Concepts et planification |
|||||||||||||||||||||||||||||||||||||||||||
Utilisateurs Planification
|
La gestion de la sécurité Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des utilisateurs. Action ou ressource refusée ou accordée en fonction de l'utilisateur. Possibilités multiples de sécurisation:
Droit (ou privilège): Autorisation d'exécuter une action de configuration système.
Autorisation (ou permission): Autorisation d'accès à une ressource.
Tous les objets du système sont soumis à autorisations via des ACLs (Access Control Lists).
Un utilisateur possède tous les droits : l'"Administrateur".
Système d'exploitation utilisable pour la connexion d'ordinateurs en réseau. -> Connexion et communication "facile" entre ces machines. Nombre important de normes de câblage connectées aux machines via des cartes d'interface réseau (NIC, Network Interface Card):
Nombre important de protocoles réseau reconnus (Pilotes conçus par Microsoft ou par des éditeurs tiers): Nombre important de services réseau tant du point de vue serveur que du point de vue client: -> Grande interopérabilité dans le cadre de réseaux hétérogènes à tout niveau. Protocole natif de Windows NT: NetBEUI. Protocole natif de Windows 2008 (depuis Windows 2000): TCP/IP.
Windows 2008 inclut une interface NetBios qui permet d'utiliser TCP/IP avec les conventions de nom de NetBEUI sans que
NetBEUI soit installé. L'utilisation d'un nom NetBEUI se traduit par la subsitution automatique et transparente de ce nom
par l'adresse IP lui correspondant rendant possible l'utilisation de cette adresse comme nom.
Elle permet de rester compatible avec des machines qui n'utiliseraient que ces conventions de nom. Depuis Windows 2000 et Windows XP Microsoft encourage l'utilisation de TCP/IP. Sécurité gérée au niveau du réseau.
Utilisation d'une ressource partagée: Utilisation d'objets du système offerts par une machine distante. Ressources partageables:
Sécurité gérée au niveau des ressources partagées.
Active Directory (AD) est un service d'annuaire destiné à contenir des "objets": utilisateurs, ordinateurs, applications, ressources partagées, ... et à être interrogé par d'autres machines via réseau. AD est basé sur un système de gestion de base de données hiérarchique dérivé d'ACCESS. Il utilise le protocole LDAP pour les requêtes. Dans le cadre d'une utilisation "système", AD possède l'avantage d'intégrer nativement des fonctionnalités de distribution et de réplication de ses informations sur plusieurs serveurs Active Directory. Ainsi, il exonère le système d'intégrer ces caractéristiques essentielles à un fonctionnement pérenne. Intérêt d'AD:
Unité Organisationnelle La caractéristique la plus fondamentale d'Active Directory (héritée de l'annuaire X.500) est l'Unité Organisationnelle (UO). Une UO est un objet conteneur de l'annuaire à même de contenir des feuilles ou d'autres objets conteneurs, créant ainsi une organisation arborescente de l'information. L'extensibilité d'Active Directory Un autre aspect d'AD est son extensibilité par la possibilité offerte de définir de nouveaux objets à partir d'un paradigme hiérarchique orienté objet qui permet la création de nouvelles classes d'objets par ajout d'attributs et héritage d'anciennes classes.
Kerberos V5.0 est le protocole d'authentification réseau de Windows 2008 pour les communications avec d'autres machines
2008, 2003, 2000, Seven, Vista ou XP. Deux points importants sont à signaler:
Kerberos succède à NTLM. Windows 2008 devra utiliser NTLM (dont il est pourvu) pour l'authentification et la cohabitation avec des machines sous système d'exploitation de version ancienne ou des machines indépendantes (hors domaine, voir plus loin).
La notion de domaine Windows 2008 Domaine: Unité d'administration sous Windows 2008. Domaine: Groupe de machines reliées en réseau et pouvant être administrées comme une machine unique du point de vue des comptes d'utilisateurs et de la politique de sécurité associée. Les UO définies au sein des domaines permettent le contrôle de la délégation sous Windows 2008. Contrôleur de domaine (DC, Domain Controller): Machine chargée de l'administration du domaine (obligatoirement une machine sous Windows 2008 Server, 2003 Server ou éventuellement 2000 Server). La base de données des utilisateurs et des groupes d'utilisateurs (SAM, Security Account Manager, dans la terminologie NT 4.0) est stockée sur les DCs du domaine au sein d'Active Directory et est répliquée automatiquement entre eux. Autre définition d'un domaine: Ensemble d'ordinateurs partageant la même base de données d'utilisateurs et de groupes d'utilisateurs. Contrairement à l'ancien modèle NT 4.0 où existe un et un seul contrôleur de domaine "principal" auquel il peut
être adjoint 0, 1 ou plusieurs contrôleurs de domaine "secondaires", un domaine Windows 2008 contient 1 et plus
fréquemment plusieurs contrôleurs de domaine placés au même niveau hiérarchique. ATTENTION: Existence d'opérations à "maître de domaine unique" qui doivent être prises en charge mais ne peuvent être en charge que d'un seul contrôleur de domaine. Ces maîtres d'opération peuvent être changés mais ils doivent exister sinon les domaines sont disfonctionnels. En cas d'arrêt d'un maître d'opération, n'importe quel autre contrôleur peut s'approprier cette responsabilité. ATTENTION: Ne pas confondre les notions de domaine Windows 2008 et domaine TCP/IP. Les domaines 2008 portent généralement des noms mappés sur leurs équivalents TCP/IP et pourront permettrent l'administration centralisée de leurs machines. En revanche, les domaines TCP/IP n'incluent pas cette notion d'administration système centralisée. Les étendues NIS ou NYS sont ce qui ressemble le plus dans le monde UNIX aux domaines Windows 2008 pour l'administration des comptes d'utilisateurs et des groupes d'utilisateurs. Approbation Il est possible d'établir des relations d'approbation entre domaines permettant (s'ils y sont autorisés) aux utilisateurs d'un domaine d'utiliser les ressources disponibles au sein d'un autre domaine. Elles pourront être créées:
Arborescence de domaines: Structure de domaines hiérarchisée sur un mode arborescent par des relations d'approbation implicites. La base est constituée du domaine racine, qui possède un ou plusieurs domaines enfants, qui peuvent eux-mêmes posséder des domaines enfants. Les noms de ces domaines respectent les mêmes conventions que les noms TCP/IP -> Espace de noms contigu pour tous les domaines fils d'un domaine racine.
Forêt: Ensemble d'arborescences de domaines sans racine commune. La racine de la forêt est la première arborescence à avoir joint la forêt lors de sa création. Tous les domaines racines des arborescences de la forêt possèdent implicitement une relation d'approbation bidirectionnelle avec la racine de la forêt.
Eléments pouvant "communiquer avec un domaine" (1) Pour une ouverture de session de travail
Toutes ces machines réfèrent à la même base de données des utilisateurs dupliquée au sein d'AD sur chacun des DC. Les ouvertures de session sont authentifiées par le premier contrôleur de domaine disponible trouvé sur le réseau par le poste de connexion. (2) Pour l'accéder à une ressource partagée (sans ouverture de session de travail) Etablissement possible de connexions "simples" depuis d'autres machines sous Windows 2012, 2008, 2003, 2000, NT 4.0 ou 3.51, Windows Eight, Seven, Vista, XP, 98, 95 et 3.11 ou tout autre système d'exploitation reconnaissant l'un des protocoles installés sur la machine serveur et assurant le service client associé au service serveur accédé. Fourniture d'un login et d'un mot de passe authentifié par requête du serveur vers un DC. Accès limités aux ressources partagées accessibles à l'utilisateur authentifié. Conventions UNC (Uniform Naming Convention) pour la désignation des utilisateurs et des ressources:
(3) Pour accéder à une ressource sans authentification explicite ou une ressource gèrant son propre système d'autentification Tout type de machine. Exemples de service sans authentification explicite:
Exemples de service gérant son propre système d'authentification:
Types de machine
Une implantation Windows 2008 nécessitera fréquemment le déploiement des services DDNS (Dynamic Domain Name Service), WINS (Windows Internet Name Service) et DHCP (Dynamic Host Configuration Protocol).
Les utilisateurs et les groupes d'utilisateurs Les utilisateurs Stockage dans la base de données des utilisateurs et des groupes d'utilisateurs au sein d'Active Directory d'un certain nombre dinformations concernant chaque utilisateur:
Exemple de nom: Les groupes Regroupement des utilisateurs en groupes dutilisateurs possédant un même jeu de droits et d'autorisations. Un utilisateur peut appartenir à plusieurs groupes. Un groupe peut appartenir à un groupe.
Deux types de groupe:
Trois étendues de groupe sur une machine Windows Server contrôleur de domaine:
Sauf cas particulier, ces groupes sont déployés et accessibles sur toutes les machines du domaine de définition et des domaines approuvant le domaine de définition. Des groupes d'un seul type peuvent être définis sur une machine Windows Seven, Vista, XP ou 2000 Professionnal ou 2000, 2003 ou 2008 Server en serveur simple:
Sur ces machines, quand elles appartiennent à un domaine, il y a réception, d'un des contrôleurs de domaine, des groupes globaux et universels du domaine. Après l'installation initiale de Windows Deux comptes dutilisateur locaux:
Différents groupes intégrés locaux:
Différents groupes spéciaux (ne pouvant pas posséder explicitement de membres, mais auxquels les utilisateurs peuvent éventuellement appartenir implicitement):
Après l'installation de Windows 2008, 2003 ou 2000 Serveur en contrôleur de domaine Aucun compte ou groupe local. Deux comptes dutilisateur associés au domaine:
Utilisateurs et groupes d'utilisateurs "User" Plusieurs dizaines de groupes intégrés spéciaux ou non. Entre autres:
Groupes d'utilisateurs "Builtin"
Tous les utilisateurs et les groupes d'utilisateurs intégrés Existence d'un "groupe par défaut" dans lequel tout utilisateur est automatiquement placé. Sur les Windows membres simples d'un domaine Groupes et utilisateurs issus du domaine:
Sur ces machines, existence préservée et utilisation possible des comptes et groupes locaux (délégation locale
possible). Création des utilisateurs et de nouveaux groupes locaux, globaux ou universels par ladministrateur système ou tout autre utilisateur possédant les privilèges administrateur, admins du domaine ou opérateur de comptes. Contenu précis dun compte dutilisateur d'un domaine
SID (Security Identifier): Identificateur unique utilisé pour désigner un utilisateur ou un groupe d'utilisateurs au sein d'un domaine Windows. Exemple:
SID d'administrateur (500 à la fin) Tout SID ayant été utilisé ne le sera jamais plus. Il n'existe pas de manière simple de choisir le SID d'un utilisateur créé. Il est donc difficile de recréer le même utilisateur en cas de suppression hasardeuse.
Les stratégies de groupes et stratégies de sécurité Via l'utilisation des stratégies de groupes, il est possible de gérer de manière centralisée un grand nombre de paramètres
relatifs aux utilisateurs et aux ordinateurs d'un domaine. Un paramétrage peut être inactivé ou activé auquel cas il sera
généralement activé avec une(des) valeur(s) particulière(s)..
Il existe aussi au niveau du domaine une stratégie de groupes qui ne s'applique qu'aux machines non contrôleur. Elle s'applique prioritairement sur la stratégie locale de chaque machine selon le tableau ci-dessus. Il est possible de créer et de classer par ordre de priorité des stratégies de groupes spécifiquement configurées par utilisateur, ordinateur ou groupe. Les possibilités offertes par les stratégies de groupes sont très larges:
Les stratégies de sécurité sont des sous-ensembles des stratégies de groupes. Comme le nom l'indique, elles sont dédiées aux éléments de configuration plus particulièrement relatifs à la sécurité. Stratégie de sécurité locale Stratégie de groupes locale
Profil: Ensemble d'informations visibles ou masquées (exemple: clefs et valeurs du registre pour le paramètrage des applications) définissant l'environnement de travail d'un utilisateur. Par exemple, pour chaque utilisateur:
Stockage local des profils dans des ensembles de fichiers et de répertoires stockés dans le répertoire "Utilisateurs" ("Users" en anglais) ("Documents and Settings" dans les versions antérieures de Windows), généralement dans un répertoire portant le nom de l'utilisateur.
Répertoire contenant les profils des utilisateurs Contenu du profil de l'administrateur "Default" ("Default User" dans les versions antérieures de Windows, lien de compatibilité): Profil par défaut géré par le système et attribué par copie à tout utilisateur qui n'en posséderait pas lors de sa première connexion sur une machine. Le profil par défaut doit être configuré sur chaque poste client. Contenu du profil "Default" "All Users": Profil commun à tous les utilisateurs. On y trouve en particulier les entrées communes du Menu démarrer, le bureau commun et la partie du registre commune à tous les utilisateurs de cette machine. Ce profil n'est généralement modifiable que par l'administrateur. Contenu du profil "All Users" Attribution possible d'un profil personnel à tout utilisateur. Ce profil est modifiable uniquement par lui. Dans le cadre d'un domaine, centralisation possible de la gestion des profils de manière que tout utilisateur retrouve son environnement de travail quel que soit le poste sur lequel il se connecte: Profils "itinérants". -> Profils sauvegardés dans un répertoire partagé d'un serveur de fichiers du domaine (accessible à toutes les machines du domaine).
Configuration d'un utilisateur
La sécurité: Les droits (privilèges) Droit (Privilège): Autorisation attribuée aux utilisateurs et aux groupes dutilisateurs leur permettant d'exécuter une action système. Privilège attribué à un groupe automatiquement attribué à lensemble de ses membres. A l'installation du système d'exploitation, attribution par le programme d'installation de privilèges par défaut aux groupes d'utilisateurs et utilisateurs intégrés. Via les stratégies de groupes, les administrateurs pourront changer les privilèges des groupes et utilisateurs intégrés et attribuer des privilèges aux groupes qu'ils créent. Utilisation de la mmc pour accéder à la configuration
Droit "accéder à cet ordinateur à partir du réseau"
Informations sur ce droit
Liste des droits
La sécurité: les autorisations (permissions) Autorisation (Permission): Autorisation d'accès à une ressource accordée par un administrateur à un utilisateur ou un groupe d'utilisateurs.
Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs). Propriétaire: Utilisateur qui a créé ou qui s'est approprié un fichier, un répertoire ou tout autre type d'objet du système d'exploitation (il possède généralement tous les droits sur cet objet).
Accès au nom du propriétaire et appropriation Autorisations pouvant être attribuées Deux niveaux:
Si possible, n'utiliser que les méta-autorisations. Sinon, se "risquer" à jouer des autorisations spéciales. Autorisations spéciales (fichiers et rétertoires):
Liste des autorisations élémentaires Méta-autorisations pour les répertoires On fixe les autorisations pour le répertoire lui-même et pour les fichiers et/ou répertoires qu'il contient ou qu'il contiendra lors de leur création:
Méta-autorisations de répertoire Exemple: La méta-autorisation "Affichage du contenu du dossier" correspond à la composition des 5 autorisations élémentaires suivantes en autorisation avec aucune autorisation élémentaire en refus:
Méta-autorisations pour les fichiers
Méta-autorisations de fichier Exemple: La méta-autorisation "Lecture et exécution" valide la méta-autorisation "Lecture" (qui est un de ses sous-ensembles) et correspond à la composition des 5 autorisations élémentaires suivantes en autorisation avec aucune autorisation élémentaire en refus:
Si seul "Lecture" est validé, l'autorisation élémentaire "Parcours du dossier/exécuter le fichier" disparait pour ne conserver que:
Cible d'application des autorisations Pour un dossier, action de configuration des autorisations réalisable sur:
Cibles possibles pour une configuration d'autorisation NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire parent. Il permet d'ajouter
des autorisations spécifiques aux autorisations héritées. A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du système d'exploitation aux groupes et utilisateurs intégrés -> Sécurité minimale. Droit de l'administrateur: Prendre possession et changer les autorisations de l'intégralité des objets. Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des autorisations du répertoire dans lequel il est placé (le créateur en est le propriétaire). Lors du déplacement d'un fichier ou d'un répertoire sur une même unité, conservation des informations de sécurité.
Audit: Conservation d'une trace des événements détectés sur une machine. A chaque événement, enregistrement d'une ligne de description dans l'un des journaux d'événements. Journaux (non exhaustif):
-> Potentiellement autant de journaux différents que de services assurés. Journaux Système et Application: Audit du fonctionnement de la machine pour détecter les dysfonctionnements éventuels soit hardware, soit software. Journal sécurité: Audit des activités des utilisateurs.
Configuration d'un verrou d'audit pour le répertoire Toto Événements pouvant être audités dans le journal sécurité:
Événements auditables Par défaut, audit activé seulement pour les événements liés aux journaux Système, Application, Active Directory, DNS et
Réplication de fichiers sur les machines sous système Windows Professionnel.
La gestion des partitions et des systèmes de fichiers Introduction du système de fichiers NTFS avec Windows NT 4.0. Nécessaire à la gestion de la sécurité d'accès aux fichiers et répertoires, à l'implantation de la compression à la volée et à l'encryptage des données à la volée. Nouvelle évolution avec Windows 2000 vers NTFS 5 qui permet de rendre les disques "dynamiques" et apporte les fonctionnalités plus élaborées de gestion logicielle des disques en RAID (Agrégat de partitions, agrégats par bandes, disques en miroir, agrégats par bandes avec parité -> Disques RAID). Gestion du système de fichiers FAT32 (Windows 98). Gestion du système de fichiers FAT16. Gestion des noms longs.
Fonctionnalités supplémentaires associées aux systèmes de fichiers NTFS
Activation de la compression temps réel
Activation du chiffrage sur un fichier ou un répertoire
Activation du gestionnaire de quotas sur une unité
Paramètres de quota d'un utilisateur Entrées de quota de l'unité C: |