Formation WINDOWS SERVER 2012 R2

Transcription

1 Formation WINDOWS SERVER 2012 R2 1

2 Sommaire Yann FOREY 4. Contrôleur de domaine Mise en place de la promotion 5. Active Directory Gestion du domaine et des objets 6. Gestion des serveurs de fichiers 7. Mise en place des stratégies de groupe GPO 8. Sécurisation du serveur par la GPO 9. Surveillance des serveurs 1. Introduction du Windows Server Présentation des principaux rôles et fonctionnalités 3. Introduction au service Active Directory 10. Mise en place d un poste client sur un domaine AD 2

3 3 Introduction du Windows Server 2012

4 Environnement Rôle des serveurs De plus en plus d entreprises implémentent de multiples technologies afin d'améliorer l'environnement de travail de leurs employés. Serveur : machine configurée avec Active Directory, le serveur DNS, le serveur DHCP, le partage de connexion Internet, un serveur VPN et exécutant aussi les services de partages de fichiers et d impression. On distingue ainsi un certain nombre de rôles : Les contrôleurs de domaines Les serveurs de fichiers Les serveurs d impression Les serveurs d applications 4

5 Présentation des licences 5

6 Présentation des licences 6

7 Information de pré installation d un serveur 2012 R2 Configuration requise: Processeur : processeur 1,4 GHz - 64 bits Mémoire vive : 512 Mo Espace requis minimum : 32 Go Lecteur DVD Ecran avec résolution 800*600 Accès Internet Connexion d une carte réseau Mise en place d une adresse IP Fixe 7

8 Avant installation Déconnectez les onduleurs Sauvegardez vos serveurs Désactiver le logiciel de protection antivirus Exécutez l outil Diagnostics de la mémoire Windows Fournissez des pilotes de stockage de masse Gardez à l esprit que le Pare-feu Windows est activé par défaut 8

9 Mise à niveau pris en charge Si vous exécutez : Windows Server 2008 Standard avec SP2 ou Windows Server 2008 Entreprise avec SP2 Windows Server 2008 Datacenter avec SP2 Windows Web Server 2008 Windows Server 2008 R2 Standard avec SP1 ou Windows Server 2008 R2 Entreprise avec SP1 Windows Server 2008 R2 Datacenter avec SP1 Windows Web Server 2008 R2 Vous pouvez effectuer une mise à niveau vers ces éditions : Windows Server 2012 Standard, Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Standard, Windows Server 2012 Datacenter Windows Server 2012 Datacenter Windows Server 2012 Standard 9

10 Présentation des principaux rôles et fonctionnalités 10

11 Présentation des principaux rôles Les rôles ont fait leur apparition depuis la version Windows Server 2008 Les rôles répondent à un besoin dans une entreprise AD DS : Active Directory Domain Services AD CS : Active Directory Certificat Services AD FS : Active Directory Federation Services AD RMS : Active Directory Rights Management Services Serveur d application DHCP DNS 11

12 Présentation des principaux rôles AD DS - Active Directory Domain Services Annuaire Active Directory qui permet d identifier les utilisateurs par leur login et mot de passe Permet une gestion des ordinateurs connectés au domaine AD CS : Active Directory Certificat Services: Permet l installation d une autorité de certification Délivre et gère des certificats numériques 12

13 Présentation des principaux rôles AD FS : Active Directory Federation Services Fournit un service fédéré de gestion des identités Identifie et authentifie un utilisateur qui souhaite accéder à un extranet Plusieurs services composent ce rôle Service de Fédération : fournit l accès à des ressources Agent web AD FS : valide des jetons de sécurité délivrés et autorise un accès authentifié à une ressource Web Proxy FSP : effectue la collecte d information d authentification utilisateur depuis un navigateur 13

14 Présentation des principaux rôles AD RMS : Active Directory Rights Management Services Gestion des accès sur une ressource Protection contre une utilisation non autorisé Identification et attribution d une licence Deux services à ce rôle: Active Directory Rights Management Services Prise en charge de la fédération des identités 14

15 Présentation des principaux rôles Serveur d application Gestion et hébergement d application créées à l aide du.net Framework 4.5 ou autres Plusieurs services pour ce rôles :.NET Framework 4.5 Accès au réseau COM+ : communication à distance Partage port TCP Prise en charge du serveur web IIS Transaction distribuée : Utilisation de transaction entre BdD 15

16 Présentation des principaux rôles Serveur DHCP Dynamic Host Configuration Protocol Identifie et paramètre la carte réseau de la ressource connectée Serveur DNS Domain Name System Résolution du nom en adresse IP (ou inversement) 16

17 Présentation des principales fonctionnalités Une fonctionnalité apporte des outils supplémentaires à l OS S installe d une manière automatique ou manuelle comme pour un rôle 4 principales fonctionnalités Bit Locker : chiffrement de plusieurs volumes afin d éviter une fuite des données en cas de perte Clustering : permet à des serveurs de fonctionner ensemble pour offrir une grande disponibilité L équilibrage de charge de réseau : effectue une distribution du trafic afin d éviter une saturation d un des serveurs Le service des gestions des adresses IP : IPAM prend en charge la découverte des serveurs dans la forêt 17

18 Gestion du Windows Server 2012 Windows Server 2012 offre plusieurs outils afin de pouvoir effectuer des tâches d administration La console Gestionnaire de serveur Permet ajout / suppression de rôle mais également de la gestion des PC distants Configuration de sécurité renforcée d Internet Explorer permet d activer ou désactiver la sécurité d Internet Explorer Journal des événements 18

19 Introduction au service Active Directory 19

20 Vue d ensemble de l Active Directory Le rôle Service de Domaine Active Directory contient des composants physiques et logiques Les composants physiques vont englober plusieurs éléments clés dans un domaine Active Directory: Le contrôleur de domaine, qui contient une copie de la base de donnée Active Directory La base de données et de dossier Sysvol, qui vont contenir l ensemble des informations d Active Directory Le serveur catalogue global, qui contient une copie partielle des attributs des objets de la forêt 20

21 Vue d ensemble de l Active Directory Active Directory permet une gestion centralisée Une administration simplifiée : Active Directory offre une administration de toutes les ressources du réseau d un point unique. Une mise à l échelle : Active Directory permet de gérer des millions d objets répartis sur plusieurs sites si cela est nécessaire Un support standard ouvert : Active Directory utilise DNS pour nommer et localiser des ressources 21

22 Vue d ensemble de l Active Directory La structure d Active Directory est hiérarchique Forêt Formation.local Prod.local C est un groupement ou un arrangement hiérarchique d un ou plusieurs arbres qui ont des noms disjoints Tous les arbres d une forêt partagent le même schéma commun et le même catalogue, mais ont des structures de noms différentes Les domaines d une forêt fonctionnent indépendamment les uns des autres, mais les forêts permettent la communication d un domaine à l autre 22

23 Vue d ensemble de l Active Directory Arbre Formation.local colmar.formation.local paris.formation.local Groupement ou arrangement hiérarchique d un ou plusieurs domaines Windows 2012 qui partagent des espaces de noms contigus (par exemple : colmar.formation.local, paris.formation.local) Tous les domaines d un même arbre partagent le même schéma commun (la définition formelle de tous les objets qui peuvent être enregistrés dans une architecture d Active Directory) et partagent un catalogue commun 23

24 Vue d ensemble de l Active Directory Domaine Formation.local Chacun des objets d un réseau existe dans un domaine et chaque domaine contient les informations des objets qu il contient Un domaine est sécurisé, c est à dire que l accès aux objets est limité par des ACL (Access Control List) Les ACL contiennent les permissions, associées aux objets, qui déterminent quels utilisateurs ou quels types d utilisateurs peuvent y accéder Toutes les stratégies de sécurité et les configurations ne se transmettent pas d un domaine à l autre 24

25 Contrôleur de domaine Mise en place de la promotion 25

26 Mise à jour d un contrôleur de domaine Impossible de le faire avec Windows Server 2000 ou 2003 Nécessaire d effectuer en amont la mise à jour des contrôleurs de domaines vers Windows Server 2008 Privilégier la mise en place d un nouveau serveur que la mise à jour d un serveur 26

27 Promotion d un contrôleur de domaine Consiste à donner le rôle de contrôleur de domaine à un serveur L opération peut se faire de deux façons différentes Ligne de commande : dcpromo ou dcpromo /unnatend (Serveur Core) Interface graphique : Gestionnaire de serveur et choisir le rôle Services AD DS Mise en place d information comme le nom de domaine DNS et le mot de passe pour accéder au mode Restauration Active Directory (DSRM) 27

28 28 Gestionnaire de serveur

29 29 Installation du rôle AD DS

30 Promouvoir le serveur en contrôleur de domaine Cliquer sur «Promouvoir ce serveur en contrôleur de domaine» sinon le domaine ne sera pas créé Choisir l opération de déploiement «Ajouter une nouvelle forêt» et lui donner un nom de domaine racine 30 Laisser coché l ajout de la fonctionnalité Serveur DNS et indiquer un mot de passe de récupération des services d annuaire (DSRM)

31 Installer et configurer le service DHCP Installer le serveur DHCP Le serveur DHCP est quasiment un pré-requis pour un contrôleur de domaine sur un petit réseau Installer le rôle DHCP depuis le Gestionnaire de Serveur Configurer le serveur DHCP Créer une nouvelle étendue et choisir la plage d adresse Mise en place des options de passerelles et de DNS 31

32 Active Directory Gestion du domaine et des objets 32

33 Environnement de l Active Directory La structure dans l Active Directory est hiérarchique Objet : représente une ressource du réseau qui peut-être par exemple un ordinateur ou un compte utilisateur Classe : description structurelle d objets tels les comptes d utilisateurs, ordinateurs, domaines, ou unités organisationnelles Unité organisationnelle (UO) : conteneur utilisé pour organiser les objets d un domaine à l intérieur de groupes administratifs logiques tels les ordinateurs, les imprimantes, les comptes d utilisateurs, les fichiers partagés, les applications et même d autres unités organisationnelles 33

34 Unités d organisation - Active Directory Les unités d organisation (OU Organizational Unit) Conteneur qui regroupe des comptes utilisateurs ou d ordinateurs ou autre objets Permet d assigner une stratégie de groupe à l ensemble des objets Mise en place d une délégation de droit d administration Hiérarchie logique dans le domaine OU par défaut à la création du domaine Dossier BUILTIN : stocke les groupes par défauts Dossier UTILISATEURS : contient le compte administrateur et les groupes d administrateurs Dossier COMPUTERS : contient les postes clients ajoutés dans le domaine 34

35 Unités d organisation - Active Directory Plusieurs méthodes de dénomination Les noms uniques : le nom unique identifie le domaine dans lequel est situé l objet, ainsi que son chemin d accès complet (ex : OU=Colmar, DC=Formation, DC=local) Les noms uniques relatifs : partie du nom unique qui permet d identifier l objet dans son conteneur (ex : Colmar) Le nom canonique : apportant autant d informations que les noms uniques, il est utilisé dans certains outils d administration (ex : formation.local/colmar) 35

36 Gestion des comptes utilisateurs Objet de l Active Directory qui contient des propriétés Nom d utilisateur Mot de passe Liste de groupes dont il est membre Possibilité avec ce compte Autoriser ou refuser l ouverture de session sur un ordinateur du domaine Autoriser l accès à une ressource Création de profil itinérant 36

37 Gestion des comptes utilisateurs On distingue 4 méthodes pour nommer un compte utilisateur Le nom d ouverture de session (login) : nbonnet Le nom d ouverture de session pré-windows (SAM Account) : Formation\nbonnet Le nom d utilisateur principal (UPN) : nbonnet@formation.local Le nom unique LDAP : CN=nbonnet, CN=users, DC=formation, DC=local Un login ne peut dépasser les 20 caractères, il est sensible à la casse et ne peut pas contenir de caractères spéciaux comme " / \ [ ] : ; =, + *? < > 37

38 Profils de compte utilisateur Compte local : un répertoire est créé dans le dossier Utilisateurs de chaque machine sur laquelle l utilisateur ouvre une session Compte itinérant : Les informations de comptes sont centralisées sur un dossier partagé sur le serveur. Le profil utilisateur, à l ouverture de la session, est copié du serveur vers le poste, et inversement à la fermeture Il est nécessaire de configurer l attribut Chemin du profil Variable %username% est remplacé par le nom d ouverture de sessions d utilisateur 38

39 Profils de compte utilisateur Un login doit obligatoirement être unique dans son domaine Création une nomenclature de création de login Il peut être intéressant aussi d identifier rapidement le login des employés temporaires (ex : T_nbonnet) Une fois le compte créé, il suffit de le placer dans l unité d organisation correspondant au département de l utilisateur 39

40 Gestion des groupes Les groupes permettent de simplifier la gestion de l accès des utilisateurs aux ressources du réseau Les groupes permettent d affecter en une seule action une ressource à un ensemble d utilisateurs Groupe peut être fait par profils ou par ressources Créer un nom le plus parlant possible Etendue Nom de la ressources Droit NTFS 40

41 Type des groupes Deux types de groupes peuvent être créés dans Windows Server Distribution Sécurité Distribution est utilisée par les serveurs de messagerie. Impossible de le rajouter dans une ressource Sécurité est utilisé pour donner une permission sur l accès d une ressource. Mais il est également possible de l utiliser comme groupe de distribution 41

42 Etendues des groupes Elle permet de déterminer la ressource sur laquelle le groupe peut être positionné mais également les objets qui peuvent être membres 4 étendues de groupe dans l AD 42

43 Etendues des groupes Local présent sur un serveur membre uniquement. Il ne peut pas être utilisé sur un contrôleur de domaine. Ce groupe est utilisé pour donner des permissions à des utilisateurs locaux Domaine Local utilisé pour gérer les autorisations d accès aux ressources du domaine. Il peut contenir des utilisateurs, ordinateurs, groupes globaux ou universelles. Ne peut être positionné uniquement sur des ressources du même domaine 43

44 Etendues des groupes Globale Ne peut contenir que des utilisateurs, ordinateurs ou groupe globaux du même domaine. Peut être positionné sur n importe quelles ressources de la forêt Universel Il peut contenir des utilisateurs, ordinateurs, groupes globaux et universelle d un domaine de la forêt. Ce type de groupe est répliqué dans le catalogue global 44

45 Stratégie de groupe Microsoft a défini une stratégie des groupes (IGDLA ou AGDLP) Ajout des Identités (Account) dans un groupe Global. Ce dernier est un membre d un groupe de Domain Local qui permet d assurer la fonction des gestion des accès aux ressources. Enfin ce dernier est placé dans une ACL - Access Control List (Permission) 45

46 Gestion des serveurs de Fichiers Sécurisation des données 46

47 Permission NTFS Permet d autoriser ou interdire l accès à des utilisateur ou groupes sur des ressources Les sous-dossier peuvent hériter des autorisations du dossier parent. Par défaut l héritage est activé Deux types de permissions sont configurés Permissions standard Permissions avancées 47

48 Permission NTFS Les permissions standard sont les plus utilisées Contrôle total : donne l accès les droits complets cela inclut la possibilité de la modifier les autorisation ou de devenir propriétaire Modification : permet de lire d écrire et supprimer un fichier ou répertoire Lecture et exécution : permet de lire un fichier et d exécuter un programme Lecture : permet que de voir le contenu d un fichier ou d un dossier Ecriture : donne la permission d écrire dans un fichier 48

49 Permission NTFS Les permissions avancées sont plus fines Parcours du dossier/exécuter le fichier : permet de parcourir une arborescence. Permet d accéder à un fichier d un sous-dossier dans pouvoir lire les fichiers du dossier partagé. Il permet également d autoriser ou refuser l exécution des programmes Liste du dossier/lecture de données : s applique uniquement au dossier et à son contenu. Il permet d autoriser ou refuser un utilisateur à lire un fichier Attribut de lecture : permet la lecture de attributs de base d un fichier ou d un dossier (lecture seule, caché, ) Création de fichier/écriture de données : s applique uniquement au dossier et donne l autorisation d écrire des fichiers à l intérieur de ce dossier. Il permet d autoriser à écraser le contenu existant d un fichier 49

50 Permission NTFS Les permissions avancées sont plus fines Création de dossier/ajout de données : donne l autorisation de créer des dossiers à l intérieur du répertoire sur lequel est positionnée la permission d accès. Il permet d ajouter des données, il ne pourra pas modifier ou supprimer les données existantes Attribut d écriture : donne l autorisation de modifier les attributs de base d un fichier ou d un dossier (lecture seule, caché, ) Suppression de sous-dossier/fichier: donne l autorisation de supprimer des sous-dossier et les fichiers. Cette permission ne peut se mettre que sur un dossier Suppression : donne l autorisation de supprimer des dossiers et les fichiers. Doit posséder également la permission Suppression de sous-dossier/fichier sur le dossier Parent 50

51 Permission NTFS Les permissions avancées sont plus fines Autorisation de lecture : autorise la lecture des droits positionnés sur une ressources Modifier les autorisations : donne l autorisation de modifier les droits Approbation: donne l autorisation à l utilisateur à devenir propriétaire de la ressource. Il pourra alors modifier les permissions 51

52 Refus d autorisations Les autorisations, comme leur nom ne l indique pas, peuvent être de deux types Autoriser: lorsque cette case est cochée, l autorisation est appliquée et autorise l utilisateur à exécuter une action Refuser : lorsque cette case est cochée, l autorisation est appliquée et refuse l utilisateur à exécuter une action Les refus peuvent être divisés en deux catégories Refus implicite : quand un utilisateur appartient à un ou plusieurs groupes, et que ni cet utilisateur ni ces groupes n ont d autorisation «autoriser» sur un dossier ou un fichier, alors cet utilisateur n a aucune autorisation. C est un refus implicite Refus explicite : la case «refuser» est cochée dans l ACE, l utilisateur ou le groupe n aura jamais cette autorisation même par cumul 52

53 Cumul des autorisations Si un utilisateur donné appartient à plusieurs groupes qui ont eux-mêmes tous des autorisations sur un même dossier ou fichier, alors l utilisateur profite d un cumul des autorisations NTFS attribuées à chaque groupe Cette règle s applique toujours sauf si une permission est explicitement cochée «Refus». Le refus est prioritaire sur les autorisations Si un utilisateur appartient à deux groupes. Que ces deux groupes ont tous les deux l autorisation de modifier, et que l utilisateur lui-même à le refus de créer un dossier, alors l utilisateur a le droit de modifier sauf de créer un dossier 53

54 Autorisations effectives Autorisations effectives est un onglet des propriétés avancées de sécurité d un dossier ou d un fichier Cet outil permet d afficher pour un utilisateur ou un groupe les autorisations finales «effectives» qu a cet utilisateur ou groupe sur un dossier ou un fichier Cette analyse tient compte des différentes appartenances aux groupes, des cumuls d autorisations Cet outil est pratique car il permet de déterminer de façon théorique les autorisations réelles appliquées et de les corriger 54

55 Répertoires partagés Permet un accès direct à une ressources stockées sur le serveur, il devient disponible pour les utilisateurs et ordinateurs du réseau Il est nécessaire de limiter les accès avec des permissions L accès peut se faire avec le chemin UNC (Universal Naming Convention) \\serveur\nom_partage Pour cacher un partage, on utilise un $ à la fin du nom de partage \\serveur\nom_partage$ 55

56 Répertoires administratifs partagé Windows 2012 crée automatiquement des partages administratifs Les noms de ces partages se terminent avec un caractère $ qui permet de cacher le partage lors de l'exploration par le réseau Le dossier système (Admin$) La localisation des pilotes d'impression (Print$) Racine de chaque volume (c$, d$, ) Seuls les membres du groupe «Administrateurs» peuvent accéder à ces partages en accès Contrôle Total Le partage IPC$ permet l affichage des ressources partagées (dossiers partagés, imprimantes partagées) 56

57 Héritage des permissions Héritage mis en place par défaut dans les droits NTFS Dans ces certains cas, les droits peuvent se contredire : Conflits Désactivation de l héritage d un dossier ou d un fichier dans les options avancées de la sécurité de la ressources Possibilité de remettre les droits par défaut après une désactivation de l héritage 57

58 Mise en place des stratégies de groupe GPO 58

59 Composants d une GPO Group Policy Object contient un ou plusieurs paramètres pour les utilisateurs ou ordinateurs du domaine Utilisation de la console Gestion de stratégie de groupe (GPMC) Les GPO sont liées à un conteneur Active Directory (OU) Des milliers de paramètres sont possibles Certains paramètres ne sont pas compatibles avec des versions plus anciennes ; le paramètre sera alors ignoré par l ordinateur qui la reçoit 59

60 Composants d une GPO Une stratégie de groupe contient deux types de configuration Configuration utilisateur Configuration ordinateur Dans ces deux types de configuration, on retrouve 3 catégories de paramètres Paramètres du logiciel : permet de déployer les logiciels sur le domaine Paramètres Windows : permet de gérer des paramètres de sécurités et les scripts Modèles d administration : configure la base de registre afin de personnaliser l environnement de l utilisateur Préférences permet de fournir des paramètres supplémentaires pour la configuration de l environnement 60

61 Notion d une GPO Starter Permet la création d un modèle de stratégie de groupe Les seuls paramètres possibles sont ceux du modèles d administration. Les autres ne pourront pas être utilisés Possibilité d exporter les GPO Starter dans un fichier.cab pour les déployer dans un autre domaine ou forêt Utilisable dans les cas suivants Paramètre IE communs dans toutes les agences Un ou plusieurs paramètres obligatoirement applicable à tous les portables des x sites de l entreprise 61

62 Liaison d une GPO à un conteneur Pour lier une stratégie de groupe à un conteneur, l utilisateur ou le groupe doit être positionné sur le conteneur souhaité Trois types de conteneur peuvent recevoir des GPO Sites Domaines Unités d Organisation Le lien peut être désactivé ce qui implique la suppression des modifications apportées par la GPO 62

63 Application d une GPO Les paramètres contenus dans la Configuration Ordinateur s applique au démarrage du poste dans une intervalle de 90 à 120 min Les contrôleurs de domaine ont une actualisation de 5 min Les paramètres de la Configuration Utilisateurs s appliquent lors de l ouverture de sessions de l utilisateur Dans certains cas (redirection de dossier..) l application ne s applique pas à la première ouverture de sessions, l utilisateur sera obligé de fermer et ouvrir sa session 63

64 Mise à jour des GPO Afin de forcer le rafraîchissement, la commande gpupdate /force doit être utilisée Il est possible de le faire depuis la console GPMC, en effectuant un clic droit sur le conteneur et de choisir Mise à jour de la stratégie de groupe 64

65 Ordre d application de la GPO Les stratégies de groupe sont appliquées sur un poste en fonction d un ordre bien précis Stratégie Local Stratégie Site AD Stratégie Domaine AD Stratégie OU En cas de conflit entre deux GPO, c est la dernière appliquée qui l emporte Pour modifier cet ordre, il est possible de bloquer l héritage ou d appliquer une stratégie 65

66 Stratégie par défaut Lors de la création d un AD, deux stratégies sont automatiquement créées Default Domain Policy : lié à la racine du domaine, ce qui permet par l héritage d être appliqué à l ensemble des utilisateurs et ordinateurs du domaine. Elle contient par défaut la politique de sécurité (mot de passe, verrouillage, ) Default Domain Controllers Policy : lié à l unité d organisation Domain Controllers. Seuls les contrôleurs de domaine reçoivent cette stratégie. Permet la configuration du système d audit et l assignation des droits supplémentaires (Ouvrir une session sur un contrôleur de domaine ) 66

67 Utilisation du filtre sur le modèle d administration Les modèles d administration d une GPO contiennent une multitude de paramètres configurables Une fonction de filtre a été mise en place depuis Windows Server 2008 On le trouve dans la console Editeur de gestion des stratégies de groupe dans la partie Modèles d administration Trois listes déroulantes Géré : permet de déterminer si le paramètre filtré est un paramètres géré ou non Configuré : permet d afficher uniquement les paramètres qui sont configuré dans la GPO Commentés : identique à Configuré mais filtre uniquement sur les commentaires laissés dans la GPO 67

68 Sécurisation du serveur par la GPO Configuration utilisateur, UAC, Firewall 68

69 Sécurisation de serveur avec des GPO Configuration des paramètres de sécurité Configuration des droits utilisateurs Paramétrage d UAC (User Access Control) Mise en place d une politique d audit Utilisation des groupes restreints Mise en place d une restriction logicielle Politique de restriction Utilisation de l AppLocker Pare-feu Windows 69

70 Configuration des droits utilisateurs Permet d assigner à un utilisateur des droits supplémentaires Deux types de droits Privilèges permettant l accès à un ordinateur ou une ressource du domaine qui permettent de donner à un utilisateur le droit d effectuer une action Droits d ouverture de session qui permettent d attribuer des droits d ouverture de session comme la connexion d un utilisateur sur un contrôleur de domaine Se gère dans Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégie Locales Attribution des droits utilisateurs 70

71 Paramétrage de l UAC L UAC (User Access Control) a fait son apparition avec Vista et Server 2008, elle permet de sécuriser l utilisation des comptes sensibles Deux actions sont possibles Utilisateur est administrateur : l UAC demande à la personne connectée l autorisation de continuer Utilisateur est un utilisateur standard : la saisie d un compte possédant des droits d administration doit être effectuée Se gère dans Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégie Locales Options de sécurité Paramètre Contrôle de compte utilisateurs : Comportement de l invite d élévation pour les administrateurs en mode approbation Administrateur Paramètre Contrôle de compte utilisateurs : Comportement de l invite d élévation pour les utilisateurs standard 71

72 Mise en place d une politique d audit Elle permet de suivre l activité des utilisateurs (ouverture de sessions, accès à une ressource, ). Elle n est pas faite pour espionner les utilisateurs mais pour détecter une tentative d accès à une ressources non autorisée Plusieurs événements peuvent être audités Les modifications apportées par les membres du groupe Administrateurs Les accès à un dossier partagé effectué par un utilisateur ou un groupe Les tentatives de connexion sur un serveur ou un poste en particulier Se gère dans Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégie Locales Stratégie d audit 72

73 Utilisations des groupes restreints Permet la gestion des membres de certains groupes Utiliser pour automatiser la création de compte utilisateur dans le groupe Administrateur des machines locales Se gère dans Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Groupes Restreints 73

74 Restriction logicielle Introduite depuis Windows XP et 2003 Server, elle permet d identifier et autoriser ou interdire l exécution d application Les règles permettent d indiquer si l exécution d une application est autorisée. Chaque règle se voit assigner un niveau de sécurité Non autorisé : l application identifiée dans la règle ne fonctionne pas, même pour les Administrateur Utilisateur standard : l application s exécute avec les droits utilisateurs uniquement Non restreint : les droits d accès utilisateurs permettent de déterminer l exécution ou non de l application Se gère dans Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de restriction logicielle 74

75 Utilisation d AppLocker AppLocker a été introduite sous Windows 7 et Windows Server 2008 Contrôle également l exécution d une application, mais se fait plus facilement. La règle s applique à un utilisateur ou à un groupe de l AD Trois type de fichiers sont gérés Exécutable Scripts Windows Installer (msi) Se gère dans Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Stratégies de contrôle de l application 75

76 Le pare-feu Windows La console Pare-feu Windows avec fonction avancées de sécurité est disponible depuis Windows Vista et Windows Server Par défaut tout trafic entrant est bloqué à l exception de celui qui explicitement autorisé par l Administrateur Par défaut le trafic sortant est autorisé, il est possible de le bloquer par une règle Se gère dans Configuration Ordinateur Stratégies Paramètres Windows Paramètres de sécurité Pare-feu Windows avec fonctions avancées de sécurité 76

77 Surveillance des serveurs Gestionnaires des tâches, évènements 77

78 Gestionnaire des tâches Nouvelle console de Gestionnaire des tâches qui répond mieux au besoins des Administrateurs Arrêter un processus de manière rapide et efficace. Le bouton Plus de détails permet d afficher plus d informations sur les processus en cours Diagnostiquer un problème de performance Processeur : indique le pourcentage d utilisation, le nombre de processus, Mémoire : indique la quantité de la mémoire utilisée et celle qui est libre Réseau : indique la vitesse d envoi et de réception 78

79 Moniteur de ressources Permet le contrôle des ressources sur le poste de travail, permet d effectuer la supervision du processeur, des processus, de la mémoire mais également des disques et du réseau Plusieurs onglets sont proposés: Processeur : reprend les différentes informations de chaque processus ou de voir les graphique de chaque processeur ou cœur Mémoire : affiche la répartition de la mémoire du serveur. Trois graphiques représentent la mémoire physique utilisée, la charge d écriture et les fautes matérielles Disque : affiche les processus effectuant une opération sur le disque. Possible de filtrer sur un processus pour l isoler. Graphique montre l activité du disque Réseau : affiche les processus ayant une activité réseau. Utile pour voir les connexions TCP et les ports d écoute 79

80 Analyseur de performance Permet la surveillance de l activité d un poste de travail. L analyse peut se faire en temps réel ou par un collecteur de données Possibilité d ajouter plusieurs compteurs: Processeur : permet d obtenir des informations sur l activité du processeur Disque dur : audite les performances des disques afin de pouvoir détecter un goulet d étranglement Mémoire RAM : permet d obtenir des informations sur la mémoire physique et virtuelle de l ordinateur Réseau : grand nombre de compteurs comme ceux du protocole TCP, UDP ou ICMP 80

81 Les journaux d événements Contient plusieurs journaux utiles pour diagnostique une panne ou une incohérence dans le système Application : retour d événements envoyé par l application Système : obtenir des informations envoyées par le système (problème DCHP, DNS, ) Sécurité : visualise le résultat des audits configurés Plusieurs niveaux d avertissements sont possibles dans les journaux Information Avertissement Erreur Critique 81

82 Mise en place d un poste client sur un domaine AD 82

83 Windows 8 - Rejoindre un Domaine Vérification de la communication avec le contrôleur de domaine Vérification de l appartenance au même réseau Commande Ping : si elle ne répond pas vérifier si le pare-feu Windows ne bloque pas le protocole ICMP Poste sous Windows 8 PRO Intégration du poste Propriété de l ordinateur à partir de l explorateur Windows ou à partir de l interface «Metro» Modifier les paramètres Nom de l ordinateur Modifier Cocher Membre d un Domaine et indiquer le nom du domaine avec la terminaison DNS Demande de mot de passe Administrateur du domaine pour validation 83

84 Connecter un lecteur réseau Accès rapide à une ressource partagée sur le serveur de fichier Dans l onglet Ordinateur, choisir Connecter un lecteur réseau Choisir la lettre du lecteur réseau Choisir le chemin UNC du dossier partagé \\nom_serveur\nom_partage Cocher la case Se reconnecter à l ouverture de sessions La connexion de lecteur réseau peut se faire également par le biais du profil de l utilisateur dans l AD ou par un script.bat 84

85 Connecter un lecteur réseau par le profil Dans la console Active Directory, sélectionner l utilisateur et choisir les propriétés Dans l onglet Profil, choisir une lettre et taper le chemin UNC Un message d avertissement demandera de vérifier qu il existe bien un dossier partagé à ce nom. Pour que le chemin soit prise en compte, l utilisateur devra fermer et ouvrir de nouveau sa session Ne peut créer qu un seul connecteur réseau 85

86 Connecter des lecteurs réseaux par un script Permet de connecter x lecteurs réseaux très rapidement Se gère par une GPO et doit se trouver généralement dans %SystemRoot%\SYSVOL\sysvol\domaine\Policies\{GUID}\User\Scripts\Logon Une fois dans l éditeur de stratégie de groupe Configuration utilisateur > Paramètres Windows > Scripts > Ouverture de session Ajouter le script qui doit avoir comme extension.bat,.com,.vbs Le script peut utiliser n'importe quel nom, assurez-vous juste que vous savez ce que ce nom représente 86

87 Ecriture d un script de connexion Création sous un formation Fichier texte avec une extension.bat NET USE * /DELETE /YES NET USE P: \\Serveur\%username% /PERSISTENT:YES NET USE K: \\Serveur\Commun /PERSISTENT:NO NET USE S: \\Serveur\Formation /PERSISTENT:NO %username% permet de prendre le login comme nom de partage. Il faut créer un dossier partagé reprenant le login en nom de partage Persistent:no rend la connexion non permante 87