Sécuriser son poste de travail

Intro


Vous souhaitez commencer votre activité professionnelle, vous venez d'acheter un ordinateur pour l'occasion ou vous avez récupéré un des ordinateurs qui dormait chez vous. Je vais vous expliquer comment conditionner votre ordinateur pour qu'il puisse servir à travailler

Le seul OS supporté par Microsoft, c'est Windows 10. Les autres non plus le support standard, il faut donc payer pour y avoir accès.

Voici la liste des versions et des dates de support pour chaque version support windows 10

Voici mes recommandations matérielles et logiciels pour votre ordinateur :

Ordinateur portable ou fixe:
8 go de ram
un disque SSD interne
une clé usb ou un SSD externe pour faire la sauvegarde de vos fichiers (suivant les besoins)

Explication:
8 Go de ram c'est le minimum pour être à l'aise sous Windows 10, ça vous laisse une marge
le disque SSD interne va permettre un temps d'accès beaucoup plus rapide, vous perdrez moins de temps à attendre l'ouverture des documents. l'autre avantage est sa résistance au choc, car il n'y a pas de pièces mécaniques

la clé USB va permettre de faire des sauvegardes de vos fichiers

  • Si vous avez l'USB Type A 3.0 (nommé souvent USB 3, c'est un port USB bleu) ou USB Type C sur votre ordinateur (petit port ovale pour USB Type C) regardez sur internet la différence, je vous recommande de prendre une clé rapide pour ne pas perdre de temps (SanDisk Extreme PRO par exemple). Ou un disque SSD externe, même si les SSD n'aiment pas le stockage à long terme
  • Si vous n'avez pas l'USB 3 (USB Type A noir), prenez une clé USB standard, elle sera moins rapide et 2 à 3 fois moins chère pour une capacité équivalente, mais permettra d'avoir une sauvegarde (vous pouvez aussi prendre une clé USB 3, car elles sont rétrocompatibles)
  • Concernant le stockage, tout dépend de votre activité. si vous faites du traitement de texte, vous n'aurez pas besoin du même espace qu'un photographe pro
    • Pour de la bureautique essentiellement, prenez une clé de 16Go à 64Go maximum
    • Pour tout ce qui fait référence à du multimédia (photographe et montage vidéo), faite un mélange entre des SSD pour le terrain et du disque mécanique pour la maison. Ainsi vous aurez les avantages de la rapidité du SSD et sa solidité sur le terrain. une fois rentrés, vous pourrez stocker sur des disques mécaniques moins chers (peut être même un NAS pour la maison)

Ne prenez jamais de clé USB noname (sans nom), elle va vous lâcher très rapidement et présente même un risque pour votre ordinateur, vous pouvez les reconnaitre, car elles ne sont vraiment pas chères
Acheter plutôt des marques connues comme Sandisk ou Kingston. Sandisk est leaders sur ce marché.

Attention, les SSD externe sont forcément en USB 3 car ils fonctionnent à haute vitesse ~500 Mo/s

Différence entre SSD et disque dur mécanique

  • les SSD sont des disques à base de puce de mémoire (comme la clé USB)
  • Les disques mécaniques comportent des éléments qui bougent pour pouvoir fonctionner.
    • Il y a le plateau qui tourne (la partie où sont écrites les données)
    • Le tête magnétique (qui va lire et écrire sur le disque).
    • Quand le disque est éteint en général, la tête est rangée dans un compartiment qui la protège (moins de risques de casser le disque)
    • Quand il est allumé et chute, le choc entre les deux éléments à de fortes chances de détruire le disque, car la tête magnétique vient s'écraser sur le plateau, détruisant la tête et rayant le disque.

Vous pouvez remplacer et ajouter les composants vous-même ou faire appel à un expert

Pour ceux souhaitant le faire, plusieurs choses sont à vérifier

  • Rechercher le modèle de votre ordinateur sur le site du constructeur afin de savoir s'il est possible d'augmenter la quantité de RAM, en général les fabriquant ou vendeurs indiquant la quantité maximale de RAM supportée ainsi que le nombre de ports, la vitesse de la mémoire et le type DDR1, DDR2, DDR3, DDR4. Sur le site du constructeur, fais une recherche avec le numéro de série inscrit en dessous de l'ordinateur (S/N)
  • Si vous ne trouvez rien, entrez en CMD et tapez la commande suivante : wmic memphysical get MaxCapacity, MemoryDevices, cette commande vous indiquera le nombre de ports disponibles, mais aussi la capacité maximale de RAM supportée. Pour avoir la valeur en Go, il faut diviser la valeur affichée (qui est en Ko) par 1048576 qui correspond à 1024*1024, passage de Ko en Mo puis de Mo en Go
  • Tapez la commande suivante pour connaitre la vitesse de vos barrettes mémoire actuellement placée ainsi que le nombre de ports disponibles : wmic MEMORYCHIP get BankLabel, Speed, il faudra garder la même fréquence mémoire si vous ajoutez ou remplacer la barrette de mémoire RAM
  • Des logiciels sont aussi disponibles permettant l'affichage de ces informations. Tapez sur votre moteur de recherche outils lister les composants du PC
  • Maintenant que vous avez les informations concernant la mémoire vive (RAM), rechercher comment remplacer la RAM et le disque

Attention, concernant le disque interne, il faut vérifier s'il est bien en SATA ou IDE (même si l'IDE est obsolète vaut mieux vérifier avant d'acheter), je vous recommande de regarder sur internet à quoi ressemble chacune des interfaces pour les reconnaitre lorsque vous enlèverez le disque avant d'acheter le nouveau.

Si vous avez déjà 4Go de RAM et deux ports RAM disponibles, il sera moins cher d'acheter une barrette supplémentaire de 4Go et de l'ajouter sur le second port plutôt que d'acheter une barrette de 8Go qui remplacera les 4Go déjà présentes.

Sécurisation de Windows


Vous venez d'installer Windows 10 ou vous l'avez déjà de base, voici quelques astuces pour le préserver au maximum des problèmes venant de l'extérieur

Attention, si vous venez d'installer Windows 10, vérifiez que tous les drivers sont bien installés.

Pour cela, appuyez simultanément sur la touche Windows + R
Tapez dans la fenêtre qui apparait devmgmt.msc.

Une nouvelle fenêtre va s'ouvrir, vérifier qu'aucun périphérique n'a de petite icône de type panneau jaune attention avec un point d'exclamation dedans, sinon c'est qu'il manque des drivers.

Pour remédier à cela, téléchargez les drivers manquants pour Windows 10 sur le site du constructeur de votre ordinateur. souvent les grands constructeurs t-elles que DELL et HP mettent à disposition des outils qui téléchargent tous les drivers pour votre ordinateur automatiquement

Pour retrouver le périphérique qui n'a pas de drivers :

  • Pour savoir de quel périphérique il s'agit, faite un clic droit sur le périphérique qui a l'icône avec le panneau, puis cliquez sur propriété
  • Une nouvelle fenêtre apparait, dans les onglets sur le haut de la fenêtre, allez dans Détails, en dessous de propriété, cliquez sur la liste déroulante et choisissez chemin d'accès à l'instance du périphérique.
  • Faite un clic droit sur la valeur PCI\ puis copiez, collez cela sur internet et vous aurez des résultats
  • Si vous ne trouvez rien, ne laissez que la valeur VEN et DEV, les séparations se font par des &

    Exemple : PCI\VEN_8086&DEV_100E&SUBSYS_001E8086&REV_02.......... (ne garder que la partie en gras)

Vous avez déjà créé votre compte et vous êtes sur le bureau. Mettez à jour Windows 10, si vous ne savez pas comment faire ? mettre à jour Windows 10

Déverrouillage du compte administrateur et suppression des droits administrateur de votre compte


Avoir les droits administrateur ne peut que vous desservir, en les enlevant vous allez pouvoir choisir lorsqu'une application a besoin d'une élévation de droit et de refuser si cela ne vous semble pas normal

Le but :

  • Vous sensibilisez sur la sécurité, car vous serez averti, mais aussi il faudra entrer le mot de passe administrateur pour autoriser l'élévation de privilège. Donc si vous le faites c'est que vous êtes certain de vouloir autoriser cette élévation de privilège.
  • Ne plus avoir de programmes indésirables qui élèvent leurs droits sans avoir votre consentement (virus, spyware, etc.)

Vous ne savez pas si vous devez donner ou non les droits à une élévation de privilège. Faite comme suit.

Une élévation de droit apparait juste après une manipulation de votre part. Analyser l'exécutable qui essaie de se lancer. Si vous êtes hésitant ou avez peur de mal faire, refuser.

  • Refuser vous permettra de voir si vous aviez ou non besoin de cette élévation de privilège, car si vous étiez en train de faire quelque chose et que le refus bloque votre manipulation, c'est forcément qu'il fallait accepter. Si vous avez une erreur ou que la manipulation que vous avez faite ne fonctionne pas, refaites-la. vérifier encore l'exécutable, si c'est le même que précédemment alors acceptez

    Vaut mieux refuser puis accepter qu'accepter et se tromper, car dans ce sens impossible de revenir en arrière. Vous avez peut être vérolé votre ordinateur
    Quand vous allez installer des programmes, il faudra forcément accepter l'élévation de privilège pour que l'application puisse s'installer correctement.
    Pour cela télécharger les applications uniquement sur les sites des éditeurs.

Certains éditeurs proposent aussi de vérifier le checksum de l'exécutable, via un checksum (code) fourni avec l'exécutable. Ainsi vous pourrez vérifier si l'exécutable téléchargé est bien celui de l'éditeur. Tapez sur votre moteur de rechercher : vérifier intégrité logiciel

Pour activer le compte administrateur et vous enlever les droits administrateurs, entrez les commandes suivantes :

Appuyer simultanément sur la touche Windows + R, une fenêtre va s'ouvrir, taper cmd puis appuyer sur la touche entrée du clavier

  • Tapez net user Administrateur *
  • Entrez le mot de passe qui vous servira pour avoir les droits administrateur
  • Entrez une seconde fois le mot de passe choisie pour valider
  • Tapez net user Administrateur /active:yes pour activer le compte administrateur
  • Tapez echo %username% le nom qui s'affiche sera à entrée à la place de VOTREUSER dans les lignes suivantes
  • Tapez net localgroup Administrateurs VOTREUSER /delete Remplacer VOTREUSER par l'utilisateur récupérez au-dessus
  • Tapez net localgroup Utilisateurs VOTREUSER /add pour ajouter votre utilisateur dans le groupe utilisateurs
  • Tapez net localgroup Utilisateurs et vérifier que votre utilisateur est bien dans la liste qui s'affiche
    Redémarrer l'ordinateur
    Bonne nouvelle, vous n'êtes plus Administrateur.

N'ouvrez jamais la session Administrateur, ouvrez votre session comme d'habitude et ne perdez pas le mot de passe de la session Administrateur, il servira pour l'installation et le lancement d'application en Administrateur.

Voici le type de fenêtre qui demande les accès administrateur

Demande de droit

  • Le programme qui souhaite avoir les droits est affiché en haut (dans notre cas c'est Windows Powershell)
  • En dessous l'éditeur est indiqué comme vérifié, c'est Microsoft (le fait qu'il soit vérifié est utile, mais tous ne le sont pas)
  • En bas, il demande les droits du compte Administrateurs pour se lancer
  • Avec tous ces éléments, vous devez savoir si vous pouvez entrer le mot de passe est validé pour que le programme s'exécute en Administrateur

    Comme indiqué plus haut, si vous n'êtes pas sûr, refusé. Si cela vous bloque, relancez votre manipulation et entrez le mot de passe puis validez.

Accéder à internet via un environnement protégé Sandbox (Windows 10 uniquement)


Nous allons installer l'outil de Windows Sandbox, cet outil permet de créer un environnement virtuel séparé de vos systèmes qui se réinitialise dès que vous le fermez
L'intérêt d'un tel outil peut servir à deux choses

  1. Aller sur internet en abaissant le niveau de risque
  2. Tester l'installation de programmes téléchargés pour vérifier leur fiabilité

Une fois la sandbox mis en place, je recommande vivement d'accéder à internet uniquement via ce logiciel.

Avant de l'installer, il va falloir activer dans le bios la virtualisation, vous pouvez rechercher sur internet comment faire, en général ça se trouve dans la partie CPU du BIOS

  • Pour AMD, ça se nomme SVM
  • Pour Intel c'est VTx

    Pour aller dans le bios, au démarrage de la machine, il faudra tapoter sur Echap ou Supr du clavier jusqu'à l'apparition du BIOS (ça peut aussi être d'autre touche, c'est indiqué en général au démarrage sur la partie basse de l'écran)
    Il faudra trouver le paramètre SVM pour AMD ou VTx pour les processeurs Intel et le mettre sur Enable.
    Une fois la virtualisation activée quittez en enregistrant

Nous allons installer l'outil sous Windows

  • Dans la barre de recherche tapez powershell
  • Vous allez avoir Windows Powershell qui va apparaitre sur la partie haute de la fenêtre
  • Faites un clic droit dessus, puis cliquez sur Exécuter en tant qu'administrateur

    Vérifiez bien que c'est powershell qui essaie de se lancer et que l'éditeur vérifié est bien Microsoft Windows.

  • Entrez le mot de passe administrateur puis validez
  • Tapez la commande suivante : Enable-WindowsOptionalFeature -FeatureName "Containers-DisposableClientVM" -All -Online
  • Une fois terminé, il vous demande si vous souhaitez redémarrer, appuyer sur la touche y puis la touche entrée du clavier
  • L'ordinateur va redémarrer
  • Pour lancer le programme, dans la barre de recherche, tapez sandbox
  • Vous allez avoir Windows Sandbox qui va apparaitre sur la partie haute de la fenêtre, cliquer dessus

Si au lancement de l'application vous avez le message suivant, c'est que la virtualisation du processeur n'a pas été activée

Aucun hyperviseur n'a été trouvé activez la prise en charge de l'hyperviseur

Error 0xc0351000. Aucun hyperviseur n'est présent sur ce système.

Aimeriez-vous soumettre vos commentaires sur ce problème ?

Le programme lancé, vous pouvez aller sur internet, télécharger et lancer des applications.
Attention, une fois le programme fermé, toutes les modifications effectuées à l'intérieur seront supprimées

Nous allons créer un fichier sur le bureau qui permettra de lancer sandbox avec un partage entre la sandbox et le système.
Cela permettra de récupérer les téléchargements effectués depuis la sandbox

Sur le bureau, effectuez les manipulations suivantes :

  • Tapez dans la barre de recherche notepad
  • Cliquez sur le logiciel Bloc-notes qui apparait en haut
  • Tapez ce qui suit dans le bloc-notes qui apparait
<Configuration> 
   <Networking>Enable</Networking>
   <MappedFolders>
      <MappedFolder>
         <HostFolder>C:\sandbox</HostFolder>
      </MappedFolder>
   </MappedFolders>
</Configuration>
  • Maintenant cliquez sur Fichier / Enregistrer sous
  • Dans la nouvelle fenêtre au dessus d'enregistrer, dans type vous avez fichier texte (*.txt), cliquez dessus et choisissez Tous les fichiers
  • Au-dessus dans Nom de fichier, indiqué sandbox.wsb
  • Choisissez le Bureau pour destination à gauche, cliquez sur Enregistrer
  • Vous avez une icône de sandbox qui s'affiche sur votre Bureau
  • Allez sur le disque C:\ avec l'exploreur et créer le dossier sandbox
  • Doublecliquez sur sandbox présent sur le bureau
  • Votre sandbox va s'ouvrir avec le partage qui vous permettra de transférer vos fichiers téléchargés depuis la sandbox vers votre ordinateur dans C:\sandbox

Petite astuce, sur le partage laissez juste un document texte, ainsi si vous lancez un ransomware, vous allez le remarquer rapidement, car votre fichier sera chiffré

Résumé : La sandbox a pour but de protéger votre ordinateur des menaces présentes sur internet. Vous avez deux possibilités qui s'offrent à vous.

  1. Accéder à internet uniquement via cet outil, et tester tous les programmes et fichiers téléchargés en les lançant/installant sur la sandbox pour être surs qu'il ne représente pas une menace pour votre système.
    • Avantage : Risque de menace grandement atténué
    • Inconvénient : Comme l'outil se réinitialise après chaque fermeture, vous perdrez à chaque fois vos marque-pages.
      • Vous pouvez remédier à cela en téléchargeant un navigateur portable Applications portables puis en le copiant sur le partage.
      • De temps en temps, faites une archive du navigateur sur le partage avec 7zip puis transféré là sur votre ordinateur (ne jamais extraire ou ouvrir le programme depuis votre ordinateur, il pourrait contenir des logiciels malveillants ou avoir été corrompu sans que vous le remarquiez)
      • Téléchargé et laisser sur le partage tous les outils portables nécessaires à la vérification des fichiers avant le transfert sur l'ordinateur. Suite office, lecteur PDF, etc.
  2. S'en servir pour le téléchargement des outils et l'installation afin de vérifier qu'ils soient sains
    • Avantage : Réduis les risques
    • Inconvénient : vous n'enlevez pas les risques liés à la navigation depuis votre système (hors de la sandbox)

Dans le second cas, vous pouvez aussi utiliser Microsoft Application Guard IT-Connect mettre en place application guard, cela vous permettra de sécuriser votre accès à internet

Je vous recommande de ne rien garder sur le partage (hors logiciel nécessaire à l'utilisation et un fichier texte inutile). Après avoir vérifié que le document ou le logiciel téléchargé est sain, transférez-le sur votre poste. Puis supprimer le dû partage.

Antivirus


Si votre ordinateur est dédié en partie ou complètement à une utilisation professionnelle, je vous recommande d'acheter un antivirus professionnel.
Ils ont plus d'options et n'envoient pas de données personnelles
Pour faire votre choix vous avez un site dédié à cela AV-test
Allez dans la rubrique pour les entreprises à droite
Votre analyse devra se porter sur la liste du site mais aussi sur vos besoins
Chaque antivirus a ses options et certaines options seront sûrement plus importantes à vos yeux que d'autres. Pour cela il faudra aller sur le site des antivirus et voir ce que propose leur version payante

SOURCE


https://www.windows-commandline.com/remove-user-from-group-using-command/
https://www.it-connect.fr/installation-et-configuration-de-windows-sandbox/
https://winaero.com/enable-windows-10-sandbox-powershell-dism/