Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! Découvrez la Bibliothèque Numérique ENI. Cliquez ici
Formations en ligne à Excel, Word, Office, Teams... Formez-vous en toute autonomie. Je les découvre !
  1. Livres et vidéos
  2. Maintenance et dépannage d'un PC en réseau (7e édition)
  3. Sécurité et gestion de l'authentification
Extrait - Maintenance et dépannage d'un PC en réseau (7e édition)
Extraits du livre
Maintenance et dépannage d'un PC en réseau (7e édition) Revenir à la page d'achat du livre

Sécurité et gestion de l'authentification

Les permissions NTFS

À chaque ouverture de session, les informations d’identification employées par l’utilisateur (nom d’utilisateur et mot de passe) sont transmises à un moniteur de sécurité locale qui accède au Gestionnaire de sécurité (SAM pour Security Account Manager). Ce dernier accorde un jeton d’accès (token) qui va déterminer les droits d’accès que possède cet utilisateur pour tout objet "sécurisable" (clé du Registre, fichier, dossier, service, processus, etc.). Ce descripteur de sécurité vérifie deux informations :

  • Le SID de l’utilisateur.

  • La liste DACL de l’objet auquel tente d’accéder l’utilisateur.

Ces deux notions vont être expliquées dans la suite de ce chapitre.

1. Les SID utilisateurs

Un SID (Security IDentifier) est une manière unique d’identifier un utilisateur ou un groupe d’utilisateurs. Nous retrouvons ces identifiants dans les jetons d’accès, dans les ACL (Access Control List) et dans les bases de sécurité des comptes. Reportez-vous à la section suivante pour une description complète du mécanisme des ACL.

Les SID sont des données de longueur variable formant une représentation hiérarchique de l’acteur désigné. La syntaxe est la suivante : S-R-I-XXX-XXX-XXX.

  • S : la lettre S (pour rappeler qu’il s’agit d’un SID).

  • R : numéro du format binaire du SID.

  • I : nombre entier identifiant l’autorité ayant émis le SID.

  • XXX-XXX-XXX : suite de longueur variable, formée d’identifiants de sous-autorités ou d’identifiants relatifs (Relative IDentifier ou RID).

Vous pouvez afficher les SID de cette manière :

 Depuis une invite de commandes, tapez : whoami /all.

images/03RI06N.PNG

Les informations...

Les comptes d’utilisateurs

Nous distinguons les comptes prédéfinis des comptes interactifs, qui permettent aux utilisateurs d’ouvrir une session sur la machine. Les comptes prédéfinis de type Administrateur ou Invité vous permettent de tirer profit de certaines fonctionnalités du système d’exploitation. Ce type de compte ne correspond donc pas directement à un utilisateur réel. À l’inverse, un compte d’utilisateur interactif correspond à une personne physique. Le système lui renvoie donc une image, appelée profil, qui est stockée à cet emplacement : C:\Utilisateurs\<Nom Utilisateurs>.

Chaque utilisateur appartient à un groupe générique (prédéfini). Comme il est possible de créer des utilisateurs, vous pouvez également définir de nouveaux groupes.

À chaque groupe correspond un jeu de privilèges et de restrictions. En termes clairs, si le groupe des administrateurs dispose des pleins pouvoirs, celui des invités évolue dans une sorte de liberté surveillée.

La gestion des comptes d’utilisateurs est accessible depuis le Panneau de configuration, dans la section Comptes d’utilisateurs. Notez que sous Windows 10, la gestion des comptes utilisateurs est aussi accessible depuis l’utilitaire de gestion des paramètres du PC. Vous pouvez aussi utiliser la console de gestion avancée des utilisateurs en saisissant la commande netplwiz depuis la zone de recherche du menu Démarrer.

Si vous désirez réinitialiser le mot de passe d’un compte, depuis la console de gestion avancée des utilisateurs, cliquez sur le bouton Réinitialiser le mot de passe. Notez que cette option sera désactivée si vous êtes connecté avec un compte Microsoft. En effet...

Le contrôle de compte d’utilisateur

Windows Vista a introduit un nouveau concept de sécurité appelé UAP ou User Account Protection (en français, contrôle de compte d’utilisateur). D’autres termes sont utilisés : Least-Privilege User Accounts ou Limited User Accounts (LUA). Ce concept, désormais appelé UAC (User Account Control), a été conservé et amélioré dans Windows 7 puis dans Windows 8 et finalement dans Windows 10, pour qu’il apparaisse moins contraignant pour l’utilisateur. Cette fonctionnalité permet de limiter le champ d’action des logiciels malveillants.

Les utilisateurs créés par Windows ont le statut d’administrateur protégé, c’est-à-dire que la fonctionnalité UAC est activée pour ces comptes. Ce n’est pas le cas du compte Administrateur qui désigne le compte intégré au système d’exploitation mais qui, par défaut, est désactivé.

Quand un utilisateur a le droit d’interagir sans restriction avec le système, il peut installer une application, écrire dans la branche du registre HKEY_LOCAL_MACHINE, installer des périphériques, démarrer des services, etc.

En mode protégé, tous les processus initiés par un administrateur sont lancés avec un minimum de privilèges. Si, par exemple, vous ouvrez un programme à partir du menu Démarrer, l’application va s’exécuter dans un contexte restreint avec les mêmes privilèges que ceux qui vous ont déjà été accordés.

Si l’application requiert pour pouvoir s’exécuter convenablement, des privilèges élevés, il faudra, dans ce cas, que le compte d’administrateur puisse...

Windows Hello

Windows Hello est une nouvelle fonctionnalité de Windows 10 dont l’objectif annoncé est de mettre à disposition des utilisateurs des capacités d’authentification biométrique. Cette fonctionnalité est issue des réflexions autour de la prise en charge du framework FIDO 2.0.

L’usage des mots de passe représente un risque car les bonnes pratiques sur la longueur, la durée de vie et le stockage des mots de passe ne sont que peu respectées. 

Windows Hello répond aux exigences des standards de sécurité actuels.

Microsoft a annoncé que cette fonctionnalité supportera trois types de capteurs biométriques distincts. En effet, vous pourrez ouvrir une session à l’aide de dispositifs de lecture des empreintes digitales, de reconnaissance faciale ou de reconnaissance de l’iris.

Attention toutefois à disposer d’un matériel compatible avec Windows Hello pour éviter tout problème de reconnaissance du périphérique.

Pour la lecture des empreintes digitales, l’utilisation de matériels existants est supportée. Les restrictions sur ce type de dispositifs sont limitées. Par contre, pour la reconnaissance faciale il faut disposer d’un capteur infrarouge adapté comme les caméras RealSense 3D d’Intel.

Le périmètre de Windows Hello n’est pas uniquement limité à l’authentification sur le poste local mais étend également les capacités d’authentification sécurisée sur les applications et services web éligibles via le passeport Microsoft.

Cette solution utilise une authentification à double facteur avec la prise en charge de clés de cryptage asymétriques et l’utilisation d’un code PIN associé....

Astuces sur les comptes d’utilisateurs

Voici quelques astuces utiles !

1. Ouverture de session automatique

 Dans la zone de recherche saisissez : netplwiz.

 Décochez la case Les utilisateurs doivent entrer un nom d’utilisateur et un mot de passe pour utiliser cet ordinateur.

images/04RI09N.png

 Cliquez sur OK.

 Modifiez éventuellement le nom d’utilisateur.

 Saisissez votre mot de passe puis confirmez-le.

 Cliquez de nouveau sur OK.

Cette parenthèse expliquée, vous devez avoir à l’esprit deux choses :

  • Un mot de passe est nécessaire afin de prévenir toute tentative de connexion distante.

  • Si votre ordinateur est physiquement accessible à d’autres personnes, l’ensemble de vos données l’est aussi.

2. Restaurer un mot de passe oublié

Cela peut paraître curieux, mais cet outil fonctionne avec un disque USB externe, une carte mémoire et même un iPod (en l’absence de lecteur de disquette). Cette procédure fonctionne uniquement avec un compte local et non pas avec un compte Microsoft (compte connecté). Voici comment créer un disque de secours :

 Depuis le Panneau de configuration, sélectionnez la section Comptes d’utilisateurs, puis Comptes d’utilisateurs.

 Cliquez sur le lien Créer un disque de réinitialisation du mot de passe.

Ou bien, dans la zone de recherche de la barre des tâches, tapez créer disque de réinitialisation, puis choisissez Créer un disque de réinitialisation de mot de passe dans la liste des résultats.

images/ENI9.png

 Cliquez sur Suivant.

 Sélectionnez le disque amovible de votre choix, puis cliquez sur Suivant.

images/ENI10.png

Il y a des versions de Windows où la lettre de lecteur n’apparaît pas, vous devez donc procéder par essais successifs avant de trouver le bon emplacement....

La console de composants

Le principe consiste à créer une console (MMC, Microsoft Management Console) dans laquelle vous allez rajouter des composants logiciels enfichables comme, par exemple, l’Éditeur d’objets de stratégie de groupe.

1. Créer un fichier de console

 Appuyez sur les touches [Windows][R].

 Saisissez cette commande : mmc.

 Cliquez sur Fichier - Enregistrer.

Par défaut, le répertoire de stockage des fichiers de console est celui-ci : Outils d’administration.

 Cliquez sur Affichage - Personnaliser afin d’activer ou de désactiver certains éléments de votre console.

Voyons maintenant comment ajouter différents composants.

2. Ajouter un composant logiciel enfichable

 Cliquez sur Fichier - Ajouter/Supprimer un composant logiciel enfichable.

 Sélectionnez le composant Éditeur d’objets de stratégie de groupe puis cliquez sur le bouton Ajouter.

images/04RI10N.png

 L’assistant de configuration de l’outil d’administration des stratégies de groupe s’affiche. Cliquez sur le bouton Parcourir.

Vous obtenez les options suivantes :

  • Choisir l’ordinateur local ou un autre ordinateur.

  • Choisir un type d’utilisateur.

 Cliquez sur l’onglet Utilisateurs.

images/04RI11N.png

Vous avez la possibilité de :

  • Choisir un utilisateur en particulier.

  • Choisir entre le groupe des administrateurs ou des non-administrateurs.

 Cliquez sur OK, Terminer et OK.

Dans notre exemple, nous avons choisi l’ordinateur local et le groupe des non-administrateurs. La mention Stratégie Ordinateur local/Non-administrateurs sera visible.

images/04RI12N.png

 Ouvrez cette branche.

Seule l’arborescence Configuration utilisateur sera accessible.

 Refaites la même manipulation en sélectionnant simplement l’option Ordinateur local ; vous avez accès maintenant aux paramètres...

L’Éditeur de stratégie de groupe

Ce composant vous permet notamment de manipuler un nombre considérable de paramètres du Registre. Voyons comment l’utiliser.

L’Éditeur est accessible depuis la console précédemment créée, ou en recherchant Modifier la stratégie de groupe dans la barre de recherche, ou en saisissant gpedit.msc.

1. Utiliser l’Éditeur de stratégie de groupe

Nous allons prendre un exemple simple :

 Ouvrez cette arborescence : Stratégie Ordinateur local - Configuration ordinateur - Modèles d’administration - Composants Windows - Magnétophone

 Ouvrez cette stratégie : Ne pas autoriser l’exécution du Magnétophone.

images/04RI13N.png

 Cochez le bouton radio Activé puis cliquez sur OK.

 Essayez de lancer le Magnétophone en exécutant cette commande : soundrecorder.exe

Un message vous avertira qu’il est impossible d’ouvrir ce programme car il est protégé par une stratégie de restriction logicielle.

Il est possible de désactiver cette stratégie ou de la supprimer en cochant le bouton radio Non configuré.

 Refaites maintenant la même manipulation dans l’arborescence Ordinateur local - Non-administrateurs.

Vous pourrez ouvrir le Magnétophone mais, si vous essayez cette même commande à partir d’un compte d’utilisateur ne disposant pas de privilèges d’administrateur, vous obtiendrez le même message d’erreur que précédemment.

 Désactivez de nouveau cette stratégie.

 Ouvrez l’arborescence Stratégie ordinateur local - Configuration utilisateur - Modèles d’administration - Composants Windows - Magnétophone.

 Activez la même stratégie puis essayez de lancer...

Le pare-feu de connexion Internet

Un pare-feu de connexion internet (ou firewall) est un dispositif logiciel ou matériel qui vérifie les données entrantes ou sortantes qui vont ou viennent des réseaux externes comme Internet. Un pare-feu vous permet donc de vous prémunir des attaques de hackers ou de programmes malveillants qui tentent de prendre le contrôle d’une manière ou d’une autre de votre système. Voyons comment fonctionne le pare-feu de connexion internet intégré à Windows. Mais auparavant, nous devons nous intéresser aux notions de port et de protocole.

1. Ports et protocoles réseau

Un protocole réseau est un ensemble de règles pour un type de communication défini. Les protocoles les plus connus sont :

  • FTP (File Transfer Protocol) utilisé pour les échanges de fichiers sur Internet.

  • HTTP (Hypertext Transfer Protocol) : servant pour les navigateurs web à utiliser Internet.

  • SMTP (Simple Mail Transfer Protocol) : servant à transférer le courrier électronique vers les serveurs de messagerie.

  • UDP (User Datagram Protocol) : utilisé par Internet et faisant partie de la couche transport de la pile de protocole TCP/IP.

  • TCP (Transmission Control Protocol) est un protocole de contrôle de transmissions des données à l’instar d’UDP.

Quand une application initie une connexion entrante ou sortante, elle utilise donc un protocole auquel sont associés un ou plusieurs numéros de ports. Nous allons donc expliquer cette seconde notion… En programmation, un port est le nom attribué à une connexion de type logique qui est utilisée par un protocole. On peut donc le définir comme une porte qui est laissée ouverte ou fermée dans votre système d’exploitation. Vous pouvez imaginer un immeuble à...

Virus et autres menaces sur Internet

La sécurité d’un système passe également par le contrôle de ce que font les applications sur ce système, et la détection de tout comportement anormal.

Voici une liste des principaux types d’applications qui peuvent être néfastes pour votre ordinateur :

  • Virus : c’est un programme qui est capable d’infecter des fichiers et de se propager en utilisant des supports amovibles ou les réseaux.

  • Ver : programme qui se répand d’un ordinateur à l’autre via les réseaux.

  • Ransomware : crypte et bloque l’utilisation de vos données en échange d’un paiement.

  • Spyware ou logiciel espion : désigne un programme qui espionne puis transmet des informations confidentielles vous concernant à une tierce personne.

  • Adware : traque vos habitudes sur Internet et peut, par exemple, afficher des fenêtres publicitaires en fonction du profil qui a été défini. De nombreux sites web peuvent installer, à votre insu, ce type de logiciel.

  • Enregistreur de frappe (keylogger) : programme qui enregistre toutes les données saisies au clavier et les transmet (mots de passe, numéro de carte bancaire...).

  • Drive-by download : désigne un programme qui se télécharge sans votre consentement. Cela peut arriver quand vous essayez de fermer une boîte de dialogue.

  • Redirecteur de page : désigne un programme qui va rediriger une partie ou l’ensemble des pages prédéfinies (page d’accueil, de recherche, etc.) vers un site malveillant.

  • Spam : désigne un e-mail commercial qui n’est pas sollicité.

  • BHO ou Browser Helper Objects ou Hijacker : désigne un programme qui permet de personnaliser et de contrôler certains paramètres d’un navigateur comme Internet Explorer....

Bac à sable Windows

Depuis quelques versions, Windows est équipé d’une fonctionnalité appelée Bac à sable Windows ou Windows Sandbox. Cette fonctionnalité permet de créer un environnement de bureau temporaire isolé (un conteneur), dans lequel vous pouvez installer et exécuter des applications sans risque d’affecter le système hôte.

Cette fonctionnalité permet de tester un fichier ou un logiciel potentiellement dangereux sans créer de risques puisque l’environnement virtuel créé est isolé et sera détruit dès fermeture de la machine virtuelle.

1. Installation

La fonctionnalité Bac à sable Windows est disponible uniquement à partir de la Build 18035 sur les éditions Professionnel et Entreprise. Elle s’accompagne de prérequis techniques suivants : architecture 64 bits avec 2 cœurs et prise en charge de la virtualisation, 4 Go de mémoire vive et 1 Go d’espace disponible.

 Saisissez fonctionnalités dans la barre de recherche et cliquez sur Activer ou désactiver des fonctionnalités Windows.

 Cochez la case Bac à sable Windows et cliquez le bouton OK.

 Redémarrez la machine. La fonctionnalité apparaît dans le menu Démarrer, menu Windows Sandbox.

Notez également que l’installation de cette fonctionnalité ajoute un disque virtuel de 8 Go nommé PortableBaseLayer, visible uniquement depuis la Gestion des disques. Il semblerait que ce disque virtuel ne soit plus visible dans les dernières versions Windows (programme Windows Insider).

2. Fonctionnement

La technologie utilisée est celle des conteneurs Windows dans le cloud. Une machine virtuelle allégée est créée lorsque vous démarrez l’application....