Stats du site :
3 Visiteurs en ligne
Tutoriel optimisation Windows XP SP3 façon Galoula.
Mon installation de Windows XP se fait via PXE, et c’est une
version XP VLK SP2.
Voici les ressources justes après mon 1er boot, avec le «
bureau à distance » actif :
Je fais donc toutes les mises à jours prioritaires ainsi
qu’optionnelles excepter « Installation Windows Live
», « Windows Search » et « SilverLight ».
Voici les ressources après ces mise à jours (Je suis donc
en SP3 …) :
Enfin voici le résultat final après toutes mes
manipulations d’optimisation :
Je vais essayer tout au long de ce tutoriel expliquer mes choix.
Pour commencer, la chose dont Microsoft dit toujours être le
premier, sans même connaître les bases : La «
sécurité ».
Je vais donc faire en sorte que mon WinXP soit le plus «
blindé » possible.
Et non absolument pas : Je ne mettrais AUCUN pare feu, et encore moins
un antivirus !!!
Et effet, prenons un exemple simple concernant « ne pas
mètre de pare feu ».
Le but d’un pare feu, logiciel, et principalement «
d’empêcher » une interface réseau de recevoir
des paquets sur un port TCP/IP donné.
Si l’on suit la logique draconienne de Microsoft, un PC dont un
serveur web type Apache tournerais dessus, et ouvrirais donc le port
80, pour protégerl’utilisateur, on bloque le port 80.
Moi je ne suis pas du tout de cet avis : Si je ne veux pas que
l’on puisse communique avec le port 80, et donc Apache, je virer
Apache et basta. Ca coupe le port (au même titre que le pare-feu)
puis, en surplus, je gagne du temps de boot, des ressources, dont de la
RAM et des I/O disques.
Pour l’antivirus, faut savoir que la majorité de virus
sous Windows, se répandent via le réseau, via le port 445
et 139. Vu que je ne me sers pas de cella, j’élimine
majorité de virus type « automatique ». Les autre
virus, demandent une action de votre part, par exemple, en utilisant un
logiciel (action = double click sur l’exe)
télécharger sur le WEB. Pour ma part, je ne
télécharge pas n’importe quoi. De plus, si vous
voulez améliorer encore votre sécurité sans
antivirus, je vous conseil fortement d’activer le compte «
invité » et de n’utiliser que celui-ci : Le virus
auras les même droits que vous : RIEN, à par exploser le
profil invité, si petit. Un compte « Administrateur
» ne devrais servir qu’as modifié, mètre
à jour et installer votre système et applications.
Commençons donc par l’installation :
Comme dis, j’installe mon win se fait via PXE, mais vous pouvez
le faire via CD.
Le mieux est d’avoir son fichier d’installation
automatique, pour éviter d’installer pleins de trucs
inutiles, pour moi, un OS « propre » est l’OS qui
n’as que ce qui me sert. Donc je ne pars de rien, puis
j’ajoute ce que je veux, au lieu d’avoir une usine a gaz,
pour n’utiliser que trois options.
Voici mon fichier de configuration XP, à utiliser directement
avec un Cd perso, ou avec « winnt(32).exe /u:
PATH_DE_CE_FICHIER_TEXT /s: PATH_DES_SOURCE_DU_CD »
[data]
floppyless = "1"
msdosinitiated = "1"
; Needed for second stage
OriSrc = "\\10.33.24.254\PXE\AllMenu\WinMenu\Install\Dists\WinXP\i386"
;OriSrc =
"\\Domaine.GALOULA.COM.local\PXE\AllMenu\WinMenu\Install\Dists\WinXP\i386"
OriTyp = "4"
LocalSourceOnCD = 1
DisableAdminAccountOnDomainJoin = 1
UnattendedInstall="Yes"
AutomaticUpdates=Yes
FullName="WinProut"
[SetupData]
OsLoadOptions = "/fastdetect"
; Needed for first stage
SetupSourceDevice =
"\Device\LanmanRedirector\10.33.24.254\PXE\AllMenu\WinMenu\Install\Dists\WinXP"
;SetupSourceDevice =
"\Device\LanmanRedirector\Domaine.GALOULA.COM.local\PXE\AllMenu\WinMenu\Install\Dists\WinXP"
[GuiUnattended]
ProfilesDir="C:\Profils\"
; ca évite le “Documents and Settings” sur un
filesystem de 256Chars …
AdminPassword = "1234"
AutoLogon = Yes
AutoLogonCount = 99
OEMSkipWelcome = 0
OEMSkipRegional = 0
TimeZone=105
[Unattended]
UnattendMode=FullUnattended
OemSkipEula=Yes
TargetPath=\i386
ProgramFilesDir="C:\Programmes"
; Cella évite le “Program Files » sur ce même
filesystem de 256Chars
CommonProgramFilesDir="C:\Programmes\Fichiers communs"
; En francais c’est mieux
DriverSigningPolicy=Ignore
; Pas de confirmation de signature des drivers.
WaitForReboot=No
UnattendSwitch=Yes
CrashDumpSetting=0
OemPnPDriversPath = Drivers\LAN
[UserData]
ComputerName = *
; if needed
ProductID=LA_CLEF_CD_DE_VOTRE_XP
FullName="WinProut"
OrgName="Galoula"
;Je désactive tout ce que j’ai trouvé à
l’installation
[Components]
accessopt=off ; Assistant Accessibilite
Appsrv_console = Off
Aspnet = Off
AutoUpdate = On
BitsServerExtensionsISAPI = Off
BitsServerExtensionsManager = Off
calc=off ; Calculette
Certsrv = Off
Certsrv_client = Off
Certsrv_server = Off
charmap=off ; Table caracteres
chat=off ; Chat ?
Clipbook = Off
Complusnetwork = Off
deskpaper=off ; Papiers peints
Dialer = Off
Dtcnetwork = Off
fax=off ; fax
fp_extensions=off
fp_vdir_deploy=off
freecell =off ; jeu
hearts=off ; Jeu
hypertrm=off ; Hyper Terminal
IEAccess=off ; Icones IE
Iis_asp = Off
Iis_common = Off
Iisdbg = Off
Iis_ftp = Off
Iis_htmla = Off
Iis_doc = Off
Iis_inetmgr = Off
Iis_internetdataconnector = Off
Iis_nntp = Off
Iis_pwmgr = Off
Iis_serversideincludes = Off
Iis_smtp = Off
Iis_smtp_docs = Off
Iis_webadmin = Off
Iis_webdav = Off
Iis_www = Off
Iis_www_vdir_printers = Off
Iis_www_vdir_scripts = Off
Iis_www_vdir_terminalservices = Off
indexsrv_system=off ; Indexation fichiers
Inetprint = Off
Licenseserver = Off
media_clips=off ; Sons
media_utopia=off ; Sons
minesweeper=off ; Jeu
mousepoint=off ;l Curseurs
mplay=off ; Media Player
Msmq_ADIntegrated = Off
Msmq_Core = Off
Msmq_HTTPSupport = Off
Msmq_LocalStorage = Off
Msmq_MQDSService = Off
Msmq_RoutingSupport = Off
Msmq_TriggersService = Off
msnexplr=off ; MSN Explorer
msmsgs=off ; MSN Messenger
mswordpad=off ; Wordpad
Netcis = Off
Netoc = Off
Objectpkg = Off
OEAccess = Off
paint=off ; Paint
pinball =off ; Jeu
rec=off ; Enregistreurs
Pop3Admin = Off
Pop3Service = Off
Pop3Srv = Off
Reminst = Off
Rootautoupdate = Off
Rstorage = Off
solitaire=off ; Jeu
spider=off ; Jeu
templates=off ; Modeles de documents
TerminalServer = On
TSWebClient = Off
Vol = Off
WBEMSNMP = Off
WMAccess = Off
WMPOCM = Off
zonegames=off ; Jeu sur le NET
; Ca ne marche pas vraiment, mais j’aime
[WindowsFirewall]
Profiles = WindowsFirewall.TurnOffFirewall
[WindowsFirewall.TurnOffFirewall]
Mode = 0
; Barre bleue ? Bof, et ca bouffe
[Shell]
DefaultThemesOff=Yes
[RegionalSettings]
LanguageGroup=1
SystemLocale=0000040c
UserLocale=0000040c
InputLocale=040c:0000040c
; J’utilise tellement TSE, que je le veux avant même mon
2nd boot
[TerminalServices]
AllowConnections=1
; Espace disque
[Uninstall]
EnableBackup=No
C’est parti pour la vie Microsoft (surtout avec une base SP2), on
lance Windows Update (WU) et on rebootera une dizaine de fois pour lui
faire plaisir, car il n’est pas assé intelligent pour ne
booter qu’une fois.
Installer toutes les mises à jour exceptées :
- Installation Windows Live
Je suis encore capable de télécharger
MSN sans devoir télécharger l’assistant de
téléchargement du téléchargeur de MSN
…
- Windows Search
Ne marche réellement pas, et RAME !
- SilverLight
J’aime déjà pas FLASH Player,
mais SilverLight, yas même pas de sites qui ont ca, alors, ca ne
me sert pas.
Voilà, après ses 6H de mises à jour, on peut enfin
voir ce qu’il se passe :
Commençons par le réseau, en éliminant tout ce que
je peux, donc voici un tableau des ports ouverts, et des services
associés à désactiver :
netstat -an
Proto |
Adresse
locale
|
Adresse distante |
Etat |
Service
|
TCP
|
0.0.0.0:135 |
0.0.0.0:0 |
LISTENING |
??* |
TCP
|
0.0.0.0:445 |
0.0.0.0
|
LISTENING |
??*
|
TCP
|
10.33.24.61:139 |
0.0.0.0
|
LISTENING |
netbt
|
TCP
|
127.0.0.1:1025 |
0.0.0.0
|
LISTENING |
??*
|
UDP
|
0.0.0.0:445 |
*.*
|
|
??*
|
UDP
|
0.0.0.0:500 |
*.*
|
|
Services
IPSEC |
UDP
|
0.0.0.0:4500 |
*.*
|
|
Services
IPSEC |
UDP
|
0.0.0.0:123 |
*.*
|
|
Horloge
Windows |
UDP
|
0.0.0.0:137 |
*.*
|
|
netbt
|
UDP
|
0.0.0.0:138 |
*.*
|
|
netbt
|
UDP
|
0.0.0.0:1900 |
*.*
|
|
Service
de découvertes SSDP |
Pour les ports « ??* »
Effectuez les
manipulations
suivantes :
Enlevez la dépendance « netbt » sur DHCP (si vous
êtes en DHCP, sinon, désactivez simplement DHCP)
Dans regedit allez sur «
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp »
Editez la valeur « DependOnService » et enlevez la ligne
« NetBT »
Désactiver tous ces services :
Assistance TCP/IP NetBIOS
Je
n’aime pas NetBIOS, failles à gogo.
Accès à distance au Registre
Faut
être dingue…
Pare-feu Windows / Partage de connexion Internet
Ne
sert plus à rien
Explorateur d'ordinateur
Avez-vous déjà vu « Favoris réseau »
marcher ?
Enfin, faire un clique droit sur « Poste de travail » puis
sélectionnez « géré », allez dans
« gestionnaire de périphériques »
Allez ensuite dans « Affichage » et sélectionner
« Afficher les périphériques cachés ».
Dans l’arborescence, recherchez « Pilotes non Plug-n-Play
» et faire un clique droit sur « netbt » pour y
sélectionner « Propriétés ».
Allez dans l’onglet « Pilote » et dans «
Démarrage » sélectionnez « Demande ».
Confirmez avec OK.
Gain :
Compatibilité avec le Changement rapide d'utilisateur
Je
suis le seul à utiliser le PC à la fois.
Configuration automatique sans fil
Je
n’ai pas de WiFi sur ce PC
Client de suivi de lien distribué
Si
je déplace un raccourcis, j’essaye de pense à ce
que je fais non ?
Centre de sécurité
Je
le déteste lui, « Ton ordinosaure vas exploser dans
5secondes car t’as pas payé un FW/AV etc !!! »
Spouleur d'impression
Je
n’ai pas d’imprimante, et même si j’ai aurais
une, ca marche sans.
Thèmes
Le
style classique me convient.
WebClient
Si
vous n’utilisez pas WebDAV et que vous avez votre logiciel FTP
(type FileZilla) ca ne sert à rien.
Service de restauration système
J’ai une image de mon disque.
Service de rapport d'erreurs
Ca
crashera quand même…
Serveur
J’ai rien à partage, c’est un PC « client
», mais à garder dans certains cas.
Planificateur de tâches
Je
n’ai pas de « cron » sur Windows
Amélioration sur l’explorateur Windows :
Cochez les cases de cette manière :
J’aime voir TOUT, et SURTOUT ce que cache Windows, les
extensions, c’est la base da la sécurité : Une EXE
nommer « coquine.jpg.exe » avec l’icône JPEG en
guise d’icône programme, par défaut, vous le verrez
exactement comment une image JPG classique, et c’est un exe, donc
un virus à 90% de cas …
« Ne pas mètre les miniatures en cache » : Evite
tous ces thumb.db
« Ouvrir les fenêtres dans un processus différent
» si explorer.exe crash, tu n’auras que la fenêtre en
question de crashé, et non pas tout l’OS.
« Rechercher automatiquement les dossiers et imprimantes
partagés » Evite le broadcast, inutile …
« Utiliser le partage simple » En plus ils nous
recommandent, eux qui parle de sécurité, en effet, cella
ajout l’onglet sécurité de DECOCHER cette case dite
« recommandé ».
Le reste, c’est pour mon plaisir.
Panneau de configuration :
Comptes utilisateurs : Décocher « utiliser
l’écran d’accueil ».
Options régionales et linguistiques : Dans l’onglet
« Langues », bouton « Détails », Onglet
« Avancé », cochez « Arrêter les
services de textes avancés », pinaise bien planquer lui
aussi.
Sur un explorer Windows, appuyez sur F3 vous aurez l’assistant de
recherche, configurons-le :
On commence par mètre le chien à la SPA M$ : «
Désactiver le personnage animé »
Ensuite, « Modifier les préférences »,
« Modifier les paramètres de recherche et des dossiers
», sélectionnez « Recherche avancée ».
Enfin, cliquez sur « Options avancées », et cochez
« Rechercher dans les fichiers et les dossiers cachés
»
Internet Explorer
Avant de le dégager à coup de Mozilla, par exemple,
configurez le quand même si un jour, vous devez utiliser un
ActiveX, type WU.
La suite :
Quand vous installez un logiciel, n’activez jamais les recherches
automatiques des mises à jour, ca bouffe de la RAM, alors que le
logiciel le fera quand même à ses lancements.
N’acceptez JAMAIS les Security scan, les toolbar à la con
(Type Yahoo, Google quand vous installez un truc Adobe par exemple).