Scribd Logo
Importer

Bienvenue sur Scribd !

  • 7 vues

    Win 10 Chap 1

    Transféré par

    Jeremy Pomponne
    exo

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd

    Win 10 Chap 1

    Transféré par

    Jeremy Pomponne
    7 vues8 pages
    exo

    Titre original

    Win10Chap1

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    exo

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    7 vues8 pages

    Win 10 Chap 1

    Transféré par

    Jeremy Pomponne
    exo

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Télécharger au format pdf ou txt
    sur 8

    Windows 10

    Sécurité et data
    Résumé
    1. UAC - User Account control
    2. NTFS
    3. Local & Group policy (Active Directory)
    4. Firewall
    5. BitLocker

    UAC - User Account control


    Les Applications et les services fonctionnent par défaut en non-admin, ce qui veut dire qu’il n’ont
    pas de privilège dans le système. Ceci est le cas même si vous êtes loggé en tant qu’admin.
    L’admin doit donc spécifier que l’application a le droit de fonctionner “en tant qu’administrateur”
    c’est le principe de l’UAC, vous aurez alors :

    1
    Autres méthodes :

    - ​clic droit > Exécuter en tant qu’administrateur

    - ​shift ( en dessous du cadenas=caps lock) + clic droit >​ Exécuter en tant qu’autre utilisateur,
    on viendra alors indiquer un utilisateur ayant des privilèges élevés, par exemple admin local.

    - ​runas​ : permet de faire la même action que les deux précédentes commandes (lancer une
    application sous une autre identité), mais depuis l’invite de commandes (ainsi que PowerShell)
    Dans un premier temps je vous invite à écrire dans une d’invites de commandes CMD :
    “runas /?” pour avoir les différents paramètres possible :

    2
    pour lancer par exemple le CMD en tant qu’admin on fera : ​runas
    /user:NomOrdinateurLocal\administrator cmd

    c’est très pratique pour lancer des applications à distance, avec des privilèges différents, ex :
    runas /user:domaine_société\admin_domaine "mmc %windir%\system32\compmgmt.msc"

    **L’utilisateur d’un domaine peut être renseigné comme ceci :​ runas /user:user@domain “Chemin
    Du fichier Ou Application à Lancer”

    3
    NTFS
    voir : https://www.ionos.fr/digitalguide/serveur/know-how/ntfs/

    À chaque ouverture de session, les informations d’identification employées par l’utilisateur


    (User ID et mot de passe) sont transmises à un moniteur de sécurité locale qui accède au
    Gestionnaire de sécurité​ (SAM : Security Account Manager).​ Ce dernier accorde un jeton
    d’accès “Token” qui va déterminer les droits d’accès que possède cet utilisateur pour les
    objet dit “sécurisable” ce situant dans une liste DACL: Dossier, services, Clé de Registre…

    Lors de ce processus on vérifie deux informations principalement :


    - Le ​SID​ de l’utilisateur
    - La liste ​DACL ​: objet auquel tente d’accéder l’user

    Donc dans Windows, l’utilisateur est identifié par son identificateur de sécurité ​SID (Security
    IDentifier)​ il commence toujours par​ S-1-5-20<guid domaine>-ValueID,​ le ValueID est toujours
    supérieur à 1000, excepté pour l’utilisateur Administrateur et invité.
    Vous trouverez la liste des SID connus des environnements Windows ici :
    https://docs.microsoft.com/fr-fr/troubleshoot/windows-server/identity/security-identifiers-in-win
    dows
    ex : S-1-5-21domain-516 = Contrôleurs de domaine

    DACL ou ACL (Discretionary Access Control Lists)​, liste de contrôle d’accès discrétionnaire, est
    un mécanisme permettant de protéger les ressources telles que les fichiers et les clés du Registre.
    Il contient les entrées de contrôles d’accès ​( ACE : Access Control Entry),​ où sont effectués des
    enregistrements de chaque utilisateur et groupe désignés par son SID.

    4
    5
    Voici la liste des 6 groupes de permissions NTFS.

    Local & Group policy (Active Directory)

    Nous allons aborder la stratégie d’utilisation des utilisateurs et des groupes. Chez Microsoft il
    existe en règle générale deux sortes de groupe, à savoir des groupes permettant de gérer des
    utilisateurs et des groupes associés aux ressources pour recevoir les permissions qui y sont
    appliquées, c’est une norme de bonne pratique qui s’est mise en place avec le temps.

    Par exemple, on n’associe pas directement des permission NTFS à un utilisateur, car si l’utilisateur
    est supprimé par la suite, il reste toujours son SID associé aux permissions NTFS de la ressource.

    6
    l’accès aux ressources s’effectue donc suivant ce schéma :

    Le scope de ces groupes se résume à :

    source : ​https://www.tescitrixoupas.net/petit-rappel-sur-la-gestion-des-droits-ntfs-3

    7
    Chiffrage EFS des fichiers permet de limiter l’accès aux fichiers en ajoutant une signature
    numérique basée sur un certificat au fichier. Un utilisateur peut alors chiffrer un fichier ou un
    dossier avec EFS afin d’en restreindre l’accès.

    Il existe un autre moyen de chiffrage de données, elle s’appelle BitLocker et c’est ce que nous
    allons voir.

    BitLocker

    Le chiffrage BitLocker permet le chiffrage de données sur votre PC, un disque dur ou bien une clé
    USB.
    Il y a cette fois-ci un échange de clés de chiffrage pour verrouiller ou accéder à la partie protégée,
    et non un certificat comme avec le chiffrage EFS.

    Je vous invite à aller sur ​https://www.it-connect.fr/windows-10-et-le-chiffrement-bitlocker/​ pour plus


    d’information à ce sujet.

    En cas de perte du mot de passe/PIN Code voici la solution pour le récupérer.


    https://lecrabeinfo.net/bitlocker-utiliser-une-cle-de-recuperation-pour-deverrouiller-un-lecteur.html

    Vous aimerez peut-être aussi