--- title: Windows et Active Directory - 2 tags: ACDA, jeremy.delbarre authors: jeremy.delbarre --- # Modèle de sécurité ## descripteur de sécurité Un descripteur de sécurité contient : - Un champ « control information » (numéro de version, attributs) - Le SID du propriétaire de l’objet - Le SID du groupe primaire de l’objet - La DACL (Discretionary Access Control List) : liste définissant les autorisations d’accès - La SACL (System Access Control List) : liste définissant les audits à générer lors des accès à l’objet ou diverses propriétés de l’objet (niveau d’intégrité, claims, etc.) DACL et SACL sont constituées d’ACE (Access Control Entries) qui sont composées - du type de l’ACE - Access-allowed ACE - Access-denied ACE - System-audit ACE - Mandatory label ACE - de propriétés : héritage, journalisation (Failed/Success) - du SID auquel l’ACE s’applique - des autorisations d’accès concernés (AccessMask) Autorisations standards (communs à tous les types d’objets) - WRITE_OWNER : permet de changer le propriétaire de l’objet - READ_CONTROL : lire la DACL - WRITE_DAC : modifier la DACL - DELETE - SYNCHRONIZE Autorisations spécifiques (propres à chaque type d’objets) - FILE_WRITE_ATTRIBUTES - KEY_CREATE_SUB_KEY - TOKEN_ADJUST_PRIVILEGES Autorisations génériques : READ, WRITE, EXECUTE, ALL A noter que - SeTakeOwnershipPrivilege accorde l’autorisation - WRITE_OWNER - SeDebugPrivilege accorde toutes les autorisations sur les processus - SeBackupPrivilege accorde les autorisations READ_CONTROL, ACCESS_SYSTEM_SECURITY, FILE_GENERIC_READ, FILE_TRAVERSE - SeRestorePrivilege accorde les autorisations - WRITE_DAC, WRITE_OWNER, ACCESS_SYSTEM_SECURITY - FILE_GENERIC_WRITE, FILE_ADD_FILE, FILE_ADD_SUBDIRECTORY, DELETE - SID propriétaire de l’objet dans jeton accorde implicitement les accès - READ_CONTROL et WRITE_DAC - Descripteur de sécurité sans DACL (null DACL) - Accès toujours autorisés - DACL sans ACE (empty DACL) - Accès toujours refusés (sauf ceux du propriétaire et des privilèges) :::danger Si l'on donne les droits de debug on peux devenir admin donc ne jamais donné ce droit meme a un admin ::: - Si l'admin s'enlève les droits sur un fichier il peut se mettre en tant que propriétaire puis changer les droits sur cet objet. # Installation du système - Configuration système minimum requise pour l’installation - Processeur : 1.4 GHz 64Bits - Mémoire vive : 512 Mo - Espace disque requis : 32 Go - Quelques règles de base - Mot de passe pour accéder au Setup du BIOS - Pas de démarrage autre que sur le disque hébergeant l’OS - Serveur physiquement protégé - Installation très simple où les seuls choix sont - Langue du système, format horaire et clavier - Édition Standard ou Datacenter complète ou Core - Upgrade ou nouvelle installation - Disque et partition d’installation - Mot de passe du compte Builtin\Administrateur - Le paramétrage de base consiste à - Fournir un nom de machine spécifique - Intégrer la machine à un domaine ou un groupe de travail - Autoriser l’accès via le bureau à distance (ou pas) - Désactiver IPv6 si non utilisé - Paramétrer IPv4 - Paramétrer les mises à jour - Activer le produit # Démarrage Windows - Mise sous tension - Chargement du BIOS - Séquence POST - Chargement du MBR - Chargement du secteur de boot de la partition active - Chargement du fichier de démarrage BOOTMGR - Situé à la racine de la partition active - Chargement du BCD - Si plusieurs entrées, affichage du menu de démarrage - Lancement du chargeur WINLOAD.EXE - WINLOAD remplacé par WINRESUME si sortie de mise en veille - Charge en mémoire le noyau (NTOSKRNL.EXE) puis la HAL (HAL.DLL) - Charge en mémoire la ruche du registre (SYSTEM32\CONFIG\SYSTEM) puis les services et pilotes - Activation du fichier d’échange puis transmission du contrôle au noyau - Lancement du noyau NTOSKRNL.EXE - Le noyau et la HAL initialise HKLM\SYSTEM\CURRENTCONTROLSET - Ouverture de session - Winlogon.exe démarre - Démarrage du processus LSA (Local Security Authority, Lsass.exe) - Validation de l‘authentification de l’utilisateur (Kerberos v5 ou NTLM) ## BCD - charge le menu de démarrage et affiches les différents systèmes présent sur la machine - remplace boot.ini depuis Windows Vista - peut etre modifier avec bcdedit.exe - ne peut pas être lu directement car c'est un binaire # Configuration du système ## Outils de base - gestionnaire de serveur - Ajouter ou supprimer des rôles et des fonctionnalité - gérer les disques - gérer le pare-feu - Diagnostiquer le système - Gérer les comptes utilisateurs locaux - Gérer les périphériques - Planifier des tâches - Remote Server Administration Tools (RSAT) - Fonctionnalité de serveur - Outils d'administration de serveur distant - Remplaçant de l'ADMINPAK depuis Windows 7 - Administration à distance - Activer la fonctionnalité sur le serveur - Utilisation du protocole RDP 6.1 (Remote Desktop Protocol) - Invite de commandes CMD.EXE - Invite de commandes POWERSHELL.EXE ## Base de Registre - on y vas de moins en moins car beaucoup d'outils graphique pour changer les valeurs - Base de données contenant la majeure partie des paramètres de configuration d’un système Windows - HKEY_LOCAL_MACHINE (HKLM) – Configuration de la machine, du système et des applications. Uniquement modifiable par le système et les Administrateurs. - 6 clés : HARDWARE, SAM, SECURITY, SOFTWARE, SYSTEM, BCD - HKEY_USERS (HKU) - Chaque utilisateur y dispose d’une entrée où sont stockés ses paramètres personnels - HKEY_CURRENT_USER (HKCU) - Lien vers la sous-clé de l’utilisateur courant - HKEY_USER\<SID utilisateur courant> - HKEY_CLASSES_ROOT (HKCR) - Configuration des objets COM (ProgIDs, CLSIDset IIDs) et des associations de fichiers - Fusion de deux parties - HKEY_CURRENT_USER\SOFTWARE\Classes - HKEY_LOCAL_MACHINE\SOFTWARE\Classes