Académique Documents
Professionnel Documents
Culture Documents
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 3
Histoire de Windows 3.1.1 Disque contenant le système d'exploitation
Quel logiciel est utilisé pour lire, écrire et gérer les données sur Disque dur
• Le système d'exploitation
Qu’est-ce qu’un système d'exploitation de disque (DOS) ?
• DOS est un système que l'ordinateur utilise pour permettre aux dispositifs
de stockage de données de lire et d'écrire des fichiers.
Qu’est-ce qu’un système de fichiers ?
• C’est organisation des fichiers d'une manière spécifique sur le disque.
Quelle entreprise a acheté DOS(Disk Operating System) ?
• Microsoft a acheté DOS et développé MS-DOS qui disposait d'une
interface de ligne de commande
• Les premières versions de Windows (Windows 1.0 en 1985) se
composaient d'une interface utilisateur graphique (GUI) exécutée sur MS-
DOS.
Différence entre un DOS et un système d’exploitation moderne ?
• Un système d'exploitation moderne comme Windows 10 n'est pas considéré
comme un système d'exploitation de disque
• il est construit sur Windows NT, qui signifie «nouvelles technologies».
• NT est un système d'exploitation multi-processus et multi-utilisateur. Ceci est
très différent du MS-DOS mono-processus et mono-utilisateur. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4
Cas pratique sur MS-DOS
Pour découvrir un peu ce que c'était de travailler sous MS-DOS, ouvrez une fenêtre de commande en
tapant cmd dans Windows Search et en appuyant sur Entrée . Le tableau répertorie certaines commandes
que vous pouvez utiliser. Entrez help suivi de la commande pour en savoir plus sur la commande.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 5
3.1.2 Versions de Windows
Combien de versions de Windows NT on été développées
depuis 1993 ?
• il y a eu plus de 20 versions de Windows NT destinées au
grand public et aux entreprises
Recommandation La description
• Par défaut, Windows utilise Windows Defender pour la protection contre les logiciels
malveillants.
Protection contre les virus ou les
• Windows Defender fournit une suite d'outils de protection intégrés au système.
logiciels malveillants
• Si Windows Defender est désactivé, le système devient plus vulnérable aux
attaques et aux logiciels malveillants.
• Il existe de nombreux services qui fonctionnent dans les coulisses.
• Il est important de s'assurer que chaque service est identifiable et sûr.
Services inconnus ou non gérés
• Avec un service inconnu fonctionnant en arrière-plan, l'ordinateur peut être vulnérable
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 8
aux attaques.
3.1.4 Vulnérabilités des systèmes d'exploitation (suite)
• Lorsque les données ne sont pas chiffrées, elles peuvent facilement être
Chiffrement
collectées et exploitées.
• De nombreux paramètres du contrôle de stratégie de sécurité Windows
Politique de sécurité
peuvent empêcher les attaques.
• Il est important de revoir périodiquement les paramètres du pare-feu
Pare-feu pour s'assurer que les règles sont toujours applicables et de
supprimer celles qui ne s'appliquent plus.
• Il est facile de donner le contrôle total au groupe «Tout le monde», mais
cela permet à toutes les personnes de faire ce qu'elles veulent sur tous les
Autorisations de fichier et de partage fichiers.
• Il est préférable de fournir à chaque utilisateur ou groupe les
autorisations minimales nécessaires pour tous les fichiers et dossiers.
•De nombreuses personnes choisissent des mots de passe faibles ou
Mot de passe faible ou inexistant n'utilisent pas du tout de mot de passe. Il faut s’assurer que votre ordinateur
utilise un mot de passe très fort.
•Lorsqu'un utilisateur se connecte en tant qu'administrateur, tout programme
qu'il exécute dispose des privilèges de ce compte.
Connectez-vous en tant
•Il est préférable de se connecter en tant qu'utilisateur standard et
qu'administrateur d'utiliser uniquement le mot de passe administrateur pour accomplir
certaines tâches. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco
9
2.2 – Architecture et
opérations de Windows
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 10
3.2.1 Couche HAL (Hardware Abstraction Layer ou couche d'abstraction matérielle)
Observez la figure, et répondez aux questions
Quelle couche est utilisée pour séparer la
couche matérielle et la couche Noyau du SE ?
R: Couche HAL
Quelle composant du SE gère l'ensemble des
communications entre le matériel et le noyau du
SE ? R: Couche HAL
Quel composant du SE contrôle tout
l'ordinateur ? R: La couche noyau est le cœur
du système d'exploitation
Citer les composants qui sont gérés par le
noyau:
R: Le noyau gère toutes les demandes d'entrée
et de sortie, la mémoire ainsi que tous les
appareils connectés à l'ordinateur.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 11
3.2.2 Mode utilisateur et mode noyau
Le CPU peut fonctionner dans deux modes différents si Windows est installé. Lesquels ?
R: le mode utilisateur et le mode noyau.
Les applications exécutées en mode utilisateur n'ont pas Le code exécuté a un accès illimité au matériel
d'accès direct au matériel ou aux emplacements mémoire Le code exécute n'importe quelle instruction du processeur
parce qu’elles doivent passer par le noyau du SE pour Le code exécuté peut référencer directement n'importe quelle
Si une application installée se plante, alors le plantage se Si le code exécuté se plante, alors le fonctionnement de
le code du mode utilisateur s'exécute, il reçoit son propre Tout le code qui s'exécute en mode noyau utilise le même
processus créé spécifiquement pour l'application. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 12
3.2.3 Systèmes de fichiers Windows
Qu’est-ce qu’un système de fichiers ? R: Un système de fichiers est la manière dont les informations sont organisées sur
les supports de stockage.
Système de fichiers
La description
Windows
•FAT est un système de fichiers simple utilisée par de nombreux systèmes d'exploitation différents.
exFAT •FAT est limité par le nombre de partitions, FAT n'est plus utilisé pour les disques durs HD et SSD.
•Il existe deux types de FAT: FAT16 et FAT32 (moins de restrictions que FAT16).
Hierarchical File •HFS+ est Spécifique pour les ordinateurs MAC OS X (gère des noms et des tailles de fichiers, ainsi
System Plus que des tailles de partition). HFS+ n’est pas compatible avec Windows, mais un logiciel spécial
(HFS+) permet a Windows de lire les données des partitions HFS +.
Extended File •EXT est utilisé avec les ordinateurs Linux. EXT n’est pas compatible avec Windows, mais un logiciel
System (EXT) spécial permet a Windows de lire les données des partitions EXT.
•NTFS est le plus couramment utilisé lors de l'installation de Windows. Toutes les versions de
Windows et Linux prennent en charge NTFS.
•Les ordinateurs Mac-OS X ne peuvent lire qu'une partition NTFS. Ils peuvent écrire sur une
partition NTFS après avoir installé des pilotes spéciaux.
New Technology
•NTFS prend en charge les fichiers et les partitions très volumineux
File System (NTFS) •NTFS est également très fiable et prend en charge les fonctionnalités de récupération
•NTFS prend en charge de nombreuses fonctionnalités de sécurité (contrôle d'accès aux donnée, les
autorisations, cryptage du système de fichiers)
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 13
3.2.3 Systèmes de fichiers Windows (suite)
Que faut-il faire avant d’utiliser un périphérique de stockage tel qu'un disque ?
Que faut-il faire avant qu'un système de fichiers puisse être mis en place sur un périphérique de stockage?
Qu’ est-ce qu’ une partition ? R: C’est la division d’un disque dur en plusieurs zones, Chaque partition est une unité de
stockage logique qui peut être formatée pour stocker des informations (des fichiers de données ou des applications).
Le formatage NTFS crée des structures importantes sur le disque pour le stockage des fichiers et des tableaux pour
enregistrer les emplacements des fichiers: lesquels ?
Partition Boot Sector - Il s'agit des 16 premiers secteurs du lecteur. Il contient l'emplacement de la table de fichiers
maîtres (MFT). Les 16 derniers secteurs contiennent une copie du secteur d'amorçage.
Table de fichiers maîtres (MFT) - Cette table contient les emplacements de tous les fichiers et répertoires sur la
partition, y compris les attributs de fichier tels que les informations de sécurité et les horodatages.
Fichiers système - Ce sont des fichiers cachés qui stockent des informations sur d'autres volumes et attributs de fichier.
Zone de fichiers - La zone principale de la partition où les fichiers et répertoires sont stockés.
Remarque : lors du formatage d'une partition, les données précédentes peuvent toujours être récupérables car toutes les
données ne sont pas complètement supprimées. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 14
3.2.4 Flux de données alternatifs
Comment NTFS stocke les fichiers ?
R: NTFS stocke les fichiers sous la forme d'une série d'attributs, tels
que le nom du fichier ou un horodatage.
R: parce qu’il est facile de masquer des données dans un ADS. Afin d’
éviter qu’un attaquant stocke un code malveillant dans un ADS qui Analyse de la figure ?
pourrait alors être appelé à partir d'un autre fichier. •La première commande place le texte «Alternate
Data Here» dans un ADS du fichier Testfile.txt appelé
Comment identifier un fichier avec un ADS dans le système de fichiers «ADS».
NTFS ? (observez la figure) •Après cela, dir , indique que le fichier a été créé, mais
que l'ADS n'est pas visible.
R: un fichier avec un ADS est identifié après le nom de fichier et un •La commande suivante montre qu'il existe des
signe deux-points, par exemple, Testfile.txt: ADS . données dans le flux de données Testfile.txt: ADS.
•La dernière commande affiche l'ADS du fichier
Testfile.txt car la commande r a été utilisé avec
la© commande dir
2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 15
3.2.5 Processus de démarrage de Windows
Le processus de démarrage s’appuie sur micro logiciel.
Le registre est un enregistrement de tous les paramètres, © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 17
Windows sont stockés dans cette clé, y compris des informations sur les
services qui démarrent à chaque démarrage.
Quel outil est utilisé pour effectuer des entrées manuelles dans le registre ?
R: il est beaucoup plus sûr d'utiliser l' outil Msconfig.exe. Cet outil est
Lors de l'arrêt, l'ordinateur ferme d'abord les applications en mode utilisateur, puis les processus en mode noyau. Si un
processus en mode utilisateur ne répond pas dans un certain laps de temps, le système d'exploitation affichera une
notification et permettra à l'utilisateur d'attendre que l'application réponde ou de forcer la fin du processus. Si un processus
en mode noyau ne répond pas, l'arrêt semblera se bloquer et il peut être nécessaire d'éteindre l'ordinateur avec le
bouton d'alimentation.
Il existe plusieurs façons d'arrêter un ordinateur Windows: les options d'alimentation du menu Démarrer, Marche/Arret, ou
l'utilisation de Ctrl + Alt + Suppr et en cliquant sur l'icône d'alimentation.
Vous avez le choix entre trois options différentes lors de l’arrêt de l’ordinateur:
Hibernate (veille) - Enregistre l'état actuel de l'ordinateur et de l'environnement utilisateur et le stocke dans un
fichier. L'hibernation permet à l'utilisateur de reprendre très rapidement là où il s'était arrêté, avec tous ses fichiers et
programmes toujours ouverts.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 21
3.2.8 Processus, threads et services
Les caractéristiques d’une application Windows ?
Une application Windows (par exemple calculator) est constituée d’un ou
plusieurs processus.
Un processus est tout programme en cours d'exécution. Chaque processus
qui s'exécute est composé d'au moins un thread.
Le thread, ou fil d’exécution en français, est donc un de ces processus et il
permet d’exécuter des instructions de langage machine au sein du processeur.
Pour configurer les processus Windows, recherchez le Gestionnaire des
tâches (voir figure 1)
A retenir sur un threads:
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 26
2.3 – configuration et
surveillance de Windows
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 27
3.3.1 Exécution en tant qu'administrateur
A RETENIR
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 28
3.3.2 Utilisateurs locaux et domaines
A RETENIR
Avancé - Paramètres pour configurer l'espace de noms par défaut © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 31
pour WMI
3.3.5 La commande net
A RETENIR
Pour voir une liste des nombreuses commandes net , tapez net help à
l'invite de commandes. La sortie de la commande affiche les
commandes que la commande net peut utiliser. Pour afficher une aide
détaillée sur l'une des commandes net, tapez C: \ > net help , comme
indiqué ci-dessous.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 32
3.3.6 Le gestionnaire des tâches et le moniteur de ressources
A RETENIR
Le gestionnaire des taches et le moniteur de ressources
fournissent des informations sur les performances de
l'ordinateur, telles que le processeur, la mémoire et
l'utilisation du réseau.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 33
3.3.6 Le gestionnaire des tâches et le moniteur de ressources (suite)
Onglets du gestionnaire de
La description
tâches
Répertorie tous les programmes et processus en cours d'exécution.
Processus Affiche l'utilisation du processeur, de la mémoire, du disque et du réseau de chaque processus.
Les propriétés d'un processus peuvent être examinées ou arrêtées s'il ne se comporte pas correctement ou s'il est bloqué.
Une vue de toutes les statistiques de performances fournit un aperçu utile des performances du processeur, de la
Performance mémoire, du disque et du réseau.
Cliquez sur chaque élément dans le volet gauche pour afficher les statistiques détaillées de cet élément dans le volet droit.
L'utilisation des ressources par application au fil du temps donne un aperçu des applications qui consomment plus de
ressources qu'elles ne le devraient.
Historique des applications
Cliquez sur Options et Afficher l'historique pour tous les processus pour voir l'historique de chaque processus exécuté
depuis le démarrage de l'ordinateur.
Toutes les applications et services qui démarrent au démarrage de l'ordinateur sont affichés dans cet onglet.
Commencez Pour désactiver le démarrage d'un programme au démarrage, cliquez avec le bouton droit sur l'élément et
choisissez Désactiver .
Tous les utilisateurs connectés à l'ordinateur sont affichés dans cet onglet.
Utilisateurs Toutes les ressources utilisées par les applications et processus de chaque utilisateur sont également affichées.
À partir de cet onglet, un administrateur peut déconnecter un utilisateur de l'ordinateur.
Similaire à l'onglet Processus, cet onglet fournit des options de gestion supplémentaires pour les processus telles que la
définition d'une priorité pour que le processeur consacre plus ou moins de temps à un processus.
L'affinité du processeur peut également être définie pour déterminer le cœur ou le processeur qu'un programme utilisera.
Détails
En outre, une fonctionnalité utile appelée Analyser la chaîne d'attente montre tout processus pour lequel un autre
processus attend.
Cette fonction permet de déterminer si un processus est simplement en attente ou est bloqué.
Tous les processus qui utilisent le réseau sont affichés dans cet onglet, avec des statistiques de lecture /
écriture.
Plus important encore, les connexions TCP actuelles sont affichées, ainsi que tous les ports qui écoutent.
Réseau Cet onglet est très utile lorsque vous essayez de déterminer quelles applications et quels processus
communiquent sur le réseau.
Il permet de savoir si un processus non autorisé ©accède
2016 Cisco au
et/ouréseau, écoute
ses filiales. Tous une communication
droits réservés. etdel'adresse
Informations confidentielles Cisco 35 avec
laquelle il communique.
3.3.7 Mise en réseau
L'une des caractéristiques les plus importantes de tout système
d'exploitation est la possibilité pour l'ordinateur de se connecter
à un réseau. Sans cette fonctionnalité, il n'y a pas d'accès aux
ressources du réseau ou à Internet.
A RETENIR
Voici quelques-uns des services fournis par Windows Server: Remarque : bien qu'il existe un Windows
Services réseau - DNS, DHCP, services Terminal Server, contrôleur Server 2000, il est considéré comme une
de réseau et virtualisation de réseau Hyper-V
version client de Windows NT 5.0. Windows
Services de fichiers - SMB, NFS et DFS Server 2003 est un serveur basé sur NT 5.2
Services Web - FTP, HTTP et HTTPS et lance une nouvelle famille de versions de
Windows Server
Gestion - Stratégie de groupe et contrôle des services de domaine
Active Directory
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 38
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 39
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 40
2.4 – Securite de Windows
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 41
3.4.1 La commande netstat
Lorsqu'un logiciel malveillant est présent dans un ordinateur, il ouvre
souvent des ports de communication sur l'hôte pour envoyer et
recevoir des données.
Pour afficher les ID de processus dans le Gestionnaire des tâches, le même nom. Si tel est le cas, utilisez le PID pour
ouvrez le Gestionnaire des tâches, cliquez avec le bouton droit de la trouver le processus correct. Chaque processus
souris sur l'en-tête du tableau et sélectionnez PID.
en cours d'exécution sur l'ordinateur possède un
Rôle de l’analyste de sécurité ? PID unique.
En examinant les connexions TCP actives, un analyste devrait être en
mesure de déterminer s'il existe des programmes suspects qui
écoutent les connexions entrantes sur l'hôte et annuler le processus.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 42
3.4.2 Observateur d'événements
Rôle d'Observateur d'événements Windows ?
R: il enregistre l'historique des événements
d'application, de sécurité et système.
Ces fichiers journaux sont un outil de dépannage
précieux car ils fournissent les informations nécessaires
pour identifier un problème.
Pour ouvrir l'Observateur d'événements, recherchez-le et
cliquez sur l'icône du programme, comme indiqué sur la
figure.
Citer les catégories de journaux Windows ?
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 45
3.4.5 Windows Defender
Rappel
Les logiciels malveillants comprennent les virus, les vers, les
chevaux de Troie, les enregistreurs de frappe, les logiciels
espions et les logiciels publicitaires.
Ceux-ci sont conçus pour envahir la vie privée, voler des
informations, endommager l'ordinateur ou corrompre des
données. Il est important que vous protégiez les ordinateurs et
les appareils mobiles à l'aide d'un logiciel anti-programme
malveillant réputé.
Les types de programmes anti-programme malveillant suivants
sont disponibles:
Protection antivirus - Ce programme surveille en permanence
les virus. Lorsqu'un virus est détecté, l'utilisateur est averti et le
programme tente de mettre en quarantaine ou de supprimer le Protection contre les logiciels espions - Ce
virus. programme recherche les enregistreurs de frappe et
autres logiciels espions
Protection contre les logiciels publicitaires - Ce programme
Sources fiables / non fiables - Ce programme vous
recherche en permanence les programmes qui affichent des
avertit des programmes dangereux sur le point d'être
publicités sur votre ordinateur.
installés ou des sites Web dangereux avant leur visite.
Protection contre le phishing - Ce programme bloque les
adresses IP des sites Web de phishing connus et avertit Pour ouvrir Windows Defender, recherchez-le et
l'utilisateur des sites suspects.. cliquez sur le programme.
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 46
3.4.6 Pare-feu Windows Defender
Description du pare-feu ?
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 48