Surfer sur le Net, on le sait, est un vecteur d'infections (vers, virus, rootkits...)

Un moyen simple et gratuit de se protéger sous XP est de se connecter avec un compte limité (TUTO sur Sécurité-Facile), qui permet d'empêcher les logiciels de s'executer ou de s'installer, et bloque ainsi tout malware.


Mais si, comme moi et des millions d'autres, vous travaillez toujours depuis votre compte "administrateur" (celui créé par défaut à l'installation de XP...), vous avez la possibilité de SÉCURISER vos applications se connectant au Net (navigateurs, messageries, tchat, téléchargeurs...) en les lançant en mode LIMITE depuis votre compte administrateur: vous avez ainsi l'avantage du compte limité avec les avantages du compte admin' !


Pour ce faire, il existe depuis longtemps le logiciel Drop my Rights (TUTO de MALEKAL); ce tout petit logiciel:

• empêche qu'un exécutable ou fichier en provenance d'internet s'installe ou s'éxecute à partir de votre navigateur ou de votre messagerie.
• ne reste pas en mémoire, ne consommant ainsi aucune ressource-système: il se lance une demi-seconde, puis s'arrête.

Mais le "souci", c'est que DropMyRights :

• affiche une fenêtre d'invite de commande
  à chaque fois que vous lancez un logiciel concerné par cette "limitation des droits"
  
• nécessite de créer des raccourcis personnalisés pour chaque application sélectionnée...Pas pratique, surtout qu'il suffit un jour de cliquer sur un raccourci "normal" pour ne plus profiter des protections de DMR...

Aussi dans ce tuto je vous propose de vous protégez avec un clone de DMR, plus efficace , plus discret et tout aussi gratuit:

STRIP MY RIGHTS

édité par les norvégiens de SYSTEMINTEGRASION AS (merci infiniment à Sogno de me l'avoir fait découvrir et de m'avoir initié à ces secrets!)

• Lien de téléchargement :
  
  http://www.sysint.no/en/Download.aspx
  
  
• Page de présentation [EN]
  
  http://www.sysint.no/nedlasting/StripMyRights.htm

Strip My Rights fonctionne exactement comme DMR.

Mais son avantage par rapport à DMR est double:

• il n'affiche pas la vilaine fenêtre de commande
  
• et surtout, il permet, via le registre, de protéger automatiquement les logiciels se connectant au net,quelque soit les raccourcis par lesquels on les lance, ou quelque soit la façon dont on les lance (par la commande "exécuter" par exemple, ou par un logiciel quelconque qui lancerait le navigateur pour aller chercher une mise à jour, comme le fait CCleaner, etc...).

Du coup, SMR nous protège quoi qu'il arrive, et nous n'avons plus à créer de raccourcis spécifiques comme avec DMR.



COMMENT L'INSTALLER?

• Télécharger l' archive
  
• Décompressez-la et copiez l'exécutable StripMyRights.exe (64ko) dans:
  C:\Windows\System32.

COMMENT CRÉER LES CLÉS DE REGISTRE PROTÉGEANT MES LOGICIELS?

Il faut créer une clé de type:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXECUTABLE DU LOGICIEL.exe]
"Debugger"="StripMyRights.exe /D /L N"





Pas simple...Plutôt que de créer les clés de registre a la main (c'est fastidieux...), je vous propose ici les fichiers .reg des logiciels les plus courants ( à noter que l'archive téléchargée propose par défaut les fichiers .reg pour Outlook ou Internet Explorer); vous n'aurez plus qu'à :

• copier ces codes
  
• les coller dans un fichier texte (le bloc-note ira très bien)
  
• les sauvegarder sous un nom quelconque de type: LOGICIEL_à_PROTEGER.REG (attention à bien respecter l'extension!)
  
• cliquer droit sur ce fichier et sélectionner "fusionner". Répondez "OUI" au message d'alerte qui va suivre.

Fichiers .reg types

Firefox:

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe]
"Debugger"="StripMyRights.exe /D /L N"

Opera:

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\opera.exe]
"Debugger"="StripMyRights.exe /D /L N"

Thunderbird:

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\thunderbird.exe]
"Debugger"="StripMyRights.exe /D /L N"

Internet Explorer

ATTENTION: protéger IE en restreignant ses droits empêche les mises à jour depuis Windows Update.

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iexplore.exe]
"Debugger"="StripMyRights.exe /D /L N"

OutLook

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe]
"Debugger"="StripMyRights.exe /D /L N"


Free Download Manager

Code: Tout sélectionner

 Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\fdm.exe]
"Debugger"="StripMyRights.exe /D /L N"

Yahoo Messenger

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\YahooMessenger.exe]
"Debugger"="StripMyRights.exe /D /L N"

Windows Media Player

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wmplayer.exe]
"Debugger"="StripMyRights.exe /D /L N"

Windows Live Messenger

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msnmsgr.exe]
"Debugger"="StripMyRights.exe /D /L N"

mIRC

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mIRC.exe]
"Debugger"="StripMyRights.exe /D /L N"

aMSN

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\amsn.exe]
"Debugger"="StripMyRights.exe /D /L N"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wish.exe]
"Debugger"="StripMyRights.exe /D /L N"

VLC

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vlc.exe]
"Debugger"="StripMyRights.exe /D /L N"

OutClock

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\OutClock.exe]
"Debugger"="StripMyRights.exe /D /L N"

Screamer

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\screamer.exe]
"Debugger"="StripMyRights.exe /D /L N"

PopTray

Code: Tout sélectionner

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PopTray.exe]
"Debugger"="StripMyRights.exe /D /L N"

N'hésitez pas à proposer d'autres logiciels à protéger !



ET SI JE PRÉFÈRE UTILISER DES RACCOURCIS?

SMR propose, tout comme DMR, la création de raccourcis personnalisés pour lancer les applications en droits limités:

• Clic-droit sur le bureau
  
• Choisir l'option "nouveau", puis "raccourci"
  
• Remplir le champ vide :

ex. pour Firefox : StripMyRights.exe /L N "C:\Program Files\Mozilla Firefox\firefox.exe"





Il suffit de changer le chemin en rouge par le chemin de l'executable que vous souhaitez protéger.



POUR CONTRÔLER L'EFFICACITÉ ET LE BON FONCTIONNEMENT DE SMR

• sur Google, faites une recherche d'image quelconque.
  
• cliquez-droit sur une image et faites "enregistrer sous"
  
• essayez de l'enregistrez sur votre disque C, ou dans Windows
  
• votre système refuse, car SMR empêche qu'un élément en provenance du web (et donc potentiellement dangereux) ne s'installe sur votre système.
  
  
  
• Du coup XP vous propose de l'installer dans "Mes Documents".Vous pouvez aussi l'enregistrer sur votre bureau.

Avec Free Download Manager (le téléchargeur):

• télécharger un executable quelconque, avec l'option "ouvrir le fichier"

Le téléchargeur ne disposant pas des droits pour éxecuter un fichier, le système refuse l'installation:




A+

NOTA:

n'essayez EN AUCUN CAS de protéger avec SMR :

• votre pare-feu
  
• votre antivirus
  
• votre antispyware, (et ce même si les 3 vont sur le net !!)

Ils ont besoin de l'intégralité de leurs droits pour fonctionner correctement!


-----------------------------------------------------------------------------------------------


Pour DESINSTALLER SMR:

• supprimez le fichier StripMyRights.exe du dossier system32
  
• sauvegardez votre base de registre: TUTO ZEBULON
  
• supprimez les clés nouvellement créées (et uniquement celles-ci, ne supprimez pas n'importe quoi!!) dans le registre, dans la branche HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

Je l'ai placé en post-it, merci beaucoup Ogu !
Une fiche sur le blog fera bientôt un lien vers ce tuto, en présentant brièvement le logiciel.

Beau travail.

Ogu ! Un grand Merci à toi pour ce tuto.

J'ai fait vite fait un programme pour ajouter facilement des logiciels à la liste et les retirer.

http://christophe.opoix.free.fr/stripMyRights/

Ca requiert le framework .Net 2.0 mais je compte le faire en C++ et en tant qu'extension shell quand j'aurais le temps. (Ce qui a de fortes chances de vouloir dire "jamais").

Il suffit de mettre un raccourci vers le .exe du zip dans le dossier C:\Documents and Settings\userName\SendTo

Ensuite, pour rajouter un logiciel dedans, faire clic droit sur le .exe du programme à "stripMyRightser" et "Envoyer vers".

Pour le retirer de la liste, même manip'.

Et pour les plus frileux, y a les sources à compiler soi-même si ça peut faire plaisir.

Bonjour,

Merci Ogu d'ouvrit une nouvelle notule sur la restriction des droits des programmes avec un programme comme StripMyRights... ce petit complément, car restreindre les droits de tel ou tel programme c'est bien, aller un peu plus loin c'est mieux...

Comme sous windows les programmes héritent des droits de celui qui les a précédés, l'idée suivante est de restreindre les droits d'explorer.exe, le bureau [pas le navigateur], car ensuite, d'une manière ou d'une autre, [presque] tous les programmes que va lancer l'utilisateur le seront à partir d'explorer.exe, ainsi ils hériteront des droits restreints du bureau [et plus cette restriction interviendra tôt dans le processus, plus de programmes hériteront des droits restreints], pour cela on peut utiliser DropMyRights ou StipMyRights, avec DMR on ne peut intrevenir que lorsque le bureau est monté [le processus d'ouverture est terminé, il faut tuer le bureau et le relancer], avec StripMyRigts http://www.sysint.no/nedlasting/StripMyRights.htm en modifiant une clé du registre avec un fichier reg on restreint les droits du bureau à son premier lancement.

Si on résume, du plus sûr au moins sûr : 1) compte limité, 2) compte administrateur avec bureau restreint par la clé magique de StripMyRigths, 3) compte administrateur avec bureau limité par DropMyRights, 4) compte administrateur avec programmes limités par DropMyRights, StripMyRights, ou autres [comme ProcessExplorer] 5) compte administrateur et programmes travaillant normalement.

Pour ceux qui ne veulent pas mettre les mains dans le cambouis, je republie les 2 fichiers .reg [merci Sogno] qui permettent de créer la clé qui lancera explorer [le bureau] avec des droits restreints [il faut redémarrer pour qu'elle prenne complètement effet] et supprimera cette clé pour qu'explorer [le bureau] reprenne ses droits [après un redémarrage]

REGEDIT4

;Explorer.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]
"Debugger"="StripMyRights.exe /D /L N"

REGEDIT4

;Explorer.exe
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe]


Au travail maintenant.

Bonjour,

Ben moi, j'ai suivi scrupuleusement toutes les étapes du tuto pour mon navigateur Opera puis je me suis fait un raccourci bureau qui fonctionne mais quand je fais le test de la photo à enregistrer, no problemo ou plutôt si : je peux l'enregistrer où je veux StripmyRights ne fonctionne pas. J'ai du rater une étape mais laquelle ? Merci.

Bonjour
A quoi sert ton raccourci sur le bureau ?
Peux-tu enregistré cette image dans C:\ ou dans C:\Windows ?
Merci
PS:Pour le bureau, ah oui, j'ai du zapper le post précédent !!

Re;

j'ai déjà eu un retour de ce type, et j'ai eu le même souci sur ma machine: il semblerait que certains XP donnent des droits en écriture aux utilisateurs...Pour pallier à ce problème il faudrait faire de grosses manipulations autour des droits et restrictions du système, mais ce n'est pas sans risque...

Pour les casse-cous, voir mon sujet à ce propos sur Assiste et la solution de Sogno:

http://assiste.forum.free.fr/viewtopic.php?t=16150

A vos risques et périls!




Edit: j'ai ajouté une "alerte" à mon tuto concernant l'impossibilité de faire les MAJ Windows Update à partir d'un Internet Explorer StripMyRightisé.

Ok, merci me voilà rassuré mais pour les manip à faire ça a effectivement l'air d'être trop hard pour moi, faudra que je trouve autre chose. @+

A priori tu restes protégé en exécution malgré tout, c'est là l'essentiel.

Essaie le test avec Free Download Manager pour t'en assurer.

Merci du tuto

Ca me paraît en effet supérieur à Drop My Rights (DMR)d'autant que je suppose que ça va pouvoir marcher avec MSN contrairement à DMR

mais cependant un défaut : il semble que ça ne marche pas avec µTorrent contrairement à DMR
> absence d'upload et dl très limité

en effet dans c cas UT signale qu'il n'est pas opérationnel et seul la désactivation de Kerio lui redonne pleinement sa fonction

ça a l'air d'une bizarre interaction entre Sunbelt Kerio PF 4.2.3, SMR et µ Torrent ou le p2p en général

je referai des tests car ce n'est qu'une première impression

En fait il s'agit peut-être d'un problème du choix d'un répertoire dans une partie Admin (hors de Mes Documents)

Salut.

Comme tests, il y a ceux que je propose. Tu peux également te tourner vers la version "enhanced" de SMR (améliorée par Sogno), qui instale Privbar pour IE + des entrées dans le menu contextuel:

http://www.wilderssecurity.com/showthread.php?t=171029

Pour uTorrent je ne sais pas, je ne fais pas de peer-to-peer pour éviter les risques d'infections

Voilà j'ai remis la clé µTorrent SMR et ça marche !

(j'avais enlevé la clé et ça remarchait)

donc coincidence probable car µTorrent met parfois du temps s'habituer à un nouveau paramétrage de pare-feu

Bonjour. et depuis il n'y a pas un système pouvant au coup par coup limiter les droits ?

Bonsoir, Drop My Rights, vi aun raccouric qui le lance, permet de travailler au coup par coup, en lançant ou non par le raccourci spécial.

Falkra a écrit:Bonsoir, Drop My Rights, vi aun raccouric qui le lance, permet de travailler au coup par coup, en lançant ou non par le raccourci spécial.

Strip My Rights permet également de lancer un prog avec un raccourci spécial plutôt qu'avec une clé de registre.

Par ailleurs la version enhanced de Sogno permet, elle, de lancer un logiciel en droits restreints à partir du menu contextuel.

Yo!

Mise à jour du tuto avec intégration de nouvelles applis à protéger:

• Yahoo Messenger
• Windows Live Messenger
• mIRC
• aMSN
• VLC
• Windows Media Player
• OutClock
• PopTray
• Screamer

N'hésitez pas à compléter cette liste avec vos propres tests d'applis SMRisées, je les intégrerai au tuto.

bonjour, j'ai essayé StripMyRights enhanced mais impossible de lancer firefox en mode restreint
Y a t'il une manip' spéciale à faire ?

Merci

Yo!

Firefox ne peut être lancé qu'en droits limités, pas en droits restreints: vu qu'il inscrit des données sur le disque (cookies, cache de navigation etc...) il faut quand même lui laisser quelques droits !

Salut

La mise en place fonctionne bien cher moi.
En revanche elle me pose un petit problème.
Je suis sous XP SP3 et utilise Firefox avec Free Download Manager.
Mon répertoire par défaut de download est sur le lecteur D
Quand je met les deux "sous controle" de SMR la fenetre FDM s'ouvre mais le téléchargement ne commence pas (message me disant que le fichier est introuvable)
Quand je met seulement Firefox "sous controle" de SMR il ne lance pas FDM
Quand je ne place aucun des deux "sous controle" tout marche bien

Je précise avoir fait l'essai avec un download manager intégré à Firefox (Down Them All) et j'ai le même symptome.

Je ne vois pas trop d'où ça peut venir...
- Répertoire de destinataion ? Comme faire en sorte que je puisse écrire sur le lecteur D si c'est le cas
- ???

Si quelqu'un a une idée je prend !

Merci d'avance en tout cas.