Vous êtes sur la page 1sur 40

Chapitre 2 : Système

d'exploitation Windows

Cybersecurity Operations v1.1


Chapitre 2 – Sections et objectifs
 2.1 Présentation de Windows
• Expliquer le fonctionnement du système d'exploitation Windows.
• Décrire l'histoire du système d'exploitation Windows.
• Expliquer l'architecture de Windows et son fonctionnement.

 2.2 Administration de Windows


• Expliquer comment sécuriser les terminaux Windows.
• Expliquer comment configurer et surveiller Windows.
• Expliquer comment Windows peut être sécurisé.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
2.1 Présentation de Windows

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 3
Histoire de Windows
DOS
 Un système d'exploitation de disque (DOS) est un
système que l'ordinateur utilise pour permettre aux
dispositifs de stockage de données de lire et
d'écrire des fichiers.
 MS-DOS, créé par Microsoft, disposait d'une interface
de ligne de commande dont se servaient les
utilisateurs pour créer des programmes et manipuler
des fichiers de données.

 Les premières versions de Windows se composaient


d'une interface utilisateur graphique (GUI) exécutée sur
MS-DOS.

 Dans les versions plus récentes de Windows, basées


sur NT, le système d'exploitation lui-même contrôle
directement l'ordinateur et ses composants matériels.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4
Histoire de Windows
Versions de Windows
 Depuis 1993, plus de 20 versions de Windows
basées sur le système d'exploitation NT ont vu
le jour.
 À partir de Windows XP, Microsoft offre une
édition 64 bits.
 Windows 64 bits peut théoriquement traiter une
RAM de 16,8 millions de téraoctets
 Au fil des versions, Microsoft a perfectionné le
système d'exploitation Windows en y intégrant
davantage de fonctionnalités.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5
Histoire de Windows
Interface graphique de Windows
 Windows propose une interface utilisateur graphique
pour permettre aux utilisateurs d'exploiter le logiciel et
les fichiers de données.

 La section principale de l'interface utilisateur graphique


est le bureau, qui contient la barre des tâches.

 La barre des tâches comprend le menu Démarrer et


Rechercher, les éléments de lancement rapide et la
zone de notification.

 Un clic droit sur une icône permet d'afficher la liste


supplémentaire des fonctions, appelée menu
contextuel.

 L'Explorateur de fichiers Windows est un outil utilisé


pour naviguer dans le système de fichiers d'un
ordinateur.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 6
Histoire de Windows
Vulnérabilités des systèmes d'exploitation
 Le hacker doit utiliser une technique ou un outil pour exploiter
une vulnérabilité du système d'exploitation.

 Voici quelques recommandations de sécurité courantes


relatives au système d'exploitation Windows :
• Mettre en œuvre une protection antivirus ou contre les malwares.
• Ne pas autoriser les services inconnus ou non gérés.
• Utiliser le chiffrement.
• Mettre en œuvre une politique de sécurité rigoureuse.
• Examiner régulièrement les paramètres du pare-feu.
• Définir correctement les autorisations de fichier et de partage.
• Utiliser des mots de passe forts.
• Se connecter en tant qu'administrateur uniquement si nécessaire.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 7
Architecture et fonctionnement de Windows
Couche HAL (Hardware Abstraction Layer)
 Une couche d'abstraction du matériel est un
code qui gère l'ensemble des communications
entre le matériel et le noyau.
 Le noyau est le cœur du système d'exploitation
qui contrôle tout l'ordinateur.
 Il gère toutes les demandes d'entrée et de
sortie, la mémoire ainsi que tous les appareils
connectés à l'ordinateur.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8
Architecture et fonctionnement de Windows
Mode utilisateur et mode noyau
 Le CPU peut fonctionner dans
deux modes différents si Windows est
installé : le mode utilisateur et le mode
noyau.
 Les applications installées sont
exécutées en mode utilisateur et le code
du système d'exploitation est exécuté en
mode noyau.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 9
Architecture et fonctionnement de Windows
Systèmes de fichiers Windows
 Un système de fichiers détermine la méthode d'organisation des informations sur
les supports de stockage.
• Windows prend en charge les systèmes de fichiers suivants :
• table d'allocation de fichiers (FAT)
• exFAT
• Hierarchical File System Plus (HFS+)
• Extended File System (EXT)
• NTFS (New Technology File System)

 NTFS stocke les fichiers sous la forme d'une série d'attributs, tels que le nom du fichier, ou d'un horodatage.

 Les données du fichier sont stockées dans l'attribut $DATA et sont connues comme étant un flux de données.

 Un disque dur est divisé en zones appelées partitions.

 Une partition est une unité de stockage logique, qui peut être formatée pour stocker des informations telles que des fichiers
de données ou des applications.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 10
Architecture et fonctionnement de Windows
Processus de démarrage de Windows
 Il existe deux types de micrologiciels :
BIOS (Basic Input-Output System) et
UEFI (Unified Extended Firmware
Interface).
 Le micrologiciel de l'interface UEFI a été
conçu pour remplacer le BIOS afin de
prendre en charge les nouvelles
fonctionnalités.
 Que vous utilisiez le BIOS ou UEFI, le
fichier Bootmgr.exe est exécuté une fois
qu'une installation Windows valide est
localisée.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 11
Architecture et fonctionnement de Windows
Démarrage et arrêt de Windows
 Différentes entrées dans ces emplacements du Registre
définissent les services et les applications qui démarreront en
fonction de leur type.
• HKEY_LOCAL_MACHINE
• HKEY_CURRENT_USER
 Parmi ces types, on compte Run, RunOnce, RunServices,
RunServicesOnce et Userinit.

 Cinq onglets contiennent les options de configuration :

• Généralités
• Début
• Services
• Startup
• Outils
 Il est toujours préférable d'arrêter les tâches en cours avant
d'éteindre l'ordinateur.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 12
Architecture et fonctionnement de Windows
Processus, threads et services
 Un processus est un programme en cours
d'exécution.
 Un thread est une partie du processus qui
peut être exécutée.
 Dans Windows, plusieurs threads peuvent
être exécutés en même temps.
 Certains processus exécutés pas Windows
sont des services/programmes qui s'exécutent
en arrière-plan pour prendre en charge le
système d'exploitation et les applications.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 13
Architecture et fonctionnement de Windows
Allocation de mémoire et handles
 L'espace d'adressage virtuel d'un processus est
un ensemble d'adresses virtuelles utilisables par
le processus.
 Chaque processus d'un ordinateur Windows 32 bits
prend en charge un espace d'adressage virtuel de
4 gigaoctets maximum.

 Chaque processus d'un ordinateur Windows 64 bits


prend en charge un espace d'adressage virtuel de
8 téraoctets.

 Chaque processus de l'espace utilisateur s'exécute


dans un espace d'adressage privé, séparé des autres
processus de l'espace utilisateur.

 RamMap de Sysinternal – permet d'afficher


l'allocation de mémoire.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 14
Architecture et fonctionnement de Windows
Registre Windows  Les informations relatives aux paramètres du matériel, des
applications, des utilisateurs et du système sont stockées dans
une grande base de données appelée le Registre.

 Le registre est une base de données hiérarchique dont le niveau


le plus élevé est appelé « ruche », et dont les niveaux inférieurs
sont appelés clés ou sous-clés, respectivement.

 Voici les cinq ruches du Registre Windows :

• HKEY_CURRENT_USER (HKCU) : cette ruche contient des


données sur l'utilisateur actuellement connecté.
• HKEY_USERS (HKU) : cette ruche contient des données sur tous
les comptes d'utilisateur sur l'ordinateur hôte.
• HKEY_CLASSES_ROOT (HKCR) : cette ruche contient des
données sur la liaison et l'incorporation d'enregistrements (OLE).
• HKEY_LOCAL_MACHINE (HKLM) : cette ruche contient des
données liées au système.
• HKEY_CURRENT_CONFIG (HKCC) : cette ruche contient des
données sur le profil matériel actuel.

 La navigation est similaire à celle de l'Explorateur de fichiers


Windows.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 15
2.2 – Administration de
Windows

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 16
Configuration et surveillance de Windows
Exécution en tant qu'administrateur
 Vous devrez parfois exécuter ou installer
un logiciel qui exige des privilèges
d'administrateur.
 Utilisez l'option « Exécuter en tant
qu'administrateur » ou ouvrez une invite
de commande d'administrateur.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 17
Configuration et surveillance de Windows
Utilisateurs locaux et domaines
 Les utilisateurs et les groupes locaux sont gérés à
l'aide de l'applet lusrmgr.msc du panneau de
configuration.

 Un groupe possède un nom et dispose d'un


ensemble d'autorisations spécifiques. Un
utilisateur placé dans un groupe reçoit les
autorisations de ce groupe.

 Un domaine est un type de service de réseau où


tous les utilisateurs, les groupes, les ordinateurs,
les périphériques et les paramètres de sécurité
sont stockés dans une base de données et sont
contrôlés par celle-ci.
• Cette base de données est stockée sur des ordinateurs
ou des groupes d'ordinateurs appelés contrôleurs de
domaine (DC).

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 18
Configuration et surveillance deWindows
Interface de ligne de commande et PowerShell
 L'interface de ligne de commande Windows
permet d'exécuter des programmes, de
parcourir le système de fichiers et de gérer
les fichiers et les dossiers.
 Un autre environnement, appelé
Windows PowerShell, permet de créer des
scripts d'automatisation des tâches que
l'interface de ligne de commande standard
ne peut pas créer.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 19
Configuration et surveillance de Windows
WMI
 Windows Management Instrumentation
(WMI) est utilisé pour gérer les ordinateurs
distants.
 De nos jours, certaines attaques utilisent
WMI pour se connecter à des systèmes
distants, pour modifier le Registre et pour
exécuter des commandes.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 20
Configuration et surveillance de Windows
La commande net
 La commande net prend en charge plusieurs autres commandes consécutives et peut être
combinée avec des options pour obtenir un résultat spécifique.

 Pour afficher la liste des commandes net, tapez net help à l'invite de commande.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 21
Configuration et surveillance de Windows
Le gestionnaire des tâches et le moniteur de ressources
 Le gestionnaire des tâches fournit de nombreuses
informations sur tout ce qui est en cours d'exécution
et sur les performances générales de l'ordinateur.

 Le moniteur de ressources entre en jeu si vous avez


besoin d'informations plus détaillées sur l'utilisation
des ressources.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 22
Configuration et surveillance de Windows
Mise en réseau
 Le centre Réseau et partage permet de configurer et
de tester les propriétés du réseau Windows.

 Vous pouvez utiliser l'outil netsh.exe pour configurer


les paramètres du réseau depuis une invite de
commande.

 Pour tester la carte réseau proprement dite, tapez


ping 127.0.0.1 à l'invite de commande.

 Le système de noms de domaine (DNS) doit


également être testé à l'aide de la commande
nslookup.

 Tapez netstat à l'invite de commande pour afficher


les détails des connexions réseau actives.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 23
Configuration et surveillance de Windows
Accès aux ressources réseau
 Le protocole SMB (Server Message Block) est
utilisé pour partager des ressources réseau.
 Le format UNC (Universal Naming Convention)
vous permet de vous connecter aux ressources.
 Un partage administratif est identifié par le signe
dollar ($), situé après le nom du partage.
 Le protocole RDP (Remote Desktop Protocol)
permet de se connecter à un hôte distant et
d'apporter des modifications de configuration,
d'installer un logiciel ou de résoudre des
problèmes.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 24
Configuration et surveillance de Windows
Windows Server
 Windows Server, une autre édition de
Windows, est principalement utilisé dans les
data centers.
 Services qu'incluent les hôtes Windows
Server :
• Services réseau
• Services de fichiers
• Services web
• Gestion

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 25
Sécurité de Windows
La commande netstat
 La commande netstat permet de
rechercher les connexions entrantes ou
sortantes qui ne sont pas autorisées.
 Associez les connexions aux processus en
cours d'exécution dans le gestionnaire des
tâches en utilisant la commande
netstat – abno
 Pour afficher les ID de processus dans le
Gestionnaire des tâches, ouvrez le
Gestionnaire des tâches, cliquez avec le
bouton droit de la souris sur l'en-tête du
tableau et sélectionnez PID.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 26
Sécurité de Windows
Observateur d'événements
 L'Observateur d'événements Windows
contient un historique des événements
concernant les applications, la sécurité et le
système.
 Windows comprend deux catégories de
journaux d'événements : journaux de
Windows, et journaux des applications et
des services.
 Une vue personnalisée intégrée appelée
Événements d'administration répertorie les
événements des niveaux Critique, Erreur et
Avertissement de tous les journaux
administratifs.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 27
Sécurité de Windows
Gestion de Windows Update
 Pour renforcer la protection contre les
attaques, assurez-vous d'avoir installé les
derniers service packs et correctifs de
sécurité Windows.
 Windows vérifie régulièrement si le site Web
de Windows Update contient des mises à
jour cruciales qui peuvent contribuer à la
protection d'un ordinateur contre les
menaces les plus récentes.
 Pour configurer les paramètres de Windows
Update, recherchez l'application Windows
Update et cliquez dessus.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 28
Sécurité Windows
Politique de sécurité locale
 La stratégie de sécurité locale de Windows peut
être appliquée aux ordinateurs autonomes qui ne
font pas partie d'un domaine Active Directory.

 L'option Politique de mot de passe, située sous


Stratégies de comptes, définit les critères des
mots de passe pour tous les utilisateurs sur
l'ordinateur local.

 Utilisez l'option Politique de verrouillage du


compte du paramètre Stratégies de comptes
pour éviter toute tentative de connexion forcée.

 Vous pouvez également configurer des droits


d'utilisateur et des règles de pare-feu.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 29
Sécurité Windows
Politique de sécurité locale
 Windows intègre un système de protection
contre les virus et les logiciels espions
appelé Windows Defender.
 Windows Defender vous permet d'effectuer
des analyses manuelles de l'ordinateur et
des périphériques de stockage, et de mettre
à jour les définitions des virus et des
logiciels espions dans l'onglet de mise à
jour.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 30
Sécurité de Windows
pare-feu Windows
 En général, pour ce faire il ouvre et ferme
les ports utilisés par diverses
applications.
 En ouvrant uniquement les ports requis
sur un pare-feu, vous implémentez une
politique de sécurité restrictive.
 À l'heure actuelle, la plupart des
équipements sont livrés avec des
paramètres aussi restrictifs que possible.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 31
2.3 Synthèse du chapitre

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 32
Résumé du chapitre

 Dans ce chapitre, vous avez découvert l'histoire et l'architecture du système d'exploitation


Windows. Il existe plus de 40 versions de systèmes d'exploitation Windows pour les postes de
travail, les serveurs et les systèmes mobiles.

 La couche d'abstraction matérielle gère toutes les communications entre le matériel et le noyau. Le
CPU peut fonctionner dans deux modes distincts : le mode noyau et le mode utilisateur. Les
applications installées sont exécutées en mode utilisateur et le code du système d'exploitation est
exécuté en mode noyau.

 NTFS formate le disque en quatre structures de données importantes :


• Secteur d'amorçage de la partition
• Table des fichiers de référence (MFT)
• Fichiers système
• Zone des fichiers

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 33
Récapitulatif du chapitre
Récapitulatif (suite)
 Les applications se composent généralement de nombreux processus. Un processus est un programme en cours
d'exécution. Chaque processus en cours d'exécution contient au moins un thread. Un thread est une partie du processus qui
peut être exécutée. Certains processus exécutés sous Windows sont des services. Ce sont des programmes qui s'exécutent
en arrière-plan pour prendre en charge le système d'exploitation et les applications.

 Chaque processus d'un ordinateur Windows 32 bits prend en charge un espace d'adressage virtuel jusqu'à quatre gigaoctets.
Chaque processus d'un ordinateur Windows 64 bits prend en charge un espace d'adressage virtuel jusqu'à huit téraoctets.

 Windows stocke toutes les informations relatives aux paramètres du matériel, des applications, des utilisateurs et du système
dans une grande base de données appelée le Registre. Le Registre est une base de données hiérarchique où le niveau le
plus élevé est appelé ruche. Voici les cinq ruches du Registre Windows :
• HKEY_CURRENT_USER (HKCU)
• HKEY_USERS (HKU)
• HKEY_CLASSES_ROOT (HKCR)
• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_CURRENT_CONFIG (HKCC)

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 34
Récapitulatif du chapitre
Récapitulatif (suite)
 Dans ce chapitre, vous avez également appris à configurer, à surveiller et à protéger
Windows. Pour ce faire, vous devez normalement exécuter des programmes en tant
qu'administrateur. En tant qu'administrateur, vous pouvez créer des utilisateurs et des
groupes, désactiver l'accès aux comptes d'administrateur et invités, et utiliser divers
outils d'administration comme :
• Toutes les commandes de l'interface de ligne de commande et de PowerShell
• La gestion des ordinateurs distants à l'aide de WMI et du Bureau à distance
• Le gestionnaire des tâches et le moniteur de ressources
• La configuration du réseau

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 35
Récapitulatif du chapitre
Récapitulatif (suite)
 En tant qu'administrateur, vous pouvez aussi utiliser tous les outils de sécurité Windows
comme :
• La commande netstat pour rechercher les connexions entrantes ou sortantes qui ne sont
pas autorisées
• L'Observateur d'événements pour accéder aux journaux qui contiennent l'historique des
événements liés aux applications, à la sécurité et au système
• La configuration et la planification des mises à jour Windows
• La politique de sécurité locale Windows pour protéger des ordinateurs autonomes qui ne
font pas partie d'un domaine Active Directory
• La configuration de Windows Defender pour une protection intégrée contre les virus et les
logiciels espions
• La configuration de pare-feu Windows pour affiner les paramètres par défaut
 En tant qu'analyste en cybersécurité, vous devez connaître les bases du fonctionnement de
Windows et les outils disponibles pour protéger les terminaux Windows.

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 36
Chapitre 2
Nouveaux termes et nouvelles commandes
 Autres flux de données (ADS)  Couche HAL (Hardware Abstraction  registre
 BIOS (Basic Input/Output System) Layer)  Contrôle des ressources
 Base de données de configuration de  Hierarchical File System Plus (HFS+)  Server Message Block (SMB)
démarrage (BCD).  Le noyau  Services
 interface de ligne de commande (ILC)  Signature de code du mode noyau  Sous-système de gestionnaire de
 Système d'exploitation de disque (KMCS) session (SMS)
(DOS)  Enregistrement d'amorçage maître  Fichiers système
 domaine (MBR, Master Boot Record)  Gestionnaire des tâches
 contrôleur de domaine (DC)  Table des fichiers de référence (MFT)  Threads
 chiffrement  MS-DOS  UEFI (Unified Extended Firmware
 Observateur d'événements  netstat Interface)
 Extended FAT (exFAT)  NTFS (New Technology File System)  Windows Defender
 Extended File System (EXT)  Secteur d'amorçage de la partition  WMI (Windows Management
 table d'allocation de fichiers (FAT)  PowerShell Instrumentation)
 pare-feu  Processus

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 37
Chapitre 2
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de cybersécurité :

210-250 SECFND - Comprendre les principes fondamentaux de la cybersécurité Cisco :

 Domaine 4 : analyse d'hôte

• 4.1 Définition des termes suivants en relation avec Microsoft Windows :


• Processus
• Threads
• Allocation de mémoire
• Registre Windows
• WMI
• Systèmes tiers
• Services

• 4.3 Description des fonctionnalités des terminaux en matière de surveillance de la sécurité :


• Antimalware et antivirus
• Pare-feu d'hôte
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 38
Chapitre 2
Certification en opérations de cybersécurité
Ce chapitre couvre les domaines suivants en matière de certification en opérations de
cybersécurité :
210-255 SECOP - Mise en œuvre des opérations en cybersécurité Cisco
 Domaine 1 : analyse des menaces sur les terminaux et analyses informatiques
• 1.4 Définition des termes suivants en relation avec le système de fichiers Microsoft Windows :
• FAT32
• NTFS
• Flux de données alternatifs
• Horodatages sur un système de fichiers

© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 39

Vous aimerez peut-être aussi