Sécurité des systèmes d'information Sécurité Windows

Dimension: px
Commencer à balayer dès la page:

Download "Sécurité des systèmes d'information Sécurité Windows"

Transcription

1 Sécurité des systèmes d'information Sécurité Windows ENSIIE 31 mai 2013 Julien Raeis <julien [at] raeis.fr> Ou sur irc.iiens.net!

2 Plan de cours 1. Les systèmes Windows 2. Produits et architectures Microsoft 3. Modèle de sécurité 4. Services 5. Authentification 6. Protocoles réseau et RPC 7. Système de fichiers 8. Registre 9. Mises à jour

3 Les systèmes Windows

4 Les familles de Windows Deux grandes familles : Famille «historique» (basée sur MS-DOS) : Windows 95, 98, Me Famille NT (New Technology) : Windows NT, 2000, XP 2003 / 2003 R2 Vista 2008 / 2008 R2 7, 8 Windows est un système très complexe et relativement peu documenté, même si Microsoft fait de plus en plus d'efforts (pas de troll, merci).

5 Génération MS-DOS La période DOS PC-DOS 1.00 : 12/08/1981 MS-DOS 3.05 : 11/ Jusqu'à MS-DOS 6.22 : 11/03/1994 «Windows» Windows 1.0 : 20/11/1985 Windows 2.0 : 09/12/1987 Windows 3.1 : 22/05/1990 Windows for Workgroups 3.11: 08/11/1993 Rassemblement des 2 branches : Windows 95 (MS-DOS 7.0) : 24/08/1995

6 Windows, autour de l'an 2000 «Famille» Windows 98 Windows 98 : 25/06/1998 Windows 98 SE : 05/05/1999 Windows Me 14/09/2000 Windows NT : Windows NT 3.5 : 21/09/1994 Windows NT 4.0 : 24/08/1996, Les années 2000 (Windows NT 5) Windows 2000 : 17/02/2000 Windows XP : 25/10/2001 Windows Server 2003 : 24/04/2003 Windows Server 2003 R2 : 01/02/2006

7 Windows, les nouvelles générations Windows NT 6 Côté client : Windows Vista : 30/01/2007 Windows 7 : 22/07/2009 Windows 8 : 26/10/2012 Côté serveur : Windows Server 2008 : 04/02/2008 Windows Server 2008 R2 : 22/07/2009 Windows Server 2012 : 04/09/2012 Uniquement disponible en version 64 bits

8 Windows NT Système d'exploitation basé sur l'architecture i386 et gérant : Segmentation / pagination Adressage virtuel Multi-tâches préemptif Privilèges (rings 0/3) Fonctionne aussi sur d'autres architectures matérielles : x86, Alpha, PowerPC et MIPS à l'origine Actuellement : x86 (sauf Server 2008 R2) x86_64 : XP (sauf SP3), 2003, 2008, Vista et 7 Itanium : 2003 et 2008

9 Sous-systèmes Trois sous-systèmes disponibles jusqu'à XP : Win32 : toujours disponible POSIX : remplacé par : Windows Services for Unix Windows Subsystems for Unix-based Applications (SUA) OS/2 : émulé maintenant

10 Réseau Beaucoup de protocoles implémentés : TCP/IP, IPX SMB/CIFS (avec NetBIOS/NbT) RPC LDAP Kerberos DNS, DHCP, NTP, SNMP upnp WinHTTP Pas de notion de port «privilégié» (< 1024)

11 Ports par défaut Quelques services «par défaut» sur un système Windows : RPC Portmapper : 135/tcp NetBIOS : 137/tcp, 138/udp, 139/tcp CIFS : 445/tcp Remote Desktop : 3389/tcp Contrôleur de domaine : DNS : 53/udp et 53/tcp Kerberos : 88/tcp LDAP : 389/tcp

12 Produits et architectures Microsoft

13 Notion de domaine Les systèmes Windows sous souvent regroupés en réseau En groupe de travail (Workgroup) Ou plus souvent en domaine basé sur un Active Directory (LDAP) Intérêt des domaines Authentification et contrôle d'accès centralisé Partage des ressources Accès à une architecture unifiée

14 Active Directory et domaines Contrôleur de domaine Elément central d'un domaine Possède au moins un service Active Directory Annuaire de type LDAP Basé sur DNS pour la résolution de noms Centralise l'authentification dans une base de comptes Permet une architecture redondante Un domaine peut être considéré comme un espace de nommage

15 Group Policy Objects (GPO) Les domaines offrent la possibilité de déployer des politiques de sécurité sur l'ensemble des membres d'un domaine Dans un contexte «machine», pour chaque système Dans un contexte «utilisateur», pour chaque profil Permet notamment Le durcissement de certaines options de sécurité Le déploiement de logiciels Ces mesures ne sont pas contournables localement et sont imposées par le domaine

16 Autres éléments De nombreuses «briques» peuvent trivialement se greffer à un domaine AD Messagerie (Exchange chez Microsoft) Partage de fichiers (SMB/CIFS) Annuaire (LDAP) Authentification pour les briques applicatives : IIS Microsoft SQL Server Accès Internet par proxy etc.

17 Modèle de sécurité

18 Introduction : un monde objet Toutes les ressources sont des objets sous Windows Sous Windows 2000, on en recense 27 types, dont : Les fichiers (File) Les processus (Process) Les clés de registre (Key) Chaque objet possède un descripteur de sécurité «Security descriptor» ou «SD» Permet de définir des autorisations Équivalent des permissions Unix

19 Contexte de sécurité Une identité n'accède pas directement à un objet Seuls les processus le font... en fonctionnant sous une identité Les attributs d'autorisation sont conservés au niveau des processus dans un contexte de sécurité appelé «access token» (ou jeton de sécurité) Le jeton contient notamment les groupes (~ gid), le propriétaire (~ uid), les privilèges ainsi que le type de session

20 Exécution d'un processus Pour exécuter un processus, une entité s'authentifie d'abord auprès du système Mot de passe, carte à puce... Si l'authentification est OK, alors une session de connexion (logon session) est créée, définissant le contexte de sécurité Les processus sont lancés dans cette session et disposent d'un jeton de sécurité chacun On parle de «principal» pour désigner une entité qui s'authentifie Généralement se sont les utilisateurs Peut être également une machine, un service...

21 Pyramide des droits

22 Autorisation (Authorization) Quelques contraintes : Secure logon facility : les utilisateurs doivent être identifiés de manière unique après authentification Discretionary access control : un propriétaire d un objet peut décider qui peut y accéder (utilisateurs et groupes) et quelles actions sont autorisées Security auditing : traçabilité et imputabilité des actions,la consultation des journaux d audit étant réservée aux utilisateurs privilégiés

23 SID (Security IDentifier) Format : S-R-I-S-S-... S : caractère 'S' R : révision (actuellement toujours 1) I : identifiant de l autorité émettrice (48 bits) S : identifiant d une sous-autorité ou RID (32 bits) S : identifiant d une sous-autorité ou RID (32 bits)

24 SID «bien connus» Certains SID sont «bien connus» (well-known) S : localhost\tout le monde S : Créateur propriétaire S-1-5-X : SECURITY_NT_AUTHORITY S : SECURITY_IONTERACTIVE_RID (groupe) S : SECURITY_AUTHENTICATED_USER_RID (groupe) S : Local System S : Administrateurs

25 SID «bien connus» sous Vista et + Avec Windows Vista et + MIC (Mandatory Integrity Control) S-1-16 : SECURITY_MANDATORY Untrusted (0000) : S Low (1000) : S Medium (2000) : S High (3000) : S System (4000) : S SID par services : S-1-80

26 SID des comptes Un SID est affecté à une machine à l'installation Les SID des comptes locaux sont composés : du SID de la machine d un RID différent pour chaque compte S X-Y-Z-500 : Machine\Administrateur Les SID des comptes du domaine sont composés : du SID du domaine d un RID différent pour chaque compte

27 Privilèges et droits Certaines actions (actions liées au système, gestion des ressources) nécessitent d avoir un privilège pour pouvoir les réaliser Les privilèges sont accordés à des utilisateurs et des groupes. Ils sont ajoutés dans le contexte de sécurité (Token) d un utilisateur lors de sa connexion Pour pouvoir réaliser une action privilégiée, il faut : posséder le privilège dans son Token ; avoir activé le privilège. Les privilèges concernent toujours des actions locales à la machine

28 Privilèges critiques SeDebugPrivilege : déboguer n importe quel processus SeBackupPrivilege : lire un ficher quels que soit les droits (utilisé à des fins de sauvegarde) SeCreateTokenPrivilege : créer un Token SeAssignPrimaryTokenPrivilege : remplacer le Token d un processus SeTcbPrivilege : agir en tant que partie du système d exploitation SeTakeOwnershipPrivilege : prendre possession des fichiers et des objets avec contrôle d accès SeLoadDriverPrivilege : charger et décharger des pilotes de périphériques

29 Sessions de connexion (Logon sessions) Détermine qui peut accéder au système via les différentes méthodes d authentification : Interactive : connexion locale Par le réseau : connexion à un système distant En tant que service : par les services Terminal Services Batch job : par le gestionnaire de services COM Une session «SYSTEM» existe également, regroupe les processus systèmes et est créée au lancement du système. Elle a tout pouvoir sur le système (+ que les administrateurs)

30 Contrôle d'accès des objets sécurisés De nombreux objets dans le système sont des objets sécurisés (securable object) : Fichiers et répertoires d un système NTFS Named pipes, Anonymous pipes, Mailslots Processus et threads File-mapping Clés de registre Partages réseaux Imprimantes Objets de synchronisation (events, mutexes, sémaphores, timers) Objets de l Active Directory Objets du noyau (Tokens)

31 Descripteur de sécurité Ces objets possèdent un descripteur de sécurité (security descriptor) définissant : le numéro de version et divers attributs le SID du propriétaire de l objet le SID du groupe primaire de l objet éventuellement des listes pour le contrôle d accès : DACL (Discretionary Access Control List) : liste définissant les droits d accès SACL (System Access Control List) : liste définissant les audits à générer lors des accès à l objet La SACL contient également les niveaux d'intégrité depuis Windows Vista

32 Listes ACL (DACL et SACL) Chaque ACL est constituée d ACE (Access Control Entries) composée : d un SID auquel l entrée (l ACE) s applique. Ce SID représente un utilisateur, un groupe ou une session des droits d accès le type de l ACE : Access-allowed ACE (DACL) Access-denied ACE (DACL) System-audit ACE (SACL) Mandatory label ACE (SACL)

33 Droits d'accès à un objet Standards (communs à tous les types d objets) : WRITE_OWNER : permet de changer le propriétaire de l objet READ_CONTROL : lire la DACL WRITE_DAC : modifier la DACL DELETE SYNCHRONIZE Spécifiques (différents pour chaque type d objets) : FILE_WRITE_ATTRIBUTES KEY_CREATE_SUB_KEY TOKEN_ADJUST_PRIVILEGES Génériques : READ, WRITE, EXECUTE, ALL

34 Exemple de droits pour les objets de type processus PROCESS_CREATE_PROCESS PROCESS_DUP_HANDLE PROCESS_QUERY_LIMITED_INFORMATION PROCESS_SET_QUOTA PROCESS_TERMINATE PROCESS_VM_READ PROCESS_CREATE_THREAD PROCESS_QUERY_INFORMATION PROCESS_SET_INFORMATION PROCESS_SUSPEND_RESUME PROCESS_VM_OPERATION PROCESS_VM_WRITE Si le privilège SeDebugPrivilege est activé, tous les droits sont accordés

35 Accès à un objet Pour déterminer si un utilisateur peut réaliser une action sur un objet sécurisé, le système confronte le Token du processus ou du thread avec le descripteur de sécurité de l objet

36 Remarques importantes Si un objet n a pas de DACL («null DACL»), tous les accès sont autorisés (contrôle total) à l objet Si une DACL n a pas d ACE («empty DACL»), aucun n accès n est autorisé à l objet Si aucune ACE ne s applique, il y a un refus implicite L ordre des ACEs est important : le résultat (autorisé, refusé) est celui de la première ACE qui s applique À partir de Windows 2000, la notion d héritage automatique est introduite

37 Exemple

38 Descente de droits et privilèges Être membre du groupe Administrateurs donne des droits très importants : écriture dans les répertoires Windows et Programs Files écriture dans la partie HKLM de la base de registre lecture des profils de tous les utilisateurs Ainsi que les privilèges critiques Il est donc dangereux d être identifié sous un compte membre du groupe Administrateurs (c est-à-dire avoir le SID Administrateurs dans le Token) : violation de l intégrité du système chargement de drivers

39 Descente de droits et privilèges Une bonne pratique est de se connecter en tant que simple utilisateur et d utiliser la commande RunAs pour effecteur les opérations privilégiées Si l utilisateur est membre du groupe Administrateur, il est possible de descendre ses droits et privilège en utilisant : la commande RunAs pour changer d utilisateur la fonction «Protéger mon ordinateur et mes données» des programmes tels que PsExec l ou DropMyRights

40 Access tokens Il existe deux types de jetons de sécurité : primary token : crée en règle générale par le système et assigné aux processus impersonation token : permet de représenter un contexte de sécurité différent (généralement celui d un client) afin d être assigné aux threads dans le cas de l impersonation

41 Primary token Fonctionnement usuel Le Primary Token est créé par : l'authentification d un utilisateur (LogonUser) la restriction d un Token existant (CreateRestrictedToken) Ce Token est ensuite assigné à un nouveau processus, opération qui nécessite le privilège SeAssignPrimaryTokenPrivilege (sauf dans le cadre d un jeton de type restreint) Par défaut, chaque processus fils créé hérite d une copie du Token de son père

42 Client Impersonation Un thread peut changer son contexte de sécurité (Token) ce qui permet : de modifier son contexte ou ses droits sans affecter ceux du processus de prendre une autre identité Ce mécanisme est principalement utilisé par les services de type serveur pour emprunter l identité des clients : les accès aux objets sécurisés sont alors effectués dans le contexte du client distant

43 Services

44 Types de services Il y deux types de services Windows : Service applicatif (service application) : programme offrant une interface spécifique géré par le SCM (Service Control Manager) Pilote (driver service) : fichier au format pilote de périphériques (format natif) Le mot «services» fait généralement référence aux services applicatifs Un service applicatif est un programme s exécutant en tâche de fond. Il est généralement lancé (démarré) à l initialisation du système (avant même la connexion d un utilisateur)

45 SCM C est le SCM (Service Control Manager) qui est chargé de la gestion des services : gestion de la base des services installés ajout/suppression/configuration des services verrouillage de la base démarrage (automatique/manuel) et arrêt des services gestion de l exécution des services (liste des services actifs...) Accessible par la commande sc.exe ou par la console services.msc

46 Identité des services Un service est un programme s exécutant en tâche de fond, même si un utilisateur n est pas connecté Il faut désactiver les services inutiles Un service s exécute sous un compte utilisateur et dans son contexte de sécurité : LocalSystem NetworkService (à partir de XP) LocalService (à partir de XP) Spécifique (exemple : IIS, SQL Server, ) Compte du domaine ou local quelconque...

47 LocalSystem (NT AUTHORITY\SYSTEM) Pseudo-compte très privilégié Comprend les SID : NT AUTHORITY\SYSTEM BUILTIN\Administrators Utilise le profil HKEY_USERS\.DEFAULT, mais possibilité de changement d identité Ne peut pas s authentifier à distance (contexte NULL soit anonyme) Beaucoup de privilèges, en particulier : BACKUP, CREATE_TOKEN, DEBUG, LOAD_DRIVER, TAKE_OWNERSHIP, TCB

48 NetworkService (NT AUTHORITY\NETWORK SERVICE) Compte restreint disponible à partir de XP Utilise le profil HKEY_USERS\S S authentifie avec le compte de l ordinateur lors des authentifications distantes Peu de privilèges : AUDIT, CHANGE_NOTIFY, UNDOCK Ceux de Utilisateurs et Utilisateurs authentifiés

49 LocalService (NT AUTHORITY\LOCALSERVICE) Compte restreint disponible à partir de XP Utilise HKEY_USERS\S Ne peut pas s authentifier à distance (contexte NULL soit anonyme) Peu de privilèges : AUDIT, CHANGE_NOTIFY, UNDOCK Ceux de Utilisateurs et Utilisateurs authentifiés

50 Service Host Process (svchost.exe) C est un hébergeur de services pour ceux implémentés dans une bibilothèque (DLL) Plusieurs instances peuvent tourner simultanément Liste des groupes de services : HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Svchost DLL d exécution : HKLM\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters (ServiceDll)

51 Authentification

52 Formes d'authentification Deux formes d'authentification : Locale auprès d'un système («Interactive Authentication») Utilise une base de comptes locale Pas de protocole réseau mis en jeu Distante («Non-interactive authentication») La base de compte peut être celle d'un domaine ou locale à la cible de l'authentification Mise en oeuvre d'un protocole d'authentification

53 Authentification locale Permet de valider les demandes d'authentification auprès d'un système Cadre d'utilisation : Authentification des utilisateurs Authentification des comptes de services Création de la session d'authentification de la machine Validation de l'authentification par LSASS LSASS <=> Local Security Authority Subsystem Service Service lsass.exe, omniprésent dans la sécurité du système

54 «Security Account Manager» Base SAM Sert à l'authentification locale uniquement Fichier contenu dans %windows%\system32\config\sam Contient : Le RID Le nom de connexion Le nom complet Des commentaires Empreintes LanMan et NTLM

55 Session de connexion (logon session) Pour chaque authentification réussie, une session de connexion est créée La base des sessions de connexion est gérée par LSASS Une session représente le contexte d'authentification et est composée : D'un identifiant unique de session (loginid) Du nom du domaine et du nom de l'utilisateur De l'identifiant de sécurité (SID) de l'utilisateur Du nom de l'ap (authentication package) ayant validé et créé la session Du type de session (interactive, réseau, service, etc.) Evéntuellement de «credentials» associés

56 AP fournis en standard Msv1_0 (msv1_0.dll) Authentification locale (par la base SAM) Authentification dans un domaine type pre-windows 2000 Kerberos (à partir de Windows 2000) Authentification dans un domaine Active Directory via le protocole Kerberos

57 Msv1_0 Validation du compte par comparaison avec un mot de passe stocké localement Le mieux est d'utiliser des empreintes de mot de passe, non réversibles (hash) ou condensats Deux formes sous Windows : LM (hash LM Lan Manager) NTLM (hash NTLM ou hash NT) Génération des empreintes à partir du mot de passe fourni, puis comparaison avec celles présentes dans la base SAM et gérées par le service SamSs

58 Empreintes LM

59 Faiblesses de LM Limité à 2x7 soit 14 caractères Alphabet réduit : Majuscules Chiffres Ponctuation 32 caractères spéciaux Utilisation de DES Pas de graine

60 Empreinte NTLM

61 NTLM 255 caractères (limite à 14 par certaines interfaces...) Alphabet complet, codage en Unicode Basé sur la fonction MD4 Pas de graine

62 Comptes de service Processus de validation identique pour un compte de service que pour une session interactive Mot de passe n'est pas donné interactivement mais récupéré dans les «secrets» de la LSA Les «secrets» de la LSA sont des structures du processus LSASS contenant des informations d'authentification L'entrée correspond au nom du service préfixé par _ SC _

63 Contexte «machine» Chaque système dispose d'un compte de type «machine» dans l'annuaire d'un domaine (machine$) Sur le système local, le mot de passe stocké dans les secrets de la LSA, sous l'entrée $MACHINE.ACC Authentifiants sont utilisés lors de la création d'une session d'authentification de l'entité NETWORK SERVICE (ou SYSTEM éventuellement) Possible de s'authentifier auprès de tout système membre du domaine avec un compte d'une machine

64 Authentification à distance (non-interactive authentication) Permet de s'authentifier à distance avec un protocole d'authentification Plusieurs formes possibles Clair Défi/réponse (challenge/response) Formes avancées (dérivation...) Généralement, on utilise un protocole permettant de ne pas dévoiler les authentifiants en clair

65 Implémentation Authentifications non-interactives générées et validées par LSASS par un SSP (Security Support Provider) Par exemple, protocoles LM/NTLM, qui sont des mécanismes historiques pour authentifier les utilisateurs à distance LM toujours activée par défaut jusqu'à 2003 par compatibilité avec les anciens systèmes Mais LM est basé sur le condensat LM... Condensat NTLM utilisé par : NTLM, NTLM2, NTLMv2 Principe du défi/réponse

66 Kerberos Introduit par Windows 2000 Standard du MIT, donc indépendant de Microsoft et implémenté dans beaucoup d'autres systèmes, notamment Unix L'implémentation de Windows 2000 s'inspire de la version 5 MIT mais y ajoute des extensions Trois services : Authentication service (AS) qui délivre : Un Ticket Granting Ticket (TGT) Une logon session key Ticket-Granting Service (TGS) qui délivre : Un service ticket Une service session key Client/Server (CS) Service qui présente les tickets d'un client pour un service

67 Comparaison NTLM / Kerberos LM/NTLM Kerberos Type de crypto Symétrique Symétrique Plates-formes Toutes 2K, XP, 2K3 et + Montée en charge Faible Elevée Authentification mutuelle NON (sauf v2) Option Délégation supportée NON OUI Support carte à puce NON Extensions Standard Microsoft IETF

68 Utilisation de Kerberos Utilisation complètement transparente pour l'utilisateur Les logiciels doivent utiliser le SSP Kerberos Les clients l'utilisant en standard sont : CIFS/SMB DFS LDAP IPsec / QoS Web via IE / IIS 5 RPC

69 Faiblesses Kerberos Peu de faiblesses connues Les clés de session sont supposées être résistantes LM/NTLM Faiblesse cryptographique des empreintes Les protocoles utilisent directement les empreintes... possible d'utiliser l'attaque dite «Pass-the-hash» qui ne nécessite même plus d'avoir le mot de passe pour l'authentification...

70 GSSAPI «Generic Security Services Application Programming Interface» Bibilothèque d'authentification : Définit une API pour l'authentification entre un client et un serveur Définit la structure des échanges réseau (Token au format ASN1) Fait appel à des Security Mechanisms pour l'implémentation des mécanismes d'authentification

71 SPNEGO «Simple and Protected GSSAPI Negotiation MEchanism» Pseudo-mécanisme proposé par GSSAPI Permet la négociation des mécanismes supportés entre un client et un serveur SSP Microsoft : NTLM Kerberos Negotiate Wdigest (défi/réponse basé sur MD5 pour HTTP) Secure Channel (Schannel) Credential Security Support Provider (CredSSP)

72 Accès anonymes Par compatibilité, il est possible de récupérer des informations à distance sans être authentifié Fonctionnalité maintenant inutile, mais toujours activée dans certaines configurations de base Canal nommé wkssvc (station de travail) Nom de la machine, utilisateur connectés Srvsvc (Serveur) Partages offerts Sessions en cours Lsaprc (alias de lsass) : Noms de la machine, du domaine et de la forêt membre, SID associés Samr (alias de lsass) Informations sur le domaine, politiques de sécurité (mots de passe, verrouillage) Informations sur les utilisateurs

73 Restriction Sur Windows NT 4 SP3 et Windows 2000 HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous 0 : se baser sur les autorisations par défaut 1 : énumération des comptes et partages impossible 2 : aucun accès avec une authentification anonyme À partir de Windows XP, les accès anonymes sont restreints par défaut Les droits d énumération sont définis par le paramètre : Accès réseau : Ne pas autoriser l énumération anonyme des comptes et partages SAM Paramètres supplémentaires : Accès réseau : ne pas autoriser l énumération anonyme des comptes SAM Accès réseau : Permet la traduction de noms/sid anonymes

74 CryptoAPI «Cadre d'appel» englobant les modules cryptographiques de Windows, appelés CSP (Cryptographic Service Provider) Les CSP implémentent les fonctions cryptographiques et protègent les clés privées Implémentent RSA, AES, DH... CryptoNG à partir de Windows Vista

75 Protocoles réseau CIFS/SMB et RPC

76 SMB/CIFS Protocoles de gestion intégrés à Windows SMB : protocole très ancien permettant le partage de fichiers «Server Message Block» Plusieurs implémentation existent (SAMBA) Celle de Microsoft est la plus utilisée Basé sur NetBIOS à l'origine jusqu'à Windows 2000 Ports 137/tcp, 139/tcp et 138/udp Services «Browser» et «LmHosts» Accessible directement sur le port 445/tcp depuis Windows 2000 Renommé en CIFS («Common Internet File System»)

77 SMB v2 / SMB v2.1 Version introduite à partir de Vista/2008 (2.0) ou Windows 7/2008 R2 (2.1) Nombreux changements : Changement du format des paquets Performance Sécurité (signature des échanges) Simplification (passage de 100 à environ 20 commandes) Support des liens symboliques...

78 Partages de fichiers Nommage : «Universal Naming Convention» ou UNC \\ MACHINE \ Partage \ Chemin \ vers \ fichier Machine : nom de la machine '.' : machine locale Nom NetBios Adresse IP ou FQDN Partage : nom du partage C$, ADMIN$, répertoire IPC$

79 Communications IPC Deux types de canaux : Anonymes : communications entre 2 processus sur une machine Nommés (named pipes) Communication entre 2 processus sur 2 machines différentes Nom de partage SMB : (insensible à la casse) \\ServerName\pipe\PipeName IPC$ est le nom du partage SMB Le canal nommé possède un descripteur de sécurité On peut utiliser des alias

80 RPC Gestion d'un modèle client/server réparti : Fonctions exportées par un serveur Appelées par un client Communications réseau gérées par le systèmes d'exploitation Chaque interface RPC est identifiée par : Un UUID (Universal Unique Identifier) Un numéro de version Les fonctions sont ensuite identifiées par un numéro d'opcode Accès par le port 135/tcp (portmapper) puis un port haut défini par la suite Ou par IPC$

81 Protocoles réseau RPC ncacn_ip_tcp : TCP ncadg_ip_udp : UDP ncacn_np : canal nommé ncacn_http : HTTP (via IIS) ncalrpc : Local Inter-Process Communication (LPC : mécanisme noyau permettant une communication rapide entre deux processus sur une même machine)

82 Services RPC Microsoft Beaucoup de fonctions exportées, généralement accessibles par un canal nommé : atsvc : planificateur de tâches browser : explorateur d ordinateur (browser) epmapper : service rpcss eventlog : journal des journaux lsarpc : politique LSA ntsvcs : service plug and play (plugplay sous Vista) samr : base SAM spoolss : imprimantes partagées srvsvc : service serveur svcctl : gestionnaire de services (SCM) winreg : base de registres wkssvc : service client (workstation)

83 Échanges classiques Authentification de l'utilisateur Peut se baser sur NTLM ou GSS-API NTLM : permet la connexion de Windows autonomes GSSAPI (NTLM ou Kerberos) : négociation à partir de Windows 2000 du protocole d'authentification pour les membres d'un domaine Connexion à un partage Partages de fichiers : C$, ADMIN$, répertoire... Canaux nommés : IPC$ Chaque partage possède un descripteur de sécurité

84 Système de fichiers

85 Organisation du disque Partitions nommées avec des «lettres de lecteur» : A, C, D... Répertoires importants : C:\Windows C:\Program Files Profils des utilisateurs : C:\Documents And Settings (2000, XP, 2003) C:\Users (Vista, 2008, 7) Données de configuration : Document and settings\<username>\application Data\ Document and settings\<username>\local Settings Users\<username>\AppData\Roaming Users\<username>\AppData\Local

86 Systèmes de fichiers Autrefois FAT (12, 16 ou 32), mais abandonné... NTFS New Technology Filesystem NTFS inclut un système de protection par contrôle d'accès (ACL) On peut en définir au niveau des répertoires ou des fichiers pour savoir quelles opérations peuvent être réalisés par tels utilisateurs ou groupes Sécurité gérée par le système d'exploitation Si le système d'exploitation en gère pas les droits, n'importe quel utilisateur peur accéder aux fichiers protégés (on peut monter une partition NTFS sous Linux pour outrepasser les permissions)

87 EFS (1/2) Encrypted filesystem (attention, EFS!= NTFS) Protection supplémentaire pour chiffrer des fichiers sur le disque dur Introduit par Windows 2000, pour chiffrer de façon transparente Des algorithmes de chiffrement symétriques sont utilisés DESX (40/128 bits) Windows 2000 Windows XP Windows XP SP1 3DES X X X AES X X X

88 EFS (2/2) Chaque fichier est chiffré avec une clé symétrique unique, ensuite chiffrée par des clé publiques Au moins une propre à l'utilisateur Éventuellement avec celles des agents de recouvrement Quelques défauts : Transfert sur le réseau des fichiers chiffrés Travail en groupe délicat

89 Registre

90 Registre Autrefois appelé «base de registre» Accès par regedit.exe notamment Clés racine (root keys) HKEY_LOCAL_MACHINE (HKLM) Configuration de la machine et du système. Uniquement modifiable par le système et les administrateurs 5 sous-clés : HARDWARE, SAM, SECURITY, SOFTWARE, SYSTEM HKEY_USERS (HKU) Chaque utilisateur y dispose d'une entrée (de type sous-clés) permettant d'y stocker ses paramètres personnels HKEY_PERFORMANCE_DATA (HKPD) Journaux de performance

91 Alias des clés racine Quelques alias des clés racine : HKEY_CURRENT_USER (HKCU) Lien vers la sous-clé de l'utilisateur courant (réalisant l'appel de l'ouverture de la clé) HKEY_USERS\<SID utilisateur courant> HKEY_CLASSES_ROOT (HKCR) Lien vers la configuration des objets COM et associations de fichiers. Fusion de 2 parties : HKEY_CURRENT_USER\Software\Classes HKEY_LOCAL_MACHINE\SOFTWARE\Classes

92 HKEY_LOCAL_MACHINE HARDWARE : détection PnP de la configuration matérielle de la machine SAM : base des comptes utilisateur SECURITY : paramètres de la politique de sécurité locale, domaines approuvés, secret d'authentification des comptes de service SOFTWARE : paramètres communs de configuration des logiciels SYSTEM : paramètre de configuration du système (ControlSet)

93 Fichier du registre HKEY_LOCAL_MACHINE\HARDWARE Dynamique HKEY_LOCAL_MACHINE\SAM %SYSTEMROOT%\System32\Config\Sam HKEY_LOCAL_MACHINE\SECURITY %SYSTEMROOT%\System32\Config\Security HKEY_LOCAL_MACHINE\SOFTWARE %SYSTEMROOT%\System32\Config\Software HKEY_LOCAL_MACHINE\SYSTEM %SYSTEMROOT%\System32\Config\System

94 Fichiers du registre HKEY_USERS\<SID> \Documents and Settings\<nom>\Ntuser.dat HKEY_USERS\<SID>_Classes \Document and Settings\<nom>\Local Settings\Application Data\Microsoft\Windows\Usrclass.dat

95 Mises à jour

96 Triple problématique : Mises à jour Disposer de mises à jour Déployer les mises à jour Contrôler l'application des mises à jour

97 Plusieurs types : Mises à jour Windows (1/2) Update ou Security Update : disponibles par Windows Update ou le centre de téléchargement Security fixes ou Rollup packages largement testés «GDR» (General Distribution Release) Hotfix : correction d'un problème spécifique. Disponibles au cas par cas et peu testés «LDR» (Limited Distribution Release) Auparavant dénommés QFE (Quick Fix Engineering)

Aurélien Bordes aurelien26@free.fr http://aurelien26.free.fr/secauth/ v1.0 SSTIC 2007 30 mai 2007

Aurélien Bordes aurelien26@free.fr http://aurelien26.free.fr/secauth/ v1.0 SSTIC 2007 30 mai 2007 Aurélien Bordes aurelien26@free.fr http://aurelien26.free.fr/secauth/ v1.0 1 Plan Rappel Authentification locale condensats LM et NTLM sessions d authentification comptes de services / comptes machine

Plus en détail

Vue d'ensemble des groupes dans Active Directory 2003

Vue d'ensemble des groupes dans Active Directory 2003 Vue d'ensemble des groupes dans Active Directory 2003 Charles BARJANSKY Laboratoire Supinfo des Technologies Microsoft Introduction Les administrateurs réseaux, lors de la mise en place d'une nouvelle

Plus en détail

Sécurité Informatique

Sécurité Informatique Avertissements : Le contenu de ce document est sous licence GPL. Le document est librement diffusable dans le contexte de cette licence. Toute modification est encouragée et doit être signalée à olivier

Plus en détail

Avertissement. Nom du stagiaire : Modification et utilisation interdites sans l accord de l auteur de ce support.

Avertissement. Nom du stagiaire : Modification et utilisation interdites sans l accord de l auteur de ce support. Reproduction et utilisation interdites sans l accord de l auteur Support de formation Administration Windows 2000 Server Avertissement Ce support n est ni un manuel d utilisation (pour cela, consultez

Plus en détail

Le modèle de sécurité windows

Le modèle de sécurité windows Le modèle de sécurité windows Cours Windows 2008-2009 Franck Rupin - Laurent Gydé 1 Le modèle de sécurité windows 1 Généralités 2 Les composants du système de sécurité 3 La protection des objets 4 Audit

Plus en détail

PEDAGO NG 2.2 : WINDOWS SEVEN MISE EN DOMAINE AVEC ESU. Page 1 / 38

PEDAGO NG 2.2 : WINDOWS SEVEN MISE EN DOMAINE AVEC ESU. Page 1 / 38 Page 1 / 38 Historique des versions de documentations N de version Eléments modifiés Date Rédacteur 1.0 02/04/2010 Nicolas BUTET 2.0 Fichier reg 12/05/2010 Nicolas BUTET 3.0 Configuration internet 27/06/2010

Plus en détail

Extraction de données authentifiantes de la mémoire Windows

Extraction de données authentifiantes de la mémoire Windows HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet GS Days Extraction de données authentifiantes de la mémoire Windows

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Services réseaux Windows

Services réseaux Windows HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Groupe SUR de l'ossir 13 janvier 2004 Services réseaux Windows Jean-Baptiste

Plus en détail

Le principe du moindre privilège appliqué aux systèmes Windows

Le principe du moindre privilège appliqué aux systèmes Windows HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Groupe sécurité Windows de l'ossir 7 février 2005 Le principe du moindre

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

Installation Windows 2000 Server

Installation Windows 2000 Server Installation Windows 2000 Server 1. Objectif Ce document donne une démarche pour l installation d un serveur Windows 2000, d un serveur DNS et d un contrôleur de domaine (DC), en regard de certains éléments

Plus en détail

Extraction de données authentifiantes de la mémoire Windows

Extraction de données authentifiantes de la mémoire Windows HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Solutions Linux Extraction de données authentifiantes de la mémoire

Plus en détail

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY

WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY WINDOWS Les Versions Serveurs SERVICES RÉSEAUX ETENDUS PARTAGE DE FICHIERS SÉCURISÉ ACTIVE DIRECTORY De NT à Windows Server Issus de la branche NT de Windows (après Windows 98) 2 familles de produits (Workstation,

Plus en détail

Aurélien Bordes. OSSIR 13 juillet 2010

Aurélien Bordes. OSSIR 13 juillet 2010 Aurélien Bordes aurelien26@free.fr v2.0 1 RDP (Remote Desktop Protocol) Solution d accès distant via un déport : de l affichage graphique du serveur vers le client des entrées du client vers le serveur

Plus en détail

e i g Architecture réseau basée sur Windows 2000

e i g Architecture réseau basée sur Windows 2000 Architecture réseau basée sur Windows 2000 Diplômant : Yann Souchon Professeur : Gérald Litzistorf Sommaire Introduction Autorisations NTFS Structure logique Etape 1 : 1 domaine Etape 2 : 2 domaines dans

Plus en détail

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt

Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt Client sur un domaine stage personnes ressources réseau en établissement janvier 2004 Formateurs : Jackie DAÖN Franck DUBOIS Médiapôle de Guyancourt Lycée de Villaroy 2 rue Eugène Viollet Le Duc BP31 78041

Plus en détail

ASR3. Partie 1 principes de base. Arnaud Clérentin, IUT d Amiens, département Informatique, 2009-2010

ASR3. Partie 1 principes de base. Arnaud Clérentin, IUT d Amiens, département Informatique, 2009-2010 ASR3 Partie 1 principes de base 1 Arnaud Clérentin, IUT d Amiens, département Informatique, 2009-2010 Plan 1- Historique 2- Qu est-ce que Windows Server 2008? 3- Les versions de Windows Server 2008 4-

Plus en détail

Stratégie de groupe dans Active Directory

Stratégie de groupe dans Active Directory Stratégie de groupe dans Active Directory 16 novembre 2012 Dans ce document vous trouverez des informations fondamentales sur les fonctionnements de Active Directory, et de ses fonctionnalités, peut être

Plus en détail

Administration W2k cours 1:

Administration W2k cours 1: Administration W2k cours 1: Windows: gestion des utilisateurs et groupes locaux Windows: modèle de sécurité NTFS: généralités, ACL Partages, gestion des accès aux partages Modèle groupe de travail Base

Plus en détail

Windows Server 2008. Chapitre 2: Les roles et fonctionnalités de Windows server 2008

Windows Server 2008. Chapitre 2: Les roles et fonctionnalités de Windows server 2008 Windows Server 2008 Chapitre 2: Les roles et fonctionnalités de Windows server 2008 Objectives À la fin de ce module, vous serez capable de : Comprendre les méthodes d installation de Windows Server 2008

Plus en détail

Windows Server 2012 R2

Windows Server 2012 R2 Windows Server 2012 R2 OS Hardening Auteur : Hicham KADIRI Date de publication : 20/05/2015 Version : 1.0 Checklist OS Hardening, qu est-ce que c est? Le Hardening d OS permet de réduire la surface d attaque

Plus en détail

Introduction à LDAP et à Active Directory... 15. Étude de cas... 37

Introduction à LDAP et à Active Directory... 15. Étude de cas... 37 Introduction à LDAP et à Active Directory... 15 Généralité sur l annuaire et LDAP... 16 Qu est-ce qu un annuaire?... 16 Un peu d histoire sur le protocole... 16 LDAP version 2 et version 3... 17 Le standard

Plus en détail

Installer et configurer le serveur de fichier et contrôleur de domaine basé sur samba 3

Installer et configurer le serveur de fichier et contrôleur de domaine basé sur samba 3 Installer et configurer le serveur de fichier et contrôleur de domaine basé sur samba 3 SOMMAIRE INTRODUCTION... 2 PRE-REQUIS... 2 ENVIRONNEMENT TECHNIQUE... 2 MIGRATION DE DONNEES ET DE CONFIGURATION...

Plus en détail

L annuaire et le Service DNS

L annuaire et le Service DNS L annuaire et le Service DNS Rappel concernant la solution des noms Un nom d hôte est un alias assigné à un ordinateur. Pour l identifier dans un réseau TCP/IP, ce nom peut être différent du nom NETBIOS.

Plus en détail

PARCOURS CERTIFIANT Administrateur Réseau MCITP Windows 2008 et CISCO

PARCOURS CERTIFIANT Administrateur Réseau MCITP Windows 2008 et CISCO Durée 280h PARCOURS CERTIFIANT Administrateur Réseau MCITP Windows 2008 et CISCO Dates prévisionnelles 2 mars 2015 au 26 juin 2015 ou 28 août au 18 décembre 2015 (calendriers en annexe) Lieu de formation

Plus en détail

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi

Movie Cube. Manuel utilisateur pour la fonction sans fil WiFi Movie Cube Manuel utilisateur pour la fonction sans fil WiFi Table des matières 1. Connexion de l'adaptateur USB sans fil WiFi...3 2. Paramétrage sans fil...4 2.1 Infrastructure (AP)...5 2.2 Peer to Peer

Plus en détail

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS Journée Josy/PLUME Outils logiciels libres utiles à tout ASR SAMBA Maurice Libes Centre d'océanologie de Marseille UMS 2196 CNRS Plan - Présentation de Samba Contexte d'utilisation Laboratoire Objectifs,

Plus en détail

Concepts et planification

Concepts et planification Page 1 sur 22 Concepts et planification La gestion de la sécurité Gestion de la sécurité Windows 2003: Système d'exploitation sécurisé. Fonction de base du système d'exploitation: Contrôle discrétionnaire

Plus en détail

Sécuriser Vista. Laboratoire de transmission de données HES-GE

Sécuriser Vista. Laboratoire de transmission de données HES-GE HES-GE Sécuriser Vista Laboratoire de transmission de données Professeur : LITZISTORF Gérald Etudiant : PEREZ Thomas Travail de diplôme Année 2005-2006 1 Sections de la présentation Définitions Initialisation

Plus en détail

Windows 2000: W2K: Architecture. Introduction. W2K: amélioration du noyau. Gamme windows 2000. W2K pro: configuration.

Windows 2000: W2K: Architecture. Introduction. W2K: amélioration du noyau. Gamme windows 2000. W2K pro: configuration. Windows 2000: Introduction W2K: Architecture Système d'exploitation multitâche multithread 32 bits à architecture SMP. Multiplateforme: intel x86, Compaq Alpha Jusqu'à 64 Go de mémoire vive Système d'exploitation

Plus en détail

NOTIONS SUR WINDOWS NT

NOTIONS SUR WINDOWS NT Chapitre 10 NOTIONS SUR WINDOWS NT Le système d'exploitation WINDOWS NT (New Technology) a été conçu par Microsoft entre 1988 et 1993. Cinq objectifs étaient poursuivis en créant ce nouveau SE : - offrir

Plus en détail

Windows NT 4.0. Yacine BELLIK. IUT d Orsay Université Paris XI

Windows NT 4.0. Yacine BELLIK. IUT d Orsay Université Paris XI Windows NT 4.0 Yacine BELLIK IUT d Orsay Université Paris XI 1 2 Comparaison des 3 systèmes Windows 95 Windows NT Workstation Windows NT Server 3 Windows 95 Compatibilité avec le matériel existant Compatibilité

Plus en détail

Chapitre 2 Rôles et fonctionnalités

Chapitre 2 Rôles et fonctionnalités 19 Chapitre 2 Rôles et fonctionnalités 1. Introduction Rôles et fonctionnalités Les rôles et fonctionnalités ci-dessous ne sont qu'une petite liste de ceux présents dans Windows Server 2012 R2. 2. Les

Plus en détail

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Windows Server 2008. Chapitre 3 : Le service d annuaire Active Directory: Concepts de base Windows Server 2008 Chapitre 3 : Le service d annuaire Active Directory: Concepts de base omar.cheikhrouhou@isetsf.rnu.tn omar.cheikhrouhou@ceslab.org Objectives Comprendre les concepts de base d Active

Plus en détail

OPTENET DCAgent 2.01. Manuel d'utilisateur

OPTENET DCAgent 2.01. Manuel d'utilisateur OPTENET DCAgent 2.01 Manuel d'utilisateur SOMMAIRE 1. INTRODUCTION...1 2. INSTALLATION...2 3. ÉTABLISSEMENT DES PERMISSIONS...4 Pour de plus amples informations, reportez-vous aux annexes «Conditions requises

Plus en détail

Kerberos, le SSO système

Kerberos, le SSO système Kerberos, le SSO système Benoit Métrot Université de Poitiers ANF Les systèmes dans la communauté ESR : étude, mise en œuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr

Etat des lieux de la sécurité dans Windows XP. Nicolas RUFF nicolas.ruff@edelweb.fr Etat des lieux de la sécurité dans Windows XP Améliorations et écueils Nicolas RUFF nicolas.ruff@edelweb.fr page 1 Ordre du jour Authentification Réseau Stratégies de groupe Fichiers Noyau Support Autres

Plus en détail

Protocoles et trafic réseau en environnement Active Directory

Protocoles et trafic réseau en environnement Active Directory HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Groupe sécurité Windows de l'ossir 13 septembre 2004 Protocoles et

Plus en détail

Faiblesses des méthodes d administration en environnement Windows et état des lieux de l outillage intrusif 1/50

Faiblesses des méthodes d administration en environnement Windows et état des lieux de l outillage intrusif 1/50 Faiblesses des méthodes d administration en environnement Windows et état des lieux de l outillage intrusif 1/50 Faiblesses des méthodes d administration en environnement Windows et État des lieux de l

Plus en détail

Déploiement des clients par GPO

Déploiement des clients par GPO Fiche technique AppliDis Fiche IS00126 Version 1.07 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de Systancia ou des membres du programmes Partenaires

Plus en détail

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping) Modernisation, développement d applications et DB2 sous IBM i Technologies, outils et nouveautés 2013-2014 13 et 14 mai 2014 IBM Client Center Paris, Bois-Colombes S28 - La mise en œuvre de SSO (Single

Plus en détail

Administration de systèmes

Administration de systèmes Administration de systèmes Windows NT.2000.XP.2003 Copyright IDEC 2002-2004. Reproduction interdite. Sommaire... 2 Eléments logiques et physiques du réseau... 5 Annuaire et domaine... 6 Les utilisateurs

Plus en détail

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet. HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet GS Days Extraction des empreintes de mots de passe en environnement

Plus en détail

ClariLog - Asset View Suite

ClariLog - Asset View Suite ClariLog - Asset View Suite Architecture et Prérequis v. 20140601 TABLE DES MATIERES 1 Architecture et principe de mise en place... 3 2 Serveur (stockage)... 4 2.1 Ressource réseau partagée... 4 2.2 Base

Plus en détail

Restriction sur matériels d impression

Restriction sur matériels d impression Restriction sur matériels d impression Objectif : Restreindre l accès aux matériels multifonctions Description des matériels : Serveur d impression : SVAWAV01 (10.204.1.204) Ricoh Aficio MP C4501 o IP

Plus en détail

Microsoft Windows 2000 Administration de Microsoft Windows 2000

Microsoft Windows 2000 Administration de Microsoft Windows 2000 Microsoft Windows 2000 Memento Par : TATEFO WAMBA Fidèle 23, rue Château Landon 75010 PARIS www.supinfo.com Ce http://www.laboratoire-microsoft.org document est propriété du Laboratoire des Technologies

Plus en détail

Stage Linux-SambaÉdu Module 2. Jour 01 Le module DHCP du serveur Se3

Stage Linux-SambaÉdu Module 2. Jour 01 Le module DHCP du serveur Se3 Stage Linux-SambaÉdu Module 2 Jour 01 Le module DHCP du serveur Se3 Plus de 3600 serveurs installés http://wawadeb.crdp.ac-caen.fr/majse3/stat.php Solution libre en évolution permanente http://wwdeb.crdp.ac-caen.fr/mediase3/index.php/mises_à_jour

Plus en détail

Windows 2000 Server Active Directory

Windows 2000 Server Active Directory ACTION PROFESIONNELLE N 2 Fabien SALAMONE BTS INFORMATIQUE DE GESTION Option Administrateur de Réseaux Session 2003 Windows 2000 Server Active Directory Compétences : C 21 C 23 C 27 C 31 C 33 C 36 Installer

Plus en détail

Configuration DCOM pour OPC Factory Server

Configuration DCOM pour OPC Factory Server Configuration DCOM pour OPC Factory Server Sommaire 1. Présentation de OPC...2 2. Présentation de OLE, COM et DCOM...2 2.1. Qu'est-ce qu'ole?...2 2.2. Qu'est-ce que COM?...3 2.3. Qu'est-ce que DCOM?...3

Plus en détail

NFS Maestro 8.0. Nouvelles fonctionnalités

NFS Maestro 8.0. Nouvelles fonctionnalités NFS Maestro 8.0 Nouvelles fonctionnalités Copyright Hummingbird 2002 Page 1 of 10 Sommaire Sommaire... 2 Généralités... 3 Conformité à la section 508 de la Rehabilitation Act des Etats-Unis... 3 Certification

Plus en détail

ADMIN NG 2.2 : WINDOWS SEVEN MISE EN DOMAINE. Page 1 / 22

ADMIN NG 2.2 : WINDOWS SEVEN MISE EN DOMAINE. Page 1 / 22 Page 1 / 22 Historique des versions de documentations N de version Eléments modifiés Date Rédacteur 1.0 09/04/2010 Nicolas BUTET 2.0 Suppression d'un point de configuration 20/03/2012 L. Couillaud Page

Plus en détail

OSSIR Groupe Sécurité Windows

OSSIR Groupe Sécurité Windows OSSIR Groupe Sécurité Windows Réunion du 17 décembre 2001 EdelWeb/Groupe ON-X Sécurisation d'un DC sous Windows 2000 - Maxime de Jabrun page 1 Durcissement Windows 2000 Contrôleur de Domaine (DC) Maxime

Plus en détail

VPN L2TP/IPsec en utilisant un certificat X.509 v3

VPN L2TP/IPsec en utilisant un certificat X.509 v3 VPN L2TP/IPsec en utilisant un certificat X.509 v3 Installer une autorité de certification d entreprise : Dans notre cas de figure nous sommes dans un domaine qui s appelle «konoha.com». Une autorité de

Plus en détail

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap

Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap Page 1 of 7 Rechercher sur le Web Bienvenue sur Lab-Windows Il n'y a de vents favorables que pour ceux qui ont un cap Accueil Actualité Windows Vista Windows Server Active Directory TCP/IP Securité Qui

Plus en détail

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel 75017 PARIS, France

Adonya Sarl Organisme de Formation Professionnelle 75 Avenue Niel 75017 PARIS, France Powered by TCPDF (www.tcpdf.org) WINDOWS 7 Windows 7 PLANIFIER LES DÉPLOIEMENTS ET ADMINISTRER LES ENVIRONNEMENTS MICROSOFT WINDOWS 7 Réf: MS10223 Durée : 5 jours (7 heures) OBJECTIFS DE LA FORMATION -

Plus en détail

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008

Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008 Vue d ensemble du cours Rôles serveur Notion de Groupe de Travail Active Directory Utilisation des outils d administration Microsoft Windows Server 2008 Qu est-ce que le Groupe de Travail? Les comptes

Plus en détail

1. Présentation du TP

1. Présentation du TP LP CHATEAU BLANC 45 CHALETTE/LOING BAC PRO SEN TR THÈME : CONTROLEUR PRINCIPAL DE TP N 1 DOMAINE ACADÉMIE D ORLÉANS-TOURS OBJECTIFS : INSTALLER ACTIVE DIRECTORY CONFIGURER ACTIVE DIRECTORY : - CREER DES

Plus en détail

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA

Réseaux : SAMBA Sommaire. 1. Introduction. 2. Fonctionnement des réseaux Microsoft. 3. NetBIOS. 4. Le protocole SMB 5. SAMBA Réseau SAMBA Sommaire 1. Introduction 2. Fonctionnement des réseaux Microsoft 3. NetBIOS 4. Le protocole SMB 5. SAMBA 2 Introduction Le projet SAMBA est une application réseau permettant des échanges entre

Plus en détail

SAMBA Protocole SaMBa

SAMBA Protocole SaMBa SAMBA Protocole SaMBa aptitude install samba Installation de Samba Le fichier "SMB.CONF" La configuration de samba se fait par un unique fichier : smb.conf dans /etc/samba. C est un fichier de type texte

Plus en détail

Déploiement des clients par GPO

Déploiement des clients par GPO Fiche technique AppliDis Fiche IS00126 Version 1.04 Diffusion limitée : Systancia, membres du programme Partenaires AppliDis et clients ou prospects de Systancia ou des membres du programmes Partenaires

Plus en détail

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès

La sécurité. Chapitre 6. 1. Introduction. 2. La sécurité des accès 259 Chapitre 6 La sécurité 1. Introduction La sécurité La sécurité des données est un enjeu capital. Une base de données peut être amenée à stocker des données très sensibles, confidentielles. L'implémentation

Plus en détail

Windows Server 2012 R2

Windows Server 2012 R2 Installation et Configuration Dans le premier chapitre, après une présentation des technologies de virtualisation, l auteur détaille l implémentation d Hyper-V : pré-requis, machine virtuelle, mémoire

Plus en détail

TP1 Windows 2000 Professionnel / Windows XP Pro. Station de travail (ou Serveur 2003-2008) autonome

TP1 Windows 2000 Professionnel / Windows XP Pro. Station de travail (ou Serveur 2003-2008) autonome TP1 Windows 2000 Professionnel / Windows XP Pro Station de travail (ou Serveur 2003-2008) autonome Gestion des comptes utilisateurs Droits d'accès NTFS et partage des dossiers 1 Création des comptes utilisateurs

Plus en détail

AGR3r Administration et gestion des réseaux Samba

AGR3r Administration et gestion des réseaux Samba AGR3r Administration et gestion des réseaux Samba Pierre BETTENS pbettens(à)heb.be ESI - École Supérieure d Informatique 08/10/2010 Pierre BETTENS AGR3r Administration et gestion des réseaux Samba 1 /

Plus en détail

Sécurisation de Windows NT 4.0. et Windows 2000

Sécurisation de Windows NT 4.0. et Windows 2000 Pratique système : Sécurité Sécurisation de Windows NT 4.0 et Windows 2000 Partie 1/3 Patrick CHAMBET patrick.chambet@edelweb.fr Patrick CHAMBET - 1 - Pas sécurisé, Windows NT? Pas si sûr. S il est certain

Plus en détail

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand

BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Active Directory sous Windows Server SAHIN Ibrahim BTS SIO option SISR Lycée Godefroy de Bouillon Clermont-Ferrand Sommaire I - Introduction... 3 1) Systèmes d exploitation utilisés... 3 2) Objectifs...

Plus en détail

Kerberos: Linux, Windows et le SSO

Kerberos: Linux, Windows et le SSO Kerberos: Linux, Windows et le SSO Emmanuel.Blindauer @ urs.u-strasbg.fr IUT Robert Schuman Département Informatique JRES 2005 Introduction Problématique Kerberos Windows 2000 Linux et PAM Intégration

Plus en détail

1. Présentation de WPA et 802.1X

1. Présentation de WPA et 802.1X Lors de la mise en place d un réseau Wi-Fi (Wireless Fidelity), la sécurité est un élément essentiel qu il ne faut pas négliger. Effectivement, avec l émergence de l espionnage informatique et l apparition

Plus en détail

Windows 8 Installation et configuration

Windows 8 Installation et configuration Editions ENI Windows 8 Installation et configuration Collection Ressources Informatiques Extrait 112 Windows 8 Installation et configuration Pour terminer l'application de l'image, nous devons configurer

Plus en détail

Créer et partager des fichiers

Créer et partager des fichiers Créer et partager des fichiers Le rôle Services de fichiers... 246 Les autorisations de fichiers NTFS... 255 Recherche de comptes d utilisateurs et d ordinateurs dans Active Directory... 262 Délégation

Plus en détail

Table des matières 18/12/2009 10:13:21

Table des matières 18/12/2009 10:13:21 V.P.N. sous Win XP Table des matières V.P.N. sous Win XP...1 Introduction aux Réseaux Privés Virtuels...1 Royaume : «realm»...3 Qui fait une demande de «realm»?...3 Quels sont les «realms» actifs?...3

Plus en détail

Technicien Supérieur de Support en Informatique

Technicien Supérieur de Support en Informatique Titre professionnel : «Technicien(ne) Supérieur(e)» Reconnu par l Etat de niveau III (Bac), inscrit au RNCP (arrêté du 17/07/08, J.O. n 205 du 03/09/08) (32 semaines) page 1/8 Unité 1 : Assistance bureautique

Plus en détail

STATISTICA Version 12 : Instructions d'installation

STATISTICA Version 12 : Instructions d'installation STATISTICA Version 12 : Instructions d'installation STATISTICA Entreprise Server Remarques : 1. L'installation de STATISTICA Entreprise Server s'effectue en deux temps : a) l'installation du serveur et

Plus en détail

Windows 8.1 Gestion et maintenance du système

Windows 8.1 Gestion et maintenance du système Méthodes d'installation de Windows 8.1 1. Présentation de Windows 8.1 15 2. Les éditions 16 2.1 Windows 8.1 17 2.2 Windows 8.1 Pro 17 2.3 Windows 8.1 Entreprise 17 2.4 Windows RT 8.1 18 3. Types d'installation

Plus en détail

Windows Server 2012 R2 Administration

Windows Server 2012 R2 Administration Généralités 1. Le gestionnaire de serveur 11 1.1 Création d un groupe de serveurs 19 1.2 Installation d un rôle à distance 21 1.3 Suppression d un groupe de serveurs 22 2. Serveur en mode installation

Plus en détail

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service.

laissez le service en démarrage automatique. Carte de performance WMI Manuel Désactivé Vous pouvez désactiver ce service. Nom du service par défaut conseillé remarques Accès à distance au Registre Automatique Désactivé Acquisition d'image Windows (WIA) Administration IIS Automatique Désactivé Affichage des messages Automatique

Plus en détail

Support de Windows 8.1 Préparation à la Certification MCSA - Examen 70-688

Support de Windows 8.1 Préparation à la Certification MCSA - Examen 70-688 Chapitre 1 Méthodes d'installation de Windows 8.1 A. Présentation de Windows 8.1 16 B. Les éditions 17 1. Windows 8.1 17 2. Windows 8.1 Pro 17 3. Windows 8.1 Entreprise 17 4. Windows RT 8.1 18 C. Types

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

UE5A Administration Réseaux LP SIRI

UE5A Administration Réseaux LP SIRI UE5A Administration Réseaux LP SIRI José Dordoigne Architecte infrastructure v1.0 2012-2013 Objectif de la formation -Fournir les éléments clés pour : -Comprendre les principaux services réseaux déployés

Plus en détail

Administration réseau Accès aux fichiers distants

Administration réseau Accès aux fichiers distants Administration réseau Accès aux fichiers distants A. Guermouche A. Guermouche Cours 8 : NFS & SMB 1 Plan 1. Introduction 2. NFS 3. SAMBA A. Guermouche Cours 8 : NFS & SMB 2 Plan Introduction 1. Introduction

Plus en détail

Sécurité sous Windows 2000 Server

Sécurité sous Windows 2000 Server Sécurité sous Windows 2000 Server Thomas W. SHINDER Debra Littlejohn SHINDER D. Lynn WHITE Groupe Eyrolles, 2002 ISBN : 2-212-11185-1 Table des matières Remerciements..............................................

Plus en détail

Windows Server 2008. Chapitre 1: Découvrir Windows Server 2008

Windows Server 2008. Chapitre 1: Découvrir Windows Server 2008 Windows Server 2008 Chapitre 1: Découvrir Windows Server 2008 Objectives Identifier les caractéristiques de chaque édition de Windows Server 2008 Identifier les caractéristiques généraux de Windows Server

Plus en détail

Windows 2000 Server. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 1. 1. Présentation

Windows 2000 Server. SRC2 / IUT Marne la Vallée W2K Server S. LOHIER 1. 1. Présentation Windows 2000 Server 1. Présentation Historique des réseaux Microsoft La famille du réseau Microsoft Caractéristiques Communes de Windows 2000 et NT Les apports par rapport à Windows NT4 2. Organisation

Plus en détail

Réseaux informatiques --- Généralités sur les services réseaux

Réseaux informatiques --- Généralités sur les services réseaux Réseaux informatiques --- Généralités sur les services réseaux Auteur : Christophe VARDON Date : révision du 15/11/2004 TABLE DES MATIERES Un réseau : pour faire quoi?... Quels services sur le réseau?...

Plus en détail

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition]

Les stratégies de groupe (GPO) sous Windows Server 2008 et 2008 R2 Implémentation, fonctionnalités, dépannage [2ième édition] Introduction 1. Avant-propos 13 1.1 Un peu d'histoire... 13 1.2... et d'avenir 14 1.3 Qui bénéficie des stratégies de groupe? 15 2. Introduction 16 3. Conseils d'utilisation du livre 17 3.1 L'environnement

Plus en détail

Spécialisation. Les métiers Les titulaires de cette formation peuvent prétendre à tenir les postes de :

Spécialisation. Les métiers Les titulaires de cette formation peuvent prétendre à tenir les postes de : Programme détaillé Objectifs de la formation Spécialisation Administrateur Réseaux et L échange d informations est devenu une nécessité absolue pour toutes les entreprises, quel que soit le secteur d activité.

Plus en détail

Partage réseau Unix/Windows. Mise en place d'un serveur Samba

Partage réseau Unix/Windows. Mise en place d'un serveur Samba Partage réseau Unix/Windows Mise en place d'un serveur Samba Partage réseau Unix/Windows Quelques notions sur les réseaux sous Windows "Philosophie" Domaine Implémentation (NetBIOS, SMB) Configuration

Plus en détail

NU-PH-11-04. Portail http. www.neocoretech.com

NU-PH-11-04. Portail http. www.neocoretech.com NU-PH-11-04 Portail http www.neocoretech.com Le portail http permet aux utilisateurs de se connecter à un PC virtuel via un navigateur internet. Cette connexion se fait à travers un des protocoles suivants

Plus en détail

Installation de Windows XP www.ofppt.info

Installation de Windows XP www.ofppt.info ROYAUME DU MAROC Office de la Formation Professionnelle et de la Promotion du Travail XP DIRECTION RECHERCHE ET INGENIERIE DE FORMATION SECTEUR NTIC XP Sommaire 1 Introduction... 2 2 Vérification de la

Plus en détail

Windows 2000. Joël Surget CEA/Saclay DAPNIA/SEI

Windows 2000. Joël Surget CEA/Saclay DAPNIA/SEI Windows 2000 CEA/Saclay DAPNIA/SEI Introduction Tout le monde utilise Windows 2000 pro ou serveur Qui a aujourd hui un domaine Windows 2000? Parcourt rapide de ce qu est un domaine W2000 Plan Architecture

Plus en détail

Services de Bureau à Distance

Services de Bureau à Distance Services de Bureau à Distance 02 février 2015 TABLE DES MATIERES PRESENTATION DU SYSTEME RDS... 2 DEFINITION... 2 MODE DE FONCTIONNEMENTS... 4 AVANTAGES ET INCONVENIENTS... 4 AVANTAGES... 4 INCONVENIENTS...

Plus en détail

Désactiver les services inutiles

Désactiver les services inutiles Page 1 sur 7 Désactiver les services inutiles Guide des services de Windows XP Vous trouverez dans les pages suivantes la description de tous les services de Windows XP ainsi que le type de démarrage que

Plus en détail

Samba. précis & concis. Introduction

Samba. précis & concis. Introduction Samba précis & concis Introduction Samba est un outil particulièrement utile pour ceux qui possèdent des systèmes à la fois Windows et Unix sur leur réseau. Lorsque Samba est exécuté sur un système Unix

Plus en détail

Journée des informaticiens CNRS Centre Poitou-Charentes Universités Grand-Ouest

Journée des informaticiens CNRS Centre Poitou-Charentes Universités Grand-Ouest Journée des informaticiens CNRS Centre Poitou-Charentes Universités Grand-Ouest Déploiement automatisé sous Windows : RIS Administration centralisée : GPO Centralisation des mises à jour : WSUS Objectifs

Plus en détail

Utilisation des cartes à puce avec Windows 2003

Utilisation des cartes à puce avec Windows 2003 Utilisation s cartes à puce avec Windows 2003 Nicolas RUFF nicolas.ruff@elweb.fr page 1 Plan Pourquoi les cartes à puce? Architecture logicielle PKI PKI AD AD Format s s certificats Protocoles d'authentification

Plus en détail

Windows Vista et Windows Server 2003... 15. Étude de cas... 41

Windows Vista et Windows Server 2003... 15. Étude de cas... 41 Windows Vista et Windows Server 2003... 15 Windows Vista... 16 Pourquoi Vista?... 16 L initiative pour l informatique de confiance... 17 Le cycle de développement des logiciels informatiques fiables...

Plus en détail

Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB

Journées MATHRICE Dijon-Besançon DIJON 15-17 mars 2011. Projet MySafeKey Authentification par clé USB Journées MATHRICE "Dijon-Besançon" DIJON 15-17 mars 2011 1/23 Projet MySafeKey Authentification par clé USB Sommaire 2/23 Introduction Authentification au Système d'information Problématiques des mots

Plus en détail

Windows Server 2012 R2 Installation et Configuration

Windows Server 2012 R2 Installation et Configuration Mise en place d Hyper-V 1. Vue d ensemble des technologies de virtualisation 11 1.1 Virtualisation du poste de travail 12 1.2 Virtualisation d'applications 12 1.3 Hyper-V sous Windows 8.1 12 2. Implémentation

Plus en détail

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft

Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft Guide de déploiement d'un mécanisme De SmartCardLogon par carte CPS Sur un réseau Microsoft Statut : Validé Version : 1.2.4 Date prise d effet : 29/12/2009 Référence : Auteur : Frédéric BARAN Diffusion

Plus en détail