Comment protéger la base de registre Windows ?

Pour rappel la Base de Registre correspond à la base de données des systèmes d'exploitation Windows contenant des informations relatives à l'ordinateur et à sa configuration. La base de registre est accessible via le menu démarrer/exécuter : taper "regedit".

L'accès distant à la base de registre ne doit pas être autorisé aux utilisateurs anonymes. Pour cela il suffit de positionner les autorisations d'accès à la clé de la base de registre aux seuls utilisateurs ou groupes d'utilisateurs que l'on souhaite autoriser :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ SecurePipeServers\Winreg

La sous clé "AllowedPaths" permet de donner accès au groupe "Tout le monde" à certaines clés de la base de registre. Cela peut être nécessaire pour le bon fonctionnement de certains programmes. Cependant cette sous clé n'est modifiable que par les admin. Si elle n'est pas nécessaire, mieux vaut la vider.

Toujours sur cette clé "Winreg", vous pouvez ajouter une sous clé "RestrictAnonymous-Access" qui doit être positionnée à REG_DWORD :1

Les fichiers ou sont stockées les informations de la base de registre ne doivent avoir des droits en écriture que pour les administrateurs. Les fichiers concernés sont les suivants :

1- Dans le répertoire %windir\system32\config

• SAM / SAM.LOG gèrent la clé HKEY_LOCAL_MACHINE\Sam.

• SECUTITY / SECURITY.LOG contiennent la clé HKEY_LOCAL_MACHINE\Security.

• SOFTWARE / SOFTWARE.LOG contiennent la clé HKEY_LOCAL_MACHINE\Software.

• SYSTEM / SYSTEM.ALT gèrent la clé HKEY_LOCAL_MACHINE\System.

2 - Dans le répertoire %windir%\Profiles\Default User sous WinNT ou %systemroot%\Documents and Settings\Defaut0/1User

Le fichier NTUSER.DAT contient la clé HKEY_USERS\Default.

Un autre élément important réside dans le fait de vérifier que seuls les utilisateurs "SYSTEM" et "Administrateurs" disposent du Contrôle total sur l'ensemble de la base de registre (sauf HKEY_USERS). De même le groupe "Interactif" (ou le groupe "Utilisateurs authentifiés", si des connexions distantes sont nécessaires) doivent remplacer le groupe "Tout le monde" et ne posséder que le droit de lecture sur l'ensemble de la base de registre (sauf HKEY_USERS).

Vous devez porter une attention particulière à certaines clés, notamment :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ Run et Run Once

Ces clés sont des cibles privilégiées des programmateurs de virus, dans la mesure ou elles permettent de démarrer un programme donné, en même temps que la machine, à l'insu de l'utilisateur. Il faut mieux réduire au strict minimum les droits sur ces clés afin de diminuer les conséquences potentielles d'un virus.

Les autres clés ou groupes de clés importantes sont :

HKEY_LOCAL_MACHINE\System

Précise notamment les services démarrés et leur configuration

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon

Contient les fichiers à exécuter à la connexion d'un utilisateur (userinit.exe)

HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Control\SessionManager\Environment\ComSpec

Identifie le chemin et le nom du fichier servant d'interpréteur de commande Windows

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SessionManager\Environment\Path

Définit l'ordre dans lequel seront parcourus les répertoires à la recherche d'un fichier ou d'une commande et peut permettre à un attaquent d'imposer ses commandes à la place de celles par défaut.

Dans le même ordre d'idée, il est recommandé d'associer l'extension .REG à autre chose qu'un éditeur de base de registre. Cela permet d'éviter l'exécution automatique d'un fichier possédant cette extension. Associez le par exemple au bloc-note (notepad.exe).

Enfin mieux vaut désactiver l'accès aux outils d'édition de la base de registre aux utilisateurs par l'intermédiaire de la clé suivante :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ Policies\System\DisableRegistryTools

positionnez la sur REG_DWORD : 1