Académique Documents
Professionnel Documents
Culture Documents
Cyb 02
Cyb 02
d'exploitation Windows
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
2.1 Présentation de Windows
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 3
Histoire de Windows
DOS
Un système d'exploitation de disque (DOS) est un
système que l'ordinateur utilise pour permettre aux
dispositifs de stockage de données de lire et
d'écrire des fichiers.
MS-DOS, créé par Microsoft, disposait d'une interface
de ligne de commande dont se servaient les
utilisateurs pour créer des programmes et manipuler
des fichiers de données.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4
Histoire de Windows
Versions de Windows
Depuis 1993, plus de 20 versions de Windows
basées sur le système d'exploitation NT ont vu
le jour.
À partir de Windows XP, Microsoft offre une
édition 64 bits.
Windows 64 bits peut théoriquement traiter une
RAM de 16,8 millions de téraoctets
Au fil des versions, Microsoft a perfectionné le
système d'exploitation Windows en y intégrant
davantage de fonctionnalités.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5
Histoire de Windows
Interface graphique de Windows
Windows propose une interface utilisateur graphique
pour permettre aux utilisateurs d'exploiter le logiciel et
les fichiers de données.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 6
Histoire de Windows
Vulnérabilités des systèmes d'exploitation
Le hacker doit utiliser une technique ou un outil pour exploiter
une vulnérabilité du système d'exploitation.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 7
Architecture et fonctionnement de Windows
Couche HAL (Hardware Abstraction Layer)
Une couche d'abstraction du matériel est un
code qui gère l'ensemble des communications
entre le matériel et le noyau.
Le noyau est le cœur du système d'exploitation
qui contrôle tout l'ordinateur.
Il gère toutes les demandes d'entrée et de
sortie, la mémoire ainsi que tous les appareils
connectés à l'ordinateur.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8
Architecture et fonctionnement de Windows
Mode utilisateur et mode noyau
Le CPU peut fonctionner dans
deux modes différents si Windows est
installé : le mode utilisateur et le mode
noyau.
Les applications installées sont
exécutées en mode utilisateur et le code
du système d'exploitation est exécuté en
mode noyau.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 9
Architecture et fonctionnement de Windows
Systèmes de fichiers Windows
Un système de fichiers détermine la méthode d'organisation des informations sur
les supports de stockage.
• Windows prend en charge les systèmes de fichiers suivants :
• table d'allocation de fichiers (FAT)
• exFAT
• Hierarchical File System Plus (HFS+)
• Extended File System (EXT)
• NTFS (New Technology File System)
NTFS stocke les fichiers sous la forme d'une série d'attributs, tels que le nom du fichier, ou d'un horodatage.
Les données du fichier sont stockées dans l'attribut $DATA et sont connues comme étant un flux de données.
Une partition est une unité de stockage logique, qui peut être formatée pour stocker des informations telles que des fichiers
de données ou des applications.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 10
Architecture et fonctionnement de Windows
Processus de démarrage de Windows
Il existe deux types de micrologiciels :
BIOS (Basic Input-Output System) et
UEFI (Unified Extended Firmware
Interface).
Le micrologiciel de l'interface UEFI a été
conçu pour remplacer le BIOS afin de
prendre en charge les nouvelles
fonctionnalités.
Que vous utilisiez le BIOS ou UEFI, le
fichier Bootmgr.exe est exécuté une fois
qu'une installation Windows valide est
localisée.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 11
Architecture et fonctionnement de Windows
Démarrage et arrêt de Windows
Différentes entrées dans ces emplacements du Registre
définissent les services et les applications qui démarreront en
fonction de leur type.
• HKEY_LOCAL_MACHINE
• HKEY_CURRENT_USER
Parmi ces types, on compte Run, RunOnce, RunServices,
RunServicesOnce et Userinit.
• Généralités
• Début
• Services
• Startup
• Outils
Il est toujours préférable d'arrêter les tâches en cours avant
d'éteindre l'ordinateur.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 12
Architecture et fonctionnement de Windows
Processus, threads et services
Un processus est un programme en cours
d'exécution.
Un thread est une partie du processus qui
peut être exécutée.
Dans Windows, plusieurs threads peuvent
être exécutés en même temps.
Certains processus exécutés pas Windows
sont des services/programmes qui s'exécutent
en arrière-plan pour prendre en charge le
système d'exploitation et les applications.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 13
Architecture et fonctionnement de Windows
Allocation de mémoire et handles
L'espace d'adressage virtuel d'un processus est
un ensemble d'adresses virtuelles utilisables par
le processus.
Chaque processus d'un ordinateur Windows 32 bits
prend en charge un espace d'adressage virtuel de
4 gigaoctets maximum.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 14
Architecture et fonctionnement de Windows
Registre Windows Les informations relatives aux paramètres du matériel, des
applications, des utilisateurs et du système sont stockées dans
une grande base de données appelée le Registre.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 16
Configuration et surveillance de Windows
Exécution en tant qu'administrateur
Vous devrez parfois exécuter ou installer
un logiciel qui exige des privilèges
d'administrateur.
Utilisez l'option « Exécuter en tant
qu'administrateur » ou ouvrez une invite
de commande d'administrateur.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 17
Configuration et surveillance de Windows
Utilisateurs locaux et domaines
Les utilisateurs et les groupes locaux sont gérés à
l'aide de l'applet lusrmgr.msc du panneau de
configuration.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 18
Configuration et surveillance deWindows
Interface de ligne de commande et PowerShell
L'interface de ligne de commande Windows
permet d'exécuter des programmes, de
parcourir le système de fichiers et de gérer
les fichiers et les dossiers.
Un autre environnement, appelé
Windows PowerShell, permet de créer des
scripts d'automatisation des tâches que
l'interface de ligne de commande standard
ne peut pas créer.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 19
Configuration et surveillance de Windows
WMI
Windows Management Instrumentation
(WMI) est utilisé pour gérer les ordinateurs
distants.
De nos jours, certaines attaques utilisent
WMI pour se connecter à des systèmes
distants, pour modifier le Registre et pour
exécuter des commandes.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 20
Configuration et surveillance de Windows
La commande net
La commande net prend en charge plusieurs autres commandes consécutives et peut être
combinée avec des options pour obtenir un résultat spécifique.
Pour afficher la liste des commandes net, tapez net help à l'invite de commande.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 21
Configuration et surveillance de Windows
Le gestionnaire des tâches et le moniteur de ressources
Le gestionnaire des tâches fournit de nombreuses
informations sur tout ce qui est en cours d'exécution
et sur les performances générales de l'ordinateur.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 22
Configuration et surveillance de Windows
Mise en réseau
Le centre Réseau et partage permet de configurer et
de tester les propriétés du réseau Windows.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 23
Configuration et surveillance de Windows
Accès aux ressources réseau
Le protocole SMB (Server Message Block) est
utilisé pour partager des ressources réseau.
Le format UNC (Universal Naming Convention)
vous permet de vous connecter aux ressources.
Un partage administratif est identifié par le signe
dollar ($), situé après le nom du partage.
Le protocole RDP (Remote Desktop Protocol)
permet de se connecter à un hôte distant et
d'apporter des modifications de configuration,
d'installer un logiciel ou de résoudre des
problèmes.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 24
Configuration et surveillance de Windows
Windows Server
Windows Server, une autre édition de
Windows, est principalement utilisé dans les
data centers.
Services qu'incluent les hôtes Windows
Server :
• Services réseau
• Services de fichiers
• Services web
• Gestion
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 25
Sécurité de Windows
La commande netstat
La commande netstat permet de
rechercher les connexions entrantes ou
sortantes qui ne sont pas autorisées.
Associez les connexions aux processus en
cours d'exécution dans le gestionnaire des
tâches en utilisant la commande
netstat – abno
Pour afficher les ID de processus dans le
Gestionnaire des tâches, ouvrez le
Gestionnaire des tâches, cliquez avec le
bouton droit de la souris sur l'en-tête du
tableau et sélectionnez PID.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 26
Sécurité de Windows
Observateur d'événements
L'Observateur d'événements Windows
contient un historique des événements
concernant les applications, la sécurité et le
système.
Windows comprend deux catégories de
journaux d'événements : journaux de
Windows, et journaux des applications et
des services.
Une vue personnalisée intégrée appelée
Événements d'administration répertorie les
événements des niveaux Critique, Erreur et
Avertissement de tous les journaux
administratifs.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 27
Sécurité de Windows
Gestion de Windows Update
Pour renforcer la protection contre les
attaques, assurez-vous d'avoir installé les
derniers service packs et correctifs de
sécurité Windows.
Windows vérifie régulièrement si le site Web
de Windows Update contient des mises à
jour cruciales qui peuvent contribuer à la
protection d'un ordinateur contre les
menaces les plus récentes.
Pour configurer les paramètres de Windows
Update, recherchez l'application Windows
Update et cliquez dessus.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 28
Sécurité Windows
Politique de sécurité locale
La stratégie de sécurité locale de Windows peut
être appliquée aux ordinateurs autonomes qui ne
font pas partie d'un domaine Active Directory.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 29
Sécurité Windows
Politique de sécurité locale
Windows intègre un système de protection
contre les virus et les logiciels espions
appelé Windows Defender.
Windows Defender vous permet d'effectuer
des analyses manuelles de l'ordinateur et
des périphériques de stockage, et de mettre
à jour les définitions des virus et des
logiciels espions dans l'onglet de mise à
jour.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 30
Sécurité de Windows
pare-feu Windows
En général, pour ce faire il ouvre et ferme
les ports utilisés par diverses
applications.
En ouvrant uniquement les ports requis
sur un pare-feu, vous implémentez une
politique de sécurité restrictive.
À l'heure actuelle, la plupart des
équipements sont livrés avec des
paramètres aussi restrictifs que possible.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 31
2.3 Synthèse du chapitre
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 32
Résumé du chapitre
La couche d'abstraction matérielle gère toutes les communications entre le matériel et le noyau. Le
CPU peut fonctionner dans deux modes distincts : le mode noyau et le mode utilisateur. Les
applications installées sont exécutées en mode utilisateur et le code du système d'exploitation est
exécuté en mode noyau.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 33
Récapitulatif du chapitre
Récapitulatif (suite)
Les applications se composent généralement de nombreux processus. Un processus est un programme en cours
d'exécution. Chaque processus en cours d'exécution contient au moins un thread. Un thread est une partie du processus qui
peut être exécutée. Certains processus exécutés sous Windows sont des services. Ce sont des programmes qui s'exécutent
en arrière-plan pour prendre en charge le système d'exploitation et les applications.
Chaque processus d'un ordinateur Windows 32 bits prend en charge un espace d'adressage virtuel jusqu'à quatre gigaoctets.
Chaque processus d'un ordinateur Windows 64 bits prend en charge un espace d'adressage virtuel jusqu'à huit téraoctets.
Windows stocke toutes les informations relatives aux paramètres du matériel, des applications, des utilisateurs et du système
dans une grande base de données appelée le Registre. Le Registre est une base de données hiérarchique où le niveau le
plus élevé est appelé ruche. Voici les cinq ruches du Registre Windows :
• HKEY_CURRENT_USER (HKCU)
• HKEY_USERS (HKU)
• HKEY_CLASSES_ROOT (HKCR)
• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_CURRENT_CONFIG (HKCC)
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 34
Récapitulatif du chapitre
Récapitulatif (suite)
Dans ce chapitre, vous avez également appris à configurer, à surveiller et à protéger
Windows. Pour ce faire, vous devez normalement exécuter des programmes en tant
qu'administrateur. En tant qu'administrateur, vous pouvez créer des utilisateurs et des
groupes, désactiver l'accès aux comptes d'administrateur et invités, et utiliser divers
outils d'administration comme :
• Toutes les commandes de l'interface de ligne de commande et de PowerShell
• La gestion des ordinateurs distants à l'aide de WMI et du Bureau à distance
• Le gestionnaire des tâches et le moniteur de ressources
• La configuration du réseau
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 35
Récapitulatif du chapitre
Récapitulatif (suite)
En tant qu'administrateur, vous pouvez aussi utiliser tous les outils de sécurité Windows
comme :
• La commande netstat pour rechercher les connexions entrantes ou sortantes qui ne sont
pas autorisées
• L'Observateur d'événements pour accéder aux journaux qui contiennent l'historique des
événements liés aux applications, à la sécurité et au système
• La configuration et la planification des mises à jour Windows
• La politique de sécurité locale Windows pour protéger des ordinateurs autonomes qui ne
font pas partie d'un domaine Active Directory
• La configuration de Windows Defender pour une protection intégrée contre les virus et les
logiciels espions
• La configuration de pare-feu Windows pour affiner les paramètres par défaut
En tant qu'analyste en cybersécurité, vous devez connaître les bases du fonctionnement de
Windows et les outils disponibles pour protéger les terminaux Windows.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 36
Chapitre 2
Nouveaux termes et nouvelles commandes
Autres flux de données (ADS) Couche HAL (Hardware Abstraction registre
BIOS (Basic Input/Output System) Layer) Contrôle des ressources
Base de données de configuration de Hierarchical File System Plus (HFS+) Server Message Block (SMB)
démarrage (BCD). Le noyau Services
interface de ligne de commande (ILC) Signature de code du mode noyau Sous-système de gestionnaire de
Système d'exploitation de disque (KMCS) session (SMS)
(DOS) Enregistrement d'amorçage maître Fichiers système
domaine (MBR, Master Boot Record) Gestionnaire des tâches
contrôleur de domaine (DC) Table des fichiers de référence (MFT) Threads
chiffrement MS-DOS UEFI (Unified Extended Firmware
Observateur d'événements netstat Interface)
Extended FAT (exFAT) NTFS (New Technology File System) Windows Defender
Extended File System (EXT) Secteur d'amorçage de la partition WMI (Windows Management
table d'allocation de fichiers (FAT) PowerShell Instrumentation)
pare-feu Processus
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 37
Chapitre 2
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de cybersécurité :
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 39