Durcissement Windows 2000 - Contrôleur de Domaine (DC)

WFP (SFP)

• Windows (ou System) File Protection

• Limites:

– WFP peut être désactivé de façon permanente

HKLM\swt\MS\Windows NT\CV\Winlogon SFCDisable

0ffffff9dh

– Si la signature du fichier en cours de vérification

correspond à une signature de la liste alors le fichier

n'est pas mis à jour (ex: copy notepad.exe

wscript.exe)

– Un boot en mode recovery console permet de modifier

les fichiers sans que le système ne réagisse

• Recommandation

– Mettre des ACLs restrictives plutôt que d'effacer un

fichier

La liste des fichiers protégés par WFP se trouve

-dans le répertoire: dllcache

-stockée en dur pour certains fichiers système

Recommandation:

L’effacement d’un fichier sensible (protégé par WFP) peut se traduire par l’ effet inverse de celui recherché. En effet, WFP aura tendance à restaurer le fichier avec des ACLs permissives (du répertoire). Il est donc préférable de conserver le fichier et de restreindre au maximum les permissions d accès à ce fichier.


	La liste des fichiers protégés par WFP se trouve
	-dans le répertoire: dllcache
	-stockée en dur pour certains fichiers système

	Recommandation:
	L’effacement d’un fichier sensible (protégé par WFP) peut se traduire par l’ effet inverse de celui recherché. En effet, WFP aura tendance à restaurer le fichier avec des ACLs permissives (du répertoire). Il est donc préférable de conserver le fichier et de restreindre au maximum les permissions d accès à ce fichier.