Concepts et planification

Gestion
de la sécurité

Gestion
du réseau

Le partage
de ressources

La notion
de domaine

Utilisateurs
et groupes
d'utilisateurs

Les profils

Les privilèges

Les permissions

L'audit

Disques durs et partitions

Planification d'un déploiement

 

WB01624_.gif (281 octets) RETOUR

La gestion de la sécurité

Windows NT : Système d'exploitation sécurisé.

Fonction de base du système d'exploitation : Contrôle discrétionnaire des activités des utilisateurs.

Action ou ressource refusée ou accordée en fonction de l'utilisateur.

Possibilités multiples de sécurisation:

  • autorisation d'utilisation d'une machine (obtention obligatoire d'un compte d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir),
  • interdiction d'utiliser d'autres applications que celles dûment autorisées,
  • interdiction d'installer des applications,
  • interdiction de modifier l'environnement de travail,
  • restrictions d'accès aux ressources (fichiers, imprimantes,…),
  • audit des actions réalisées par les utilisateurs (ouvertures de sessions d'utilisateur, accès à des ressources,...),

Droit ou privilège : Autorisation d'exécuter une action système.

Exemple : Créer des comptes

Permission : Autorisation d'accès à une ressource.

Exemple : Imprimer sur une imprimante partagée

La gestion du réseau

NOS (Network Operating System) : Système d'exploitation utilisable pour la connexion d'ordinateurs en réseau.

-> connexion et communication facile entre ces machines.

Nombre important de normes de câblage connectées aux machines via des cartes d'interface réseau (NIC, Network Interface Card):

Nombre important de protocoles réseau reconnus (Drivers conçus par Microsoft ou par des éditeurs tiers):

Nombre important de services réseau assurés ou accessibles:

-> grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau.

Protocole natif de Windows NT : NetBEUI.

Avantages

Inconvénients

Rapide

Bonne protection contre les erreurs

Peu gourmand en ressource système

Pas de routage

Pas compatible avec Internet

Protocole assez bavard

NETBEUI natif -> Noms de machines alphanumériques sur 15 caractères.

Transport de NetBEUI sur les autres protocoles sans avoir à l'installer explicitement sous Windows NT (encapsulation).

Microsoft encourage l'utilisation de TCP/IP dans l'avenir même si la base de Windows NT reste NetBEUI.

Sécurité gérée au niveau du réseau.

Le partage de ressources

Utilisation d'une ressource partagée : Utilisation d'objets offerts par une machine distante.

Ressources partageables:

  • les disques,

  • les imprimantes,

  • dans une certaine mesure, les applications (Exécution d'une application sur une machine distante avec transmission du résultat sur la machine locale).

Sécurité au niveau des ressources partagées.

La notion de domaine

Domaine: Unité de base en matière d'administration sous Windows NT.

Domaine: Groupe de machines sous Windows NT reliées en réseau et gérées comme une machine unique du point de vue des comptes d'utilisateur. Toutes les machines du domaine reconnaissent les mêmes comptes.

Contrôleur de domaine principal (PDC, Primary Domain Controler): Machine chargée de l'administration du domaine (obligatoirement une machine sous Windows NT Server).

SAM (Security Account Manager): Base de données des utilisateurs (stockée sur le PDC).

Autre définition d'un domaine: Ensemble d'ordinateurs sous Windows NT partageant la même SAM.

Définition possible de plusieurs domaines sur le même réseau.

Définition possible de relations d'approbation entre domaines. Une relation d'approbation est toujours à sens unique, mais deux relations peuvent être établies, l'une dans un sens, l'autre dans l'autre. Les utilisateurs d'un domaine sont autorisés à se connecter sur les machines d'un autre domaine.

-> hiérarchisation.

Eléments interconnectables au sein un domaine

(1) Avec ouverture de session

  • Obligatoirement un et un seul contrôleur de domaine principal (sous Windows NT Server).

  • Potentiellement une ou plusieurs autres machines sous NT Server qui assureront le rôle de contrôleurs de domaine secondaires (SDC ou BDC).

  • Des machines clientes simples sous NT Server ou Workstation.

Toutes ces machines réfèrent à la même SAM située sur le PDC.

Image500.gif (3305 octets)

(2) Sans ouverture de session sur le PDC

Établissement possible de connexions simples avec d'autres machines sous Windows NT, Windows 3.11, 95 et 98 ou tout autre système d'exploitation reconnaissant les protocoles installés sur la machine serveur et assurant les services de connexion SMB et LanManager via un protocole quelconque.

Fourniture d'un login et d'un mot de passe par l'intermédiaire du protocole et des services d'authentification.

Accès limité aux ressources partagées accessibles à l'utilisateur authentifié.

Image501.gif (11178 octets)

Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des ressources:

  • domaine\utilisateur pour un nom d'utilisateur,

  • \\serveur\ressource pour l'accès à une ressource partagée.

(3) Autres possibilités

Toute machine accédant à une machine Windows NT via un service sans authentification (WWW,...) ou gérant son propre système d'authentification (SQL Server, Oracle, ...).

Le contrôleur de domaine principal

Gestion centralisée de la base de données des utilisateurs et des groupes d'utilisateurs (SAM).

Contrôle des ouvertures de session et des accès aux ressources partagées qu'il propose.

Existence de comptes locaux.

Les contrôleurs de domaine secondaires

Stockage d'une copie de la SAM (mise à jour automatique périodique depuis le contrôleur primaire)

Traitement des demandes d'ouverture de session et des accès aux ressources partagées qu'ils proposent.

Dispositif de secours.

Administration des utilisateurs du domaine. ATTENTION, c'est impossible si le contrôleur primaire n'est pas en ligne.

Existence de comptes locaux.

Les NT Workstation

Pas de stockage d'une copie de la SAM.

Soumission des ouvertures de session à un PDC ou un SDC.

Pas de possibilité d'administration directe des comptes du domaine. Existence de comptes locaux.

Les NT Server en serveurs simples

Machines gérées comme des machines Windows NT Workstation du point de vue de la SAM.

Exemples:

  • Partage de ressources sur une machine qu'on ne souhaite pas être contrôleur de domaine.

  • Fonctionnement d'un logiciel qui nécessite NT Server sur une machine qu'on ne souhaite pas être contrôleur de domaine.

  • Machine NT Server devant être déplacée entre deux domaines :

    • réinstallation totale du système si elle est PDC ou SDC,

    • simple reconfiguration de l'appartenance à un domaine si elle est serveur simple.

Les autres systèmes

Toute machine quel que soit son système d'exploitation.

Condition nécessaire pour l'établissement d'une connexion:

  • Reconnaître d'un des protocoles du serveur de domaine.
  • Être capable d'émettre un nom de login ainsi que le mot de passe associé (Lan Manager).
  • Être capable de gérer un service lié à SMB.

-> Privilèges pour l'accès aux ressources partagées accordés au compte de connexion sans avoir pour autant ouvert de session.

Les utilisateurs et les groupes d'utilisateurs

Obligation d'être référencé en tant qu’utilisateur autorisé pour pouvoir utiliser une machine.

Stockage dans la SAM d'un certain nombre d’informations concernant chaque utilisateur:

  • nom de login,
  • mot de passe,
  • les restrictions apportées aux actions autorisées,

Regroupement des utilisateurs en groupes d’utilisateurs possédant un même jeu de privilèges et de permissions.

Existence de groupes globaux déployés sur le domaine et de groupes locaux connus d'une seule machine.

Un utilisateur peut appartenir à plusieurs groupes.
Un groupe global ne peut pas appartenir à un autre groupe global.
Un groupe global peut appartenir à un groupe local.

-> Possibilité d'administration hiérarchisée des comptes des utilisateurs.

-> Plus grande facilité de gestion.

Deux types de groupes sur une machine NT Server Contrôleur:

  • les groupes globaux qui sont partagés sur le domaine,
  • les groupes locaux qui ne le sont pas (Définis seulement sur la machine locale).

Un seul type de groupe définissable sur une machine NT Workstation (non destinée à partager ses utilisateurs):

  • les groupes locaux.

Réception des groupes globaux d'un de ses contrôleurs de domaine.

Trois comptes d’utilisateur créés à l’installation du système:

  • le compte "administrateur" de l’administrateur du domaine
  • un compte "invité" (Attention!!! pas de mot de passe), actif sur NT WorkStation, désactivé sous NT Server.
  • un compte "administrateur" d'administration local sur les machines NT WorkStation et les serveur simples.

Groupes intégrés créés à l’installation d'un NT Server contrôleur de domaine:

  • Administrateurs (local)
  • Invités (local)
  • Utilisateurs (local)
  • Opérateurs de compte (local) (création de comptes et de groupes d'utilisateurs)
  • Opérateurs de serveur (local) (ils assurent le bon fonctionnement des serveurs du réseau)
  • Opérateurs d’impression (local) (ils assurent le bon fonctionnement des activités liées aux imprimantes)
  • Admins du domaine (global)
  • Invités du domaine (global)
  • Utilisa. du domaine (global)

Groupes spéciaux:

  • Créateur/propriétaire (propriétaires des objets)
  • Système (activités liées au système d'exploitation)
  • Réseau (activités liées à l'utilisation du réseau)

Groupes intégrés créés à l’installation d'un NT WorkStation:

  • Administrateurs (local)
  • Invités (local)
  • Utilisateurs (local)
  • Utilisateurs avec pouvoirs (local) (utilisateurs possédant certains privilèges d'administration)

Groupes issus le cas échéant du domaine:

  • Admins du domaine (global)
  • Invités du domaine (global)
  • Utilisa. du domaine (global)

Groupes spéciaux:

  • Créateur/propriétaire
  • Système

Création des utilisateurs et de nouveaux groupes locaux ou globaux par l’administrateur système ou toute personne possédant les privilèges administrateur, admins du domaine ou opérateur de comptes.

Existence du groupe spécial "tout le monde": tous les utilisateurs possibles, membre du domaine ou d'un domaine approuvé.

Contenu d’un compte d’utilisateur

Informations devant être renseignées lors de la création:

  • Nom de login (obligatoire)
  • Mot de passe (obligatoire)
  • Nom détaillé
  • Horaires d’accès
  • Stations de travail d’accès (jusqu'à 8)
  • Date d’expiration (date au delà de laquelle le compte est désactivé, les fichiers ne sont pas détruits)
  • Répertoire de base (généralement, le répertoire personnel)
  • Script d’ouverture de session (fichier de commandes lancé à l'ouverture de session, mais pas lors du simple accès à une ressource partagée)
  • Profil (localisation des fichiers de configuration de l'utilisateur)
  • Type de compte (local ou global)

SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un groupe d'utilisateurs.

Tout SID ayant été utilisé ne le sera jamais plus.

Les profils

Profil: Ensemble d'informations visibles ou masquées (clefs et valeurs du registre) définissant l'environnement de travail d'un utilisateur.

Par exemple, pour chaque utilisateur:

  • la configuration de sa barre des tâches, de son menu démarrer, de son bureau, ...
  • ses variables d'environnement (path, set, ...),
  • ses définitions de couleurs, de police de caractères,...
  • les paramétrages de ses logiciels,
  • ...

Stockage des profils dans des ensembles de fichiers et de répertoire.

Profil par défaut: Profil géré par le système et attribué par copie à chaque utilisateur (faute d'une configuration contraire) lors de sa première connexion sur une machine. Le profil par défaut doit être configuré sur chaque poste client.

Attribution possible d'un profil personnel à tout utilisateur modifiable uniquement par lui.

Dans le cadre d'un domaine, centralisation possible de la gestion des profils de manière à ce que tout utilisateur retrouve son profil quel que soit l'ordinateur sur lequel il se connecte.

-> Profils sauvegardés dans un répertoire partagé du PDC (accessible à toutes les machines du domaine) ou de tout autre serveur du domaine.

  • Lors de la connexion, téléchargement du profil sur le poste client.
  • Utilisation du profil (avec ou sans modification) sur le poste client.
  • Lors de la déconnexion, déchargement du profil du poste client vers le serveur.

La sécurité: Les privilèges (droits)

Privilège (droit): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur permettant d'exécuter une action système.

Privilège attribué à un groupe
-> automatiquement attribué à l’ensemble de ses membres.

A l'installation du système d'exploitation, attribution de privilèges par défaut aux groupes d'utilisateurs intégrés par le programme d'installation.

Pour un NT Server

Pour un NT Workstation

L'administrateur peut changer les privilèges des groupes intégrés et attribuer des privilèges aux groupes qu'il crée.

Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé.

La sécurité: les permissions

Permission: Autorisation d'accès à une ressource accordée par un administrateur à un utilisateur ou un groupe d'utilisateurs.

  • Accès sécurisé pour les fichiers et répertoires (créés dans une partition NTFS).
  • Accès sécurisé pour les imprimantes.
  • Accès sécurisé aux ressources réseau (fichiers, imprimantes, ...).

Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier ou un répertoire (il possède généralement tous les droits sur cet objet).

Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs).

Permissions pouvant être attribuées par l'administrateur:

Pour les répertoires (on fixe les permissions pour le répertoire lui-même et pour les fichiers qu'il contient ou qu'il contiendra lors de leur création):

  • Aucun accès (Aucun) (Aucun)
  • Lister (rx) (Non spécifié)
  • Lire (rx) (rx)
  • Ajouter (wx) (Non spécifié)
  • Ajouter et lire (rwx) (rx)
  • Modifier (rwxd) (rwxd)
  • Contrôle total (tous)(tous)
  • Accès spécial à un répertoire…
  • Accès spécial à un fichier…

Pour les fichiers

  • Aucun accès (aucun)
  • Lire (rx)
  • Modifier (rwxd)
  • Contrôle total (tous)
  • Accès spécial

Accès spéciaux:

  • Lire (r)
  • Ecrire (w)
  • Exécuter (x)
  • Effacer (d)
  • Changer les permissions (p)
  • Prendre possession (o)

Contrôle total: Toutes les permissions précédentes sont attribuées.

A l'installation, permissions par défaut attribuées aux fichiers et répertoires du système d'exploitation aux groupes et utilisateurs intégrés.

-> un niveau de sécurité minimum (limitation des effacements éventuels pouvant être opérés par les utilisateurs dans le système d'exploitation, mais pas d'interdiction d'ajouter des choses).

Droit de l'administrateur: Prendre possession et changer les permissions de l'intégralité des objets.

Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des permissions du répertoire dans lequel il est placé (le créateur en est le propriétaire).

Lors du déplacement d'un fichier ou d'un répertoire, conservation des informations de sécurité.

La sécurité: L'audit

Audit: Conservation d'une trace des opérations réalisées sur une machine.

-> occurrence d'événements.

A chaque événement, enregistrement d'une ligne de description dans l'un des journaux d'événements.

Événements pouvant être audités:

  • Système (audit des activités du système d'exploitation)
  • Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources)
  • Application (audit des applications et des services)

-> trois journaux différents.

Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les dysfonctionnements éventuels soit hardware, soit software.

Journal sécurité: Audit des activités des utilisateurs.

Événements du journal sécurité pouvant être audités:

  • Les ouvertures et fermeture de session
  • Les accès aux fichiers et objets
  • L'utilisation de ses droits par un utilisateur
  • La gestion des utilisateurs et des groupes
  • Les modifications de la stratégie de sécurité
  • Les démarrages et arrêt du système
  • Le suivi de processus

Par défaut, audit activé seulement pour les événements liés aux journaux Système et Application.

La gestion des partitions et des systèmes de fichiers

Introduction du système de fichiers NTFS avec Windows NT 4.0.

Nécessaire à la gestion de la sécurité d'accès aux fichiers et à l'implantation de la compression à la volée.

Pas de système de fichiers FAT32 (Windows 98) sous NT4.0.

Système de fichiers FAT16.

Gestion des noms longs sur les systèmes de fichiers NTFS et FAT16.

Possibilité de gestion de disques en miroir.

Possibilité de gestion d'agrégats de partitions.

Planification d'un déploiement NT 4.0

Lors d'un déploiement, beaucoup de questions se posent. En particulier:

  • Choix du type de réseau
    • Choix du physique
      • Type de câble
      • Type de matériel actif
      • Problème de l'évolutivité
    • Choix du logique
      • Un ou plusieurs réseaux locaux
      • Choix des protocoles et des services réseaux implantés
      • Gestion de l'interopérabilité
  • Choix du type d'organisation en domaine et influence sur la gestion des comptes d'utilisateur et la gestion des machines
    • Mono-domaine
      Image401.gif (1535 octets)
    • Multi-domaine sans approbation
      Image802.gif (3942 octets)
    • Multi-domaine avec approbation mais sans domaine maître
      Image803.gif (4984 octets)
    • Multi-domaine avec approbation et domaine maître ou domaine de ressource
      Image804.gif (7073 octets)
  • Le problème de la tolérance aux pannes
    • Création de serveurs secondaires
    • Clusterring
  • La gestion de la bande passante
    • Identification des goulets d'étranglement liés aux faiblesses de bande passante
  • La politique de sécurité
    • Qui fait quoi?
    • Quoi protéger?
    • Quoi auditer?
  • Le TCO (Total Cost of Ownership)
  • L'installation des machines
    • Le choix du partitionnement des disques
      • Types des partitions (NTFS, FAT)
      • Tailles
    • Le choix de la gestion des disques
    • L'implantation d'une politique de sécurité
    • La gestion des sauvegardes