Se connecter / S'enregistrer
Votre question

Process svchost.exe et Lsass.exe et firewall

Tags :
  • Pare-feu
  • Sécurité
Dernière réponse : dans Sécurité et virus
10 Décembre 2004 17:11:08

Bonjour à tous , voici ma question qui n'est certe pas simple et je vous remercie d'y repondre seulement si vous savez.

Mon firewall me demande si je dois laisser accèder les process svchost.exe et lsass.exe à internet. Bien sur si on "interdit" leur accès à internet y a des problemes qui vont apparaitre (vous pourrez faire le test si vous n'êtes pas convaincu).

J'ai donc mis autoriser svchost.exe mais seulement les paquets vers et pour pour mon adresse IP , de meme pour lsass.exe qui utilise le port 500 en udp il me semble.

En fait je voulais savoir si cette configuration de securité est bonne ou s'il faut affiner certains points et lesquels ?

Autres pages sur : process svchost exe lsass exe firewall

14 Décembre 2004 11:24:52

Bonjour , je relance ma question en voyant que deja 120 personnes ont lu mon sujet et que personne n'y a repondu :-D
Ben finallement je me demande si je ne vous ai pas rendu service moi même :-)
14 Décembre 2004 12:22:56

Moi g zone alar pro 4.5 et in le ma jamais demandé sa pourtant je surveill tout mes programme.
sous quel systheme tu tourne?
Contenus similaires
14 Décembre 2004 12:30:13

je supoze que t sous xp
se sont 2 applications du systhem32 et chez moi ni l'un ni lautre n'a accé au net et sa n'empeche pas le bon fonctionnement de ma connection.je n'ai aucun problem sur internet!!!
14 Décembre 2004 12:45:52

Quel est ce processus SVCHOST.EXE qui tourne sous Windows XP ?

SVCHOST est un processus générique, qui sert à lancer des services contenus
dans des DLL.

Au démarrage, SVCHOST scrute le contenu de la clef :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost

Des entrées de type REG_MULTI_SZ contiennent une énumération de services à
lancer.


Il est donc normal d'en avoir plusieurs.

Sous Windows XP vous pouvez taper tasklist /SVC en ligne de commande pour avoir la liste des services qui fonctionnent.

Sous Windows Windows NT4 et Windows 2000, vous pouvez utiliser la commande tlist

Le lancement de la commande tasklist sur mon ordinateur portable me donne le résultat suivant :


C:\>tasklist -svc

Nom de l'image

smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
ibmpmsvc.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
ati2evxx.exe
MDM.EXE
QCONSVC.EXE
svchost.exe
explorer.exe
AGRSMMSG.exe
SynTPLpr.exe
Qctray.exe
TP98TRAY.EXE
TPHKMGR.exe
Directcd.exe
ctfmon.exe
msmsgs.exe
mnyexpr.exe
OUTLOOK.EXE
WINWORD.EXE
TPONSCR.exe
TpScrex.exe
iexplore.exe
iexplore.exe
cmd.exe
mspaint.exe
iexplore.exe
wmiprvse.exe
tasklist.exe

Source --> http://www.faxp.com/f/33.asp

C'est donc normal, et chez moi aussi elles ont accès au net... pq je sais pas mais je pense pas que ce soit une application a risque :-) ++
14 Décembre 2004 13:01:32

Yop yop :) 

deja je voulais savoir si tu avais des problemes de plantage ou de redémarrage etc...

Ensuite, t es tu renseigné sur ces deux process ?
T'es tu renseigné avec mon ami Google :)  car voila des choses interessantes qui te diront le role de ces process et les failles connues associées :)  n hesite pas a les corriger :) 

Definition en francais de lsass.exe :
http://www.commentcamarche.net/processus/lsass-exe.php3

failles connues : (apparement il n y a pas ke sasser)
http://www.trucsastuces.com/Forums/topic-3327.html

Voici des infos plus completes avec les liens vers les info officiel microsoft sur l utilité des process (en anglais) :
http://www.neuber.com/taskmanager/process/lsass.exe.htm...

Voici une liste avec plein d info des process par defaut :
http://www.liutilities.com/products/wintaskspro/process...

Et toujours grace a notre ami google nous avons les informations suivantes sur le process par defaut svchost.exe :

http://www.neuber.com/taskmanager/process/svchost.exe.h...
http://support.microsoft.com/?kbid=314056
http://www.liutilities.com/products/wintaskspro/process...
http://www.commentcamarche.net/processus/svchost-exe.ph...

et pour finir :
http://www.faqxp.com/f/33.asp


Voila voila :)  et apres cette lecture tu pourras en conclure avec moi qu'il faudra (les windowsiens sont habitués avec microsoft) que tu installes pour ta propre sécurité un certain nombre de patch :) .
8 Avril 2005 08:12:48

Salut,
je post tardivement... je viens juste de lire cette demande.
Ce sont des process à très aux risque, il ne faut pas les empêcher de communiquer avec l'extèrieur, effectivement tu rencontreras bcp de probleme avec le net. MAIS il faut impérativement que tu interdise TOUTES communication des ports 135, 137, 138, 139, 445, 500 et 1900. Et pour encore plus de sécu tu peux également fermer ceux ci, mais je le répète UNIQUEMENT, à condition que tout tes pc en reseau interne soient non infectés par quoique ce soit, pour la communication vers le net : 123, 1023, 1024, 1027, 5000.
Voili voila, je te donne une breve description de ces ports :
Port 135 :
Tous les autres ports doivent être d'abord "Fermés" avant de pouvoir fermer ce port.
Service permettant la réalisation des appels de procédures distantes (RPC ou Remote Procedure Call). Tous les actes administratifs distants sous Windows utilisent les RPC. Ce port est, en réalité, un dispatcher ou plutôt "port-mapper".
Lorsqu'une machine cherche à atteindre un service sur une machine distante, elle se connecte d'abord via le port 135 pour localiser le port réel sur lequel tourne le service qui l'intéresse. Ensuite elle dialoguera via le numéro de port qui lui aura été communiqué pour le service concerné.
Sujet à de nombreuses failles de sécurité que certains vers réseau du type Blaster exploitent, il est préférable de fermer ce port...
Cette option va interdire l'accès au port 135 afin qu'il soit inaccessible sur le réseau distant, son activité sera gérée uniquement sur la boucle locale 127.0.0.1. de votre système d'exploitation.

Port 123 :
Bloque le port et ferme le service de synchronisation de l'heure sur des serveurs Internet.

Port 137/138/139 :
137 NetBios Name Service : ce système permet de trouver un service donné sur une machine donnée sans connaissance préalable d'une quelconque adresse réseau (IP ou autre).

138 NetBios Datagram Service : ce port est essentiellement utilisé pour diffuser (broadcast) de l'information sur le réseau. En principe, seul le protocole UDP est utilisé sur ce port.

139 NetBios Session Service : c'est sur ce port que s'établissent les véritables connexions entre deux machines. C'est par exemple celui qui sera utilisé, lorsque vous aurez découvert une machine par le voisinage réseau, pour accéder à ses ressources (partages de fichiers et d'imprimantes). Seul le protocole TCP _les_ports est utilisé sur ce port.

445 TCP/UDP :
Exécute le protocole SMB (partage de fichiers et d'imprimantes), ce port ferme le partage de fichier et d'imprimante sur un réseau distant.

500 UDP :
Internet Security Association and Key Management Protocol : pour l'authentification sécurisée par échange de clés. Ouvert par lsass.exe. L'explication de ce service telle qu'elle apparaît dans le gestionnaire des services : "Stocke les informations de sécurité pour les comptes d'utilisateurs locaux".
Ce port fermé protège les informations des comptes d'utilisateurs locaux.

1023 :
Bloque le port qui coordonne les diverses transactions distribuées entre plusieurs bases de données.

Shedule 1024 TCP :
Bloque le port du gestionnaire des tâches planifiées sur votre machine.

1024 :
Bloque l'accès au service de client DNS (Domaine Name Services).

1027 :
Ferme et désactive le service "affichage des messages", ce service permet d'envoyer des messages sur un réseau local, sa fonction a été détournée par certains Webmasters afin d'envoyer de la publicité non sollicitée.

1900 SSPD :
Bloque le service de découverte Plug and Play Universels sur votre réseau local, ce port travaille en relation avec le port 5000.

5000 :
Bloque le service qui permet de mettre votre machine en mode "serveur" par défaut afin de découvrir automatiquement les nouveaux équipements réseau de votre réseau local, il travaille en relation directe avec le port 1900.
12 Décembre 2006 14:04:29

zebprotect freeware graruit permet de fermer ce ports facilement ;) 
12 Décembre 2006 14:08:40

Salut takhama,

Le sujet est clos depuis longtemps tu n'auras pas de réponse car le sujet à plus d'un an :) 

Citation :
Posté le 08-04-2005 à 08:12:48


27 Janvier 2009 23:57:41

Oui mais ça peut servir à un goyo comme moi qui passe 3 ans après sa réponse! C'est ça les forums!
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS