Les questions commencent à être un peu pointues pour moi.
Pour le port 135, il s’agit de epmap. Ça doit pouvoir s’arrêter, voir ici:
Mais l’important, c’est que le port soit invisible de l’extérieur. J’ai aussi ce service à l’écoute, mais en regardant par exemple sur shields Up, ce port, comme les autres, est invisible de l’extérieur (il ne répond pas).
Sécurité supplémentaire, j’ai 2 règles globales pour interdire les ports 135,137,138,139,445 dans les 2 sens (avec log). Cela me permet de voir si ces services sont de nouveau activé sur de nouveaux réseaux. (J’ai eu le coup avec Vmware).
Pour Alg, je ne pense pas que cela ait d’incidence. Cependant, si tu n’utilises pas le partage de réseau, tu peux le désactiver (je l’ai fais):
Outils d’administration>services>Service de la passerelle de la couche Application>propriétés> désactiver.
Le port 0, ça n’existe pas, mais ça correspond à des services en écoute (de tout les ports) sur ta machine et sur ta passerelle(0.0.0.0) (boucle locale). Certains programmes utilisent ces protocoles pour communiquer entre plusieurs de leurs modules (antivirus par exemple) ou des services à l’écoute(comme epmap) qui répondent alors ponctuellement à ces requêtes… mais là, on a atteint les limites de mes connaissances, je passe la main aux spécialistes.
je vien de remarquer un truc complètement dingue là :o, sans que je touche à rien, je dis bien à rien, j’ouvre tout simplement la page du forum pour lire, puis une fois tout lu, je clique comme d’habitude sur mon firewall comodo pour regarder les connection affichées, et depuis toujours il m’affichait ces 2 port à l’écoute, par exemple hier ils été affichés et je n’avais touché à rien, comme aujourd’hui d’ailleur, ça a disparu tout seul !!! (aujourd’hui) :o :o :o ça c’est concernant svchost.exe 135 et alg.exe 1028 (a moin que c’est comodo qui a fait une mise à jour pour qu’on ne les vois plus ???)
et ce qui concernant l’invisibilité, en fait j’avais mis une règle qui block tout les ports, et en haut des règles qui ouvre les port que j’ai besoin, mais si maintenan j’ai quelque chose de nouveau qui a besoin d’un port que je ne connais pas, pour vite savoir quel port il a besoin, je met la règle qui block tout les port allow (je trouve que ça va plus vite de mettre allow ou block que d’effacer et de créer à nouveau)
sinon merci encore une fois d’avoir répondu aux questions :-* (je crois que t’en a oublié une :P0l “et chez toi http://www.mon-ip.com/ détecte quel système ?”)
ça n’a pas durée longtemps, svchost.exe 135 et alg.exe 1028 sont revenu, pour alg.exe 1028 j’ai compris que c’est le profile dans connexion qu’il faut désactiver et non pas le service lui même car il va se remettre en marche après le prochain démarrage du pc, par contre svchost.exe 135 je ne sais pas comment le désactiver
Tu ne peux pas totalement supprimer epmap, tu ne peux que restreindre son accès, mais je n’en vois même pas l’utilité s’il n’est pas visible de l’extérieur. Méthode et explication:
C’est bien indiqué, ce port doit être en écoute, au moins sur la boucle locale.
Qu’as tu dans netstat pour ce port?
La 2ème question, je n’ai pas compris.
heu, comment expliquer alors qu’à partire de “March 06, 2009, 02:36:02 AM” pendant 1 jour il n’été pas (Listening) et tout allait bien
pour moi la phrase suivante “Le port 135 est désormais fermé.” qui est dans leur article veut dire que 135 n’est plus (Listening)
slt
concernant les évènements, ce que moi j’ai compris c’est que quand tu bloques toi même les connexions, celles-ci s’affiches comme des tentatives d’intrusions mais ne s’affiches pas dans les évèvement du pare-feu, peut-être parcequ’il s’agit d’évènements différents, en tout cas je n’ai rien fait pour que ca marche, sinon Pink_Floyd pour ne pas voir plein de machin bizzard chez toi dont tu ne connais pas l’utilité (moi non plus) et dont tu n’as pas besoin (comme moi), il suffit de les désactiver, bop a expliqué en haut comment le faire.
en parlant de bop j’espère qu’il participe encore au forum depuis tout ce temps passé ,je revien avec encore une petites questions hors-sujet de ce topic :
comment expliquer ça “AUTORITE NT\ANONYMOUS LOGON” dans gestion de l’ordinateur > sécurité ???
ce qui est rassurant, c’est de savoir qu’on peut mettre fin a cette pornographie de microsoft ont désactivant les services dont on a parlé en haut (je précise que même si la machine est propre (…), les disques ont été formaté et que windows a été instalé, rien d autre a été fait, le “ANONYMOUS LOGON” est quand même là).
sinon qui sait comment s’enregistré afin d’utiliser le compte LocalSystem et comment supprimer ceux qui y sont déjà enregistrer ?
Bonsoir kiou,
Je passe toujours sur ce forum, bien qu’étant “occasionnel”. Mais n’ai pas d’inquiétude, il y a ici des bien plus calés que moi.
Concernant ta question, j’avoue qu’elle me dépasse. Je n’ai pas ce genre d’évènement (XP pro SP3 actuellement).(onglet sécurité vide)
Si ta machine est propre et à jour, il s’agit certainement d’un moyen utilisé par un processus interne pour accéder à une ressource qui lui est habituellement interdite. En double cliquant sur l’évènement tu as peut être des infos qui pourraient te mettre sur une piste.
Pour le compte LocalSystem (System), je ne sais pas non plus, mais il semble qu’on ne peut lancer un processus sous ce compte qu’en ligne de commande (En plus de ceux qui lui sont spécifiques) .
Vacances en vues !! (A la fin de la semaine)
slt bop
donc en fait je n’ai plus ce ANONYMOUS LOGON quand je désactive les services, il revien seulement si les services sont activé, voila ce qu’il y a dans l ancien log:
Ouverture de session réseau réussie :
Utilisateur :
Domaine :
Id. de la session : (0x0,0x1338E)
Type de session : 3
Processus de session : NtLmSsp
Package d’authentification : NTLM
Nom de la station de travail :
GUID d’ouv. de session : -
et pour LocalSystem j’ai ça:
Un fournisseur, tralala, a été enregistré dans l’espace de noms WMI, Root\WMI, afin d’utiliser le compte LocalSystem. Ce compte bénéficie de privilèges et le fournisseur peut provoquer une violation de sécurité s’il ne représente pas correctement les demandes utilisateur.
et j’ai remarqué encore quelque chose, dans les comptes pour regedit il y avait aussi un compte inconnu, et j’ai remarqué que quand j’efface le compte “tout le monde” et “restricted”, ces 2 comptes là reapparaîssent après
