Sécurité

Guide de sécurisation de Windows face aux menaces des périphériques amovibles

Création et configuration d'une station blanche

Ce principe de station blanche existe déjà dans certaines entités et administrations. Elles font l'objet de règles de configuration et d'utilisation strictes, inhérentes à l'entité qui la propose. Je n'en reprends que le principe général que j'extrapole à un usage domestique ou d'entité à but non lucratif (en effet, la licence de certaines applications que nous allons utiliser ne nous permet pas juridiquement d'envisager leurs emplois dans un cadre professionnel). L'existence d'une station blanche sous-entend l'adhésion de tous les utilisateurs au système de précaution. Il s'agit alors de concentrer nos efforts sur un seul système, accessible à tous, et sur lequel tous les utilisateurs viendraient préalablement y insérer leurs supports amovibles avant toute insertion sur un autre système mis à leur disposition.

Ainsi, à l'arrivée de ces derniers à l'entité, ils y branchent leurs supports qu'ils ont l'intention par la suite d'utiliser sur les systèmes ; en partant, ils y branchent à nouveau leurs supports amovibles à titre de précaution en égard à leurs systèmes domestiques chez eux sur lesquels ils reviendront sans aucun doute brancher leurs supports. La station blanche est une sorte de sas de sécurité pour les périphériques amovibles entre les systèmes domestiques et les systèmes de l'entité. Cette notion de station blanche nécessite l'adhésion de tous les intervenants et sans doutes quelques explications pédagogiques à destination de ces derniers avant sa mise en oeuvre. Certaines entités utilisent des moyens coercitifs pour contraindre leurs utilisateurs à passer par la station blanche, avec sanction sous diverses formes à la clé.

La règle de base dans l'élaboration d'une station blanche est simple. Le système faisant office de station blanche doit être déconnecté de tous réseaux : cela induit donc que les cartes réseaux si présentes soient désactivées. N'importe quel vieux PC pourrait faire l'affaire par conséquent. Il doit se situer à un endroit visible, identifié et fréquenté ; à l'entrée de l'entité par exemple. Tout ce qui a trait au réseau étant désactivé, même un matériel un peu poussif devrait s'en sortir honorablement. Je vous invite à consulter les différents tutoriels d'optimisation des systèmes disponible sur l'Internet pour voir quelles seraient les fonctionnalités inutiles à désactiver dans le cadre d'un système non relié à un réseau.

Nous allons simplement y appliquer d'une part la configuration de base -  la désactivation de l'autorun et inhibition de celui-ci - et la vaccination automatique des supports insérés dans un premier temps. Le responsable de l'administration de cette station veillera à nettoyer régulièrement le cache USB du système, et sans doute l'historique vu la quantité de périphériques amovibles susceptibles d'y être branchés à terme.

Dans un deuxième temps, nous allons nous attacher à ce que l'antivirus présent sur le système analyse scrupuleusement tous les fichiers présents sur le périphérique amovible inséré. Bien sur la protection résidente de certains antivirus pourrait nous suffire dans certains cas, mais le résident bien souvent n'analyse les fichiers que juste avant que vous ne désiriez y accéder ou les visualiser. Un fichier malveillant, contenu dans un sous-répertoire d'un répertoire pourrait ainsi passer entre les mailles du filet si l'utilisateur n'ouvre pas explicitement et précisément le sous-répertoire en question. Si l'entité dispose d'un antivirus présent sur les systèmes, je vous invite à consulter la documentation associée pour y configurer l'analyse automatique de tous les fichiers présents sur le support dès son insertion et sa détection par le système. Si l'entité n'en dispose pas, je vais vous suggérer l'emploi d'Avira AntiVir Personal - FREE Antivirus que je vous indiquerai de quelle façon configurer et avec quels outils de sorte que cette analyse des fichiers présents sur le support inséré soit automatique et effective.

AviraPourquoi l'antivirus Antivir ? La précision m'apparaît importante. Je tiens à souligner que je ne suis pas payé par cet éditeur pour évoquer son produit ^_^ .

J'avais déjà exprimé ce choix dans un précédent sujet réalisé, PC hors ligne, quel outil de sécurité ?, et mes raisons alors exprimées ne diffèrent pas encore aujourd'hui, même si entretemps la version de l'outil a changé. Pour rappel, j'y indiquais qu'il nous fallait impérativement pour un système non connecté un outil possédant les particularités suivantes :

  • Un outil qui ne cesse pas de fonctionner malgré l'absence de mises à jour
  • Un outil qui reste réactif aux menaces malgré l'obsolescence de sa base de définition
  • Un outil que l'on pourrait tout de même mettre de temps en temps à jour sans qu'il soit connecté (consultez les tutoriels nombreux sur le Net à cet effet)
Je rajouterai aujourd'hui, et dans notre cas de figure bien précis, un outil que nous pouvons manipuler en invite de commande de sorte d'automatiser l'analyse de nos supports insérés dès leur détection. Premier point, l'antivirus doit être donc présent sur le système et installé. L'activation du guard (le résident) n'est pas nécessaire, à vous d'en décider (cela doublonnera en tout cas). Deuxième point, nous allons avoir besoin d'un fichier de configuration, disponible sur les serveurs Antivir, ou susceptible d'être créé manuellement. Ce dernier doit contenir les éléments suivants (illustration 48) :

[CFG]
GuiMode=1
ExitMode=1

[SEARCH]
Parameter=0x00300432

[CONTROLCENTER]
ProfileName=ShlExt

[SCANNER]

Illustration 48 - contenu du fichier filescan.avp par défaut

Si vous téléchargez directement le fichier sur les serveurs Antivir1, le fichier est déjà correctement défini. Sinon, il doit contenir ce qui est indiqué dans l'illustration précédente et enregistré sous le nom filescan.avp. Déplacez-le à la racine de la partition système ; nous allons considérer dans notre exemple ici qu'il s'agit du lecteur C. Faites un clic-droit ensuite sur le fichier de sorte d'en modifier les propriétés : il est impératif de basculer le fichier en lecture seule ; sinon le fichier sera supprimé immédiatement après l'analyse du support amovible et au périphérique suivant d'inséré l'analyse automatique ne fonctionnera plus.

Pour les plus attentifs, vous avez dû remarquer que j'ai suggéré précédemment l'emploi de l'utilitaire Panda dans la mise en oeuvre de la vaccination automatique sur notre station blanche. C'est parce que je destine USBDeview à travailler en binôme avec Antivir de sorte d'automatiser l'analyse du support inséré. Rendons-nous donc dans l'utilitaire USBDeview, et de la même façon qu'indiqué pour la vaccination automatique via l'utilitaire, sélectionnons dans les Options Démarrer USBDeview en caché. N'oubliez pas aussi de rajouter un raccourci dans le répertoire Démarrage de votre Menu Démarrer, de sorte qu'il soit bien exécuté au démarrage de la session Windows à l'allumage du système. Enfin, rendez vous toujours dans Options dans Options avancées et saisissez la commande suivante (illustration 49) dans l'interface après avoir sélectionné Exécuter la commande suivante à la connexion d'un périphérique USB :

"C:\Program Files\Avira\AntiVir Desktop\avscan.exe" /CFG="C:\filescan.avp" /PATH="%drive%"

Illustration 49 - contenu du fichier filescan.avp par défaut


L'exemple proposé l'est à titre indicatf. Il faudra vous assurer que la lettre du lecteur est la bonne, que le répertoire d'installation d'Antivir soit bien indiqué.

Récapitulons. Nous n'avons pas abordé la configuration générale du système en raison de l'inactivité réseau, les tutoriels sont nombreux en ce sens, et ce n'est pas l'objet de notre information. Nous supposons ici l'emploi conjoint de trois outils : Antivir, l'utilitaire Panda et USBDeview. Les deux derniers ne sont pas gourmands en tâche résidente, et il faut se rappeler que ce système de station blanche n'est dédié qu'à l'analyse des supports amovibles. Si vous avez correctement suivi les indications, la station blanche automatisera systématiquement à l'insertion d'un support amovible USB la vaccination dudit support et l'analyse complète des fichiers présents sur celui-ci. Précision, la réaction d'Antivir va dépendre de la configuration du Scanner dans les options de configuration de l'interface d'administration de l'antivirus. Je vous suggère à cet effet de définir l'analyse de Tous les fichiers (et non la Sélection intelligente des fichiers), ainsi qu'une Action automatique en cas de résultat (je suggère Copier le fichier dans la quarantaine avant l'action afin de pouvoir récupérer un fichier supprimé par accident), première action définie sur réparer, deuxième action définie sur supprimer. Définissez l'heuristique sur Elevé (suggestion personnelle), et activez la détection heuristique des macrovirus (Heuristique Macrovirus). Pour finir, dans les Généralités, sélectionnez tous les éléments dans Catégories de dangers étendues. Concrètement, l'utilisateur viendra donc insérer son support amovible sur la station blanche. Son périphérique sera vacciné (s'il ne l'était pas déjà) afin de neutraliser l'éventuelle propagation d'une infection de type Autorun. L'intérêt étant de protéger son système à lui (un PC à la maison, par exemple, comme vous n'avez pas la "main" dessus, vous ignorez comment il est configuré), puisque vos systèmes à vous sont configurés de sorte que l'autorun ne soit pas interprété (désactivé et inhibé). Puis son support est immédiatement analysé par l'antivirus, où les fichiers détectés malveillants seront désinfectés ou supprimés du support.

Tout cela ne prend que quelques secondes, voire quelques dizaines de secondes ; il est vrai que c'est variable en fonction des performances du matériel alloué à la station blanche, de l'espace total de stockage du périphérique amovible et du nombre de fichiers présents à analyser. La seule action demandée à l'utilisateur, hormis l'insertion de son support, est de cliquer sur Terminer afin de quitter l'interface d'analyse Antivir (illustration 50), puis de procéder à la désinstallation du périphérique du système via la Zone de Notification. L'interface lui permettra de savoir quels ont été les éléments relevés sur son support et pourra l'alerter sur une éventuelle infection (qu'il aurait immanquablement ramené de chez lui).

Recherche Antivir terminée
Illustration 50 - seule action demandée à l'utilisateur, cliquer sur 'Terminer'

Ainsi, en quelques manipulations vous protégez vos systèmes accessibles, les utilisateurs vaccinent et analysent leurs supports. Un mode d'emploi via une affiche plaquée à côté du poste, voire un fond d'écran rappelant quelles sont les modalités d'utilisation de la station blanche sont envisageables  ; laissez libre court à votre imagination pour rappeler l'usage et l'emploi de la station blanche. Si chacun des utilisateurs fait bien l'effort d'analyser ses périphériques en arrivant, vos systèmes seront prémunis. La règle qu'il faut leur rabâcher est d'utiliser le "sas" (la station blanche) pour toute manipulation de périphérique amovible (vos systèmes d'entité, leur système personnel). Vous aurez bien entendu un devoir de vigilance à votre niveau, car la station blanche ne doit pas se transformer en nid à malwares propageant les infections sur tous les supports venus se faire analyser : je l'ai déjà vu et constaté dans certaines administrations.

Vos commentaires
Laissez un commentaire !
A découvrir également :
  1. ZebIxe en tant qu'invité
    le 20 février 2011 à 12h24

    Cette information vaut de l'or pour moi: je n'ai lu aucune réponse-solution qui approchait celle-ci, même en anglais. De l'or... sauf qu'il est un peu tard pour moi pour l'appliquer.

    Éprouvant actuellement un problème d'amorçage sous OS W7 32 bits et comme tout bon internaute, j'ai fait différentes recherches, appliqué différentes solutions «post-mortem» qui n'ont malheureusement pas réglé mon problème qui consiste:
    message d'erreur sur écran bleu mais tellement rapide que je dois désactiver la fonction de démarrage automatique de W7 pour parvenir à le lire soit «UNMOUNTABLE_BOOT_VOLUME, code d'erreur STOP: OX...ED et la suite)

    Rien n'y fait: disque de réparation W7 inopérant (redémarre continuellement), copie de réinstallation W7 inopérante (je savais déjà le pourquoi mais maintenant surtout comment y remédier... lorsque je pourrai le faire évidemment), impossibilité d'appliquer aucune action avancée par F8 (retombe inévitablement sur l'écran bleue ou redémarre), impossibilité d'entrer dans le bios afin d'écrire certaines commandes clées qui pourraient régler mon problème(chksdk /r, fixboot, bootrec /fixmbc, ...).

    Rien n'y fait... de ce que j'ai essayé du moins mais il existe certainement une solution.

    Évidemment, si j'expose ainsi et ici mon problème, c'est qu'il va y avoir une suite à cette phrase style supplication:

    «POURRIEZ-VOUS M'AIDER S'IL-VOUS-PLAÎT???»

    Merci à l'avance pour les réponses qui, j'en suis certain (comprendre ici «espérance») ne manqueront pas de parvenir,

    ZebIxe

    répondre
  2. Gof en tant qu'invité
    le 27 janvier 2011 à 06h00

    Merci à Jean-Michel

    répondre
  3. Yann en tant qu'invité
    le 25 janvier 2011 à 09h32

    Bonjour,

    Voici deux scripts supplémentaires envoyé par Jean-Michel, un de nos lecteur. Merci à lui !

    - VaccinUSB_On-Off_Select_Drive.bat
    - VaccinUSB_On-Off_All_Drive_and_Registre.bat

    CitationLes 2 versions vaccinent contre les mêmes "virus/trojan" que VaccinUSB.exe, avec en plus l'option d'installer ou de désinstaller le vaccin.

    Le nomrep à la fin des scripts pour simplifier l'ajout (la liste de nomrep est la même que l'actuel VaccinUSB.exe )

    La version "All Drive" installe ou désinstalle VaccinUSB sur les 26 lecteurs possibles, ainsi que l'affichage registre au sujet de l'autorun (section :examreg du script).

    La version "Select Drive" demande le lecteur sur lequel l'on veut installer ou désinstaller VaccinUSB.

    Suite à un probléme quand l'on vaccine plus d'une clef USB ajout du nettoyage du "temp" des anciens nomrep.txt, lecteur.txt et rapportVacUSB.txt en début de script pour éviter que l'ancienne vaccination soit répété, en cas de d'ajout ou de retrait de "signature" (nomrep).

    Voilà je pense avoir fait le tour des modifications du script d'origine. Merci pour votre article et à l'auteur du script original qui m'a beaucoup aidé à résoudre un soucis

    Cordialement

    Jean-Michel

    répondre
  4. Gof en tant qu'invité
    le 08 janvier 2011 à 11h00

    dzork a dit :(...) Par contre, j'aimerais savoir s'il est possible de bloquer l'écriture d'un seul port usb sans bloquer les autres ports.
    cordialement.
    Bonjour

    Dans la méthode proposée, tous les périphériques ne seront pas disponibles en écriture. Je n'ai pas la réponse à ta question, à savoir isoler un seul périphérique afin d'interdire l'écriture sur tous les autres. Il faudrait pour cela trouver une solution différente de celle que j'ai proposée, car cette dernière ne permet pas cette distinction.

    répondre
  5. Gof en tant qu'invité
    le 08 janvier 2011 à 10h48

    hossec a dit : (...) Pouvez vous me précisez ou j'ai fait une erreur
    Bonjour hossec

    Pour les lecteurs, il est préférable de poser vos questions éventuelles sur le forum, ici je risque de passer à côté et ne pas voir les questions.

    Je réponds dans ton sujet hossec

    répondre
  6. hossec en tant qu'invité
    le 06 janvier 2011 à 21h57

    Bonsoir,

    Tout d'abord merci pour votre tuto.
    Cependant je rencontre un problème pour créé le bat. J'ai rajouté des lignes comme vous l'avez préconisé, pour créé plusieurs répertoire mais sans succès. il ne me créé qu'un seul répertoire
    Voici mon bat:
    chcp 1252
    @echo off
    del /q %temp%\rapportVacUSB.txt
    echo %date% - %time% - Vaccin USB - Gof>%temp%\rapportVacUSB.txt
    echo. >>%temp%\rapportVacUSB.txt
    goto lecteur
    :vaccon
    echo Répertoires et fichiers vaccins :>>%temp%\rapportVacUSB.txt
    echo. >>%temp%\rapportVacUSB.txt
    FOR /f %%g in (%temp%\lecteur.txt) do for /f %%h in (%temp%\nomrep.txt) do (
    if exist "%%g\%%h" echo %%g\%%h Present >> %temp%\rapportVacUSB.txt
    if exist "%%g\%%h" attrib.exe -h -r -s -a "%%g\%%h"
    if exist "%%g\%%h" del /q "%%g\%%h"
    rd /s /q "%%g\%%h"
    md "%%g\%%h"
    type nul > "\?\%%g\%%h\con.Repertoire vaccin"
    if exist "\?\%%g\%%h\con.Repertoire vaccin" echo %%g\%%h - Vaccin Ok >> %temp%\rapportVacUSB.txt
    attrib.exe +h +r +s +a "%%g\%%h"
    )
    goto sortie
    :sortie
    echo.>> %temp%\rapportVacUSB.txt
    echo %date% - %time% : Fin.>> %temp%\rapportVacUSB.txt
    start %temp%\rapportVacUSB.txt
    exit
    :lecteur
    del /q %temp%\lecteur.txt
    echo Lecteur détectés :>>%temp%\rapportVacUSB.txt
    echo. >>%temp%\rapportVacUSB.txt
    for %%i in (a, b, c, d, e, f, g, h, i, j, k, l, m, n, o, p, q, r, s, t, u, v, w, y, y, z) do (
    vol %%i:
    if not errorlevel 1 echo %%i: >>%temp%\lecteur.txt
    vol %%i:
    if not errorlevel 1 vol %%i: >>%temp%\rapportVacUSB.txt
    )
    echo. >>%temp%\rapportVacUSB.txt
    goto nomrep
    :nomrep
    echo driver > %temp%\nomrep.txt
    echo myfolder > %temp%\nomrep.txt
    echo autorun.inf > %temp%\nomrep.txt
    goto vaccon

    RIEN Y FAIT, IL NE CREE QUE LE REPERTOIRE AUTORUN.INF

    Pouvez vous me précisez ou j'ai fait une erreur

    Merci d'avance

    répondre
  7. dzork en tant qu'invité
    le 06 janvier 2011 à 12h03

    Bonjour et merci pour cette info.
    Par contre, j'aimerais savoir s'il est possible de bloquer l'écriture d'un seul port usb sans bloquer les autres ports.
    cordialement.

    répondre
  8. Gof en tant qu'invité
    le 22 juin 2010 à 22h21

    Bonsoir,

    Le document est à présent disponible sur le lien suivant : cliquer ici.

    Suite à la mise à jour du forum, le lien a changé. Pour ceux qui ont inséré ce billet sur leur site/blog, pensez à changer/modifier le lien de téléchargement, merci.

    répondre
  9. Gof en tant qu'invité
    le 16 mai 2010 à 20h45

    Bonsoir jeje cordao

    Merci du commentaire. En effet, ce petit logiciel permet d'automatiser quasiment tous les éléments recensés et indiqués dans le tutoriel. Le logiciel en question a été créé par Loup blanc, un ami, pour permettre d'automatiser facilement les conseils suggérés du PDF. J'en avais parlé en commentaire du billet de ce Guide, sur le blog La mare du Gof.

    Ainsi, pour ceux qui veulent comprendre et faire les manipulations manuellement, je leur suggère de consulter le PDF et d'appliquer par eux-mêmes les suggestions qui leur conviennent. Pour les autres, moins à l'aise ou plus pressés, l'outil USB-SET conviendra parfaitement.

    USB-SET est disponible ici sur Zebulon, ou sur l'hébergement de l'auteur Loup blanc ici. La version au moment où j'écris ces lignes est la 1.4.1.

    En cas de soucis, un support peut être assuré sur le forum, dans Optimisation, Sécurisation, Prévention.

    A bientôt

    répondre
  10. jeje cordao en tant qu'invité
    le 12 mai 2010 à 15h54

    super travail, bien détaillé, par contre j'ai trouvé un logiciel qui apparemment pourrait réaliser toutes ses actions : USB-set 1.2 ou 1.3?
    Qu'elle est votre opinion sur ce petit utilitaire.
    et encore merci aux nomx de tous

    répondre
Ecrire un commentaire