vérification de l'état de sécurité, activation de la mise à jour automatique, vérification de l'état du pare-feu et exigence d'un mot de passe lors de l'activation.
Pare-feu Windows Activation ou désactivation du Pare-feu Windows et autorisation d'un programme dans le Pare-feu Windows.
Windows Update Activation de la mise à jour automatique, recherche de mises à jour et affichage des mises à jour installées.
Windows Defender Recherche des logiciels espions et autres logiciels potentiellement indésirables.
Options Internet Modification des paramètres de sécurité, suppression de cookies et nettoyage de l'historique.
Contrôles parentaux Configuration des contrôles parentaux pour tout utilisateur et affichage de rapports d'activités.
BitLocker Drive Encryption Activation de BitLocker Drive Encryption.

Vous pouvez également vérifier les mises à jour Windows, activer BitLocker™ Drive Encryption, supprimer les cookies, nettoyer l'historique et définir un mot de passe pour que votre ordinateur affiche une invite lors de son activation.

L'applet de sécurité facilite également l'accès au Centre de sécurité, emplacement tout-en-un permettant de gérer et de vérifier l'état des paramètres de sécurité de votre ordinateur et de la protection intégrée.

Sécurité centralisée

Avant l'avènement du Centre de sécurité dans Windows XP Service Pack 2 (SP2), la gestion de l'ensemble des paramètres de sécurité Windows n'était pas chose facile. À présent, le Centre de sécurité suffit à la gestion des paramètres de sécurité Windows importants à partir d'un seul et unique emplacement, et il se révèle d'autant plus utile dans Windows Vista.

Le Centre de sécurité Windows s'exécute en arrière-plan et surveille activement quatre catégories de fonctionnalités, comme indiqué sur la figure 2 : pare-feu, mise à jour automatique, protection contre les logiciels malveillants (virus et logiciels espions) et autres paramètres de sécurité (paramètres Internet et de contrôle des comptes utilisateur).

Figure 2 Gestion des paramètres de sécurité d'un emplacement

Figure 2** Gestion des paramètres de sécurité d'un emplacement **(Cliquer sur l'image pour l'agrandir)

À l'aide du Centre de sécurité Windows, vous pouvez identifier l'application faisant office sur votre ordinateur de pare-feu ou de solution antivirus et de protection contre les logiciels espions. Vous pouvez également vérifier l'état du pare-feu, de la mise à jour automatique et des paramètres de contrôle des comptes utilisateur. Le Centre de sécurité Windows est exceptionnel parce qu'il surveille l'état d'applications tierces, en plus des technologies Windows intégrées. Le processus de vérification porte sur les éléments suivants :

  • Si un pare-feu est installé et activé.
  • Si un programme antivirus est installé, que les définitions sont mises à jour et que l'analyse en temps réel est activée.
  • Si un programme de protection contre les logiciels espions est installé, que les définitions sont mises à jour et que l'analyse en temps réel est activée.

Pour détecter les applications tierces d'antivirus et de pare-feu, le Centre de sécurité Windows utilise deux approches. En mode manuel, le Centre de sécurité Windows recherche des clés de registre et des fichiers lui permettant de détecter l'état du logiciel. Il interroge également les fournisseurs WMI (Windows Management Instrumentation) rendus disponibles par les fournisseurs participants qui renvoient l'état des fonctionnalités. Cela signifie que vous pouvez utiliser d'autres solutions que celles proposées par Microsoft pour le programmes antivirus, la protection contre les logiciels espions ou le pare-feu, et continuer d'utiliser le Centre de sécurité Windows pour surveiller et protéger votre ordinateur.

Le Centre de sécurité Windows peut être contrôlé via une stratégie de groupe. Par défaut, il est désactivé dans les environnements de domaines. Pour activer le Centre de sécurité Windows, accédez au nœud Configuration de l'ordinateur\Modèles administratifs\Composants Windows\Centre de sécurité. Le nom de la stratégie permettant de l'activer est Activer le Centre de sécurité (PC de domaine uniquement).

Le Centre de sécurité Windows surveille également l'état des paramètres de contrôle des comptes utilisateur et celui des paramètres de sécurité Internet. Le contrôle des comptes utilisateur vous permet d'utiliser votre ordinateur en tant qu'utilisateur standard plutôt qu'en tant qu'administrateur, ce qui garantit un fonctionnement bien plus sécurisé. En tant qu'utilisateur standard, les modifications que vous apportez ne peuvent affecter l'intégralité du système et les logiciels que vous installez ne peuvent pas causer de graves dommages.

Dans Windows Vista, si vous êtes connecté en tant qu'utilisateur standard sur un ordinateur ne faisant pas partie d'un domaine et que les logiciels doivent exécuter une action affectant l'intégralité du système, le système d'exploitation vous invite à indiquer le mot de passe d'un compte administrateur. Si vous êtes connecté en tant qu'administrateur, Windows Vista vous invite à autoriser l'exécution de l'action à l'échelle du système, afin que vous soyez informé de l'action avant qu'elle n'intervienne, et que vous l'acceptiez.

Le contrôle des comptes utilisateur est géré via une stratégie de groupe dans un environnement de domaine. Si votre ordinateur ne fait pas partie d'un domaine, il est géré via une stratégie de sécurité locale. Vous trouverez des paramètres de stratégie sous Configuration de l'ordinateur\Paramètres système\Stratégies locales\Options de sécurité dans l'Éditeur de stratégie de sécurité locale ou dans l'Éditeur de stratégie de groupe. Vous trouverez l'Éditeur de stratégie de sécurité locale dans le Panneau de configuration, sous Système et maintenance | Outils d’administration.

Comme l'indique la figure 3, le Centre de sécurité Windows surveille de nombreuses options de sécurité Internet.

Figure 3 Paramètres de sécurité Internet

Le Centre de sécurité Windows surveille les paramètres Internet suivants :
téléchargement de contrôles ActiveX signés ;
téléchargement de contrôles ActiveX non signés ;
initialisation de contrôles ActiveX et de script non marqués comme étant sécurisés pour les scripts ;
installation d'éléments du bureau ;
lancement d'applications et de fichiers non sécurisés ;
lancement de programmes et de fichiers dans un élément IFRAME ;
autorisations pour les chaînes du logiciel.

Si une option passe à un état non sécurisé, la boîte de dialogue Propriétés Internet indique le message suivant : « Vos paramètres de sécurité font courir un risque à votre ordinateur. » et Microsoft Internet Explorer® affiche une barre d'information précisant : « Vos paramètres de sécurité actuels constituent un risque pour votre ordinateur. Cliquez ici pour modifier vos paramètres de sécurité... ». Le Centre de sécurité Windows vous informe également que « Vous n'utilisez pas les paramètres de sécurité recommandés. ». Si vous ouvrez les Paramètres de sécurité Internet, les paramètres non sécurisés apparaissent en surbrillance rouge (voir figure 4).

Figure 4 Mise en surbrillance d'un paramètre non sécurisé

Figure 4** Mise en surbrillance d'un paramètre non sécurisé **(Cliquer sur l'image pour l'agrandir)

Le Centre de sécurité Windows peut restaurer les paramètres de sécurité non sécurisés à un état sécurisé. Pour ce faire, cliquez sur Restaurer mes paramètres de sécurité Internet maintenant, comme indiqué sur la figure 5.

Figure 5 Élimination d'un paramètre dangereux

Figure 5** Élimination d'un paramètre dangereux **(Cliquer sur l'image pour l'agrandir)

Windows Defender

Les rootkits, les chevaux de Troie, les logiciels espions et autres logiciels malveillants constituent aujourd'hui un sérieux problème. Ils mettent en péril vos informations, affectent les performances de votre ordinateur et peuvent provoquer des défaillances système. Microsoft a fait l'acquisition de Giant Software en 2004, afin d'être à même de protéger ses clients via une technologie de protection contre les logiciels espions. Vous pouvez trouver cette nouvelle technologie intégrée à Windows Vista, sous la dénomination Windows Defender (également disponible en téléchargement pour Windows XP).

Une fois Windows Vista installé, il n'est pas nécessaire de modifier vos paramètres Windows Defender immédiatement. Windows Defender étant configuré pour offrir un niveau de sécurité maximal avec une interruption minimale, vous pouvez vous consacrer à l'utilisation de votre ordinateur plutôt qu'à sa sécurisation. Dès son démarrage, Windows Defender offre une protection en temps réel, vérifie et télécharge automatiquement des mises à jour de définitions de logiciels espions toutes les nuits autour de 2h00, puis supprime automatiquement tous les risques de menaces élevées. Dans Windows Defender, vous pouvez régler les paramètres via Outils | Paramètres généraux.

La protection en temps réel signifie que Windows Defender surveille attentivement et constamment tout comportement suspect intervenant sur votre ordinateur. Il utilise les neuf agents de sécurité répertoriés dans la figure 6, afin d'identifier différentes parties de votre système pour lesquelles le comportement de l'application est caractéristique des logiciels espions. L'union des agents de sécurité de Windows Defender permet de surveiller la quasi-intégralité des points d'entrée courants de logiciels espions.

Figure 6 Agents de sécurité de Windows Defender

Agent Surveille
Configuration d'Internet Explorer Paramètres de sécurité du navigateur.
Téléchargements Internet Explorer Applications fonctionnant avec Internet Explorer, telles que les contrôles ActiveX et les applications d'installation de logiciels.
Modules complémentaires Internet Explorer (objets d'assistance du navigateur) Applications s'exécutant automatiquement lors du démarrage d'Internet Explorer.
Démarrage automatique Applications démarrant lors du démarrage de Windows, dont les applications démarrant via le registre et le répertoire de démarrage Windows.
Configuration système Paramètres de sécurité Windows.
Services et pilotes Services et pilotes interagissant avec Windows et les applications.
Modules complémentaires Windows Utilitaires logiciels s'intégrant à Windows.
Exécution d'applications Applications lors de leur démarrage et de leur exécution.
Enregistrement d'applications (accroches API) Fichiers et outils du système d'exploitation, dans lequel des applications peuvent s'insérer pour s'exécuter.

Réponse à une menace

Windows Defender vous informe lorsqu'il trouve des logiciels potentiellement indésirables ou détecte un comportement suspect. Lorsque des modifications inoffensives (niveau de menace faible) interviennent, Windows Defender vous le fait savoir via l'affichage d'un point d'exclamation dans la barre d'état système. Pour les menaces plus sérieuses (niveau moyen ou élevé), Windows Defender affiche une boîte de dialogue jaune ou rouge en fonction du niveau de menace, comme indiqué sur la figure 7. Ces types de menaces exigent une réponse immédiate.

Figure 7 Une fenêtre rouge indique une menace de haut niveau

Figure 7** Une fenêtre rouge indique une menace de haut niveau **(Cliquer sur l'image pour l'agrandir)

Toutes les actions qu'exécute Windows Defender sont consignées dans le journal des événements système, avec le « Windows Defender » source. Parmi ces actions, l'on trouve des mises à jour de définitions, ainsi que des analyses et des suppressions de logiciels espions.

Les alertes de menaces de Windows Defender sont intelligentes ; vous pouvez ainsi continuer à travailler. Plusieurs menaces peuvent être répertoriées et vous pouvez choisir de répondre à toutes les menaces (« Supprimer tout ») dans une boîte de dialogue d'alerte de menaces. Vous pouvez également configurer des alertes de menaces pour qu'elle réagissent différemment en fonction de menaces non classifiées et de logiciels connus dont l'exécution est autorisée. Pour configurer des alertes de menaces, ouvrez Windows Defender et cliquez successivement sur Outils | Options. Faites défiler vers le bas jusqu'à « Options de protection en temps réel » et choisissez si Windows Defender doit vous informer sur les logiciels non encore classifiés quant aux risques et sur les modifications apportées à votre ordinateur par les logiciels dont l'exécution est autorisée.

Notez que si une application que vous avez créée ou qu'une application que vous utilisez est mal classifiée par Windows Defender, vous pouvez déposer une réclamation fournisseur à l'adresse électronique suivante : microsoft.com/athome/security/spyware/software/isv/cdform.aspx. Si l'application est perturbée par des logiciels espions, vous pouvez signaler un faux positif à l'adresse suivante : microsoft.com/athome/security/spyware/software/isv/fpform.aspx.

Protection à la demande

Windows Defender surveille attentivement les logiciels potentiellement indésirables, mais vous pouvez également lancer des recherches de logiciels espions lorsque vous le jugez nécessaire. Windows Defender offre trois types d'analyses :

  • L'analyse rapide, qui vérifie rapidement les zones de votre ordinateur que les logiciels espions sont le plus susceptible d'infecter.
  • L'analyse complète, qui analyse tous les fichiers de votre disque dur, les applications en cours d'exécution, le registre et d'autres zones.
  • L'analyse personnalisée, qui permet d'analyser des fichiers et des dossiers précis ; à son démarrage, Windows Defender exécute automatiquement une analyse rapide.

Pour lancer une analyse, démarrez Windows Defender et cliquez sur la flèche bas située en regard du bouton Analyser. Sélectionnez ensuite le type d'analyse que vous souhaitez lancer, comme indiqué sur la figure 8.

Figure 8 Choix du type d'analyse

Figure 8** Choix du type d'analyse **(Cliquer sur l'image pour l'agrandir)

Lorsque Windows Defender détecte une menace au cours d'une analyse, il affiche une description de la menace et des actions à entreprendre pour éliminer cette menace. Par défaut, il affiche l'action à entreprendre en priorité. S'il détecte plusieurs menaces, vous pouvez cliquer sur Appliquer les actions pour sélectionner des réponses et les appliquer simultanément. Vous pouvez également cliquer sur Supprimer tout pour supprimer l'ensemble des menaces. Parmi les actions que vous pouvez entreprendre, figurent :

  • Supprimer - Supprime complètement la menace de votre système.
  • Ignorer - Ignore la menace. Lors de la prochaine analyse, Windows Defender détectera une nouvelle fois la menace.
  • Quarantaine - Désactive temporairement la menace. Vous pouvez utiliser cette action pour déterminer si la suppression de la menace génère des effets néfastes sur votre système. Vous pouvez toujours la restaurer à partir de Windows Defender.
  • Toujours autoriser - Interrompt la détection de la menace et l'ajoute à la liste des éléments autorisés. Dans Windows Defender, cliquez sur Outils | Options pour supprimer des éléments de la liste des éléments autorisés.

Blocage d'intrusions réseau

Dans Windows Vista, le Pare-feu Windows est un pare-feu dynamique bidirectionnel contenant de nombreuses avancées par rapport à la version Windows XP. Dans Windows Vista, le Pare-feu Windows filtre à la fois le trafic entrant et le trafic sortant. Les règles peuvent également être configurées pour :

  • les comptes et les groupes Active Directory ;
  • le numéro de protocole IP ;
  • les types spécifiques d'interfaces ;
  • les services ;
  • ICMP et ICMPv6 par type et par code ;
  • les adresses IP source et de destination ;
  • tous les ports TCP ou UDP, ou des ports spécifiés.

Dans Windows Vista, vous pouvez également autoriser un programme spécifique à accéder au réseau ou refuser le trafic à partir de la liste Exceptions. Pour accéder à la liste Exceptions, cliquez successivement sur Démarrer | Panneau de configuration | Sécurité, puis sur Autoriser un programme via le Pare-feu Windows.

Par défaut, le Pare-feu Windows bloque l'intégralité du trafic entrant sauf s'il est sollicité ou correspond à une règle, puis autorise l'intégralité du trafic sortant sauf s'il correspond à une règle.

Windows Vista est fourni avec un nouveau composant logiciel enfichable MMC (Microsoft Management Console) nommé Pare-feu Windows avec sécurité avancée (voir figure 9), qui permet aux administrateurs de configurer les paramètres du Pare-feu Windows sur des ordinateurs distants. Pour accéder au nouveau composant logiciel enfichable, cliquez successivement sur Système et maintenance, sur Outils d’administration dans le Panneau de configuration, puis sur Pare-feu Windows avec sécurité avancée.

Figure 9 Création de règles avancées pour protéger votre ordinateur contre les menaces du réseau

Figure 9** Création de règles avancées pour protéger votre ordinateur contre les menaces du réseau **(Cliquer sur l'image pour l'agrandir)

Pour ajouter une règle, vous pouvez également utiliser le composant logiciel enfichable Éditeur de stratégie de groupe pour accéder au chemin suivant : Configuration de l'ordinateur\Paramètres Windows\Paramètres de sécurité\Pare-feu Windows avec sécurité avancée. À l'aide de netsh advfirewall, vous pouvez même configurer de nouveaux paramètres de sécurité avancée à partir de la ligne de commande.

Lors de chaque connexion à un nouveau réseau, Windows Vista crée un profil spécifique à ce réseau. Lorsque vous vous reconnectez à ce réseau, Windows Vista utilise les paramètres enregistrés de ce profil. Lorsque vous vous connectez à un nouveau réseau, l'une des premières demandes du système d'exploitation concerne l'aspect public ou privé du réseau. Cela détermine le profil que le Pare-feu Windows charge pour la configuration et les règles. Pour modifier les profils, cliquez successivement sur Propriétés du Pare-feu Windows dans le composant logiciel enfichable Pare-feu Windows avec sécurité avancée, puis sur l'onglet Profil privé ou Profil public, comme indiqué sur la figure 10.

Si vous le souhaitez, vous pouvez modifier le profil associé à un réseau après vous êtes connecté à celui-ci à partir du Centre réseau et partage. Pour ce faire, accédez au Panneau de configuration | Réseau et Internet | Centre réseau et partage. Pour modifier le profil du réseau, cliquez sur Personnaliser situé en regard du nom du réseau auquel vous êtes connecté.

Figure 10 Personnalisation de la protection en fonction du type de réseau

Figure 10** Personnalisation de la protection en fonction du type de réseau **(Cliquer sur l'image pour l'agrandir)

Conclusion

Depuis l'annonce de la Trustworthy Computing Initiative (Initiative « Informatique fiable ») datant de plusieurs années, Windows Vista est la première version complète de système d'exploitation. Développé sur la base des instructions du cycle de vie de développement de la sécurité (Security Development Lifecycle) et à l'aide de la protection intégrée incluant Windows Defender, le Pare-feu Windows et le contrôle des comptes utilisateur, Windows Vista offre une protection sans égale, à la fois pour les systèmes autonomes et pour ceux faisant partie d'un domaine. Le Centre de sécurité Windows, le Pare-feu Windows et le contrôle des comptes utilisateur offrent tous une configuration de stratégie de groupe, vous permettant de les déployer efficacement dans votre environnement de domaine ou de les configurer très fréquemment en local sur votre ordinateur personnel.

Communauté SpyNet

Les menaces de sécurité sont en perpétuelle évolution, si bien que, parfois, même les mises à jour quotidiennes ne suffisent pas à refléter l'intégralité des menaces de sécurité que peut rencontrer votre ordinateur. Afin de proposer une protection encore plus complète que la simple fourniture de mises à jour de définitions de logiciels espions, Microsoft réunit également les utilisateurs au sein de la communauté SpyNet, groupe en ligne partageant des informations sur les logiciels espions.

La communauté SpyNet est une communauté internationale bénévole réunissant des utilisateurs de Windows Defender, qui signalent les découvertes de logiciels espions à Microsoft. Les utilisateurs qui prennent part à cette communauté jouent un rôle essentiel dans la détermination des applications suspectes à classifier comme logiciels espions. Ils contribuent également à la découverte rapide de nouvelles menaces, afin que tous les utilisateurs Windows Defender bénéficient de meilleure protection possible.

La communauté SpyNet repose sur un principe d'inscription. Ainsi, vous devez explicitement décider de participer. Vous pouvez choisir de ne pas devenir membre, auquel cas aucune information sur vos éventuelles infections par des logiciels espions n'est envoyée à la communauté SpyNet. Vous ne serez alors pas informé si des logiciels potentiellement indésirables non classifiés sont identifiés sur votre ordinateur. Ces logiciels potentiellement indésirables non classifiés peuvent être classifiés dans les mises à jour régulières de définitions de logiciels espions.

Si vous choisissez de participer, deux niveaux d'appartenance vous sont proposés :

Appartenance avancée. Les participants envoient à Microsoft des informations sur les logiciels non classifiés et sur les actions entreprises. Les participants avancés sont informés de l'existence de logiciels actuellement non classifiés, susceptibles de ne pas être sûrs. Vous pouvez envoyer des informations personnelles, mais Microsoft ne les utilisera pas pour vous contacter.

Les membres avancés reçoivent des statistiques liées aux suppressions, montrant les différents types de réactions des autres membres avancés face à la même menace. Ces informations peuvent vous aider à prendre une décision, que les logiciels potentiellement indésirables actuellement non classifiés soient ou non dangereux. Par exemple, si une nouvelle application est distribuée sur Internet et que Windows Defender la détecte comme étant suspecte, certains utilisateurs avancés peuvent la signaler à la communauté SpyNet et la supprimer. La communauté SpyNet vous indiquera alors combien de membres avancés l'ont signalée et supprimée, de sorte que vous puissiez utiliser les informations et prendre une décision plus adaptée.

Appartenance de base. Des informations de base sur les logiciels suspects sont envoyées à Microsoft. Des informations personnelles peuvent également être envoyées, mais Microsoft ne les utilisera pas pour vous contacter. Les participants de base ne sont pas informés de l'existence de logiciels non classifiés.

Pour intégrer la communauté SpyNet, ouvrez Windows Defender, sélectionnez Outils puis cliquez sur Microsoft SpyNet.

Justin HarrisonJustin Harrison (justin@harrison.org) est un expert de la sécurité Windows, des technologies de médias numériques et des documents numériques. Il a travaillé pour GE Energy, ainsi que pour les équipes chargées des documents numériques et des jeux grand public de Microsoft.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.