Quelques éléments utiles pour une vérification de l'intégrité de son système sous Windows

fr:Quelques éléments utiles pour une vérification de l'intégrité de son système sous Windows he:כמה אלמנטים שימושיים עבור אימות של שלמות המערכת שלה תחת חלונות ro:Câteva elemente utile pentru o verificare a integrității sistemului său sub Windows ru:Несколько полезных элементов для проверки целостности системы под Windows pl:Kilka elementów przydatnych do weryfikacji integralności systemu w systemie Windows ja:Windows のシステムの整合性の検証のため、いくつかの有用な要素 ar:عدد قليل من العناصر المفيدة لتحقق من سلامة نظامها تحت ويندوز zh:几个有用的内容，为其在 Windows 下的系统的完整性验证的 de:Ein paar nützliche Elemente für eine Überprüfung der Integrität seines Systems unter Windows nl:Een paar nuttige elementen voor een verificatie van de integriteit van het systeem onder Windows it:Alcuni elementi utili per una verifica dell'integrità del suo sistema sotto Windows pt:Alguns elementos úteis para uma verificação da integridade do seu sistema sob Windows es:Algunos elementos útiles para una verificación de la integridad de su sistema bajo Windows en:A few useful elements for a verification of the integrity of its system under Windows

Introduction

Sécuriser son serveur est une tâche qui s'avère être longue et complexe. Mettre à jour son système d'exploitation ainsi que les différents composants de celui-ci est une première étape cruciale mais si vous avez des doutes sur l'intégrité de votre système, vous trouverez ci-dessous quelques éléments vous permettant d'établir un premier diagnostique rapide.

Pour chaque point de ce tutoriel, vous trouverez différentes informations relatives aux vérifications qui sont effectuées ainsi que quelques commandes utiles en rapport avec celles-ci.

Point important

La vérification de l'intégrité de son système est une opération longue et compliquée. Cet article n'a nullement pour prétention d'être un tutoriel de référence en la matière. Notez également que le fait de suivre cet article ne vous assurera en rien une sécurité totale, loin de là mais c'est une entrée en matière. Il est simplement question ici de présenter une approche globale et accessible dans le but d'effectuer une vérification rapide de l'intégrité de votre système. Pour une vérification plus poussée, vous pouvez vous tourner vers la commande d'une infogérance ponctuelle (contactez notre support au préalable).

Un mot d'ordre : prudence

Avant d'aller plus loin, un rappel est nécessaire : soyez prudent dans vos modifications, effectuez des sauvegardes, renommez les fichiers plutôt que de les supprimer, etc. Ikoula décline toute responsabilité quant à la mauvaise application du présent article.

Vérifications système de fichiers

L'observateur d'événements

Beaucoup d'informations sont disponibles par le biais de cette interface et cela constitue une source utile de renseignements. Vous pouvez y accéder rapidement depuis Démarrer > Exécuter > eventvwr.

L'interface graphique de l'observateur d'événements est pratique pour mettre en place différents filtres et rechercher facilement une erreur, un avertissement, etc.

Sachez qu'il peut être également pratique et rapide d'exploiter les différentes entrées de l'observateur d'événements par le biais de PowerShell avec la cmdlet EventLog.

Par exemple, vous pouvez filtrer sur un ID spécifique via la commande :

Get-EventLog -LogName System | where {$_.EventID -eq 1074}

Les tâches planifiées

Il peut être intéressant d'effectuer une vérification au niveau des tâches planifiées également.

En effet un appel à un script ou tout autre élément à un intervalle régulier ou suite à différents événements système peut être une bonne chose.

Afin de vérifier les différentes tâches planifiées configurées sur votre système, vous pouvez utiliser l'utilitaire graphique schtasks via Démarrer > Exécuter > taskschd.msc /s

Cet utilitaire est également disponible depuis une invite de commande DOS grâce à taskschd.exe.

Tout comme l'observateur d'événements, vous pouvez également exploiter les tâches planifiées par le biais du langage PowerShell. Vous trouverez plus d'informations sur les cmdlets disponibles sur le site de microsoft en suivant ce lien : https://technet.microsoft.com/en-us/library/jj649816(v=wps.630).aspx.

Les programmes lancés au démarrage

Certains programmes ou scripts sont appelés dès le lancement du système. Ceux-ci peuvent être également facilement identifiés par le biais de l'utilitaire msconfig que vous pouvez lancer depuis Démarrer > Exécuter.

Les services

Les services peuvent être également utilisés afin de lancer un programme indésirable. Différentes méthodes sont disponibles pour les consulter :

• par le biais d'une interface graphique avec services.msc
• par le biais d'une invite de commande DOS avec la commande net start.

Les utilisateurs

Vous pouvez vérifier qu'un utilisateur indésirable ne dispose d'un compte lui permettant d'accéder à votre serveur en listant les différents comptes créés sur la machine. Là encore, vous avez deux possibilités :

• une interface graphique est disponible via Démarrer > Exécuter > lusrmgr
• un exécutable que vous pouvez lancer depuis une invite de commande DOS en saisissant la commande net users.

Les processus actuellement démarrés

Une autre vérification consiste à lister les processus actuellement lancés sur votre système. Le plus évident pour lister ces processus est le gestionnaire des tâches (taskmgr). Vous pouvez également lister les processus actifs depuis une invite de commande DOS en effectuant une requête WMI via la commande suivante :

wmic process list full

La vérification des signatures des fichiers systèmes

Windows intègre nativement un utilitaire de vérification de la signature des fichiers. Cet outil est disponible via l'exécutable sigverif.exe.

Un fichier de journalisation sera créé et vous permettra de consulter les différentes informations qui sont suite à la vérification des fichiers système analysés par sigverif :

********************************

Microsoft Signature Verification

Log file generated on 16/10/2015 at 14:15
OS Platform:  Windows (x64), Version:  6.3, Build: 9600, CSDVersion:  
Scan Results:  Total Files: 62, Signed: 62, Unsigned: 0, Not Scanned: 0

File                      Modified       Version             Status              Catalog              Signed By
------------------      ------------   -----------        ------------        -----------          -------------------
[c:\windows\system32]
streamci.dll             29/10/2014     2:5.1               Signed              Package_1894_for_KB3Microsoft Windows
vmbuspipe.dll            29/10/2014     2:5.1               Signed              Package_554_for_KB30Microsoft Windows
vmbusres.dll             22/08/2013     2:5.1               Signed              Package_554_for_KB30Microsoft Windows
vmdcoinstall.dll         29/10/2014     2:5.1               Signed              Package_556_for_KB30Microsoft Windows
vmstorfltres.dll         22/08/2013     2:5.1               Signed              Package_556_for_KB30Microsoft Windows
...

L'outil Microsoft Baseline Security Analyzer

Microsoft met également à votre disposition un utilitaire appelé Microsoft Baseline Security Analyzer (souvent raccourci à son acronyme MBSA) que vous pourrez trouver à l'adresse suivante : https://technet.microsoft.com/fr-fr/security/cc184924.aspx.

Cette application tierce effectue un certain nombre de vérifications concernant votre système à savoir les mises à jour Windows (installées, manquantes, les paramètres de mises à jour automatiques, etc.), les paramètres renseignés pour Internet Explorer (zones, paramètres de sécurité, etc.), IIS, SQL Server, le pare-feu Windows, les comptes utilisateurs, et bien d'autres choses.

Vérifications réseau

Le fichier HOST

Le fichier HOST situé dans le répertoire System32\Drivers\etc\hosts peut également avoir été modifié afin de shunter la résolution DNS pour l'accès à un hôte distant. En modifiant ce fichier, on peut, par exemple faire pointer le nom de domaine zzz.fr du serveur ayant pour adresse IP 1.1.1.1 vers 2.2.2.2 de manière quasi transparente et ainsi se faire voler ses données, pensant que l'on visite le site hébergé sur le serveur ayant pour adresse IP 1.1.1.1

Serveurs DNS

L'utilisation de serveurs DNS qui ne sont pas dit "de confiance" peut également vous faire courir un risque. Vous pouvez installer votre propre serveur DNS si vous ne faites pas confiance à des serveurs DNS tiers si vous le souhaitez. Vous pouvez lister les serveurs DNS actuellement utilisés sur votre système par le biais de la commande ipconfig /all mais aussi via la commande ipconfig /displaydns

Les processus et les connexions associées

Vous pouvez également voir quels processus sont actuellement en cours d'exécution ainsi que les connexions qui sont associées à ces processus.

Pour avoir ses détails, vous pouvez lancer la commande netstat -naob depuis une invite de commande DOS.

Vous pouvez également actualiser ces informations toutes les X secondes en ajoutant ce délai d'actualisation à la fin de la commande :

netstat -naob X

Outils externes

Beaucoup d'outils natifs pourront vous apporter de l'aide afin d'inspecter l'intégrité de votre système. Cependant, certains d'entre eux sont utilisables depuis une invite de commande DOS et ce qui rend la lecture des informations retournées peu lisibles.

Vous pouvez donc faire appel à des outils tiers et certains d'entre eux sont plus adaptés comme ceux proposés gratuitement par Sysinternals.

Pour plus d'informations, vous pouvez consulter le site associé : https://technet.microsoft.com/fr-fr/sysinternals/bb545021.aspx.

Conclusion

Vous disposez maintenant d'informations complémentaires pour effectuer une première analyse de votre système. Disposer de ces informations n'est pas le plus dur, l'exploitation de ces informations est ce qu'il y a de plus complexe étant donné qu'il faut être familier avec les différents processus système, leurs ports et les différentes connexions associées.