Concepts et planification

 

Gestion
de la sécurité

Gestion
du réseau

Le partage
de ressources

Active Directory

Kerberos

La notion
de domaine

DDNS, WINS
et DHCP

Utilisateurs
et groupes
d'utilisateurs

Les profils

Les privilèges

Les permissions

L'audit

Disques durs
et partitions

Planification
d'un déploiement

 

RETOUR

La gestion de la sécurité

Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des utilisateurs.

Action ou ressource refusée ou accordée en fonction de l'utilisateur.

Possibilités multiples de sécurisation:

  • autorisation/interdiction d'utilisation d'une machine (obtention obligatoire d'un compte d'utilisateur de la part d'un utilisateur ayant le droit d'en fournir),
  • autorisation/interdiction d'utiliser d'autres applications que celles dûment autorisées,
  • autorisation/interdiction d'installer des applications,
  • autorisation/interdiction d'installer des périphériques,
  • autorisation/interdiction de modifier l'environnement de travail,
  • restrictions d'accès aux ressources (fichiers, imprimantes, …),
  • audit des actions réalisées par les utilisateurs (ouvertures de sessions d'utilisateur, accès à des ressources,...),

Droit (ou privilège): Autorisation d'exécuter une action de configuration système.

Exemples: Créer des comptes, installer des applications, installer un pilote d'imprimante, partager un répertoire, changer l'heure du système, arrêter le système, accéder à une machine depuis le réseau, ...

Autorisation (ou permission): Autorisation d'accès à une ressource.

Exemples: Imprimer sur une imprimante partagée, lire un fichier, exécuter une application, changer une clef du registre, ...

Tous les objets du système sont soumis à autorisations via des ACLs (Access Control Lists).

Exemples: Les fichiers, les répertoires, les imprimantes, les clefs du registre,...

Un utilisateur possède tous les droits : l'"Administrateur".
Il est nommé "Aministrator" dans les versions anglosaxones de Windows ("root" sous UNIX).

La gestion du réseau

Système d'exploitation utilisable pour la connexion d'ordinateurs en réseau.

-> Connexion et communication "facile" entre ces machines.

Nombre important de normes de câblage connectées aux machines via des cartes d'interface réseau (NIC, Network Interface Card):

Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des éditeurs tiers):

Nombre important de services réseau tant du point de vue serveur que du point de vue client:

-> Grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau.

Protocole natif de Windows NT: NetBEUI.

Protocole natif de Windows 2008 (depuis Windows 2000): TCP/IP.

NetBEUI

Avantages

Inconvénients
  • Rapide
  • Peu gourmand en ressource système
  • Pas de routage
  • Pas compatible avec Internet
  • Protocole potentiellement assez bavard sur le réseau

 

TCP/IP

Avantages

Inconvénients
  • Rapide
  • Peu gourmand en ressource système
  • Routage
  • Compatible avec Internet
  • Possiblement complexe à paramétrer
  • Protocole bien connu des "hackers"

Windows 2008 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les conventions de nom de NetBEUI sans que NetBEUI soit installé. L'utilisation d'un nom NetBEUI se traduit par la subsitution automatique et transparente de ce nom par l'adresse IP lui correspondant rendant possible l'utilisation de cette adresse comme nom.
Cette interface existe car Windows étant historiquement associé à NetBEUI, il en intègre encore un nombre important de caractéristiques:

  • Dénomination des machines
  • Explorateur réseau
  • ...

Elle permet de rester compatible avec des machines qui n'utiliseraient que ces conventions de nom.

Depuis Windows 2000 et Windows XP Microsoft encourage l'utilisation de TCP/IP.

Sécurité gérée au niveau du réseau.

Le partage de ressources

Utilisation d'une ressource partagée: Utilisation d'objets du système offerts par une machine distante.

Ressources partageables:

  • Les répertoires et les fichiers qu'ils contiennent
  • Les imprimantes
  • Les applications (Exécution d'une application sur une machine distante avec écho d'exécution sur la machine locale) (possibilité d'utiliser "Remote App" pour accèder à une application distante) (possibilité d'utiliser le service Remote Server pour configurer un serveur de terminaux Windows, équivalent fonctionnel à un serveur X-Window pour des terminaux X)

Sécurité gérée au niveau des ressources partagées.

Active Directory

Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs, ordinateurs, applications, ressources partagées, ... et à être interrogé par d'autres machines via réseau.

AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS. Il utilise le protocole LDAP pour les requêtes.

Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à un fonctionnement pérenne.

Intérêt d'AD:

  • Windows 2008 avec AD supporte des domaines de plusieurs millions de comptes d'utilisateurs.

  • Windows 2008 avec AD supporte des domaines de plusieurs dizaines de milliers de machines.

Unité Organisationnelle

La caractéristique la plus fondamentale d'Active Directory (héritée de l'annuaire X.500) est l'Unité Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire à même de contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation arborescente de l'information.

L'extensibilité d'Active Directory

Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes.

Kerberos

Kerberos V5.0 est le protocole d'authentification réseau de Windows 2008 pour les communications avec d'autres machines 2008, 2003, 2000, Seven, Vista ou XP.
Associé à Active Directory, il rend Windows 2008 très différent de Windows NT 4.0 du point de vue de la gestion de la sécurité où seul NTLM est utilisé.

Deux points importants sont à signaler:

  • L'authentification mutuelle: Cette fonctionnalité permet aux clients et serveurs, lors d'une communication d'informations, de vérifier l'authenticité de leurs identités respectives pour éviter les usurpations d'identité.

  • L'approbation transitive: Si A fait confiance à B, et B fait confiance à C, alors A fait confiance à C.
    -> En particulier, cette loi est vérifiée pour les approbations entre "Domaines Windows 2008".

Kerberos succède à NTLM. Windows 2008 devra utiliser NTLM (dont il est pourvu) pour l'authentification et la cohabitation avec des machines sous système d'exploitation de version ancienne ou des machines indépendantes (hors domaine, voir plus loin).

La notion de domaine Windows 2008

Domaine: Unité d'administration sous Windows 2008.

Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité associée.

Les UO définies au sein des domaines permettent le contrôle de la délégation sous Windows 2008.

Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du domaine (obligatoirement une machine sous Windows 2008 Server, 2003 Server ou éventuellement 2000 Server).

La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active Directory et est répliquée automatiquement entre eux.

Autre définition d'un domaine: Ensemble d'ordinateurs partageant la même base de données d'utilisateurs et de groupes d'utilisateurs.

Contrairement à l'ancien modèle NT 4.0 où existe un et un seul contrôleur de domaine "principal" auquel il peut être adjoint 0, 1 ou plusieurs contrôleurs de domaine "secondaires", un domaine Windows 2008 contient 1 et plus fréquemment plusieurs contrôleurs de domaine placés au même niveau hiérarchique.
Le problème de la "solution" NT 4.0 est que l'indisponibilité du contrôleur primaire entraîne l'arrêt de toute possibilité d'administration du domaine en ce qui concerne les comptes d'utilisateur et les machines. Un fonctionnement normal ne peut pas reprendre tant que cette indisponibilité se poursuit.
Dans le modèle Windows 2008, ce n'est plus le cas car toutes les tâches d'administration peuvent être poursuivies tant qu'au moins un contrôleur est on-line.

ATTENTION: Existence d'opérations à "maître de domaine unique" qui doivent être prises en charge mais ne peuvent être en charge que d'un seul contrôleur de domaine. Ces maîtres d'opération peuvent être changés mais ils doivent exister sinon les domaines sont disfonctionnels. En cas d'arrêt d'un maître d'opération, n'importe quel autre contrôleur peut s'approprier cette responsabilité.

ATTENTION: Ne pas confondre les notions de domaine Windows 2008 et domaine TCP/IP. Les domaines 2008 portent généralement des noms mappés sur leurs équivalents TCP/IP et pourront permettrent l'administration centralisée de leurs machines. En revanche, les domaines TCP/IP n'incluent pas cette notion d'administration système centralisée.

Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines Windows 2008 pour l'administration des comptes d'utilisateurs et des groupes d'utilisateurs.

Approbation

Il est possible d'établir des relations d'approbation entre domaines permettant (s'ils y sont autorisés) aux utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine.

Elles pourront être créées:

  • implicitement (voir plus loin) auquel cas elles sont bidirectionnelles et créées automatiquement,
  • explicitement auquel cas elles sont unidirectionnelles et créées explicitement par les administrateurs des domaines concernés.

Arborescence de domaines: Structure de domaines hiérarchisée sur un mode arborescent par des relations d'approbation implicites. La base est constituée du domaine racine, qui possède un ou plusieurs domaines enfants, qui peuvent eux-mêmes posséder des domaines enfants. Les noms de ces domaines respectent les mêmes conventions que les noms TCP/IP -> Espace de noms contigu pour tous les domaines fils d'un domaine racine.

Forêt: Ensemble d'arborescences de domaines sans racine commune. La racine de la forêt est la première arborescence à avoir joint la forêt lors de sa création. Tous les domaines racines des arborescences de la forêt possèdent implicitement une relation d'approbation bidirectionnelle avec la racine de la forêt.

Eléments pouvant "communiquer avec un domaine"

(1) Pour une ouverture de session de travail

  • Un ou plusieurs contrôleurs de domaine (sous Windows 2012, 2008, 2003 ou 2000 Server et Active Directory) sans hiérarchie particulière.
  • Des machines clientes simples sous Windows 2012, 2008, 2003 ou 2000 Server (mais sans Active Directory), Eight, Seven, Vista, XP ou 2000 Professionnel. Pour un poste Windows 2012, 2008, 2003 ou 2000 Server, on parle alors de "Serveur membre".
  • Des machines clientes simples sous Windows NT 4.0 ou 3.51, Server ou Workstation.
  • Des machines utilisant le service client "Remote Desktop".

Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au sein d'AD sur chacun des DC.

Les ouvertures de session sont authentifiées par le premier contrôleur de domaine disponible trouvé sur le réseau par le poste de connexion.

(2) Pour l'accéder à une ressource partagée (sans ouverture de session de travail)

Etablissement possible de connexions "simples" depuis d'autres machines sous Windows 2012, 2008, 2003, 2000, NT 4.0 ou 3.51, Windows Eight, Seven, Vista, XP, 98, 95 et 3.11 ou tout autre système d'exploitation reconnaissant l'un des protocoles installés sur la machine serveur et assurant le service client associé au service serveur accédé.

Fourniture d'un login et d'un mot de passe authentifié par requête du serveur vers un DC.

Accès limités aux ressources partagées accessibles à l'utilisateur authentifié.

Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des ressources:

  • domaine\utilisateur pour un nom d'utilisateur,
  • \\serveur\ressource pour l'accès à une ressource partagée.

(3) Pour accéder à une ressource sans authentification explicite ou une ressource gèrant son propre système d'autentification

Tout type de machine.

Exemples de service sans authentification explicite:

  • WWW
  • FTP anonymous
  • ...

Exemples de service gérant son propre système d'authentification:

  • SQL Server
  • WWW Apache
  • Oracle
  • MySQL
  • ...

Types de machine

Les contrôleurs de domaine

  • Gestion centralisée de la base de données des utilisateurs et des groupes d'utilisateurs ainsi que de la politique de sécurité qui leur est associée.
  • Authentification des ouvertures de session et des accès aux ressources partagées qu'ils proposent.
  • Administration des utilisateurs.
  • Redondance des bases de données d'utilisateurs et de groupes d'utilisateurs.
  • Déploiement et maintenance des politiques de sécurité.
  • Maintenance du domaine.
  • Ouverture de session de travail.
  • Accès aux ressources partagées par les machines du domaine.

Les machines Windows Seven, Vista, XP ou 2000 Professionnel intégrées au domaine

  • Machines clientes simples du domaine.
  • Pas de stockage d'une copie de la base de données des utilisateurs.
  • Soumission des ouvertures de session à un DC.
  • Pas de rôle administratif autre de la possibilité d'être utilisée en tant que terminal de travail.
  • Ouverture de session de travail.
  • Accès aux ressources partagées par les machines du domaine.

Les machines Windows Server en serveurs simples intégrés au domaine

  • Machines gérées comme des machines Windows Eight, Seven, Vista, XP ou 2000 Professionnel du point de vue de la base de données des utilisateurs (pas d'Active Directory) mais possédant les capacités de Windows Server du point de vue des services réseau autres que ceux de gestion des domaines.

Exemples:

  • Partage de ressources (fichiers, imprimante, Remote Desktop, ...) sur une machine que l'on ne souhaite pas être contrôleur de domaine.
  • Fonctionnement d'un logiciel qui nécessite Windows Server (IIS, WSUS, ...) sur une machine qu'on ne souhaite pas être contrôleur de domaine.
  • Ouverture de session de travail.
  • Accès aux ressources partagées par les machines du domaine.

Tous les systèmes systèmes d'exploitation

  • Toute machine quel que soit son système d'exploitation.
  • Accès aux ressources partagées par les machines du domaine.
  • Conditions nécessaires pour l'établissement d'une connexion:
    • Reconnaître l'un des protocoles du serveur accédé.
    • Être capable d'émettre un nom de login ainsi que le mot de passe associé dans un formalisme intelligible par le serveur accédé (requête d'authentification relayée du serveur accédé vers un DC).
    • Être capable de gérer la partie cliente du service auquel l'accès est réalisé.
  • Privilèges pour l'accès à ressource partagée accédée accordés au compte de connexion.

DDNS, WINS et DHCP

Une implantation Windows 2008 nécessitera fréquemment le déploiement des services DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol).

  • Seule la disponibilité de DDNS est réellement nécessaire car les domaines Windows 2008 l'utilisent obligatoirement.
    L'implantation de DDNS permet la constitution du serveur de nom du domaine Windows 2008 construit (généralement équivalent à un domaine TCP/IP).
    Par rapport à un serveur DNS classique, DDNS autorise l'enregistrement automatique et dynamique des clients.
    S'il est installé sur une machine contrôleur de domaine, cet enregistrement peut être réalisé au sein d'Active Directory. La distribution automatique de cette base vers tous les contrôleurs eux-mêmes munis de DDNS permet de créer des serveurs DNS synchronisés et donc de péréniser le fonctionnement du système de résolution de noms en spécifiant plusieurs serveurs DNS dans la configuration des postes clients.

  • L'utilisation de WINS n'est nécessaire que dans les conditions suivantes:
    - Plusieurs sous-réseaux TCP/IP différents doivent communiquer entre eux (obligatoirement via routage) et donc doivent constituer un seul espace de noms.
    - La convention de nom simplifiée de NetBEUI (interface NetBIOS) doit pouvoir être utilisée (volonté de simplification pour les utilisateurs, présence de systèmes d'exploitation anciens, utilisation de logiciels anciens, utilisation souhaitée de l'explorateur réseau, ...).
    Le problème est que, de base, l'interface NetBIOS n'assure la traduction nom NetBEUI<->adresse IP que pour les machines du sous-réseau au sens de TCP/IP.
    Elle assure donc sans problème la résolution de nom et l'interface avec TCP/IP pour toute communication entre les machines d'un couple situé sur un même sous-réseau. Le problème se pose quand il s'agit de faire "se trouver" les machines d'un couple lorsque la première est située sur un sous-réseau et que la seconde est sur un autre sous-réseau. Pour de telles communications, WINS apporte un service de nom permettant d'associer de manière transparente, automatique et généralement bijective les adresses IP et les noms NetBEUI. Quand un nom NetBEUI est utilisé, il lui est substitué en interne l'adresse IP obtenue par résolution WINS.
    Les machines de l'espace de noms que l'on souhaite créer seront configurées pour interroger un serveur WINS si elles ont besoin d'une résolution de nom. A son démarrage, toute machine configurée pour utiliser un serveur WINS s'enregistre dans sa base de manière à la renseigner.
    Sous Windows 2008, tout comme avec DDNS, une base de données WINS peut être stockée au sein d'Active Directory si le serveur WINS est un contrôleur de domaine et peut donc être distribuée sur les contrôleurs pour constituer un ensemble de serveur WINS "identiques"..
    Il est possible de configurer un ensemble de serveurs WINS indépendants pour qu'ils échangent leurs bases de données.

  • L'utilisation de DHCP, même si elle n'est pas obligatoire, permet de centraliser la gestion des paramètres TCP/IP des machines d'un domaine.

Les utilisateurs et les groupes d'utilisateurs

Les utilisateurs

Stockage dans la base de données des utilisateurs et des groupes d'utilisateurs au sein d'Active Directory d'un certain nombre d’informations concernant chaque utilisateur:

  • nom d'utilisateur complet,
  • nom d'utilisateur principal (UPN, User Principal Name),
  • nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC),
  • mot de passe,
  • les restrictions apportées aux actions qui lui sont autorisées,

Exemple de nom:
  - John Smith comme nom complet,
  - john.smith@w2k3.univ-fcomte.fr comme nom principal (ATTENTION, le nom principal est formaté comme une adresse électronique mais ce n'en est pas une),
  - w2k3\smith comme nom équivalent NT en convention UNC,
  - smith comme nom raccourci.

Les groupes

Regroupement des utilisateurs en groupes d’utilisateurs possédant un même jeu de droits et d'autorisations.

Un utilisateur peut appartenir à plusieurs groupes. Un groupe peut appartenir à un groupe.

-> Possibilité de gestion hiérarchisée des comptes des utilisateurs.

-> Facilité de gestion.

Deux types de groupe:

  • Groupes de sécurité: Leurs membres sont susceptibles de se voir attribuer des autorisations ou des droits via le groupe. Ils peuvent aussi servir de listes de distribution.
  • Groupes de distribution: Ils peuvent servir de listes de distribution mais pas à l'attribution d'autorisations ou de droits.

Trois étendues de groupe sur une machine Windows Server contrôleur de domaine:

  • Groupe à étendue universelle: Ils peuvent avoir comme membres des groupes et des comptes de n'importe quel domaine Windows dans l'arborescence de domaine ou dans la forêt et peuvent recevoir des autorisations dans n'importe quel domaine de l'arborescence de domaine ou de la forêt.

  • Groupe à étendue globale: Ils peuvent avoir comme membres des groupes et des comptes du domaine dans lequel le groupe est défini et peuvent recevoir des autorisations dans n'importe quel domaine de la forêt.

  • Groupe à étendue de domaine local: Ils peuvent avoir comme membres des groupes et des comptes du domaine Windows et peuvent être utilisés pour octroyer des autorisations à l'intérieur d'un domaine uniquement et seulement vers des machines Serveur contrôleur ou membre.

Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du domaine de définition et des domaines approuvant le domaine de définition.

Des groupes d'un seul type peuvent être définis sur une machine Windows Seven, Vista, XP ou 2000 Professionnal ou 2000, 2003 ou 2008 Server en serveur simple:

  • les groupes locaux.

Sur ces machines, quand elles appartiennent à un domaine, il y a réception, d'un des contrôleurs de domaine, des groupes globaux et universels du domaine.

Après l'installation initiale de Windows

Deux comptes d’utilisateur locaux:

  • Un compte "invité" (Attention!!! pas de mot de passe), actif sur Windows Seven, Vista, 2000 ou XP Professionnal, désactivé sous Windows 2000, 2003 ou 2008 Serveur
  • Un compte "administrateur" d'administration local

Différents groupes intégrés locaux:

  • Administrateurs
  • Invités
  • Utilisateurs
  • Utilisateurs avec pouvoirs (utilisateurs possédant certains privilèges d'administration non relatifs aux domaines)
  • Opérateurs de sauvegarde
  • Réplicateurs

Différents groupes spéciaux (ne pouvant pas posséder explicitement de membres, mais auxquels les utilisateurs peuvent éventuellement appartenir implicitement):

  • Créateur/propriétaire (propriétaires des objets)
  • Système (activités liées au système d'exploitation)
  • Réseau (activités d'utilisateurs provenant du réseau)
  • Anonymous logon (utilisateur non authentifié)
  • Utilisateur authentifié (utilisateur authentifié)
  • Batch (processus batch)
  • Dialup (utilisateur via un accès dial-up)
  • Tout le monde (tout utilisateur authentifié référant au domaine natif ou à un domaine approuvé)
  • Interactif (utilisateur qui accède à une ressource en se connectant localement à l'ordinateur proposant cette ressource)
  • Service (un service)

Après l'installation de Windows 2008, 2003 ou 2000 Serveur en contrôleur de domaine

Aucun compte ou groupe local.

Deux comptes d’utilisateur associés au domaine:

  • Un compte "invité" du domaine (désactivé)
  • Un compte "administrateur" d'administration du domaine

Utilisateurs et groupes d'utilisateurs "User"

Plusieurs dizaines de groupes intégrés spéciaux ou non. Entre autres:

  • Tout le monde (spécial)
  • Utilisateur authentifié (spécial)
  • CREATEUR PROPRIETAIRE (spécial)
  • SYSTEM (spécial)
  • SERVICE LOCAL (spécial)
  • Administrateurs (domaine local)
  • Invités (domaine local)
  • Utilisateurs (domaine local)
  • Opérateurs de compte (domaine local) (gestion des comptes et des groupes d'utilisateurs sauf pour ceux qui possèdent des privilèges d'administration)
  • Opérateurs de serveur (domaine local) (gestion du bon fonctionnement des serveurs du réseau)
  • Opérateurs d’impression (domaine local) (gestion du bon fonctionnement des activités liées aux imprimantes)
  • Duplicateurs (domaine local) (gestion des activités de réplication de répertoires)
  • Admins du domaine (global)
  • Invités du domaine (global)
  • Utilisateurs du domaine (global)
  • Utilisateurs du bureau à distance (global)
  • Ordinateurs du domaine (global)
  • Contrôleurs du domaine (global)
  • Administrateurs de l'entreprise (universel ou global)
  • Administrateurs du schéma (universel ou global)

Groupes d'utilisateurs "Builtin"

Tous les utilisateurs et les groupes d'utilisateurs intégrés

Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé.

Sur les Windows membres simples d'un domaine

Groupes et utilisateurs issus du domaine:

  • Les comptes
    • "invité" du domaine
    • "administrateur" d'administration du domaine
  • Les groupes
    • Admins du domaine (global)
    • Invités du domaine (global)
    • Utilisa. du domaine (global)
    • ...

Sur ces machines, existence préservée et utilisation possible des comptes et groupes locaux (délégation locale possible).
Sur les contrôleurs de domaine, utilisation impossible des comptes et groupes locaux (délégation locale impossible).

Création des utilisateurs et de nouveaux groupes locaux, globaux ou universels par l’administrateur système ou tout autre utilisateur possédant les privilèges administrateur, admins du domaine ou opérateur de comptes.

Contenu précis d’un compte d’utilisateur d'un domaine

Informations pouvant être renseignées lors de la création ou bien à tout autre moment après la création:

  • Nom d'utilisateur complet
  • Nom d'utilisateur principal (UPN, User Principal Name)
  • Nom d'utilisateur raccourci (équivalent NT 4.0, convention UNC)
  • Mot de passe
  • Adresse électronique
  • Numéros de téléphone
  • Horaires d’accès
  • Stations de travail autorisées pour l'accès
  • Adresse postale
  • Date d’expiration (date au delà de laquelle le compte est désactivé, les fichiers personnels ne sont pas détruits s'il y en a)
  • Répertoire de base (généralement, le répertoire personnel) (répertoire local ou réseau)
  • Script d’ouverture de session (fichier de commandes lancé à l'ouverture de session, mais pas lors du simple accès à une ressource partagée)
  • Profil (localisation des fichiers de configuration de l'utilisateur)
  • Place de l'utilisateur dans son organisation
  • Groupes auxquels appartient l'utilisateur
  • Informations de configuration Remote Access Service
  • Informations de configuration de l'utilisateur pour les services Terminal Server

SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un groupe d'utilisateurs au sein d'un domaine Windows.

Exemple:
S-1-5-21-3292650235-2243138800-104724495-1005

SID d'administrateur (500 à la fin)

Tout SID ayant été utilisé ne le sera jamais plus. Il n'existe pas de manière simple de choisir le SID d'un utilisateur créé. Il est donc difficile de recréer le même utilisateur en cas de suppression hasardeuse.

Les stratégies de groupes et stratégies de sécurité

Via l'utilisation des stratégies de groupes, il est possible de gérer de manière centralisée un grand nombre de paramètres relatifs aux utilisateurs et aux ordinateurs d'un domaine. Un paramétrage peut être inactivé ou activé auquel cas il sera généralement activé avec une(des) valeur(s) particulière(s)..
Il existe une stratégie de groupe locale sur toute machine.
L'ensemble des contrôleurs de domaine d'un domaine partage une même stratégie de groupes qui leur est spécifique et est prioritaire sur leurs stratégies locales respectives selon le tableau ci-dessous.

Paramétrage local Paramétrage global Paramétrage actif

Actif

 Actif Global
Inactif Actif Global
Actif Inactif Local
Inactif Inactif Inactif

Il existe aussi au niveau du domaine une stratégie de groupes qui ne s'applique qu'aux machines non contrôleur. Elle s'applique prioritairement sur la stratégie locale de chaque machine selon le tableau ci-dessus.

Il est possible de créer et de classer par ordre de priorité des stratégies de groupes spécifiquement configurées par utilisateur, ordinateur ou groupe.

Les possibilités offertes par les stratégies de groupes sont très larges:

  • gestion de l'interface graphique,
  • gestion des applications utilisables par les utilisateurs,
  • installation d'applications,
  • gestion des mises à jour,
  • droits des utilisateurs,
  • configuration automatique des applications,
  • ...

Les stratégies de sécurité sont des sous-ensembles des stratégies de groupes. Comme le nom l'indique, elles sont dédiées aux éléments de configuration plus particulièrement relatifs à la sécurité.

Stratégie de sécurité locale

Stratégie de groupes locale
(inclut la stratégie de sécurité locale)

Les profils

Profil: Ensemble d'informations visibles ou masquées (exemple: clefs et valeurs du registre pour le paramètrage des applications) définissant l'environnement de travail d'un utilisateur.

Par exemple, pour chaque utilisateur:

  • son menu démarrer,
  • son bureau,
  • son dossier "Mes documents",
  • son registre (fichier NTUser.dat):
    • ses connexions réseaux, ses montages d'imprimante réseau,
    • ses variables d'environnement (path, set, ...),
    • ses définitions de couleurs, de police de caractères,...
    • ses paramétrages logiciels,
    • ...
  • ...

Stockage local des profils dans des ensembles de fichiers et de répertoires stockés dans le répertoire "Utilisateurs" ("Users" en anglais) ("Documents and Settings" dans les versions antérieures de Windows), généralement dans un répertoire portant le nom de l'utilisateur.

Répertoire contenant les profils des utilisateurs

Contenu du profil de l'administrateur

"Default" ("Default User" dans les versions antérieures de Windows, lien de compatibilité): Profil par défaut géré par le système et attribué par copie à tout utilisateur qui n'en posséderait pas lors de sa première connexion sur une machine. Le profil par défaut doit être configuré sur chaque poste client.

Contenu du profil "Default"

"All Users": Profil commun à tous les utilisateurs. On y trouve en particulier les entrées communes du Menu démarrer, le bureau commun et la partie du registre commune à tous les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par l'administrateur.

Contenu du profil "All Users"

Attribution possible d'un profil personnel à tout utilisateur. Ce profil est modifiable uniquement par lui.

Dans le cadre d'un domaine, centralisation possible de la gestion des profils de manière que tout utilisateur retrouve son environnement de travail quel que soit le poste sur lequel il se connecte: Profils "itinérants".

-> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine (accessible à toutes les machines du domaine).

  • Lors de la connexion, téléchargement automatique du profil sur le poste client dans le répertoire "Utilisateurs" local.
  • Utilisation du profil (avec ou sans modification) sur le poste client.
  • Lors de la déconnexion, déchargement automatique du profil du poste client vers le serveur.
  • Conservation éventuelle du profil local en cache sur le poste client. Sinon, effacement.

Configuration d'un utilisateur
pour lui attribuer un profil "itinérant"

La sécurité: Les droits (privilèges)

Droit (Privilège): Autorisation attribuée aux utilisateurs et aux groupes d’utilisateurs leur permettant d'exécuter une action système.

Privilège attribué à un groupe automatiquement attribué à l’ensemble de ses membres.

A l'installation du système d'exploitation, attribution par le programme d'installation de privilèges par défaut aux groupes d'utilisateurs et utilisateurs intégrés.

Via les stratégies de groupes, les administrateurs pourront changer les privilèges des groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent.

Utilisation de la mmc pour accéder à la configuration
des droits des utilisateurs dans les stratégies de sécurité

Droit "accéder à cet ordinateur à partir du réseau"
configuré pour un certain nombre d'entités.
Droit non modifiable car élément de sécurité local
imposé par une configuration globale.

Informations sur ce droit

Liste des droits

La sécurité: les autorisations (permissions)

Autorisation (Permission): Autorisation d'accès à une ressource accordée par un administrateur à un utilisateur ou un groupe d'utilisateurs.

  • Accès sécurisé pour les fichiers et répertoires créés dans une partition NTFS.
  • Accès sécurisé pour les imprimantes.
  • Accès sécurisé aux ressources partagées sur le réseau (répertoires, imprimantes, ...).
  • Accés sécurisé à tous les objets du système d'exploitation soumis à l'attribution d'ACLs.

Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs).

Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier, un répertoire ou tout autre type d'objet du système d'exploitation (il possède généralement tous les droits sur cet objet).

Accès au nom du propriétaire et appropriation

Autorisations pouvant être attribuées

Deux niveaux:

  • Bas niveau: Autorisation spécial (autorisations élémentaires)
  • Haut niveau: Méta-autorisation (autorisation composée à un jeu particuliers d'autorisations élémentaires) correspondant à des cas d'application classiques

Si possible, n'utiliser que les méta-autorisations. Sinon, se "risquer" à jouer des autorisations spéciales.

Autorisations spéciales (fichiers et rétertoires):

  • Contrôle total
  • Parcours du dossier/exécuter le fichier
  • Liste du dossier/lecture de données
  • Attributs de lecture
  • Lecture des attributs étendus
  • Création de fichier/écriture de données
  • Création de dossier/ajout de données
  • Attributs d'écriture
  • Ecriture d'attributs étendus
  • Suppression
  • Autorisations de lecture
  • Modification des autorisations
  • Appropriation

Liste des autorisations élémentaires
(configurables en autorisation ou refus)

Méta-autorisations pour les répertoires

On fixe les autorisations pour le répertoire lui-même et pour les fichiers et/ou répertoires qu'il contient ou qu'il contiendra lors de leur création:

  • Contrôle total
  • Modification
  • Lecture et exécution
  • Affichage du contenu du dossier
  • Lecture
  • Ecriture
  • Autorisations spéciales...

Méta-autorisations de répertoire
(configurables en autorisation ou refus)
(en grisé: autorisation héritée)

Exemple: La méta-autorisation "Affichage du contenu du dossier" correspond à la composition des 5 autorisations élémentaires suivantes en autorisation avec aucune autorisation élémentaire en refus:

  • Parcours du dossier/exécuter le fichier
  • Liste du dossier/lecture de données
  • Attributs de lecture
  • Lecture des attributs étendus
  • Autorisations de lecture

Méta-autorisations pour les fichiers

  • Contrôle total
  • Modification
  • Lecture et exécution
  • Lecture
  • Ecriture
  • Autorisations spéciales...

Méta-autorisations de fichier
(configurables en autorisation ou refus)
(en grisé: autorisation héritée)

Exemple: La méta-autorisation "Lecture et exécution" valide la méta-autorisation "Lecture" (qui est un de ses sous-ensembles) et correspond à la composition des 5 autorisations élémentaires suivantes en autorisation avec aucune autorisation élémentaire en refus:

  • Parcours du dossier/exécuter le fichier
  • Liste du dossier/lecture de données
  • Attributs de lecture
  • Lecture des attributs étendus
  • Autorisations de lecture

Si seul "Lecture" est validé, l'autorisation élémentaire "Parcours du dossier/exécuter le fichier" disparait pour ne conserver que:

  • Liste du dossier/lecture de données
  • Attributs de lecture
  • Lecture des attributs étendus
  • Autorisations de lecture

Cible d'application des autorisations

Pour un dossier, action de configuration des autorisations réalisable sur:

  • Ce dossier seulement
  • Ce dossier, les sous-dossiers et les fichiers
  • Ce dossier et les sous-dossiers
  • Ce dossier et les fichiers
  • Les sous-dossiers et les fichiers seulement
  • Les sous-dossiers seulement
  • Les fichiers seulement

Cibles possibles pour une configuration d'autorisation

NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire parent. Il permet d'ajouter des autorisations spécifiques aux autorisations héritées.
NTFS 5 permet aussi à un répertoire de laisser ou non ses sous-répertoires hériter de ses propres autorisations.

A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du système d'exploitation aux groupes et utilisateurs intégrés -> Sécurité minimale.

Droit de l'administrateur: Prendre possession et changer les autorisations de l'intégralité des objets.

Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des autorisations du répertoire dans lequel il est placé (le créateur en est le propriétaire).

Lors du déplacement d'un fichier ou d'un répertoire sur une même unité, conservation des informations de sécurité.

La sécurité: L'audit

Audit: Conservation d'une trace des événements détectés sur une machine.

A chaque événement, enregistrement d'une ligne de description dans l'un des journaux d'événements.

Journaux (non exhaustif):

  • Système (audit des activités du système d'exploitation)
  • Sécurité (audit de l'activité des utilisateurs et de l'utilisation des ressources)
  • Application (audit des applications et des services)
  • Active Directory (spécifique aux DC)
  • DNS (spécifique aux serveurs DNS)
  • Réplication de fichiers (spécifique aux machines réplicatrices)

-> Potentiellement autant de journaux différents que de services assurés.

Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les dysfonctionnements éventuels soit hardware, soit software.

Journal sécurité: Audit des activités des utilisateurs.

Configuration d'un verrou d'audit pour le répertoire Toto
vis à vis du groupe "Tout le monde"

Événements pouvant être audités dans le journal sécurité:

  • La gestion des comptes
  • L'accès au service d'annuaire
  • L'accès aux objets
  • Le suivi des processus
  • Les événements de connexion
  • Les événements de connexion aux comptes
  • Les événements système
  • Les modifications de stratégie
  • L'utilisation des privilèges

Événements auditables

Par défaut, audit activé seulement pour les événements liés aux journaux Système, Application, Active Directory, DNS et Réplication de fichiers sur les machines sous système Windows Professionnel.
Par défaut, audit activé pour tous les journaux pour les machines sous système Windows Server.

La gestion des partitions et des systèmes de fichiers

Introduction du système de fichiers NTFS avec Windows NT 4.0.

Nécessaire à la gestion de la sécurité d'accès aux fichiers et répertoires, à l'implantation de la compression à la volée et à l'encryptage des données à la volée.

Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques "dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques en RAID (Agrégat de partitions, agrégats par bandes, disques en miroir, agrégats par bandes avec parité -> Disques RAID).

Gestion du système de fichiers FAT32 (Windows 98).

Gestion du système de fichiers FAT16.

Gestion des noms longs.

Fonctionnalités supplémentaires associées aux systèmes de fichiers NTFS

  • Compression à la volée

Activation de la compression temps réel
sur un fichier ou un répertoire

  • Chiffrage

Activation du chiffrage sur un fichier ou un répertoire

Activation du gestionnaire de quotas sur une unité

Paramètres de quota d'un utilisateur

Entrées de quota de l'unité C: