La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL.

Publié parAriane Bénard Modifié depuis plus de 7 années

Présentations similaires

Présentation au sujet: "Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL."— Transcription de la présentation:

1 Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL

2 Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

3 Sécurité Windows NT ● La sécurité Windows est basée sur : – la notion d'ACL (« Access Control List »), – la notion de droits des utilisateurs, – la sécurité réseau, – la sécurité applicative. ● Sa gestion n'est pas centralisée ● Elle est complexe et désactivée par défaut ● Limitée sur les versions « familiales »

4 Notion d'Access Control List ● Les groupes et les utilisateurs sont identifiés par des « Security Identifier » (SID) ● Les objets systèmes ont un « Security Descriptor » ● Le Security Descriptor contient : – le SID de l'utilisateur propriétaire et le SID du groupe, – des « Access Control List » (ACL), constituées d'« Access Control Entry ».

5 Notion d'Access Control List ● L'utilisateur reçoit un « Access Token » à la connexion ● Cet Access Token contient ses SIDs ● Les droits sont déterminés par contrôle des SIDs de l'Access Token par rapport aux ACLs ● En l'absence de Security Descripteur explicite, les droits sont dérivés de l'Access Token

6 Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

7 Définition des utilisateurs et des groupes ● Création d'un utilisateur : – « Panneau de configuration », – « Utilisateurs et mots de passe ». ● Gestion des groupes : – « Panneau de configuration », – « Outils d'administration », – « Gestion de l'ordinateur ».

8 Groupes d'utilisateurs

9 Exemple : Droits sur les fichiers

10 Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

11 Droits systèmes ● Les droits globaux sur les fonctions du système sont définis séparément ● Ils sont attribués aux utilisateurs directement ● Les droits requis sont rarement indiqués dans la documentation de l'API ● Modifiables dans : – « Outils d'administration », – « Stratégie de sécurité locale », – « Attribution des droits utilisateur ».

12 Droits systèmes

13 Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

14 Sécurité réseau ● Un pare-feu simplifié est fourni en standard ● Améliorations du service Pack 2 de XP – pare-feu plus complet, – limites sur les droits DCOM, – corrections de nombreuses failles. ● Les droits DCOM peuvent être fixés : – dans DCOMCnfg, – globalement, au niveau des serveurs ou au niveau des classes.

15 Mise en place d'un pare-feu ● Panneau de configuration ● Connexion réseau et accès à distance ● Propriétés du protocole Internet

16 Mise en place d'un pare-feu ● Paramètre avancés de TCP/IP ● Onglet « Options » ● Filtrage TCP/IP

17 Pare-feu XP ● Pare-feu XP SP1 amélioré ● Permet de filtrer les applications ● Plus souple, donc utilisable, donc plus fiable

18 Pare-feu XP

19 Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

20 Comptes d'exécution ● Un serveur COM peut être lancé : – dans un compte fixe, – dans le compte interactif, – dans le compte de l'utilisateur exécutant. ● Un même serveur peut être lancé plusieurs fois ● Les interface graphiques non interactives sont lancées dans des WindowStation cachées

21 Configuration des droits ● Les droits peuvent être : – définis globalement ou non, – pour l'exécution ou pour l'accès au serveur, – limités globalement sur le système (XP SP2). ● Configuration du pare-feu : – les protocoles TCP/IP et UDP/IP sont utilisables, – les communications sont multiplexées, – port 139 côté serveur, – port assigné dynamiquement côté client.

22 DCOMCNFG

23 Utilisateurs COM/DCOM ● Les utilisateurs particuliers sont : – le « système » (obligatoire), – l'utilisateur « interactif » (requiert une session ouverte), – l'utilisateur « anonyme » (utilisateur des systèmes distants authentifiés), – « tout le monde ». ● En dehors d'un domaine : – comptes avec mots de passe identiques et non vides, – les utilisateurs systèmes sont invités ou anonymes selon la stratégie de sécurité locale utilisée.

24 Plan ● Sécurité NT – Bases de la sécurité NT – Utilisateurs et groupes – Droits systèmes ● Sécurité réseau – Filtrage des ports – Sécurité DCOM ● Risques et solutions

25 Les risques ● Typologie du risque : – il est maximum (cible de choix, économiquement intéressant), – jusqu'à présent, la gravité était limitée, – elle va empirer. ● Les problèmes : – configuration non centralisée, – par défaut, la sécurité est faible (sauf 2003/XP SP2), – il y a un grand nombre de trous de sécurité, – les utilisateurs ne sont pas avertis.

26 Protection minimum ● Activer la sécurité sur les systèmes ● Mettre à jour les systèmes (SP2, patches) ● Filtrer les mails par antivirus ● Bloquer les ports par des pare-feu ● Sensibiliser les utilisateurs ● Séparer physiquement les réseaux sensibles ● Suivre l'actualité

27 Conclusion ● Le risque est majeur ● La gravité l'est également ● La sécurité ne doit pas être laissée au hasard ● Prise en compte dès la conception / avant-vente ● Elle est difficilement maîtrisable sur un réseau Windows ● Elle peut toutefois être contraignante ● Possibilité d'agir au niveau structure du SI

Télécharger ppt "Windows NT/2000/XP Enjeux et contraintes techniques Douzième partie La sécurité C. Casteyde Document diffusé sous licence GNU FDL."

Présentations similaires

Module 3 : Création d'un domaine Windows 2000

Module 3 : Création d'un domaine Windows 2000
AFPA CRETEIL 5-1 Windows NT Administration des utilisateurs Chapitre 5.

AFPA CRETEIL 5-1 Windows NT Administration des utilisateurs Chapitre 5.
Messagerie collaborative Mobilité et Fonctions avancées du Webmail.

Messagerie collaborative Mobilité et Fonctions avancées du Webmail.
Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia - 2012.

Travail réalisé par : Abdessamad BOUTGAYOUT Encadré par : Mr. Ahmed REBBANI LP SRI - ENSET Mohammedia
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.

Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Téléopérateur Langage: Français.
Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.

Projet tuteuré 2009 Les clients légers Alexandre Cédric Joël Benjamin.
Généralités sur les réseaux Généralités sur les réseaux informatiques.

Généralités sur les réseaux Généralités sur les réseaux informatiques.
Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.

Sécurité des systèmes d'information des EPLEFPA D. COLISSON DRTIC DRAAF/SRFD Rhône-Alpes Octobre 2010.
Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.

Version du document: 1.00 Version de logiciel v3.7.1 Version CBox: C5 Téléassistance Configuration Client Langage: Français.
Séminaire 22-23 Novembre 2006 Serveur pédagogique : Scribe.

Séminaire Novembre 2006 Serveur pédagogique : Scribe.
Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)

Présentation Scribe NG Serveur pédagogique École Numérique Rurale (Présentation 2009)
Cetiad - Sicep Mars 2010. Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.

Cetiad - Sicep Mars Généralités ➢ Organisation de l'assistance dans l'académie de Dijon ➢ Architecture réseau des établissements ➢ Présentation.
Séminaire 22-23 Novembre 2006. Outils de diagnostic réseau (O.D.R)

Séminaire Novembre Outils de diagnostic réseau (O.D.R)
Mon stage à SAVIE Guillaume DOTT Développement d'un logiciel de vidéoconférence Enjeux 3.

Mon stage à SAVIE Guillaume DOTT Développement d'un logiciel de vidéoconférence Enjeux 3.
Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.

Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.
● Pare-Feu ● Filtrage ● VPN ● Pare-Feu ● VPN ● Filtrage.

● Pare-Feu ● Filtrage ● VPN ● Pare-Feu ● VPN ● Filtrage.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.

1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.

Février 2006X. Belanger / Guilde Introduction à. Février 2006X. Belanger / Guilde Qu'est ce que Samba ? ● Implémentation libre du protocole CIFS/SMB (client.
Scribe Serveur pédagogique Séminaire octobre 2009.

Scribe Serveur pédagogique Séminaire octobre 2009.
Linux1 Utilisateurs et groupes. ● Le contrôle des utilisateurs et groupes est au coeur de l'administration de système de Linux. ● Utilisateurs : personnes.

Linux1 Utilisateurs et groupes. ● Le contrôle des utilisateurs et groupes est au coeur de l'administration de système de Linux. ● Utilisateurs : personnes.

Présentations similaires

Annonces Google