Windows et Active Directory - 2

--- title: Windows et Active Directory - 2 description: Fin du cours précedent + Installation du système, Démarrage du système Configuration du système Comptes locaux. author: Moemoea Fiérin tags: ACDA, moemoea.fierin --- # Summary [TOC] # Fin du cours précédent ## Modèle de sécurité ### Descripteur **DACL** = va precier quelles sont les autorisation positionner sur les object (qui peut faire quoi) **SACL** = décrit l'audit positioner sur l'object (qu'est ce que l'on audit concernant cette obj) *par ex:est ce qu'on audit les acces pour un groupe d'utilisateur ?* Elles sont toutes deux comprise qu'ACE (entree de controle d'acces) le type d'acl auquel on a a faire (ACE qui refuse/autorise des acces sur l'obj, est ce qu'on va etre sur une entree de controle d'acces lier a l'audit) **Ensuite on va avoir certaines proprités** - par ex concernant l'heritage des autorisations (sous windows on a des controles d'acces avec heritage). Si on a mis admin sur le dossier sur tous les fichiers et sur tout le dossiers tous les fichiers auront cette meme autorisation (on les appelles autorisation implicite) onpeut aussi faire des autorisations explicites sur les docs dans ce sous dossier. - est ce qu'on est sur un succes ou un eche - le SID auquel s'applique l'ACE (est ce que c'est un utilisateur, un membre de grp ?) - quelle est l'autorisation accorder à ce grp/cette personne **Liste des autorisations** - ++standard++ = on va les rencontrer sur tous les obj sur le système windows. - WRITE_OWNER : permet de changer le propriétaire de l’objet - READ_CONTROL : lire la DACL - WRITE_DAC : modifier la DACL - DELETE - SYNCHRONIZE - ++spécifique++ = on peut avoir la possibilité d'ecrire les attributs sur un fichier (avoir des autorisation de sous cles de registre). Ou encore sur un jeton modifier des droits sur ce jeton. Elles sont specifique a chaque type d'object - ++générique++: celle qu'on va manipuler donc lire, ecrire, executer :::info - SeTakeOwnershipPrivilege accorde l’autorisation WRITE_OWNER = ils ont l'autorisation d'ecrire le nouveau proprietaire - SeDebugPrivilege accorde toutes les autorisations sur les processus = a ne jamais donner a qui que ce soit. :warning: - SE-backupprivilegere = le droit de realiser des sauvegarde sur le sys (ca donne des autorisation au - de lecture sur tous les fichiers du sys, si je peux sauvagerder je peux evidemment lire, on a aussi un droit de restoration) ::: :::success Si un admin s'est coupé l'autorisation d'acceder a un fichier il peut: - s'approprier l'ownership d'un fichier (SeTakeOwnershipPrivilege) ::: # 1 - Installation du système ## Prérequis Configuration système minimum requise pour l’installation - Processeur : 1.4 GHz 64Bits - Mémoirevive:512Mo - Espace disque requis : 32 Go Quelques règles de base - Mot de passe pour accéder au Setup du BIOS - Pas de démarrage sur d'autre systeme - Serveur physiquement protégé ## Installation et paramétrage de base Installation très simple où les seuls choix sont: - Langue du système, format horaire et clavier - Édition Standard ou Datacenter complète ou Core - Upgrade ou nouvelle installation - Disque et partition d’installation - Mot de passe du compte Administrateur Le paramétrage de base consiste à: - Fournir un nom de machine spécifique. (Elle a un nom par défaut de base) - Intégrer la machine à un domaine ou un groupe de travail. Est ce qu'on veut quelle soit dans un domaine ou hors domaine - Autoriser l’accès via le bureau à distance (ou pas) - Désactiver IPv6 si non utilisé - Paramétrer IPv4 - Paramétrer les mises à jour. Mettre à jour pour la sécurité - Activer le produit # 2 - Démarrage du système ## Processus • Mise sous tension • Chargement du BIOS • Séquence POST • Chargement du MBR • Chargement du secteur de boot de la partition active • Chargement du fichier de démarrage BOOTMGR -Situé à la racine de la partition active • Chargement du BCD -Si plusieurs entrées, affichage du menu de démarrage :::info NBR = décrit la partition ensuite on recherche dans la partition active le secteur de boot. fichier bootmgr va permettre d'acceder a la table de demarage des sys des machine (appelle le BCD= Boot configuration database) si j'ai installer plusieur ssys sur ma machine il va me les afficher (equivalent de GRUB) ::: --- --- ## BCD Boot configuration database remplace un fichier boot.ini (ancien fichier) l'objectif c'est d'afficher le menu de demarrage ou encore les option de demarrage il est modifiable avec la commande "bcdinit" ce qui ets iportat pour le demarrage d'un sys c'est de pouvoir localiser le winload.exe par ce que c'est lui qui va demarrer le bail --- --- # 3 - Configuration du système ## Outils de base Le role ce sont des services: - le role DNS - le role DHCP - .... --- ## Base de registres = la Façon de parametrer un systeme On y va de - en - auj, car on a tout un tas d'outil aujourdhui qui vont permettre de faire la meme sans passer par la base de registre base de registre = une base de donnée contient une très grande majorité des paramètres les valeurs contiennent des données = c'ets la donnée qui fait que le comportement de l'utilisateur est celui qui est HKEY_LOCAL_MACHINE (HKLM) - Configurationdelamachine,dusystème et des applications. Uniquement modifiable par le système et les Administrateurs. - 6 clés : HARDWARE, SAM, SECURITY, SOFTWARE, SYSTEM, BCD HKEY_USERS (HKU) - Chaque utilisateur y dispose d’une entrée où sont stockés ses paramètres personnels HKEY_CURRENT_USER (HKCU) = ce n'est qu'un raccourcis vers la sous-clé de l’utilisateur courant HKEY_CLASSES_ROOT (HKCR) = raccouris vers 2 clés qui sont fusionné. Le fait qu'on lance word quand on double clic sur un word, c'est stoquer dans HKCR SAM= security manager HKEY_PERFORMANCE_DATA (HKPD) = on ne la vois pas elle permet de gerer les journaux et compteur de performance HKEY_CURRENT_CONFIG (HKCC) : raccourcis vers HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current --- HARDWARE – détection PnP de la configuration matérielle • SAM – base des comptes utilisateurs locaux • SECURITY – paramètres de la politique de sécurité locale, domaines approuvés, secret d’identification des comptes de service • SOFTWARE – paramètres de configuration du système et des logiciels • SYSTEM – paramètres de configuration du système • BCD00000000 – BootConfigurationDat --- ![](https://i.imgur.com/yTldVIv.png) ## Stratégies de groupe locales --- --- # 4 - Comptes locaux ## Base SAM Le compte invite c'est pour ceux qui n'ont pas de compte => on ne va pas s'en servir # TP net user toot /delete Quel paramètre permet à BUILTIN/administrateur de ne pas être touché par l’UAC ? - gpedit.msc - Parametre Windows - param de secu - strategies locales - option de securité - active controle de compte itolosateur mode approbation administrateur - activé