Académique Documents
Professionnel Documents
Culture Documents
03
Labs pratiques
Page 2
Cybersecurity Operations
Objectifs du module
Titre de Module: Le système d'exploitation Windows
Cybersecurity Operations
03
Présentation du
système d'exploitation
3.1 L'histoire de Windows
Windows
Page 4
Cybersecurity
Cybersecurity
Operations
Operations
Le système d'exploitation Windows
3.1.1 Disque du système d'exploitation
Résumé: Les premiers ordinateurs nécessitaient un système d'exploitation de disque (DOS) pour
créer et gérer des fichiers.
Cybersecurity Operations
Le système d'exploitation Windows
3.1.1 Disque du système d'exploitation (Suite)
• La première version de Windows, Windows 1.0 en 1985, se composait d'une interface utilisateur graphique
(GUI) exécutée sur MS-DOS.
• Dans les versions plus récentes de Windows, basées sur NT, le système d'exploitation lui-même contrôle
directement l'ordinateur et ses composants matériels.
• Une grande partie de ce que vous faisiez par l'intermédiaire de l'interface de ligne de commande MS-DOS peut
être réalisée aujourd'hui dans l'interface utilisateur graphique Windows.
• Pour savoir à quoi ressemblait MS-DOS, ouvrez une fenêtre de commande, tapez cmd dans Recherche
Windows et appuyez sur Entrée.
Résumé : Microsoft a développé MS-DOS comme interface de ligne de commande (CLI) pour
accéder au lecteur de disque et charger les fichiers du système d'exploitation.
Cybersecurity Operations
Le système d'exploitation Windows
3.1.1 Disque du système d'exploitation (Suite)
Le tableau suivant répertorie certaines des commandes de MS-DOS :
Commande MS-DOS Description
dir Affiche une liste de tous les fichiers dans le répertoire (dossier) actuel
cd Change le répertoire dans le répertoire indiqué
cd .. Change le répertoire au répertoire situé au-dessus du répertoire actuel
cd \ Change le répertoire au répertoire racine (en règle générale, C:)
copy source destination Copie les fichiers d'un emplacement à un autre.
del filename Supprime un ou plusieurs fichiers.
find Rechercher du texte dans des fichiers
Répertoire mkdir Crée un nouveau répertoire.
Ren nom_anciennewname Permet de renommer un fichier
Aide Affiche toutes les commandes pouvant être utilisées, avec une brève description
Commande help Affiche l'aide détaillée de la commande indiquée
Cybersecurity Operations
Le système d'exploitation Windows
3.1.2 Versions de Windows
• Depuis 1993, plus de 20 versions de Windows basées sur le système d'exploitation NT ont vu le jour.
• car de nombreuses éditions ont été spécifiquement créées pour les postes de travail, les serveurs
professionnels, les serveurs avancés et les serveurs de datacenters, pour n'en citer que quelques-uns.
• Le système d'exploitation 64 bits propose une architecture totalement nouvelle, avec un espace
d'adressage de 64 bits (8 téraoctets) au lieu de 32 bits (4 giga-octets).
• En général, les ordinateurs et les systèmes d'exploitation 64 bits sont rétrocompatibles avec les anciens
programmes 32 bits ; en revanche, il est impossible d'exécuter des programmes 64 bits sur un
ordinateur 32 bits.
Windows Server 2016 Essentials, Standard, Datacenter, Premium Multipoint Server, Storage Server, Hyper-V Server
Cybersecurity Operations
Le système d'exploitation Windows
3.1.3 Interface utilisateur de Windows
• Windows propose une interface utilisateur graphique pour permettre aux utilisateurs d'exploiter
le logiciel et les fichiers de données.
Cybersecurity Operations
Le système d'exploitation Windows
3.1.4 Vulnérabilités du système d'exploitation
• Les systèmes d'exploitation sont constitués de millions de lignes de code. Tout ce code
augmente la vulnérabilité des systèmes.
• Le hacker doit utiliser une technique ou un outil pour exploiter une vulnérabilité du système
d'exploitation.
• Le hacker peut ensuite utiliser cette vulnérabilité pour détourner l'usage initialement prévu
de l'ordinateur.
• En règle générale, son objectif est de contrôler l'ordinateur, de modifier les autorisations
ou de manipuler des données.
Résumé : Une vulnérabilité est une faille ou une faiblesse dont peut profiter un hacker
pour réduire la viabilité des informations d'un ordinateur.
Cybersecurity Operations
Le système d'exploitation Windows
3.1.4 Vulnérabilités du système d'exploitation (Suite)
Voici quelques recommandations de sécurité relatives au système d'exploitation Windows:
Recommandation Description
1ere règle de sécurité •Windows Defender offre une protection intégrés au système pour éviter que
Protection contre les virus
antivirus ou les logiciels
le système devient plus vulnérable aux attaques et aux logiciels
malveillants. malveillants.
2e règle de sécurité •Il est important de s'assurer que chaque service exécuté en arrière plan est
Les services inconnus ou non identifiable et sécurisé. Un service inconnu rend l’ordinateur vulnérable aux
gérés. attaques.
3e règle de sécurité •Il est donc important de les chiffrer sur les ordinateurs de bureau, mais
Chiffrement surtout sur les terminaux mobiles.
4e règle de sécurité •Une politique de sécurité adéquate doit être configurée et suivie pour
Stratégie de sécurité empêcher les attaques.
Résumé : pour lutter contre les vulnérabilités sur votre ordinateur: Activer Windows Defender , surveiller les
services inconnus, chiffrer vos données, définir une politique de sécurité
Cybersecurity Operations
Le système d'exploitation Windows
3.1.4 Vulnérabilités du système d'exploitation (Suite)
Recommandation Description
Résumé : pour lutter contre les vulnérabilités sur votre ordinateur: vérifier les règles de pare-feu,
configurer les autorisations, utiliser un mot de passe fort, travailler avec un compte standard.
Cybersecurity Operations
03
Page 14
Cybersecurity
Cybersecurity
Operations
Operations
Architecture et fonctionnement de Windows
3.2.1 Couche HAL (Hardware Abstraction Layer)
• Une couche d'abstraction du matériel est
un logiciel qui gère l'ensemble des
communications entre le matériel et le
noyau.
• Le noyau est le cœur du système
d'exploitation et contrôle tout l'ordinateur.
Résumé : Windows comporte une couche d'abstraction (HAL) du matériel est un code qui gère l'ensemble
des communications entre le matériel et le noyau.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.2 Mode utilisateur et mode noyau
• Le CPU peut fonctionner dans deux modes différents
si Windows est installé, le mode utilisateur et le
mode noyau.
Résumé :
Windows fonctionne en deux modes différents, le mode utilisateur et le mode noyau. La plupart des programmes
dans Windows s'exécutent en mode utilisateur.
Le mode noyau permet au code du système d'exploitation d'accéder directement au matériel informatique
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.3 Systèmes de fichiers Windows
Un système de fichiers détermine la méthode d'organisation des informations sur les supports de stockage.
Les systèmes de fichiers suivants sont pris en charge par Windows:
Systèmes de fichiers
Description
Windows
•Ce système de fichiers simple est pris en charge par de nombreux systèmes
d'exploitation.
exFAT
•Les tables FAT16 et FAT32 sont disponibles, FAT32 étant la plus commune, car elle
présente moins de restrictions que la table FAT16.
Hierarchical File •Ce système de fichiers est utilisé sur les ordinateurs MAC OS X permet de gérer des
System Plus (HFS+) noms de fichiers, des tailles de fichier et des tailles de partition.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.3 Systèmes de fichiers Windows (Suite)
Systèmes de
Description
fichiers Windows
NTFS (New
•Ce système de fichiers est le plus fréquemment utilisé lors de l'installation de
Technology File
Windows. Toutes les versions de Windows et Linux prennent en charge NTFS.
System)
Résumé : Windows fonctionne avec les systèmes de fichiers: exFAT (ancien), NTFS (nouveau), Linux
(EXT), les MAC Os (HFS+)
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.3 Systèmes de fichiers Windows (Suite)
Le formatage NTFS crée d'importantes structures sur le disque pour le stockage des fichiers ainsi que des
tables pour l'enregistrement des emplacements de fichiers :
• Secteur de démarrage de la partition: Il s'agit des 16 premiers secteurs du disque. Ce secteur
contient l'emplacement de la table de fichier maître (MFT). Les 16 derniers secteurs contiennent une
copie du secteur de démarrage.
• Master File Table (MFT): ce tableau contient les emplacements de tous les fichiers et répertoires sur
la partition, notamment les attributs de fichiers tels que les informations de sécurité et les
horodatages.
• Fichiers système: Ces fichiers cachés stockent des informations sur d'autres volumes et attributs de
fichier.
• Zone de fichiers - Il s'agit de la zone principale de la partition où sont stockés les fichiers et les
répertoires.
Remarque: Lors du formatage d'une partition, vous pouvez récupérer les données précédentes, car les
données ne sont pas toutes définitivement supprimées. Il est recommandé d'effectuer une analyse sécurisée
sur un lecteur réutilisé. L'analyse sécurisée écrit plusieurs fois les données sur la totalité du disque pour
s'assurer qu'il ne reste aucune donnée.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.4 Flux de données alternatifs
Les données du fichier sont stockées dans l'attribut $DATA et sont
connues comme étant un flux de données.
L'utilisation de NTFS vous permet de connecter des flux de données
alternatifs au fichier.
Un hacker peut stocker un programme malveillant dans un flux de
données alternatif pour ensuite l'appeler depuis un autre fichier.
Ce nom de fichier indique qu'un flux de données alternatif appelé ADS
est associé au fichier Testfile.txt.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.5 Processus de démarrage de Windows
Résumé : lorsque le BIOS ou UEFI localise le SE, il exécute le Bootmgr.exe, qui lit le BCD, si l’ordinateur était en
veille, le Winresume.exe sera exécutée , sinon le Winload.exe sera exécutée et en fin le Ntoskrnl.exe.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.6 Démarrage de Windows
• Deux éléments de registre importants permettent de démarrer automatiquement les applications et les
services :
• • HKEY_LOCAL_MACHINE : plusieurs aspects de la configuration Windows sont stockés dans cette
clé, notamment les informations sur les services lancés à chaque démarrage.
• • HKEY_CURRENT_USER : plusieurs aspects liés à l'utilisateur connecté sont stockés dans cette
clé, notamment les informations sur les services qui démarrent uniquement lorsque l'utilisateur se
connecte à l'ordinateur.
• Le démarrage des applications se sont en fonction de leur type. Parmi ces types, on compte Run, RunOnce,
RunServices, RunServicesOnce et Userinit.
• Vous pouvez saisir ces entrées manuellement dans le registre, mais il est beaucoup plus sûr d'utiliser l'outil
Msconfig.exe.
Résumé : Windows stocke toutes les informations relatives aux paramètres du matériel, des applications, des
utilisateurs et du système dans une grande base de données appelée le Registre
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.6 Démarrage de Windows (Suite)
Généralités
Résumé : les services sont des programmes qui s'exécutent en arrière-plan . Outil : Services
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.9 Allocation de mémoire et handles
L'adresse virtuelle ne correspond pas à l'emplacement physique réel dans la mémoire, mais à une entrée dans une
table de pagination utilisée pour traduire l'adresse virtuelle en adresse physique.
Chaque processus d'un ordinateur Windows 32 bits prend en charge un espace d'adressage virtuel de 4 gigaoctets
maximum.
Chaque processus d'un ordinateur Windows 64 bits prend en charge un espace d'adressage virtuel de
8 téraoctets.
Chaque processus de l'espace utilisateur s'exécute dans un espace d'adressage privé, séparé des autres processus
de l'espace utilisateur.
Lorsque le processus de l'espace utilisateur doit accéder aux ressources du noyau, il doit utiliser un handle de
processus.
Résumé :
L’allocation virtuelle réservée a un processus d'un ordinateur Windows 32 bits est de 4 gigaoctets
maximum. Alors que sur chaque processus d'un ordinateur Windows 64 bits est de 8 téraoctets.
Un "handle" est un mode d'adressage des fichiers au DOS ou à windows.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.9 Allocation de mémoire et handles (Suite)
Résumé : Un outil puissant pour afficher l'allocation de mémoire est RamMap, qui est illustré dans la figure.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.10 Registre Windows
• Le registre est une base de données hiérarchique dont le niveau le plus élevé est appelé « ruche », et
dont les niveaux inférieurs sont appelés clés ou sous-clés, respectivement.
• Les valeur stockent les données et les enregistrent dans les clés et les sous-clés. La clé de registre peut
comporter jusqu'à 512 niveaux.
• Le tableau répertorie les cinq ruches du registre Windows.
Ruche du registre Description
HKEY_CURRENT_USER (HKCU) Contient des informations sur l'utilisateur actuellement connecté.
HKEY_USERS (HKU) Contient des informations sur les comptes d'utilisateur sur l'hôte.
Cybersecurity Operations
Architecture et fonctionnement de Windows
3.2.10 Registre Windows (Suite)
Résumé : Il est impossible de créer de nouvelles ruches. En revanche, il est possible de créer, modifier ou
supprimer des clés et des valeurs de registre dans les ruches en utilisant l'outil regedit.exe
Cybersecurity Operations
03
Présentation du
3.3 Configuration et surveillance
système d'exploitation
Windows de Windows
Page 31
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.1 Exécution en tant qu'administrateur
Résumé : Pour des raisons de sécurité, il est déconseillé de se connecter à Windows avec le
compte d'administrateur ou un compte disposant de privilèges d'administrateur.
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.2 Utilisateurs locaux et domaines
• Lorsque vous démarrez un nouvel ordinateur pour la première fois ou que vous installez Windows, vous
devrez créer un compte utilisateur appelé « utilisateur local ».
• Pour faciliter l'administration des utilisateurs, Windows utilise des groupes. Un groupe possède un nom et
dispose d'un ensemble d'autorisations spécifiques.
• Lorsqu'un utilisateur est placé dans un groupe, les autorisations de ce groupe sont accordées à
cet utilisateur.
• Un utilisateur peut appartenir à plusieurs groupes afin de disposer de diverses autorisations. Lorsque les
autorisations se répètent, certaines d'entre elles, telles que « refuser explicitement », remplacent
l'autorisation accordée par un groupe différent.
Lab 3.3.10 travaux pratiques –
Création de comptes d'utilisateur
Résumé :
Pour faciliter l'administration des utilisateurs, Windows utilise des groupes.
Les utilisateurs et les groupes locaux sont gérés à l'aide de l'applet lusrmgr.msc du panneau de
configuration.
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.3 Interface de ligne de commande et PowerShell
• Un autre environnement, appelé Windows PowerShell, permet de créer des scripts d'automatisation des
tâches que l'interface de ligne de commande standard ne peut pas créer.
• PowerShell peut exécuter les types de commandes suivants :
• Applets de commande : ces commandes exécutent une action et renvoient un résultat ou un objet à la
commande à exécuter suivante.
• Scripts PowerShell - ces fichiers portant l'extension .ps1 contiennent les commandes PowerShell qui sont
exécutées.
• Fonctions PowerShell - il s'agit d'extraits de code pouvant être référencés dans un script.
Résumé : L’interface de ligne d commande PowerShell, permet de créer des scripts d'automatisation des
tâches que l'interface de ligne de commande standard ne peut pas créer.
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.4 WMI
Résumé :
Windows Management Instrumentation (WMI) est utilisé pour gérer les ordinateurs distants.
Procédure : Panneau de configuration> Outils d'administration > Gestion de l'ordinateur> Services et
applications
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.5 La commande net
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.5 La commande net (Suite)
Le tableau suivant répertorie certaines commandes réseau courantes :
Commande Description
net accounts Définit les exigences de mot de passe et de connexion pour les utilisateurs
Répertorie ou déconnecte les sessions entre un ordinateur et d'autres ordinateurs sur
net session
le réseau
net share Crée, supprime ou gère des ressources partagées
net start Démarre un service réseau ou répertorie les services réseau en cours d'exécution
net stop Arrête un service réseau
Se connecte, se déconnecte et affiche des informations sur les ressources réseau
net use
partagées
net view Affiche une liste des ordinateurs et des appareils sur le réseau
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.6 Le gestionnaire des tâches et le moniteur de ressources
L'administrateur dispose de deux outils très utiles qui l'aident à comprendre les divers services,
applications et processus qui s'exécutent sur un ordinateur Windows.
Résumé :
Le gestionnaire des tâches fournit de
nombreuses informations sur tout ce qui est en
cours d'exécution et sur les performances
générales de l'ordinateur.
Le moniteur de ressources fournit des
informations plus détaillées sur l'utilisation des
ressources
3.3.13 Travaux pratiques– Contrôler et gérer les ressources système sous Windows
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.7 Mise en réseau
Centre Réseau et partage
• Il est utilisé pour vérifier ou créer des
connexions réseau, configurer le partage
réseau et modifier les paramètres de la
carte réseau.
• L'affichage initial présente un aperçu du
réseau actif.
• Dans cette fenêtre, vous pouvez afficher le
groupe résidentiel auquel l'ordinateur
appartient ou en créer un. Notez que
HomeGroup a été supprimé de
Windows 10 dans la version 1803. 3.3.13 Travaux pratiques– Contrôler et gérer les
ressources système sous Windows
Résumé: Le centre Réseau et partage permet de configurer et de tester les propriétés du réseau Windows.
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.7 Mise en réseau (Suite)
nslookup et netstat
• Utilisez la commande nslookup pour tester le DNS.
• Tapez nslookup cisco.com à l'invite de
commande pour trouver l'adresse du serveur
web Cisco. Si l'adresse est renvoyée, le DNS
fonctionne correctement.
• Tapez netstat à l'invite de commande pour
afficher les détails des connexions réseau
actives.
3.3.13 Travaux pratiques– Contrôler et gérer
les ressources système sous Windows
Résumé : La commande Netstat de Windows affiche tous les ports de communication ouverts sur un
ordinateur et peut également afficher les processus logiciels associés aux ports
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.8 Accès aux ressources réseau
• Le format UNC (Universal Naming Convention) vous permet de vous connecter aux ressources par
exemple \\servername\sharename\file.
• Dans UNC, servername correspond au serveur qui héberge la ressource. sharename correspond à la
racine du dossier dans le système de fichiers sur l'hôte distant, tandis que file correspond à la ressource
que recherche l'hôte local.
• Lors du partage de ressources sur le réseau, la zone du système de fichiers partagée doit être identifiée.
Le contrôle d'accès peut être appliqué aux dossiers et aux fichiers pour limiter les utilisateurs et les
groupes à des fonctions spécifiques telles que la lecture, l'écriture ou le refus.
• Certains partages spéciaux sont automatiquement créés par Windows. Un partage administratif est identifié
par le signe dollar ($), situé après le nom du partage.
Résumé : Le protocole SMB (Server Message Block) est utilisé pour partager des ressources réseau
et accéder à des fichiers sur des hôtes distants.
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.8 Accès aux ressources réseau (Suite)
Résumé:
le protocole RDP (Remote Desktop Protocol) est
conçu pour permettre aux utilisateurs distants de
contrôler des hôtes individuels,
RDP constitue une cible naturelle pour les acteurs
de menace.
Cybersecurity Operations
Configuration et surveillance de Windows
3.3.9 Windows Server
• Windows Server, une autre édition de Windows, est principalement utilisé dans les data
centers. Cette famille de produits Microsoft commence à partir de Windows Server 2003.
• Windows Server, qui héberge de nombreux services, est utilisé à différentes fins dans une
entreprise.
• Voici quelques-uns des services que Windows Server fournit:
• Services réseau: DNS, DHCP, Terminal Services, contrôleur de réseau et virtualisation
de réseau Hyper-V
• Services de fichiers: SMB, NFS, et DFS
• Services web: FTP, HTTP, et HTTPS
• Gestion: Politique de groupe et contrôle des services de domaine Active Directory
Remarque: Bien qu'il existe Windows Server 2000, elle est considérée comme une version cliente de
Windows NT 5.0. Basé sur NT 5.2, Windows Server 2003 est la première édition d'une nouvelle famille de
versions de Windows Server.
Cybersecurity Operations
Configuration de Windows et la surveillance
3.3.10 travaux pratiques – Création de comptes d'utilisateur
Présentation du
système d'exploitation
3.4 La sécurité Windows
Windows
Page 46
Cybersecurity Operations
Sécurité de Windows
3.4.1 La commande netstat
Résumé :
La commande Netstat de Windows affiche tous les ports de communication ouverts sur un ordinateur
et peut également afficher les processus logiciels associés aux ports.
Utiliser le Gestionnaire des tâches pour vérifier les processus affichés avec netstat
Cybersecurity Operations
Sécurité de Windows
3.4.2 Observateur d'événements
Résumé : Il est très important de garder Windows à jour pour se prémunir contre les nouvelles menaces
de sécurité. Windows doit être configuré pour télécharger et installer automatiquement les mises à jour à
mesure qu'elles deviennent disponibles
Cybersecurity Operations
Sécurité Windows
3.4.4 Politique de sécurité locale
Résumé: Une politique de sécurité est un ensemble d'objectifs qui assurent la sécurité d'un réseau,
des données et des systèmes informatiques d'une entreprise.
Cybersecurity Operations
Sécurité Windows
3.4.5 Windows Defender
• Il est important de protéger les ordinateurs et les terminaux mobiles à l'aide d'un logiciel antimalware renommé. Voici
les types de logiciels existants :
• Protection antivirus - Ce programme recherche continuellement la présence de virus.. Lorsqu'un virus est détecté,
l'utilisateur reçoit une notification et le programme tente de mettre le virus en quarantaine ou de le supprimer
• Protection contre les logiciels de publicité - ce programme recherche continuellement les programmes qui
affichent des publicités sur votre ordinateur.
• Protection contre l'hameçonnage: Ce programme bloque les adresses IP des sites Web d'hameçonnage connus et
signale les sites suspects à l'utilisateur.
• Protection contre les logiciels espions: Ce programme recherche les enregistreurs de frappe et autres logiciels
espions.
• Sources approuvées/non approuvées: cet utilitaire identifie les programmes non sécurisés avant leur installation ou
les sites Internet non sécurisés avant toute consultation.
Résumé: sur le marché, on trouve : 1.Bitdefender Total Security, 2. Norton 360 Premium,
3. Avast One, 4. F-Secure TOTAL, 5. Kaspersky Total Security. ……sur Windows (Windows
Defender)
Cybersecurity Operations
Sécurité de Windows
3.4.6 Pare-feu Windows
Cybersecurity Operations
03
Page 53
Cybersecurity Operations
Le résumé du système d'exploitation Windows
Qu'est-ce que j'ai appris dans ce module ?
1. Les premiers ordinateurs nécessitaient un système d'exploitation de disque (DOS) pour créer et gérer
des fichiers.
2. Microsoft a développé MS-DOS comme interface de ligne de commande (CLI) pour accéder au lecteur
de disque et charger les fichiers du système d'exploitation. Les premières versions de Windows se
composaient d'une interface utilisateur graphique (GUI) exécutée sur MS-DOS
3. Windows comporte une couche d'abstraction du matériel est un code qui gère l'ensemble des
communications entre le matériel et le noyau.
4. Windows fonctionne en deux modes différents, le mode utilisateur et le mode noyau. La plupart des
programmes dans Windows s'exécutent en mode utilisateur. Le mode noyau permet au code du système
d'exploitation d'accéder directement au matériel informatique.
5. Pour fonctionner, un ordinateur stocke des instructions dans la mémoire RAM en vue de leur traitement
par le processeur.
6. Chaque processus d'un ordinateur Windows 32 bits prend en charge un espace d'adressage virtuel
jusqu'à quatre gigaoctets. Chaque processus d'un ordinateur Windows 64 bits prend en charge un
espace d'adressage virtuel jusqu'à huit téraoctets.
Cybersecurity Operations
Récapitulation de système d'exploitation Windows
Qu'est ce que j'ai appris dans ce Module? (suite)
7. Windows stocke toutes les informations relatives aux paramètres du matériel, des applications, des
utilisateurs et du système dans une grande base de données appelée le Registre.
8. Le registre est une base de données hiérarchique dont le niveau le plus élevé est appelé « ruche », et dont
les niveaux inférieurs sont appelés clés ou sous-clés, respectivement.
9. Il existe cinq ruches de Registre qui contiennent des données concernant la configuration et le
fonctionnement de Windows. Il y a des centaines de clés et de sous-clés.
10. Pour des raisons de sécurité, il est déconseillé de se connecter à Windows avec le compte
d'administrateur ou un compte disposant de privilèges d'administrateur.
11. Pour faciliter l'administration des utilisateurs, Windows utilise des groupes. Les utilisateurs et les groupes
locaux sont gérés à l'aide de l'applet lusrmgr.msc du panneau de configuration.
12. Vous pouvez utiliser l'interface de ligne de commande ou Windows PowerShell pour exécuter des
commandes. PowerShell, permet de créer des scripts d'automatisation des tâches que l'interface de ligne de
commande standard ne peut pas créer.
13. Windows Management Instrumentation (WMI) est utilisé pour gérer les ordinateurs distants.
Cybersecurity Operations
Récapitulation de système d'exploitation Windows
Qu'est ce que j'ai appris dans ce Module? (suite)
14. La commande net prend en charge plusieurs autres commandes qui suivent la commande et peut être
combinée avec des options pour obtenir un résultat spécifique.
15. Le gestionnaire des tâches fournit de nombreuses informations sur tout ce qui est en cours d'exécution et
sur les performances générales de l'ordinateur. Le moniteur de ressources fournit des informations plus
détaillées sur l'utilisation des ressources.
16. Le protocole SMB (Server Message Block) est utilisé pour partager des ressources réseau.
17. La commande Netstat de Windows affiche tous les ports de communication ouverts sur un ordinateur et
peut également afficher les processus logiciels associés aux ports.
18. L’observateur d'événements Windows permet d'accéder à de nombreux événements consignés
concernant le fonctionnement d'un ordinateur.
19. Il est très important de garder Windows à jour pour se prémunir contre les nouvelles menaces de
sécurité.
20. Windows doit être configuré pour télécharger et installer automatiquement les mises à jour à mesure
qu'elles deviennent disponibles.
Cybersecurity Operations
SYSTÈME
D’EXPLOITATION
01 02
03
Labs pratiques
Page 57
Cybersecurity Operations
Objectifs du module
Titre du module: Présentation de Linux
Page 59
Cybersecurity Operations
Présentation de Linux
4.1.1 Qu'est-ce que Linux?
On parle de distribution Linux pour décrire les paquets créés par
différentes organisations et inclure le noyau Linux avec des outils et
des paquets logiciels personnalisés
• Résumé : Linux est un système d'exploitation open source rapide, fiable et petit.
Cybersecurity Operations
Présentation de Linux
4.1.2 La valeur de Linux
Linux est souvent le système d'exploitation de choix dans le centre de sécurité (SOC). Voici quelques-unes des
raisons de choisir Linux :
Linux est Open Source - Toute personne peut acquérir Linux sans frais et le modifier pour l'adapter à des besoins
spécifiques.
L'interface de ligne de commande (CLI) de Linux est extrêmement puissante- L'interface de ligne de commande
(CLI) de Linux est extrêmement puissante et permet aux analystes d'effectuer leurs tâches non seulement
directement sur un terminal, mais aussi à distance.
L'utilisateur contrôle mieux le système d'exploitation : l'utilisateur administrateur sous Linux, appelé utilisateur
root (racine) ou super utilisateur, a un pouvoir absolu sur l'ordinateur.
Elle permet un meilleur contrôle de la communication réseau - le contrôle est un élément inhérent de Linux.
Résumé : Linux est un système d'exploitation de choix dans le centre de sécurité (SOC). Parce qu’il est Open
Source (sans frais, modifiable en fonction des besoins), vous offre une interface CLI puissante pour contrôler,
effectuer les tacher comme vous le souhaiter.
Cybersecurity Operations
Présentation de Linux
•Résumé : Security Onion est une suite open source d'outils (Sguil) qui fonctionnent ensemble pour l'analyse
de la sécurité du réseau. Un analyste en cybersécurité doit travailler avec Sguil.
Cybersecurity Operations
Vue d'ensemble
4.1.4 Linux Outils Linux
Page 64
Cybersecurity Operations
Utilisation du Shell Linux
4.2.1 Le shell Linux
Résumé: Sous Linux, l'utilisateur communique avec le système d'exploitation à l'aide de l'interface CLI ou de
l'interface graphique. Dans Linux, Terminator, eterm, xterm, konsole, et gnome-terminal sont des émulateurs de
terminaux répandus.
Cybersecurity Operations
Utilisation du Shell Linux
4.2.2 Commandes de base
• Les commandes Linux sont des programmes créés pour exécuter une tâche spécifique.
• Du fait que les commandes sont des programmes stockés sur le disque, lorsque l'utilisateur saisit une
commande, le shell doit la trouver sur le disque avant de pouvoir l'exécuter.
• Le tableau répertorie une liste de commandes Linux de base et leurs fonctions.
Commande Description
mv Déplace les fichiers ou les répertoires.
chmod Modifie les autorisations du fichier
4.2.7 Travaux
chown Change le propriétaire d'un fichier pratiques – Se
dd Copie les données de l'entrée vers le résultat. familiariser avec
le shell Linux
pwd Affiche le nom du répertoire actif
ps Affiche les processus en cours sur le système.
Simule une session avec un autre utilisateur ou permet de
su
devenir un super-utilisateur.
Cybersecurity Operations
Utilisation du Shell Linux
4.2.2 Commandes de base 4.2.7 Travaux pratiques – Se
familiariser avec le shell Linux
Commande Description
sudo Exécute une commande en tant que super-utilisateur, par défaut, ou un autre utilisateur nommé.
Permet de rechercher les chaînes ou les caractères spécifiés dans un fichier ou dans la sortie
grep
d'autres commandes.
ifconfig Permet d'afficher ou de configurer les informations concernant la carte réseau.
apt-get Utilisée pour installer, configurer et supprimer des paquets sur Debian et ses dérivés.
iwconfig Permet d'afficher ou de configurer les informations concernant la carte réseau sans fil.
Arrête le système. Vous pouvez demander à shutdown d'effectuer un certain nombre de tâches
shutdown associées à l'arrêt, notamment le redémarrage, la suspension, la mise en veille ou le rejet de tous
les utilisateurs connectés.
passwd Permet de modifier le mot de passe.
Permet de répertorier le contenu d'un fichier ; attend comme paramètre le nom du fichier en
cat
question.
man Permet d'afficher la documentation d'une commande spécifique.
Cybersecurity Operations
Utilisation du Shell Linux
4.2.3 Commandes de fichiers et de répertoires
De nombreux outils de ligne de commande sont inclus par défaut dans Linux. Le tableau répertorie
quelques-unes des commandes les plus courantes liées aux fichiers et aux répertoires.
Commande Description
Is Affiche les fichiers d'un répertoire.
cd Change de répertoire actif.
mkdir Crée un répertoire dans le répertoire actif.
4.2.7 Travaux
cp Copie les fichiers de la source vers la destination. pratiques – Se
familiariser avec
mv Déplace le fichier dans un autre dossier.
le shell Linux
rm Supprime les fichiers.
Recherche les chaînes ou les caractères spécifiés dans un fichier ou dans le
grep
résultat d'autres commandes
Répertorie le contenu d'un fichier et attend le nom de fichier en tant que
cat
paramètre.
Cybersecurity Operations
Utilisation du shell Linux
4.2.4 Utiliser des fichiers texte dans l'interface (CLI)
Cybersecurity Operations
Utilisation du shell Linux
4.2.5 L'importance des fichiers texte dans Linux
Résumé : Sous Linux, tous les éléments sont traités comme des fichiers. Cela inclut la mémoire, les
disques, le moniteur et les répertoires.
Cybersecurity Operations
Utilisation du Shell Linux
4.2.6 Travaux pratiques – Utiliser des fichiers texte dans
l'interface de ligne de commande (CLI)
Cybersecurity Operations
02
Page 72
Cybersecurity Operations
Serveurs et clients Linux
4.3.1 Présentation des communications client-serveur
Résumé : Les serveurs sont des ordinateurs sur lesquels est installé un logiciel qui leur permet
d'offrir des services aux clients à travers le réseau.
Cybersecurity Operations
Serveurs et clients Linux
4.3.2 Serveurs, services et ports
Résumé: Un port est une ressource réseau réservée utilisée par un service. Par exemple, 80
est une ressource réservée sur le serveur pour offrir un service web (HTTP) a un client.
Cybersecurity Operations
Serveurs et clients Linux
4.3.2 Serveurs, services et ports
Port Description
Cybersecurity Operations
Serveurs, services et ports
4.3.3 Clients
La figure montre un client en train de charger des fichiers 4.3.4 Travaux pratiques – Serveurs Linux
sur un serveur.
Résumé : Les clients sont les programmes ou des applications conçus pour communiquer
avec un serveur spécifique.
Cybersecurity Operations
Serveurs et clients Linux
4.3.4 Travaux pratiques – Serveurs Linux
Cybersecurity Operations
02
Page 78
Cybersecurity Operations
Administration de base du serveur
4.4.1 Fichiers de configuration de service
La sortie de commande
suivante présente le fichier de
configuration pour le
protocole NTP (Network Time
Protocol)
Cybersecurity Operations
Administration de base du serveur
4.4.1 Fichiers de configuration de service (Suite)
Cybersecurity Operations
Administration de base du serveur
4.4.2 Renforcement de la sécurité des appareils
Voici les meilleures pratiques de base pour renforcer la sécurité des appareils
Assurer la sécurité physique
Réduire le nombre de packages installés
Désactiver les services inutilisés
Utiliser SSH et désactiver l'identifiant du compte racine (root) via SSH
Mettre le système à jour régulièrement
Désactiver la détection automatique USB
Imposer l'utilisation de mots de passe forts
Modifier régulièrement les mots de passe
• Sous Linux, les fichiers journaux peuvent être classés de la façon suivante :
• Journaux d'applications
• Journaux système
• Certains journaux contiennent des informations sur les processus démons (daemon) qui s'exécutent dans
le système Linux. Un démon est un processus d'arrière-plan qui s'exécute automatiquement.
Résumé: Les fichiers journaux sont des enregistrements qu'un ordinateur stocke pour garder une trace
des événements importants. Les événements du noyau, des services et des applications sont tous
enregistrés dans des fichiers journaux.
Cybersecurity Operations
Administration de serveur de base
4.4.3 Surveillance des journaux de service (Suite)
Le tableau répertorie quelques fichiers journaux Linux courants et leurs fonctions:
Cybersecurity Operations
Administration de serveur de base
4.4.3 Surveillance des journaux de service (Suite)
Cybersecurity Operations
Administration de serveur de base
4.4.4 Travaux pratiques – Localiser les fichiers journaux
Au cours de ces travaux pratiques, vous allez vous familiariser avec la localisation et
la manipulation de fichiers journaux Linux.
Cybersecurity Operations
02
Page 87
Cybersecurity Operations
Le système de fichiers Linux
4.5.1 Les types de systèmes de fichiers sous Linux
• Le tableau répertorie quelques types de systèmes de fichiers couramment disponibles et pris en
charge par Linux.
Le système de fichiers
Description
Linux
ext2 (deuxième système • ext2 était le système de fichier par défaut de plusieurs grandes distributions de
de fichiers étendu) Linux jusqu'à ce qu'il soit supplanté par ext3.
Résumé :
Linux prend en charge un certain nombre de systèmes de fichiers différents qui varient en fonction de la
vitesse, de la flexibilité, de la sécurité, de la taille, de la structure, de la logique, etc.
Certains des systèmes de fichiers pris en charge par Linux sont ext2, ext3, ext4, NFS et CDFS.
4.5.4 Travaux pratiques – Parcourir le système de fichiers Linux et les paramètres d'autorisation
Cybersecurity Operations
Le système de fichiers Linux
4.5.1 Les types de systèmes de fichiers sous Linux (Suite)
Le système de fichiers Linux Description
• Le journal, la principale fonctionnalité ajoutée à ext3, est une technique utilisée pour
ext3 (troisième système de minimiser le risque de corruption des fichiers système en cas de panne d'alimentation
fichiers étendu) soudaine. En cas de panne, le journal peut servir à restaurer ou à corriger les problèmes
éventuels créés par la panne.
• Le projet d'ext3 a été divisé en deux ; une partie a été conservée comme ext3 et a suivi
ext4 (quatrième système de
son développement normal et l'autre, nommée ext4, a incorporé les extensions
fichiers étendu)
mentionnées.
Le système de fichiers
Description
Linux
NFS (Network File • NFS est un système de fichiers basé sur le réseau, qui permet l'accès aux fichiers via ce
System) dernier. La norme NFS est une norme ouverte qui permet à quiconque de la mettre en œuvre.
4.5.4 Travaux pratiques – Parcourir le système de fichiers Linux et les paramètres d'autorisation
Cybersecurity Operations
Le système de fichiers Linux
4.5.1 Les types de systèmes de fichiers sous Linux
Résumé : Dans linux, le terme « montage » désigne le processus d'attribution d'un répertoire à
une partition (D), la commande mount est utilisée a cet effet.
4.5.4 Travaux pratiques – Parcourir le système de fichiers Linux et les paramètres d'autorisation
Cybersecurity Operations
Le système de fichiers Linux
4.5.2 Rôles Linux et autorisations sur les fichiers
La sortie fournit beaucoup d'informations sur le fichier space.txt :
Le tiret (-) signifie qu'il s'agit d'un fichier
Le premier champ de la sortie affiche les autorisations
associées à space.txt (-rwxrw-r--).
Le deuxième champ définit le nombre de liens matériels vers
le fichier (le nombre 1 après les autorisations).
Les troisième et quatrième champs affichent l'utilisateur
(analyst) et le groupe (staff) qui possèdent respectivement le
fichier.
Le cinquième champ affiche la taille du fichier en octets.
space.txt comporte 253 octets.
Le sixième champ affiche la date et l'heure de la dernière
modification.
4.5.4 Travaux pratiques – Parcourir le système de
Le septième champ affiche le nom du fichier. fichiers Linux et les paramètres d'autorisation
• Résumé : Pour organiser le système et renforcer les frontières dans l'ordinateur, Linux utilise des autorisations de fichiers
(Lecture(r), Écriture(w) et Exécution(x)). Pour afficher les autorisations, on utilise les commandes : ls et -l
Cybersecurity Operations
Le système de fichiers Linux
4.5.3 Liens matériels et liens symboliques
Résumé : Un lien matériel est un autre fichier qui pointe vers le même emplacement que le fichier d'origine.
Utilisez la commande ln pour créer un lien matériel
Cybersecurity Operations
Le système de fichiers Linux
4.5.4 Travaux pratiques – Parcourir le système de fichiers Linux
et les paramètres d'autorisation
Au cours de ces travaux pratiques, vous allez vous familiariser avec les systèmes
de fichiers Linux.
Cybersecurity Operations
02
Présentation du Système
4.6 Utiliser l'interface graphique Linux
d'Exploitation Linux
Page 95
Cybersecurity Operations
Utiliser l'interface graphique (GUI) Linux
4.6.1 Système X Windows
• L'interface graphique présente dans la plupart des ordinateurs Linux repose sur le système X Window.
• Également connu sous le nom de X ou X11, X Window est un système de fenêtrage, conçu pour fournir le
cadre de base pour une interface graphique.
• X Window comprend des fonctions permettant de dessiner et de déplacer des fenêtres sur le périphérique
d'affichage et d'interagir avec une souris et un clavier.
• X Window fonctionne comme un serveur et, de ce fait, permet à un utilisateur distant d'utiliser le réseau
pour se connecter, de lancer une application graphique et de disposer de la fenêtre graphique ouverte sur
le terminal distant.
• Résumé: Le système X Windows, ou X11, est une infrastructure logicielle de base qui inclut des
fonctions de création, de contrôle et de configuration d'une interface graphique Windows dans une
interface pointer-cliquer.
Cybersecurity Operations
Utiliser l'interface graphique (GUI) Linux
4.6.1 Système X Windows
Des exemples de gestionnaires de fenêtres sont Gnome et KDE.
Cybersecurity Operations
02
Présentation du Système
d'Exploitation Linux
4.7 Utiliser un hôte Linux
Page 99
Cybersecurity Operations
Utiliser un hôte Linux
4.7.1 Installation et exécution d'applications sur un hôte Linux
Résumé :
Pour installer des applications sur des hôtes Linux, des programmes appelés gestionnaires de
paquets sont utilisés.
Un paquet est le terme utilisé pour désigner un programme et tous ses fichiers de prise en charge. apt
est la commande requise à cet effet.
Cybersecurity Operations
Utiliser un hôte Linux
4.7.2 Maintenir le système à jour
• Également appelées correctifs, les mises à jour du système d'exploitation sont publiées
périodiquement par les sociétés qui en ont la charge pour traiter les vulnérabilités connues de leur
système d'exploitation.
• Le tableau suivant compare les commandes de distribution Arch Linux (Cisco dans sa distribution
securityonion) et Debian/Ubuntu Linux pour effectuer les opérations de base du système de
paquetage.
Cybersecurity Operations
Utiliser un hôte Linux
4.7.2 Maintenir le système à jour
• Une interface graphique Linux peut
également être utilisée pour vérifier
et installer manuellement les mises à
jour.
Cybersecurity Operations
Utiliser un hôte Linux
4.7.3 Processus et bifurcations
• Dans les systèmes d'exploitation multitâches, les processus ont besoin d'un moyen de créer
de nouveaux processus. L'opération de bifurcation est le seul moyen de le faire sous Linux.
• Lorsqu'un processus appelle la bifurcation, le processus appelant devient le processus
parent et le nouveau processus est désigné comme son enfant.
• Après la fourche, les processus sont, dans une certaine mesure, des processus
indépendants. Ils ont des ID de processus différents mais exécutent le même code de
programme.
Résumé :
Un processus est une instance de programme informatique en cours d'exécution.
La bifurcation est une méthode utilisée par le noyau pour autoriser un processus à créer sa propre
copie
Cybersecurity Operations
Utiliser un hôte Linux
4.7.3 Processus et bifurcations (Suite)
Le tableau suivant répertorie trois commandes utilisées pour gérer les processus.
Commande Description
• Utilisée pour afficher les processus en cours d'exécution appartenant à
ps
l'utilisateur actuel ou à d'autres utilisateurs.
• La commande top continue d'afficher les processus en cours de façon
top dynamique.
• Appuyez sur q pour quitter la commande top.
• Permet de modifier le comportement d'un processus spécifique.
kill
• La commande kill supprime, redémarre ou interrompt un processus.
Cybersecurity Operations
Utiliser un hôte Linux
4.7.3 Processus et bifurcations (Suite)
La sortie de la commande
présente la sortie de la
commande top sur un
ordinateur Linux.
Cybersecurity Operations
Utiliser un hôte Linux
4.7.4 Logiciels malveillants sur un hôte Linux
• Résumé : Les logiciels malveillants Linux comprennent les virus, les chevaux de Troie, les vers et les
autres types de programmes malveillants qui peuvent affecter le système d'exploitation.
Cybersecurity Operations
Utiliser un hôte Linux
4.7.5 Vérification de Rootkit
• Un rootkit est destructeur car il modifie le code du noyau et de ses
modules, changeant les opérations les plus importantes du système
d'exploitation lui-même.
• Les méthodes de détection Rootkit incluent le démarrage de
l'ordinateur à partir d'un support approuvé.
• L'enlèvement de rootkit peut être compliqué. La réinstallation du
système d'exploitation est la seule vraie solution au problème.
• La sortie de commande présente la sortie de chkrootkit sur un
système Linux Ubuntu.
Résumé :
Un rootkit est un ensemble de logiciels malveillants conçus pour augmenter les privilèges d'un utilisateur ou
accorder l'accès à certaines parties du logiciel qui doivent normalement rester inaccessibles.
chkrootkit est un programme basé sur Linux répandu conçu pour rechercher les rootkits connus sur l'ordinateur
Cybersecurity Operations
Utiliser un hôte Linux
4.7.6 Commandes avec barres verticales
Cybersecurity Operations
Merci
Page 109
Cybersecurity Operations