Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé win 10. Afficher tous les messages
Aucun message portant le libellé win 10. Afficher tous les messages

mardi 26 juin 2018

Le cauchemar Windows Update continue sur Windows 10



Windows est connu pour sa simplicité d’utilisation. Toutefois quand ce dernier se met à bugger, l’utilisateur reste souvent désemparé face à des messages d’erreur incompréhensible.
Windows Update est le service de mise à jour de Windows.
Ce dernier est assez connu pour poser de gros problèmes : code erreur, recherche dans le vide, provoque des lenteurs de connexion ou de Windows.
Avec l’arrivée de Windows 10, on aurait pu espérer que les problèmes Windows Update disparaissent mais la sortie de la mise à jour 1803 prouve plutôt le contraire.
L’installation des mises à jour sur Windows 10 et notamment les mises à jour de version pourraient être même pire que dans les versions précédentes.
Le cauchemar Windows Update continue sur Windows 10

Le cauchemar Windows Update sur Windows 10

Les versions précédentes de Windows et notamment Windows 7 étaient assez connu avec ces problèmes Windows Update.
Windows Update pouvait chercher dans le vide, des mises à jour interminables et même parfois des codes erreurs : Erreurs Windows Update : Mise à jour impossible
Windows 10, surtout avec la dernière version 1803 n’est pas en reste du côté des problèmes Windows Update.
Cette mise à jour 1803 a planté beaucoup d’ordinateurs en démarrant sur Windows Rollback, écran noir au démarrage ou autres.
Une partie de ces problèmes et bugs sont évoqués sur la page : Les bugs et problème mise à jour Windows 10 1803 (Spring Creator Update).
D’après une étude britannique, 50% des utilisateurs déclarent avoir rencontré un bug ou un dysfonctionnement après la mise à jour 1803.
Seulement des problèmes de fonctionnement plus larges de Windows Update sont aussi à noter.
Sur les forums ou réseaux sociaux, on constate beaucoup beaucoup beaucoup de plaintes des utilisateurs de Windows 10.

Mise à jour trop automatisée

Dans un souci de garder un parc le plus à jour possible, Microsoft automatise au maximum l’installation des mises à jour.
L’utilisateur n’a pas la main pour désactiver Windows Update ou bloquer une mise à jour .
Cela est possible mais pas prévu par défaut :
Or les ordinateurs sont des outils de travail, la mise à jour peut se déclencher au mauvais moment.
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
On a aussi pu voir lors de présentations, des popups de proposition d’installation Windows Update ou de mise à jour de Windows 10 s’ouvrir.
Le cauchemar Windows Update continue sur Windows 10

Comble de l’automatisation, un utilisateur qui rétrograde de version de Windows 10 suite à des problèmes de la mise à jour verra celle-ci se réinstaller.
En clair donc, les utilisateurs vivent ces mises à jour comme étant imposées.
Le cauchemar Windows Update continue sur Windows 10

Mise à jour trop longue à s’installer

Le second reproche est que l’installation des mises à jour est trop longue.
Certes les utilisateurs ne souvent pas patients, mais parfois, l’installation peut prendre 1h30 et dans certains cas, beaucoup beaucoup plus de temps.
Or si la mise jour se déclenche au mauvais moment et si l’utilisateur a besoin de travailler, cela a le don de l’énerver.
Le problème de fond, même si une partie peut s’installer pendant que Windows est ouvert, est qu’une grosse phase d’installation se fait avec un Windows non accessible.
L’utilisateur ne peut pas travailler sur son ordinateur.
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Entre les utilisateur qui ne peuvent pas travailler, d’autres qui doivent rester après leurs heures. On a ceux qui ne dorment pas.
Le cauchemar Windows Update continue sur Windows 10

Le Chaos de la mise à jour 1803

En plus des plantages lors de l’installation, d’autres problèmes se greffent.
Quand votre ordinateur est un outil de travail, arriver le matin et constater l’ordinateur planté suite à l’installation d’une mise à jour pendant la nuit. Cela ne fait pas débuter la journée sous de bon hospice.
De plus, beaucoup d’autres problèmes de configuration et de fonctionnement sont à noter.
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
  • Problème de fonctionnement de Photoshop avec une sur-utilisation de la mémoire
  • Perte de son ou caméra ou autres périphériques à cause de problèmes de pilotes.
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10

Cela a tendance à agacer au plus au point les utilisateurs.
Le cauchemar Windows Update continue sur Windows 10
Le cauchemar Windows Update continue sur Windows 10
Et du coup les utilisateurs avancés rétrogradent..
Le cauchemar Windows Update continue sur Windows 10

Conclusion

La guerre des navigateurs internet et des antivirus gratuits montrent que les utilisateurs n’attendant qu’une chose d’un appareil ou d’un logiciel : qu’il soit le plus simple, rapide possible mais surtout qu’ils soient discrets (pas de notifications, demandes, pubs, etc).
A ce jeu là, les mises à jour de Windows 10 sont loin de compte.
La perte de confiance des utilisateurs est en marche et elle est assez difficile à inverser. Symantec avec Norton en sait quelque chose.
Théoriquement, une seconde mise à jour de Windows 10 devrait avoir lieu en fin d’année. Il est fort à parier que son installation va donner des sueurs froides aux utilisateurs traumatisés par cette mise à jour 1803.
Microsoft devrait vraiment travailler sur Windows Update et les mises à jour de Windows 10 pour régler tous ces problèmes.

REF.:

vendredi 25 mai 2018

Comment exécuter une application en administrateur sur Windows 7, 8.1 ou 10



Les utilisateurs de Windows ont toujours un peu de mal à comprendre le concept du contrôle des comptes utilisateurs ou UAC.
Ce dernier est expliqué sur la page : Le contrôle des comptes utilisateurs (UAC) de Windows
Cet article énumère toutes les façons différentes de lancer une application en administrateur sur Windows.

Comment exécuter une application en administrateur sur Windows 7, 8.1 ou 10

Lorsque vous exécutez une application, celle-ci est exécuté avec des permissions basses.
Si votre utilisateur fait partie du groupe administrateurs, vous pouvez exécuter l’application en administrateur.
Une popup du contrôle des comptes utilisateurs (UAC) s’ouvre alors pour confirmer l’exécution en administrateur.
A partir de là, un jeton virtuel est créé pour lancer l’application avec des permissions plus élevées.
Comment exécuter une application en administrateur sur Windows 7, 8.1 ou 10
Cette page vous explique comment exécuter une application avec les permissions administrateur.

Depuis un raccourci Windows

Pour exécuter une application en administrateur depuis un raccourci Windows, faites un clic droit.
Dans le menu se trouve alors l’option Exécuter en tant qu’administrateur.
Comment exécuter une application en administrateur sur Windows 7, 8.1 ou 10
Il est aussi possible de forcer l’exécution du raccourci depuis un clic droit et propriétés.
Cliquez ensuite sur le bouton Avancé, pour activer l’option « Exécuter en tant qu’administrateur ».
Comment exécuter une application en administrateur sur Windows 7, 8.1 ou 10

Depuis le menu Démarrer

Vous pouvez exécuter une application avec les droits administrateurs depuis le Menu Démarrer de Windows.
Cela fonctionne comme pour les raccourcis, à savoir, par un clic droit puis exécuter en tant qu’administrateur.
Le Menu Démarrer de Windows 10 est un peu différent, il faut aller dans l’option plus.
Comment exécuter une application en administrateur sur Windows 7, 8.1 ou 10
Pour aller plus vite, vous pouvez aussi utiliser les touches raccourcis clavier : Maj+CTRL et Entrée

Depuis la page exécuter

La fenêtre exécuter permet de lancer une application en saisissant son nom ou à partir du bouton Parcourir.
Cette page exécuter est accessible par la combinaison de touches : Touche Windows + R
ou sur Windows 8 et Windows 10 en effectuant un clic droit sur le Menu Démarrer de Windows puis exécuter.
Comment exécuter une application en administrateur sur Windows 7, 8.1 ou 10
Lorsque vous exécuter le programme, ce dernier tourne avec les droits utilisateurs mais depuis Windows 10 1803 vous pouvez demander une élévation de privilèges.
Cela fonctionne aussi sur Windows 8.1 et Windows 7.
Pour cela, sur la fenêtre au lieu de valider par OK, il faut valider par la combinaisons de touches Maj+CTRL et OK.
vous pouvez aussi exécuter une commande sous un autre utilisateur (pas forcément administrateur), par exemple pour exécuter une applicatiojn avec l’utilisateur administrateur intégré depuis une autre session.
Il faudra utiliser la commande runas de cette manière :
runas /user:Administrateur cmd
Il faut que le compte administrateur intégré soit activé, pour cela, rendez-vous sur la page : Comment activer le compte administrateur intégré sur Windows 7, 8 et 10

Exécuter une application en AUTORITE/NT

Il est aussi possible de lancer une application avec des permissions encore plus élevées qu’administrateur.
Il s’agit des utilisateurs AUTRITE/NT notamment avec l’application Process Hacker et le menu Run As.
Plus d’informations sur la page : Les utilisateurs AUTORITE NT
Exécuter une application en AUTORITE/NT

Liens compte administrateur Windows

Tous les tutoriels liés au compte administrateur et utilisateur de Windows :
REF.:

jeudi 26 avril 2018

Démarrer sur BIOS ou clé USB facilement avec Windows 10



Il n’est parfois pas simple de pouvoir démarrer l’ordinateur sur une clé USB pour installer Windows ou un Live CD ou encore même accéder au BIOS de l’ordinateur.
En effet, les touches au démarrage sont différentes d’un constructeur à l’autre et parfois cela ne fonctionne pas.
Une fonction des options de récupération de Windows 10 permet de démarrer l’ordinateur directement dans le BIOS de l’ordinateur.
A partir de là, vous pouvez facilement faire démarrer l’ordinateur sur un périphérique externe comme une clé USB.
Cet article vous explique comment démarrer l’ordinateur facilement sur le BIOS grâce à Windows 10.

Redémarrer sur BIOS ou clé USB facilement avec Windows 10

Cette méthode simple tire parti du système UEFI, il faut donc que Windows ait été installé sur un BIOS UEFI.
Il faut aussi pouvoir accéder aux options de récupération de Windows 10.
Cela ne fonctionne donc que si Windows 10 est installé sur l’ordinateur et que la partition de récupération est fonctionnelle.
Pour rappel, il existe plusieurs méthodes pour démarrer sur les options de récupération de Windows 10 :
  • Depuis les paramètres de Windows 10 > Mise à jour et Sécurité > onglet récupération puis démarrage avancé
  • Depuis la page des mots de passe au démarrage de Windows 10, en laissant appuyer sur la touche Maj et en faisant redémarrer en bas à droite
  • Enfin quand Windows 10 ne démarre pas entièrement et plante durant le démarrage de Windows 10, on vous propose d’accéder aux options de récupération.
Cette page ne va pas détailler toutes les méthodes pour arriver à ces options de récupération, reportez-vous à la page suivante pour cela : Les options de récupération de Windows 10.
Une fois sur ces résolution de problèmes, cliquez sur Options Avancées.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Puis dans la liste, sélectionnez Dépannage.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Vous arrivez alors aux options avancées de récupération, à droite, cliquez sur « Changer les paramètres du microprogramme UEFI« .
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Sur la nouvelle page, cliquez sur redémarrer afin de redémarrer l’ordinateur.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10
Si tout va bien, ce dernier va accéder directement au BIOS.
A partir de là, vous pouvez demander à démarrer sur votre clé USB à partir des options de démarrage (BOOT) ou modifier les paramètres du BIOS que vous souhaitez.
Redémarrer sur BIOS ou clé USB facilement avec Windows 10

Liens

Maintenant que vous savez comment changer l’ordre de démarrage ou ouvrir le menu de démarrage (Boot menu) afin de faire démarrer l’ordinateur sur une clé USB.
Vous pouvez réinstaller Windows ou démarrer sur le Live CD Malekal.
Plus d’informations :
REF.:

dimanche 22 avril 2018

Firewall Windows : les bon réglages



Quelques réglages qui peuvent améliorer sensiblement la sécurité de Windows.
Le pare-feu de Windows peut être largement suffisant si vous suivez toutes les règles de sécurité élémentaires.
Par défaut, le pare-feu de Windows n’est pas forcément bien réglé.
Voici quelques règles à ajouter afin d’obtenir les réglages optimales du firewall de Windows.

Introduction au réglage du pare-feu de Windows

Avant de commencer, il faut plutôt être à l’aise avec le pare-feu de Windows.
Dans le tuto suivant, j’avais expliqué comment ajouter des règles sur une application afin de la bloquer : Autoriser/Bloquer une application sur le pare-feu Windows
Vous pouvez suivre ce tuto.. ici nous utiliserons les options avancés. Il existe d’ailleurs aussi un tuto sur les options avancées du pare-feu de Windows : Autoriser/Bloquer une application sur le pare-feu Windows
En résumé, ce qu’il faut bloquer :
  • C:\Windows\System32\WindowsPowerShell\v1.0\Powershell.exe (utilisé pour télécharger et installer des logiciels malveillants, ou utiliser comme logiciel malveillants, voirLes virus ou trojan Powershell)
  • C:\Windows\system32\wscript.exe : lié au  Virus par clé USB ou virus raccourcis USB et  Malware par VBS / WSH, peut-être utilisé pour télécharger et installer des logiciels malveillants.
  • C:\Windows\explorer.exe – autoriser que les connexions vers le port 443
  • C:\Windows\system32\mshta.exe – permet d’exécuter des applications HTML (extension .hta), ces derniers peuvent télécharger et installer des cheval de troie.
  • C:\Windows\rundll32.exe – en chargeant une DLL via rundll32.exe, un trojan peut télécharger d’autres malwares.
  • Les processus de Word et Excel, ceci afin de vous protéger des macros malicieuses :
    • C:\Program Files (x86)\Microsoft Office\Office15\Winword.exe
    • C:\Program Files (x86)\Microsoft Office\Office15\Excel.exe

Importer des règles du pare-feu de Windows

Pour ceux qui ne veulent pas se prendre la tête à créer chaque règle de blocage sur le pare-feu de Windows.
Je fournis un fichier zip qui peut-être importé sur votre pare-feu.
Attention, cela va écraser toutes vos règles, donc si vous avez des règles d’acceptation pour certaines applications, elles seront perdues.
Le lien vers ces règles : http://www.malekal.com/download/firewall_Windows10_bon_reglage.zip
Ce zip est composé de :
  • fw_windows10_bon_reglage.wfw : qui contient les règles à importer sur le pare-feu de Windows
  • testconnexion.ps1 : qui vous permet de tester le blocage de PowerShell

Faites un clic droit puis « importer la stratégie »

Sur le message d’avertissement qui demande une confirmation pour importer les règles, faites oui.
Puis naviguez dans les dossiers pour sélectionner le fichier fw_windows10_bon_reglage.wfw.

Si l’import réussi, vous obtenez le message suivant.

Dans les règles sortantes, vous devez obtenir ceci.

Vous pouvez alors tester le blocage de connexion sur Powershell avec le script testconnexion.ps1 fourni.
Faites un clic droit dessus puis Exécuter avec PowerShell.

Faire Oui en appuyant sur O (O comme Oui) puis Entrée sur le message d’avertissement.
Un message rouge doit vous indiquer « Impossible de se connecter au serveur distant ».
Dans ce cas, les règles de pare-feu sont effectives.

Créer les règles manuellement

Si vous ne souhaitez pas importer les règles, vous pouvez créer les règles manuellement.

PowerShell

PowerShell est une invite de commandes qui intègre son propre langage.
PowerShell permet donc de créer des scripts, il est tout à fait possible à partir d’un script de télécharger un fichier distant et de l’exécuter sur l’ordinateur.
En clair, donc PowerShell peut servir de tremplin pour installer un virus sur l’ordinateur, comme Trojan-Downloader.
Exactement comme c’est le cas actuellement des scripts VBS ou JS utilisés dans des campagnes d’emails malicieux qui ont permis l’avènements des crypto-ransomware.
La vidéo suivante montre le cas d’un Trojan Downloader PowerShell qui installe le ransomware Locky :

PowerShell est déjà utilisé par des Malware ‘FileLess’ : PoweLiks, Kovter, Gootkit… il est fort probable que 2017 soit l’année PowerShell… avec une utilisation beaucoup plus accru.
Pour tester le téléchargement, vous pouvez utiliser la commande suivante depuis une invite de commandes classiques :
PowerShell (New-Object System.Net.Webclient).DownloadFile
('http://www.malekal.com/download/FRST.zip', '%USERPROFILE%\Desktop\FRST.zip');
La commande ci-dessous, permet de télécharger le fichier FRST.zip et de le placer sur le bureau.
Un programme malveillant, peut donc facilement être sous la forme d’un script qui télécharge un exécutable dans le dossier TEMP pour l’exécuter.

Plus d’informations, lire : les Trojan ou virus PowerShell

Bloquer PowerShell

En suivant, le tuto Autoriser/Bloquer une application sur le pare-feu Windows
Vous devez bloquer l’application :
%SystemRoot%\system32\WindowsPowerShell\v1.0\powershell.exe (version 32-bits)
%SystemRoot%\syswow64\WindowsPowerShell\v1.0\powershell.exe (version 64-bits)
%SystemRoot% = C:\Windows


En créant une règle avancée :
Par défaut donc, le pare-feu de Windows autorise PowerShell.
Il est tout à fait possible de bloquer ce dernier.
Rendez-vous dans le Panneau de configuration de Windows puis Pare-feu.
A gauche, cliquez sur Paramètres avancés.

Dans la nouvelle fenêtre, cliquez sur Règles de trafic sortant
Nouvelle règle.
Laissez sur Programme puis cliquez sur Suivant.

Ensuite, il faut aller chercher le fichier PowerShell.
Pour cela, choisissez la seconde option puis cliquez sur Parcourir.
Naviguez dans les dossiers pour ouvrir Windows > system32 > WindowsPowerShell > v1.0> powershell.exe


Laisser sur « Bloquer la connexion » afin de pouvoir bloquer la connexion provenant de powershell.exe

Laissez tout coché puis cliquez sur Suivant.
Nommez la règle, par exemple Blocage PowerShell ou Blocage PowerShell (32-bits).

La règle est alors visible dans la liste.

Si on relance notre commande, on obtient une erreur. Le téléchargement de fichiers à partir de PowerShell est alors bloqué :
Exception lors de l'appel de « DownloadFile » avec « 2 » argument(s) :
 « Impossible de se connecter au serveur distant »


Pensez à bloquer les deux versions 32-bits et 64-bits, si votre Windows est en version 64-bits.

Wscript

Wscript.exe est le processus système lié à Windows Script Hosting qui donne la possibilité d’exécuter des scripts de type JavaScript (sisi!) et VBS.
Des scripts malicieux existent depuis longtemps. Une recrudescence depuis Décembre 2015 a lieu, via des campagnes d’emails malicieux pour pousser des crypto-ransomware.
Pour obtenir plus d’informations sur les malwares basés sur ces scripts malicieux, lire la page : Malware par VBS / WSH ( Windows Scripting Host )
Voici un exemple de script qui permet de télécharger un fichier sur Windows.
Ensuite, on peut le faire exécuter sans problème.
HTTPDownload "http://www.malekal.com/download/FRST.zip",
 "C:\Users\VincentPC\AppData\Local\Temp"

Sub HTTPDownload( myURL, myPath )

' Standard housekeeping
Dim i, objFile, objFSO, objHTTP, strFile, strMsg
Const ForReading = 1, ForWriting = 2, ForAppending = 8

' Create a File System Object
Set objFSO = CreateObject( "Scripting.FileSystemObject" )

' Check if the specified target file or folder exists,
' and build the fully qualified path of the target file
If objFSO.FolderExists( myPath ) Then
strFile = objFSO.BuildPath( myPath, Mid( myURL, InStrRev( myURL, "/" ) + 1 ) )
ElseIf objFSO.FolderExists( Left( myPath, InStrRev( myPath, "\" ) - 1 ) ) Then
strFile = myPath
Else
WScript.Echo "ERROR: Target folder not found."
Exit Sub
End If

' Create or open the target file
Set objFile = objFSO.OpenTextFile( strFile, ForWriting, True )

' Create an HTTP object
Set objHTTP = CreateObject( "WinHttp.WinHttpRequest.5.1" )

' Download the specified URL
objHTTP.Open "GET", myURL, False
objHTTP.Send

' Write the downloaded byte stream to the target file
For i = 1 To LenB( objHTTP.ResponseBody )
objFile.Write Chr( AscB( MidB( objHTTP.ResponseBody, i, 1 ) ) )
Next

' Close the target file
objFile.Close( )
End Sub

On peut alors créer une règle sortante filtrante, exactement dans le même principe que précédemment.

Avec le script ci-desous, on obtient une Erreur WinHTTP.WinHTTPRequest
Le fichier FRST.zip est créé mais il fait 0 octet.

Dans le cas de ces scripts, le mieux est de désactiver WSH, c’est tout à fait possible.
A lire : Comment se protéger des scripts malicieux sur Windows
Le programme Marmiton a été conçu dans ce sens : Télécharger Marmiton

Injection processus

L’injection de processus consiste à charger une DLL dans un processus afin de pouvoir contrôler ce dernier.
Ainsi des virus/malwares peuvent utiliser des processus système explorer.exe, svchost.exe, spoolsv.exe afin de se connecter à des serveurs distants pour recevoir les informations de contrôle.
Le pare-feu de Windows peut éventuellement aider à bloquer certaines de ces connexions.
Contrairement, au paragraphe précédent où il s’agit de bloquer un Trojan Downloader afin de bloquer le téléchargement et l’installation del a charge utile… ici la charge utile est déjà installée… De ce fait, il est plus difficile de bloquer le fonctionnement du Trojan.
Voici un exemple d’injection de processus Windows avec le malware Bedep :
Ainsi si on bloque explorer.exe, le Trojan Bedep devient inactif :

Comprenez aussi, qu’il est impossible de bloquer tout l’accès réseau aux processus Windows.
Par exemple :
  • explorer.exe doit pouvoir se connecter aux ordinateurs du réseau LAN pour accéder aux ressources partages (fichiers/dossiers etc)
  • svchost.exe est utilisé, par divers services Windows et notamment Windows Update pour se connecter au service et télécharger les mises à jour de Windows.
Toutefois, vous pouvez bloquer certains ports. Par exemple, il est tout à fait inutile qu’explorer.exe puisse se connecter à des sites WEB (port distant 80 et 443).
Par contre, explorer.exe doit pouvoir se connecter aux partages réseaux, cela se fait sur le port 445 (SMB).
Pour mettre en place un filtrage, nous allons créer deux règles sur explorer.exe
  • La première règle autorise les connexions sur le port 445.
  • La seconde règle interdit toutes les connexions sortantes.
Ainsi, si la première règle est vrai, on s’arrête là.
Si elle est fausse, on continue, la seconde règle qui bloque toutes les connexions sortantes pour explorer.exe est alors appliquée.
Créez la règle sur explorer.exe qui autorise les connexions puis faites un clic droit / Propriétés sur celle-ci.
Dans l’onglet Protocoles et ports, vous pouvez régler ces derniers, comme ceci.
A savoir :
  • Protocole TCP
  • Port, mettre 445
Puis créer la seconde règle qui interdit toutes les connexions explorer.exe

Ci-dessous, les deux règles explorer.exe sur le pare-feu Windows.
Il est tout à fait possible de lister les partages et accéder aux fichiers distants.

Autres processus à bloquer

Vous pouvez aussi bloquer d’autres processus, comme :
  • C:\Windows\rundll32.exe – en chargeant une DLL via rundll32.exe, un trojan peut télécharger d’autres malwares.
  • Les processus de Word et Excel, ceci afin de vous protéger des macros malicieuses :
    • C:\Program Files (x86)\Microsoft Office\Office15\Winword.exe
    • C:\Program Files (x86)\Microsoft Office\Office15\Excel.exe
Par exemple, le pare-feu ZoneAlarm par défaut, autorise les connexions provenant de Word et rundll32.
Une macro Word peut donc télécharger une DLL et la lancer depuis rundll32… c’est notamment le fonctionnement du ransomware Locky.

Winword.exe est autorisé :

Windows Firewall Control

Windows Firewall Control est un programme qui permet de gérer simplement les règles et autorisations de processus sur le pare-feu de Windows.
En outre, il permet de lire le journal de connexion ou blocage.
Je vous conseille vivement de l’installer, plus d’informations, se reporter au tuto : Tutoriel Windows Firewall Control
GlassWire est aussi une bonne alternative, voir aussi son tuto : Tutoriel Glasswire
Présentation et tuto de Windows Firewall Control en vidéo :

Plus loin dans la sécurité Windows

Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
OSArmor est un complément idéal à ces règles de blocages du pare-feu de Windows, plus d’informations sur la page : OSArmor : Bloquer l’exécution de processus et connexions malveillantes

SysHardener permet de sécuriser Windows facilement en désactivant certaines fonctions de Windows qui peuvent être utilisées par des logiciels malveillants.
Pour toutes les explications de SysHardener, lire notre article dédié : SysHardener : sécuriser Windows facilement contre les virus
SysHardener : sécuriser Windows facilement contre les virus

Liens autour du pare-feu de Windows

REF.: