Fermer les ports Internet - Windows 2000 Professionnel

Par: Arthur R. Kopp    Revision 1.0   25 juin 2005

Désactiver les services superflus ou indésirables - une procédure parfois appelée "durcissement" - est très souhaitable pour des raisons de sécurité. Certains utilisateurs souhaitent peut-être durcir leur système afin d'éviter l'usage d'un pare-feu. Dans d'autres cas, un utilisateur peut souhaiter effectuer un durcissement temporaire afin d'accéder à Internet pour la première fois après l'installation de Windows sans courir de risques. Ensuite, des mises à jour, correctifs et logiciels de sécurité peuvent être téléchargés. Cet article décrit une méthode de durcissement qui ne nécessite pas de téléchargement d'Internet.

Les ports que j'ai trouvés sur une nouvelle installation et qui doivent être fermés comprennent le groupe NetBios (partage des fichiers et d'imprimantes) - les ports 137, 138 et 139 - avec le port associé 445 (sur ce système). De plus, le port DCOM 135 doit être fermé.

Les instructions ici sont destinées aux utilisateurs avertis qui n'ont pas peur de modifier la base de registre et qui ont suffisamment de connaissances pour en faire une sauvegarde avant d'apporter des changements. Les changements sont bien sûr réversibles. Si vous souhaitez ultérieurement activer le partage de fichiers et d'imprimantes avec d'autres ordinateurs de votre réseau, il existe un outil gratuit nommé wwdc.exe qui apporte automatiquement les changements nécessaires:
  http://www.firewallleaktester.com/wwdc.htm

Le groupe de ports NetBios
------------------------------------
A partir du bureau, sélectionnez Démarrer - Paramètres - Connexions réseau et accès à distance. En fonction du nombre d'adaptateurs Internet installés, il peut y avoir plusieurs icônes intitulées Connexion au réseau local. Commencez par votre adaptateur matériel primaire. Dans mon cas il s'agit d'un adaptateur Ethernet comme vous le voyez ci-dessous:


 
Faites un double-clic dessus et sélectionnez Propriétés. Désinstallez tout sauf Protocole Internet (TCP/IP).

    

Sélectionnez l'onglet Partage et décochez Activer le partage de la connexion Internet pour cette connexion (Note: cette case à cocher peut avoir un nom différent, mais vous savez quoi rechercher).  Cliquez sur "Ok".

Refaites un clic droit sur la Connexion au réseau local et sélectionnez "Propriétés".
Ensuite, sélectionnez "Avancé". Cliquez sur l'onglet WINS. Sélectionnez "Désactiver NetBIOS avec TCP/IP". 



Cliquez sur "Ok". Vous n'avez pas encore besoin de redémarrer l'ordinateur. Cliquez sur Annuler lorsque Windows vous le demande.
Refaites la même chose avec les autres adaptateurs (Connexions aux réseaux locaux) et assurez-vous que leurs réglages sont identiques à ce que vous venez d'effectuer pour votre premier adaptateur.

Port 445
-----------
A partir du bureau faites Démarrer - Exécuter et tapez regedit
Trouvez la clé:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBt\Parameters
Faites un double-clic sur l'objet TransportBindName
Supprimez la chaîne de caractères dans Données et laissez cet emplacement vide.
Notez tout de même la valeur de la chaîne quelque part au cas où vous souhaiteriez la restaurer ultérieurement.



Terminez Regedit.

Port 135
-----------
A partir du bureau, faites Démarrer - Exécuter
Tapez:  c:\winnt\System32\Dcomcnfg.exe
Sélectionnez "Propriétés par defaut"
Décochez "Activer Distributed COM (DCOM) sur cet ordinateur"
Sélectionnez "Protocoles par défaut"
Supprimez tout et laissez la liste vide.


 
Relancez l'éditeur de la base de registre et recherchez cette clé:
HKEY_LOCAL_MACHINE\Software\Microsoft\Rpc
Cliquez sur Rpc afin que le fond change de couleur, puis cliquez sur Edition en haut à gauche de l'écran. Cliquez sur Nouveau puis sélectionnez Clé.
Une clé sera ajoutée sous Rpc. Renommez la clé en Internet (Regardez la capture d'écran ci-dessous).
Sélectionnez la clé pour qu'ici aussi le fond change de couleur (voir ci-dessous) puis sélectionnez encore Edition. Cliquez sur Nouveau puis Valeur chaîne. Tapez le nom UseInternetPorts. Double-cliquez maintenant sur UseInternetPorts et entrez la lettre N comme valeur. Cela doit ressembler à cette capture d'écran:



Notez qu'en cas de besoin vous pouvez simplement effacer ultérieurement la clé Internet que vous venez de créer.
Ça y est. Terminez Regedit et redémarrez l'ordinateur.

Pour vérifier que tout est en ordre, lancez cmd.exe (Démarrer, Exécuter) et tapez netstat -an tout de suite après le démarrage. Selon mes observations, la liste des résultats est vide lorsqu'on travaille avec une nouvelle installation de Windows sans mises à jour ni correctifs. Aucun port n'apparaît. Après avoir installé IE 6, je trouve un port TCP juste au-dessus de 1024 en écoute (Listening). Parfois, le port UDP 68 apparaît également. Ces ports ne sont pas ouverts. Immédiatement après le durcissement, vous pouvez installer SP 4 et tous les correctifs de sécurité critiques.

Vous pouvez vérifier que tous les ports sont clos en allant sur Internet et en vous rendant sur des sites qui proposent d'examiner les ports de votre ordinateur. Quelques liens:
  http://scan.sygatetech.com/
  http://www.pcflank.com/
  https://www.grc.com/x/ne.dll?bh0bkyd2

Ne vous laissez pas influencer par la propagande en faveur des pare-feu. Tant que tous les ports sont clos, vous n'avez pas de soucis à vous faire. Cela fait quelques années que je suis connecté à Internet environ 12 heures par jour en ADSL sans pare-feu ou routeur et je n'ai jamais eu d'ennuis.

Références:
  http://www.petri.co.il/what's_port_445_in_w2k_xp_2003.htm
http://www.hsc.fr/ressources/breves/min_srv_res_win.html
  http://www.nacs.uci.edu/windows/DefaultPortsforWindows2000.html

Appendix:
La procédure ci-dessous, un exemple destiné à démontrer comment fermer le port 3372, montre aussi comment désactiver en général des services indésirables.

Admettons que netstat -an montre le port TCP 3372 en écoute (LISTENING). Cela indique très probablement que, pour une raison quelleconque, le Microsoft Distributed Transaction Coordinator (MSDTC) a été activé et que msdtc.exe est en cours d'exécution. Pour fermer le port, faites ceci:

Démarrer - Paramètres - Panneau de configuration - Outils d'administration.
Sélectionnez Services
Recherchez Distributed Transaction Coordinator et faites un clic droit dessus. Sélectionnez Propriétés
Sous l'onglet Général recherchez Type de démarrage
Mettez le sur Désactivé. Cliquez sur Ok et redémarrez.

C'est une bonne idée de désactiver les services dont vous ne vous servez pas afin de durcir le système d'exploitation et d'alléger la charge qui pèse sur les ressources disponibles. Par exemple si vous n'utilisez pas le Fax, désactivez le. De la même façon, Telnet peut être désactivé. Les utilisateurs en haut-débit peuvent désactiver la téléphonie. Si votre ordinateur n'a pas d'imprimate, désactivez le Spouleur d'impression. Si vous préférez faire vous-mêmes les mises à jour pour Windows périodiquement lors des opérations d'entretien et des sauvegardes, désactivez la mise à jour automatique. Si vous n'utilisez pas le gestionnaire des tâches, désactivez le aussi.

Il y a d'autres services que j'ai désactivés, comme le service Service d'application d'assistance TCP/IP NetBIOS, Partage de Bureau à distance NetMeeting, Gestionnaire de connexion automatique d'accès distant, Gestionnaire de connexions d'accès distant, et Service d'accès à distance au Registre.

Windows ME et XP disposent d'un programme utile nommé MSCONFIG qui vous permet de visualiser la liste des programmes lancés au démarrage. Je vous conseille de télécharger la version pour XP:
  http://www.perfectdrivers.com/howto/msconfig.html

Elle fonctionne bien sous Windows 2000 et permet de désactiver plus facilement les programmes indésirables. Utilisez le mode de démarrage sélectif. Le programme peut-être placé dans n'importe-quel dossier.