CA - Module - 3 en FR

Cyberops Associate v1.
Module 3 : Systèmes d'exploitation Windows

M KEUMENI JOSEPH
Instructeur CISCO : IT Essential, CCNA R&S, CCNA Security, CCNA Cyber Security,
CCNP Entreprise, CCNP Concentration
Contact : 677 60 63 98, Email : kjephfr@yahoo·fr
© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 2
3.1 Présentation de Windows
Histoire de Windows 3.1.1 Disque contenant le système d'exploitation
Quel logiciel est utilisé pour lire, écrire et gérer les données sur Disque dur
• Le système d'exploitation
Qu’est-ce qu’un système d'exploitation de disque (DOS) ?
• DOS est un système que l'ordinateur utilise pour permettre aux dispositifs
de stockage de données de lire et d'écrire des fichiers.
Qu’est-ce qu’un système de fichiers ?
• C’est organisation des fichiers d'une manière spécifique sur le disque.
Quelle entreprise a acheté DOS(Disk Operating System) ?
• Microsoft a acheté DOS et développé MS-DOS qui disposait d'une
interface de ligne de commande
• Les premières versions de Windows (Windows 1.0 en 1985) se
composaient d'une interface utilisateur graphique (GUI) exécutée sur MS-
DOS.
Différence entre un DOS et un système d’exploitation moderne ?
• Un système d'exploitation moderne comme Windows 10 n'est pas considéré
comme un système d'exploitation de disque
• il est construit sur Windows NT, qui signifie «nouvelles technologies».
• NT est un système d'exploitation multi-processus et multi-utilisateur. Ceci est
très différent du MS-DOS mono-processus et mono-utilisateur. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 4
Cas pratique sur MS-DOS
Pour découvrir un peu ce que c'était de travailler sous MS-DOS, ouvrez une fenêtre de commande en
tapant cmd dans Windows Search et en appuyant sur Entrée . Le tableau répertorie certaines commandes
que vous pouvez utiliser. Entrez help suivi de la commande pour en savoir plus sur la commande.
3.1.2 Versions de Windows
Combien de versions de Windows NT on été développées
depuis 1993 ?
• il y a eu plus de 20 versions de Windows NT destinées au
grand public et aux entreprises
A partir de quelle version Microsoft a mis sur le marché

une édition de 64 bits ?
• À partir de Windows XP. Le système d'exploitation 64 bits utilise
un espace d'adressage de 64 bits (4 Go de RAM) au lieu d'un
espace d'adressage de 32 bits 16,8 millions de téraoctets.
• En général, les ordinateurs et systèmes d'exploitation 64 bits
sont rétrocompatibles avec les anciens programmes 32 bits,
mais les programmes 64 bits ne peuvent pas être exécutés
sur du matériel 32 bits plus ancien.
Etude sur les différentes éditions de Windows (figure) ?

• Windows 7 était proposé avec six éditions différentes,
• Windows 8 avec jusqu'à cinq
• Windows 10 avec huit éditions différentes!
NB: Microsoft a déclaré que Windows 10 était la dernière version
de Windows et que Windows était devenu un service, les utilisateurs
mettront simplement à jour Windows 10 au lieu d’acheter un nouveau
système d’exploitation.
3.1.3 Interface graphique de Windows
Quel est le rôle d’une interface graphique ?
 Windows propose une interface utilisateur graphique

pour permettre aux utilisateurs d'exploiter le logiciel
et les fichiers de données.
Description de l’interface graphique ?
 La section principale de l'interface utilisateur graphique

est le bureau, qui contient la barre des tâches.
 La barre des tâches comprend le menu Démarrer et

Rechercher, les éléments de lancement rapide et la
zone de notification.
 Un clic droit sur une icône permet d'afficher la liste

supplémentaire des fonctions, appelée menu
contextuel.
 L'Explorateur de fichiers Windows est un outil utilisé

pour naviguer dans le système de fichiers d'un
ordinateur.
3.1.4 Vulnérabilités des systèmes d'exploitation
Origine de la vulnérabilité d’un système d’exploitation (SE) ?
• un SE ou logiciel est constitué de millions de lignes de code, les vulnérabilités viennent des millions de ligne
de code.
Qu’est-ce qu’une vulnérabilité
• C’est une faille ou une faiblesse dans un code qui peut être exploitée par un attaquant pour réduire la viabilité des
informations d'un ordinateur.
Comment procède un hacker ?

• Le hacker doit utiliser une technique ou un outil pour exploiter une vulnérabilité du système d'exploitation.
Pour sécuriser votre ordinateur avec un système d’exploitation Windows, mettez en pratique ces recommandations
Recommandation La description
• Par défaut, Windows utilise Windows Defender pour la protection contre les logiciels
malveillants.
Protection contre les virus ou les
• Windows Defender fournit une suite d'outils de protection intégrés au système.
logiciels malveillants
• Si Windows Defender est désactivé, le système devient plus vulnérable aux
attaques et aux logiciels malveillants.
• Il existe de nombreux services qui fonctionnent dans les coulisses.
• Il est important de s'assurer que chaque service est identifiable et sûr.
Services inconnus ou non gérés
• Avec un service inconnu fonctionnant en arrière-plan, l'ordinateur peut être vulnérable
aux attaques.
3.1.4 Vulnérabilités des systèmes d'exploitation (suite)
• Lorsque les données ne sont pas chiffrées, elles peuvent facilement être
Chiffrement
collectées et exploitées.
• De nombreux paramètres du contrôle de stratégie de sécurité Windows
Politique de sécurité
peuvent empêcher les attaques.
• Il est important de revoir périodiquement les paramètres du pare-feu
Pare-feu pour s'assurer que les règles sont toujours applicables et de
supprimer celles qui ne s'appliquent plus.
• Il est facile de donner le contrôle total au groupe «Tout le monde», mais
cela permet à toutes les personnes de faire ce qu'elles veulent sur tous les
Autorisations de fichier et de partage fichiers.
• Il est préférable de fournir à chaque utilisateur ou groupe les
autorisations minimales nécessaires pour tous les fichiers et dossiers.
•De nombreuses personnes choisissent des mots de passe faibles ou
Mot de passe faible ou inexistant n'utilisent pas du tout de mot de passe. Il faut s’assurer que votre ordinateur
utilise un mot de passe très fort.
•Lorsqu'un utilisateur se connecte en tant qu'administrateur, tout programme
qu'il exécute dispose des privilèges de ce compte.
Connectez-vous en tant
•Il est préférable de se connecter en tant qu'utilisateur standard et
qu'administrateur d'utiliser uniquement le mot de passe administrateur pour accomplir
certaines tâches. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco
9
2.2 – Architecture et
opérations de Windows
3.2.1 Couche HAL (Hardware Abstraction Layer ou couche d'abstraction matérielle)
Observez la figure, et répondez aux questions
 Quelle couche est utilisée pour séparer la
couche matérielle et la couche Noyau du SE ?
R: Couche HAL
 Quelle composant du SE gère l'ensemble des
communications entre le matériel et le noyau du
SE ? R: Couche HAL
 Quel composant du SE contrôle tout
l'ordinateur ? R: La couche noyau est le cœur
du système d'exploitation
 Citer les composants qui sont gérés par le
noyau:
R: Le noyau gère toutes les demandes d'entrée
et de sortie, la mémoire ainsi que tous les
appareils connectés à l'ordinateur.
3.2.2 Mode utilisateur et mode noyau
 Le CPU peut fonctionner dans deux modes différents si Windows est installé. Lesquels ?
R: le mode utilisateur et le mode noyau.
Mode utilisateur Mode noyau
 Exécute toutes les applications installées  Exécute le code du SE installées,
 Les applications exécutées en mode utilisateur n'ont pas  Le code exécuté a un accès illimité au matériel
d'accès direct au matériel ou aux emplacements mémoire  Le code exécute n'importe quelle instruction du processeur
parce qu’elles doivent passer par le noyau du SE pour  Le code exécuté peut référencer directement n'importe quelle
atteindre le matériel adresse mémoire
 Si une application installée se plante, alors le plantage se  Si le code exécuté se plante, alors le fonctionnement de
limité à l'application uniquement et est récupérable. l'ensemble de l'ordinateur est arrêté
 le code du mode utilisateur s'exécute, il reçoit son propre  Tout le code qui s'exécute en mode noyau utilise le même
espace d'adressage restreint par le noyau, ainsi qu'un espace d'adressage
processus créé spécifiquement pour l'application. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 12
3.2.3 Systèmes de fichiers Windows
 Qu’est-ce qu’un système de fichiers ? R: Un système de fichiers est la manière dont les informations sont organisées sur
les supports de stockage.
Système de fichiers
La description
Windows
•FAT est un système de fichiers simple utilisée par de nombreux systèmes d'exploitation différents.
exFAT •FAT est limité par le nombre de partitions, FAT n'est plus utilisé pour les disques durs HD et SSD.
•Il existe deux types de FAT: FAT16 et FAT32 (moins de restrictions que FAT16).
Hierarchical File •HFS+ est Spécifique pour les ordinateurs MAC OS X (gère des noms et des tailles de fichiers, ainsi
System Plus que des tailles de partition). HFS+ n’est pas compatible avec Windows, mais un logiciel spécial
(HFS+) permet a Windows de lire les données des partitions HFS +.
Extended File •EXT est utilisé avec les ordinateurs Linux. EXT n’est pas compatible avec Windows, mais un logiciel
System (EXT) spécial permet a Windows de lire les données des partitions EXT.
•NTFS est le plus couramment utilisé lors de l'installation de Windows. Toutes les versions de
Windows et Linux prennent en charge NTFS.
•Les ordinateurs Mac-OS X ne peuvent lire qu'une partition NTFS. Ils peuvent écrire sur une
partition NTFS après avoir installé des pilotes spéciaux.
New Technology
•NTFS prend en charge les fichiers et les partitions très volumineux
File System (NTFS) •NTFS est également très fiable et prend en charge les fonctionnalités de récupération
•NTFS prend en charge de nombreuses fonctionnalités de sécurité (contrôle d'accès aux donnée, les
autorisations, cryptage du système de fichiers)
3.2.3 Systèmes de fichiers Windows (suite)
Que faut-il faire avant d’utiliser un périphérique de stockage tel qu'un disque ?
R: il doit être formaté avec un système de fichiers (par exemple NTFS).
Que faut-il faire avant qu'un système de fichiers puisse être mis en place sur un périphérique de stockage?
R: le périphérique de stockage doit être partitionné.
Qu’ est-ce qu’ une partition ? R: C’est la division d’un disque dur en plusieurs zones, Chaque partition est une unité de
stockage logique qui peut être formatée pour stocker des informations (des fichiers de données ou des applications).
Le formatage NTFS crée des structures importantes sur le disque pour le stockage des fichiers et des tableaux pour
enregistrer les emplacements des fichiers: lesquels ?
 Partition Boot Sector - Il s'agit des 16 premiers secteurs du lecteur. Il contient l'emplacement de la table de fichiers
maîtres (MFT). Les 16 derniers secteurs contiennent une copie du secteur d'amorçage.
 Table de fichiers maîtres (MFT) - Cette table contient les emplacements de tous les fichiers et répertoires sur la
partition, y compris les attributs de fichier tels que les informations de sécurité et les horodatages.
 Fichiers système - Ce sont des fichiers cachés qui stockent des informations sur d'autres volumes et attributs de fichier.
 Zone de fichiers - La zone principale de la partition où les fichiers et répertoires sont stockés.
Remarque : lors du formatage d'une partition, les données précédentes peuvent toujours être récupérables car toutes les
données ne sont pas complètement supprimées. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 14
3.2.4 Flux de données alternatifs
Comment NTFS stocke les fichiers ?
R: NTFS stocke les fichiers sous la forme d'une série d'attributs, tels
que le nom du fichier ou un horodatage.
Ou sont stockées les données que contient le fichier ?
R: Les données sont stockées dans l'attribut $ DATA et sont appelées

flux de données.
Pourquoi est-il conseillé de connecter des flux de données alternatifs

(ADS) au fichier ?
R: parce qu’il est facile de masquer des données dans un ADS. Afin d’
éviter qu’un attaquant stocke un code malveillant dans un ADS qui Analyse de la figure ?
pourrait alors être appelé à partir d'un autre fichier. •La première commande place le texte «Alternate
Data Here» dans un ADS du fichier Testfile.txt appelé
Comment identifier un fichier avec un ADS dans le système de fichiers «ADS».
NTFS ? (observez la figure) •Après cela, dir , indique que le fichier a été créé, mais
que l'ADS n'est pas visible.
R: un fichier avec un ADS est identifié après le nom de fichier et un •La commande suivante montre qu'il existe des
signe deux-points, par exemple, Testfile.txt: ADS . données dans le flux de données Testfile.txt: ADS.
•La dernière commande affiche l'ADS du fichier
Testfile.txt car la commande r a été utilisé avec
la© commande dir
2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 15
3.2.5 Processus de démarrage de Windows
 Le processus de démarrage s’appuie sur micro logiciel.
 Il existe deux types de micrologiciels : BIOS (Basic Input-

Output System) crée dans les années 1980 et UEFI (Unified
Extended Firmware Interface) qui a été conçu pour remplacer
le BIOS afin de prendre en charge les nouvelles
fonctionnalités.
 Processus: la phase d'initialisation du BIOS. Initialisation des

périphériques matériels et un auto-test de mise sous tension
(POST) est effectué pour s'assurer que tous ces
périphériques communiquent. Lorsque le disque système
est découvert, le POST se termine. La dernière instruction
du POST est de rechercher le Master Boot Record (MBR).
 Le MBR contient un petit programme le bootmgr.exe qui est

chargé de localiser et de charger le système
d'exploitation. Le BIOS exécute ce code et le système
d'exploitation commence à se charger. Remarque : un ordinateur qui utilise UEFI stocke le code
de démarrage dans le micrologiciel. Cela permet
 Contrairement au micrologiciel du BIOS, le micrologiciel UEFI
offre une grande visibilité sur le processus de d'augmenter la sécurité de l'ordinateur au moment du
démarrage. UEFI démarre en chargeant des fichiers de démarrage, car l'ordinateur passe directement en
programme EFI, stockés sous forme de fichiers .efi dans
une partition de disque spéciale, connue sous le nom de EFI mode protégé
System Partition (ESP).

3.2.5 Processus de démarrage de Windows (suite)
Fonctionnement de Bootmgr.exe ?
 Après avoir localisé une installation Windows valide par le MBR,

le fichier Bootmgr.exe est exécuté.
 Bootmgr.exe fait passer le système du mode réel au mode

protégé afin que toute la mémoire système puisse être utilisée.
 Bootmgr.exe lit la BCD (Boot Configuration Database).
 Le BCD contient tout code supplémentaire qui permet de

déterminer si l'ordinateur sort de l'hibernation (veille) ou s'il s'agit
d'un démarrage à froid.
 Si l'ordinateur sort de l'hibernation, le processus de démarrage se

poursuit avec Winresume.exe . Cela permet à l'ordinateur de lire
le fichier Hiberfil.sys qui contient l'état de l'ordinateur lorsqu'il a été
mis en veille prolongée.
 Si l'ordinateur est démarré à partir d'un démarrage à froid, le fichier

Winload.exe est chargé.
 Le fichier Winload.exe crée un enregistrement de la

configuration matérielle dans le registre.
 Le registre est un enregistrement de tous les paramètres, © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 17
options, matériels et logiciels de l'ordinateur.

3.2.5 Processus de démarrage de Windows (suite)
Fonctionnement de Bootmgr.exe ?
 Winload.exe utilise également la KMCS (Kernel Mode Code

Signing ou signature de code en mode noyau) pour s'assurer
que tous les pilotes sont signés numériquement. Cela garantit
que les pilotes peuvent être chargés en toute sécurité au
démarrage de l'ordinateur.
 Après avoir été examiné les
pilotes, Winload.exe exécute Ntoskrnl.exe qui démarre le

noyau Windows et définit le HAL.
 Enfin, SMSS (Session Manager Subsystem ou sous-système du
gestionnaire de session) lit le registre pour créer

l'environnement utilisateur, démarrer le service Winlogon et
préparer le bureau de chaque utilisateur lors de sa connexion.
3.2.6 Démarrage et arrêt de Windows
Citer les deux éléments de registre importants qui sont utilisés pour démarrer
automatiquement des applications et des services:
 HKEY _ LOCAL _ MACHINE - Plusieurs aspects de la configuration de
Windows sont stockés dans cette clé, y compris des informations sur les
services qui démarrent à chaque démarrage.
 HKEY _ COURANT _ UTILISATEUR - Plusieurs aspects liés à

l'utilisateur connecté sont stockés dans cette clé, y compris
des informations sur les services qui commencent uniquement lorsque
l'utilisateur se connecte sur l'ordinateur.
 Quel outil est utilisé pour effectuer des entrées manuelles dans le registre ?
 R: il est beaucoup plus sûr d'utiliser l' outil Msconfig.exe. Cet outil est
utilisé pour afficher et modifier toutes les options de démarrage de

l'ordinateur. Utilisez la zone de recherche pour trouver et ouvrir l'outil
Msconfig.
3.2.6 Démarrage et arrêt de Windows (suite)
L'outil Msconfig ouvre la fenêtre de configuration du système. Il existe cinq
onglets contenant les options de configuration.
General : Trois types de démarrage différents peuvent être choisis ici. Normal
charge tous les pilotes et services. Le diagnostic ne charge que les pilotes
et services de base. Selective permet à l'utilisateur de choisir ce qu'il doit
charger au démarrage.
Démarrage : Tout système d'exploitation installé peut être choisi ici pour
démarrer. Il existe également des options pour le démarrage sécurisé, qui est
utilisé pour dépanner le démarrage.
Prestations de service : Tous les services installés sont répertoriés ici afin
de pouvoir être choisis pour démarrer au démarrage
Commencer : Toutes les applications et services configurés pour démarrer
automatiquement au démarrage peuvent être activés ou désactivés en
ouvrant le gestionnaire de tâches à partir de cet onglet.
Outils : De nombreux outils courants du système d'exploitation peuvent être
lancés directement à partir de cet onglet. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 20
3.2.7 Arrêt de Windows
Les recommandations pour arrêter Windows?
 Il faut toujours fermer les fichiers laissés ouverts, les services et les applications afin d’ éviter d’endommager le système
d'exploitation.
 Lors de l'arrêt, l'ordinateur ferme d'abord les applications en mode utilisateur, puis les processus en mode noyau. Si un
processus en mode utilisateur ne répond pas dans un certain laps de temps, le système d'exploitation affichera une
notification et permettra à l'utilisateur d'attendre que l'application réponde ou de forcer la fin du processus. Si un processus
en mode noyau ne répond pas, l'arrêt semblera se bloquer et il peut être nécessaire d'éteindre l'ordinateur avec le
bouton d'alimentation.
 Il existe plusieurs façons d'arrêter un ordinateur Windows: les options d'alimentation du menu Démarrer, Marche/Arret, ou
l'utilisation de Ctrl + Alt + Suppr et en cliquant sur l'icône d'alimentation.
Vous avez le choix entre trois options différentes lors de l’arrêt de l’ordinateur:
 Shutdown - Éteint l'ordinateur (mise hors tension).
 Redémarrer - Redémarre l'ordinateur (mise hors tension et sous tension).
 Hibernate (veille) - Enregistre l'état actuel de l'ordinateur et de l'environnement utilisateur et le stocke dans un
fichier. L'hibernation permet à l'utilisateur de reprendre très rapidement là où il s'était arrêté, avec tous ses fichiers et
programmes toujours ouverts.
3.2.8 Processus, threads et services
Les caractéristiques d’une application Windows ?
 Une application Windows (par exemple calculator) est constituée d’un ou
plusieurs processus.
 Un processus est tout programme en cours d'exécution. Chaque processus
qui s'exécute est composé d'au moins un thread.
 Le thread, ou fil d’exécution en français, est donc un de ces processus et il
permet d’exécuter des instructions de langage machine au sein du processeur.
 Pour configurer les processus Windows, recherchez le Gestionnaire des
tâches (voir figure 1)
A retenir sur un threads:
 Tous les threads dédiés à un processus sont contenus dans le même

espace d'adressage. Cela signifie que ces threads ne peuvent accéder à
l'espace d'adressage d'aucun autre processus. Cela empêche la corruption
d'autres processus. Le nombre de threads pouvant être exécutés en même
temps dépend du nombre de processeurs de l'ordinateur.
Qu’est ce qu’un service Windows ?
 Les services sont des programmes qui s'exécutent en arrière-plan pour

prendre en charge le système d'exploitation et les applications. Ils peuvent
être configurés pour démarrer automatiquement ou manuellement. Ils peuvent
également être arrêtés, redémarrés ou désactivés.
 Pour configurer les services Windows, recherchez des services. L'applet du
panneau de configuration des services Windows est illustré dans la figure 2.
3.2.9 Allocation de mémoire et handles (manipulations)
Un ordinateur fonctionne en stockant des instructions dans la
RAM jusqu'à ce que le processeur les traite
Qu’est-ce qu’un espace d'adressage d’un processus ?
 R: C’est un ensemble d'adresses virtuelles utilisables par le
processus. L'adresse virtuelle n'est pas l'emplacement
physique réel en mémoire, mais une entrée dans une table
de pages utilisée pour traduire l'adresse virtuelle en adresse
physique.
A RETENIR
 Chaque processus d'un ordinateur Windows 32 bits prend
en charge un espace d'adressage virtuel de 4 gigaoctets
maximum.
 Un outil puissant pour visualiser l'allocation de
 Chaque processus d'un ordinateur Windows 64 bits prend
mémoire est RAMMap, qui est montré dans la figure.
en charge un espace d'adressage virtuel de 8 téraoctets.
 RAMMap fait partie de la suite d'outils Windows
 Chaque processus de l'espace utilisateur s'exécute dans un Sysinternals. Il peut être téléchargé à partir de
espace d'adressage privé, séparé des autres processus de Microsoft.
l'espace utilisateur.  RAMMap fournit une mine d'informations sur la
manière dont Windows a alloué la mémoire système
au noyau, aux processus, aux pilotes et aux
applications.
3.2.10 Registre Windows
A RETENIR
 Les informations relatives aux paramètres du matériel, des

applications, des utilisateurs et du système sont stockées
dans une grande base de données appelée le Registre.
 Le registre est une base de données hiérarchique dont le

niveau le plus élevé est appelé « ruche », et dont les niveaux
inférieurs sont appelés clés ou sous-clés, respectivement.
 Retenez les cinq ruches du Registre Windows :
• HKEY_CURRENT_USER (HKCU) : cette ruche contient des

données sur l'utilisateur actuellement connecté.
• HKEY_USERS (HKU) : cette ruche contient des données sur tous
les comptes d'utilisateur sur l'ordinateur hôte.
• HKEY_CLASSES_ROOT (HKCR) : cette ruche contient des
données sur la liaison et l'incorporation d'enregistrements
A RETENIR SUR LE NIVEAU INFERIEUR DU REGISTRE
(OLE). Les clés de registre peuvent contenir une sous-clé ou une
valeur. Les différentes valeurs que les clés peuvent contenir
• HKEY_LOCAL_MACHINE (HKLM) : cette ruche contient des sont les suivantes:
données liées au système.
•REG _ BINARY - Nombres ou valeurs booléennes
• HKEY_CURRENT_CONFIG (HKCC) : cette ruche contient des •REG _ DWORD - Nombres supérieurs à 32 bits ou données
données sur le profil matériel actuel. brutes
•REG _ SZ - Valeurs de chaîne
 La navigation est similaire à celle de l'Explorateur de fichiers
Windows.
Vérifiez votre compréhension - Identifiez la ruche du registre Windows
2.3 – configuration et
surveillance de Windows
3.3.1 Exécution en tant qu'administrateur
A RETENIR
 Vous devrez parfois exécuter ou installer un logiciel qui exige

des privilèges d'administrateur.
 Utilisez l'option « Exécuter en tant qu'administrateur » ou

ouvrez une invite de commande d'administrateur.
Procédure Exécuter en tant qu'administrateur
 Cliquez avec le bouton droit sur la commande dans

l'Explorateur de fichiers Windows et choisissez Exécuter en tant
qu'administrateur dans le menu contextuel.
Procédure invite de commande d'administrateur
 Recherchez la commande , cliquez avec le bouton droit sur le

fichier exécutable et choisissez Exécuter en tant
qu'administrateur dans le menu contextuel. Chaque commande
exécutée à partir de cette ligne de commande sera exécutée
avec les privilèges d'administrateur, y compris l'installation du
logiciel.
3.3.2 Utilisateurs locaux et domaines
A RETENIR
 Lorsque vous démarrez un nouvel ordinateur pour la première fois

ou que vous installez Windows, vous serez invité à créer un
compte d'utilisateur.
 Ceci est connu comme un utilisateur local. Ce compte contiendra
tous vos paramètres de personnalisation, autorisations d'accès,
emplacements de fichiers et de nombreuses autres données
spécifiques à l'utilisateur.
 Il existe également deux autres comptes présents, l'invité et
l'administrateur. Ces deux comptes sont désactivés par défaut.
 Les utilisateurs et les groupes locaux sont gérés à l'aide de
l'applet lusrmgr.msc du panneau de configuration.
 Un groupe possède un nom et dispose d'un ensemble
d'autorisations spécifiques. Un utilisateur placé dans un groupe
reçoit les autorisations de ce groupe.
 Un domaine est un type de service de réseau où tous les  Chaque utilisateur et ordinateur du domaine doit
utilisateurs, les groupes, les ordinateurs, les périphériques et
les paramètres de sécurité sont stockés dans une base de s'authentifier auprès du contrôleur de domaine
données et sont contrôlés par celle-ci. pour se connecter et accéder aux ressources
• Cette base de données est stockée sur des ordinateurs ou des
groupes d'ordinateurs appelés contrôleurs de domaine (DC). réseau
3.3.3 Interface de ligne de commande et PowerShell
A RETENIR
 L'interface de ligne de commande Windows permet d'exécuter des

programmes, de parcourir le système de fichiers et de gérer les
fichiers et les dossiers.
 De plus, des fichiers appelés fichiers batch peuvent être créés pour
exécuter plusieurs commandes successivement, un peu comme un
script de base.
 Pour ouvrir l'interface de ligne de commande Windows,
recherchez cmd.exe et cliquez sur le programme.
 Même si la CLI possède de nombreuses commandes et fonctionnalités,
elle ne peut pas fonctionner avec le cœur de Windows ou
l'interface graphique. Un autre environnement, appelé Windows
PowerShell, peut être utilisé pour créer des scripts afin
d'automatiser des tâches que la CLI standard ne peut pas créer
 PowerShell est un programme intégré à Windows et peut être ouvert Il existe quatre niveaux d'aide dans Windows
en recherchant «powershell» et en cliquant sur le programme. PowerShell:
Voici les types de commandes que PowerShell peut exécuter: •Commande get-help PS - Affiche l'aide de base pour
• applets de commande - Ces commandes exécutent une action et une commande
renvoient une sortie ou un objet à la commande suivante qui sera •Commande get-help PS [ - examples ] - Affiche l'aide
exécutée. de base pour une commande avec des exemples
• Scripts PowerShell - Ce sont des fichiers avec une extension .ps1 qui
•Commande get-help PS [ - détaillée ] - Affiche une
contiennent des commandes PowerShell qui sont exécutées.
• Fonctions PowerShell - Ce sont des morceaux de code qui peuvent
aide détaillée pour une commande avec des exemples
être référencés dans un script •Commande get-help
© 2016 Cisco et/ou PS
ses filiales. Tous droits[réservés.
- fullInformations
] - Affiche toutes
confidentielles les 30
de Cisco
informations d'aide pour une commande

3.3.4 Windows Management Instrumentation
A RETENIR
 Windows Management Instrumentation (WMI) est utilisé pour gérer

les ordinateurs distants.
 Il peut récupérer des informations sur les composants informatiques,

les statistiques matérielles et logicielles et surveiller la santé
des ordinateurs distants.
 Pour ouvrir le contrôle WMI à partir du Panneau de configuration,

double-cliquez sur Outils d'administration > Gestion de
l'ordinateur pour ouvrir la fenêtre Gestion de l'ordinateur, développez
l' arborescence Services et applications et cliquez avec le bouton
droit sur l' icône Contrôle WMI > Propriétés .
Voici les quatre onglets de la fenêtre Propriétés du contrôle WMI:
 Général - Informations récapitulatives sur l'ordinateur local et WMI
 Sauvegarde / Restauration - Permet une sauvegarde manuelle

des statistiques recueillies par WMI
 Sécurité - Paramètres pour configurer qui a accès aux différentes

statistiques WMI
 Avancé - Paramètres pour configurer l'espace de noms par défaut © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 31
pour WMI
3.3.5 La commande net
A RETENIR
 Windows a de nombreuses commandes qui peuvent être saisies sur la

ligne de commande. Une commande importante est la commande net ,
qui est utilisée dans l'administration et la maintenance du système
d'exploitation.
 Pour voir une liste des nombreuses commandes net , tapez net help à
l'invite de commandes. La sortie de la commande affiche les
commandes que la commande net peut utiliser. Pour afficher une aide
détaillée sur l'une des commandes net, tapez C: \ > net help , comme
indiqué ci-dessous.
3.3.6 Le gestionnaire des tâches et le moniteur de ressources
A RETENIR
 Le gestionnaire des taches et le moniteur de ressources
fournissent des informations sur les performances de
l'ordinateur, telles que le processeur, la mémoire et
l'utilisation du réseau.
 Ces outils sont particulièrement utiles pour enquêter sur un

problème où un malware est suspecté. Lorsqu'un
composant ne fonctionne pas comme il se doit, ces outils
peuvent être utilisés pour déterminer la nature du problème.
Gestionnaire des tâches

 Le Gestionnaire des tâches, qui est illustré dans la figure,
fournit de nombreuses informations sur le logiciel en cours
d'exécution et les performances générales de l'ordinateur.
3.3.6 Le gestionnaire des tâches et le moniteur de ressources (suite)
Onglets du gestionnaire de
La description
tâches
 Répertorie tous les programmes et processus en cours d'exécution.
Processus  Affiche l'utilisation du processeur, de la mémoire, du disque et du réseau de chaque processus.
 Les propriétés d'un processus peuvent être examinées ou arrêtées s'il ne se comporte pas correctement ou s'il est bloqué.
 Une vue de toutes les statistiques de performances fournit un aperçu utile des performances du processeur, de la
Performance mémoire, du disque et du réseau.
 Cliquez sur chaque élément dans le volet gauche pour afficher les statistiques détaillées de cet élément dans le volet droit.
 L'utilisation des ressources par application au fil du temps donne un aperçu des applications qui consomment plus de
ressources qu'elles ne le devraient.
Historique des applications
 Cliquez sur Options et Afficher l'historique pour tous les processus pour voir l'historique de chaque processus exécuté
depuis le démarrage de l'ordinateur.
 Toutes les applications et services qui démarrent au démarrage de l'ordinateur sont affichés dans cet onglet.
Commencez  Pour désactiver le démarrage d'un programme au démarrage, cliquez avec le bouton droit sur l'élément et
choisissez Désactiver .
 Tous les utilisateurs connectés à l'ordinateur sont affichés dans cet onglet.
Utilisateurs  Toutes les ressources utilisées par les applications et processus de chaque utilisateur sont également affichées.
 À partir de cet onglet, un administrateur peut déconnecter un utilisateur de l'ordinateur.
 Similaire à l'onglet Processus, cet onglet fournit des options de gestion supplémentaires pour les processus telles que la
définition d'une priorité pour que le processeur consacre plus ou moins de temps à un processus.
 L'affinité du processeur peut également être définie pour déterminer le cœur ou le processeur qu'un programme utilisera.
Détails
 En outre, une fonctionnalité utile appelée Analyser la chaîne d'attente montre tout processus pour lequel un autre
processus attend.
 Cette fonction permet de déterminer si un processus est simplement en attente ou est bloqué.
 Tous les services chargés sont affichés dans cet onglet.

Prestations de service  L'ID de processus (PID) et une brève description sont également affichés avec l'état en cours ou arrêté.
 En bas, il y a un bouton pour ouvrir la console Services qui ©offre uneet/ou
2016 Cisco gestion supplémentaire
ses filiales. des services.
Tous droits réservés. Informations confidentielles de Cisco 34
3.3.6 Le gestionnaire des tâches et le moniteur de ressources (suite)
Moniteur de ressources
Lorsque des informations plus détaillées sur l'utilisation des ressources sont nécessaires, vous pouvez utiliser le moniteur de
ressources, comme illustré dans la figure. Lors de la recherche de la raison pour laquelle un ordinateur peut agir de manière
erratique, le moniteur de ressources peut aider à trouver la source du problème.
Onglets du moniteur de ressources La description
 L'onglet affiche l'utilisation générale de chaque ressource.
Aperçu  Si vous sélectionnez un seul processus, il sera filtré sur tous les onglets pour n'afficher que les statistiques de ce
processus.
 Le PID, le nombre de threads, le processeur utilisé par le processus et l'utilisation moyenne du processeur de
chaque processus sont affichés.
CPU
 Des informations supplémentaires sur tous les services sur lesquels le processus s'appuie, ainsi que sur les
descripteurs et modules associés, peuvent être consultées en développant les lignes inférieures.
 Toutes les informations statistiques sur la façon dont chaque processus utilise la mémoire sont affichées dans cet
Mémoire onglet.
 En outre, un aperçu de l'utilisation de toute la RAM est affiché sous la ligne Processus.
 Tous les processus qui utilisent un disque sont affichés dans cet onglet, avec des statistiques de lecture / écriture
Disque
et une vue d'ensemble de chaque périphérique de stockage.
 Tous les processus qui utilisent le réseau sont affichés dans cet onglet, avec des statistiques de lecture /
écriture.
 Plus important encore, les connexions TCP actuelles sont affichées, ainsi que tous les ports qui écoutent.
Réseau  Cet onglet est très utile lorsque vous essayez de déterminer quelles applications et quels processus
communiquent sur le réseau.
 Il permet de savoir si un processus non autorisé ©accède
2016 Cisco au
et/ouréseau, écoute
ses filiales. Tous une communication
droits réservés. etdel'adresse
Informations confidentielles Cisco 35 avec
laquelle il communique.
3.3.7 Mise en réseau
L'une des caractéristiques les plus importantes de tout système
d'exploitation est la possibilité pour l'ordinateur de se connecter
à un réseau. Sans cette fonctionnalité, il n'y a pas d'accès aux
ressources du réseau ou à Internet.
A RETENIR
 Le centre Réseau et partage permet de configurer et de tester

les propriétés du réseau Windows. Le moyen le plus simple
d'exécuter cet outil est de le rechercher et de cliquer dessus.
 Pour configurer une carte réseau, choisissez Modifier les

paramètres de la carte dans le Centre de mise en réseau et de
partage pour afficher toutes les connexions réseau disponibles.
 Vous pouvez aussi utiliser l'outil netsh.exe pour configurer les

paramètres du réseau depuis une invite de commande.
 Pour tester la carte réseau proprement dite, tapez ping 127.0.0.1

à l'invite de commande.
 Le système de noms de domaine (DNS) doit également être testé

à l'aide de la commande nslookup.
 Tapez netstat à l'invite de commande pour afficher les détails

des connexions réseau actives. Figure 2. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 36
3.3.8 Accès aux ressources réseau
Quel protocole est utilisé par Windows pour partager les ressources ?
R: SMB (Server Message Block) développé à l'origine par IBM, SMB est
principalement utilisé pour accéder aux fichiers sur des hôtes distants. Le
format UNC (Universal Naming Convention) est utilisé pour se connecter
aux ressources, par exemple: \\servername\sharename\file ou
\ \ nom_serveur \ nom_partage \ fichier
nom_serveur : un nom DNS, un nom NetBIOS ou une adresse IP, le
nom_partage : C’est la racine du dossier dans le système de fichiers sur
l'hôte distant, tandis que le fichier est la ressource que l'hôte local tente de
trouver.
Citer les deux types de partage de Windows ?
 Partage de l’utilisateur: partages crées par l’utilisateur
 Partage administratif : partages spéciaux créés automatiquement par
Windows. Un partage administratif est identifié par le signe dollar ($) qui Remarque : Étant donné que RDP est conçu pour
vient après le nom du partage. Par exemple C $, D $ ou E $. Seuls les permettre aux utilisateurs distants de contrôler
utilisateurs disposant de privilèges administratifs peuvent accéder à ces des hôtes individuels, il s'agit d'une cible
partages. naturelle pour les acteurs de la menace.
Des précautions doivent être prises pour limiter
Quel protocole est utilisé pour accéder a un ordinateur distant ?
l'exposition de RDP à Internet, et des approches
 Le protocole RDP (Remote Desktop Protocol) permet de se connecter à de sécurité et des politiques de contrôle d'accès,
un hôte distant et d'apporter des modifications de configuration, d'installer telles que Zero Trust, doivent être utilisées pour
un logiciel ou de résoudre des problèmes. © 2016 limiter l'accès
Cisco et/ou ses filiales. Tousaux hôtesInformations
droits réservés. internes.confidentielles de Cisco 37
3.3.9 Windows Server
 Il existe une autre édition de Windows qui est principalement utilisée
dans les centres de données appelée Windows Server. Il s'agit
d'une famille de produits Microsoft qui a débuté avec Windows
Server 2003.
 Windows Server héberge de nombreux services différents et peut

remplir différents rôles au sein d'une entreprise.
Voici quelques-uns des services fournis par Windows Server: Remarque : bien qu'il existe un Windows
 Services réseau - DNS, DHCP, services Terminal Server, contrôleur Server 2000, il est considéré comme une
de réseau et virtualisation de réseau Hyper-V
version client de Windows NT 5.0. Windows
 Services de fichiers - SMB, NFS et DFS Server 2003 est un serveur basé sur NT 5.2
 Services Web - FTP, HTTP et HTTPS et lance une nouvelle famille de versions de
Windows Server
 Gestion - Stratégie de groupe et contrôle des services de domaine
Active Directory
2.4 – Securite de Windows
3.4.1 La commande netstat
Lorsqu'un logiciel malveillant est présent dans un ordinateur, il ouvre
souvent des ports de communication sur l'hôte pour envoyer et
recevoir des données.
La commande netstat peut être utilisée pour rechercher des

connexions entrantes ou sortantes qui ne sont pas autorisées.
 Pour faciliter ce processus, vous pouvez lier les connexions aux

processus en cours d'exécution qui les ont créées dans le
Gestionnaire des tâches.
 Pour ce faire, ouvrez une invite de commande avec des privilèges

administratifs et entrez la commande netstat -abno , comme indiqué
dans la sortie de la commande  Plusieurs processus peuvent être répertoriés avec
 Pour afficher les ID de processus dans le Gestionnaire des tâches, le même nom. Si tel est le cas, utilisez le PID pour
ouvrez le Gestionnaire des tâches, cliquez avec le bouton droit de la trouver le processus correct. Chaque processus
souris sur l'en-tête du tableau et sélectionnez PID.
en cours d'exécution sur l'ordinateur possède un
Rôle de l’analyste de sécurité ? PID unique.
 En examinant les connexions TCP actives, un analyste devrait être en
mesure de déterminer s'il existe des programmes suspects qui
écoutent les connexions entrantes sur l'hôte et annuler le processus.
3.4.2 Observateur d'événements
Rôle d'Observateur d'événements Windows ?
 R: il enregistre l'historique des événements
d'application, de sécurité et système.
 Ces fichiers journaux sont un outil de dépannage
précieux car ils fournissent les informations nécessaires
pour identifier un problème.
 Pour ouvrir l'Observateur d'événements, recherchez-le et
cliquez sur l'icône du programme, comme indiqué sur la
figure.
Citer les catégories de journaux Windows ?
 Windows comprend deux catégories de journaux

d'événements: les journaux Windows et les journaux
des applications et des services.
 Chacune de ces catégories a plusieurs types de

journaux. Les événements affichés dans ces journaux ont Remarque : Une vue personnalisée intégrée appelée
un niveau: information, avertissement, erreur ou
critique. Ils ont également la date et l'heure auxquelles Événements d'administration répertorie les événements des
l'événement s'est produit, ainsi que la source de niveaux Critique, Erreur et Avertissement de tous les journaux
l'événement et un identifiant qui se rapporte à ce type
d'événement. Les journaux des événements de sécurité administratifs
se trouvent sous Journaux Windows. Ils utilisent des ID
d'événement pour identifier le type d'événement © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 43
3.4.3 Gestion de Windows Update
A RETENIR
 Aucun logiciel n'est parfait et le système d'exploitation Windows ne
fait pas exception. Les attaquants proposent constamment de
nouvelles façons de compromettre les ordinateurs et d'exploiter le
mauvais code. Les attaques zero-day surviennent si rapidement
que les défenses contre elles n'ont pas encore été conçues et
distribuées.
 Microsoft et les développeurs de logiciels de sécurité essaient
toujours de garder une longueur d'avance sur les attaquants, mais ils
ne réussissent pas toujours.
 Pour garantir le plus haut niveau de protection contre ces attaques,
 Pour configurer les paramètres de Windows
assurez-vous toujours que Windows est à jour avec les derniers
Update, recherchez l'application Windows Update
Service Packs et correctifs de sécurité.
et cliquez dessus.
 Windows vérifie régulièrement si le site Web de Windows Update
contient des mises à jour cruciales qui peuvent contribuer à la
protection d'un ordinateur contre les menaces les plus récentes. © 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 44
3.4.4 Politique de sécurité locale
Définition politique de sécurité ?
 Une politique de sécurité est un ensemble d'objectifs qui assure la
sécurité d'un réseau, des données et des systèmes informatiques d'une
organisation.
 La politique de sécurité est un document en constante évolution basé sur
les changements dans la technologie, les besoins des entreprises et des
employés.
Utilisation de la politique de sécurité ?
 Généralement, les ordinateurs qui appartiennent au domaine, reçoivent une
stratégie de sécurité de domaine qui s'applique à tous les ordinateurs qui
rejoignent le domaine
 Les stratégies de compte sont automatiquement définies lorsqu'un utilisateur
se connecte à un ordinateur membre d'un domaine.
 La stratégie de sécurité locale Windows, illustrée dans la figure, peut être
utilisée pour les ordinateurs autonomes qui ne font pas partie d'un
domaine Active Directory. Pour ouvrir l'applet de stratégie de sécurité locale,
recherchez la stratégie de sécurité locale et cliquez sur le programme. Vous pouvez configurer les droits d'utilisateur,
 L'option Politique de mot de passe, située sous Stratégies de comptes, les règles de pare-feu et même la possibilité
définit les critères des mots de passe pour tous les utilisateurs sur l'ordinateur de restreindre les fichiers que les utilisateurs
local. ou les groupes sont autorisés à exécuter avec
 Utilisez l'option Politique de verrouillage du compte du paramètre Stratégies AppLocker.
de comptes pour éviter toute tentative de connexion forcée
3.4.5 Windows Defender
Rappel
 Les logiciels malveillants comprennent les virus, les vers, les
chevaux de Troie, les enregistreurs de frappe, les logiciels
espions et les logiciels publicitaires.
 Ceux-ci sont conçus pour envahir la vie privée, voler des
informations, endommager l'ordinateur ou corrompre des
données. Il est important que vous protégiez les ordinateurs et
les appareils mobiles à l'aide d'un logiciel anti-programme
malveillant réputé.
Les types de programmes anti-programme malveillant suivants
sont disponibles:
 Protection antivirus - Ce programme surveille en permanence
les virus. Lorsqu'un virus est détecté, l'utilisateur est averti et le
programme tente de mettre en quarantaine ou de supprimer le  Protection contre les logiciels espions - Ce
virus. programme recherche les enregistreurs de frappe et
autres logiciels espions
 Protection contre les logiciels publicitaires - Ce programme
 Sources fiables / non fiables - Ce programme vous
recherche en permanence les programmes qui affichent des
avertit des programmes dangereux sur le point d'être
publicités sur votre ordinateur.
installés ou des sites Web dangereux avant leur visite.
 Protection contre le phishing - Ce programme bloque les
adresses IP des sites Web de phishing connus et avertit  Pour ouvrir Windows Defender, recherchez-le et
l'utilisateur des sites suspects.. cliquez sur le programme.
3.4.6 Pare-feu Windows Defender
Description du pare-feu ?
 Un pare-feu refuse de manière sélective le trafic vers un

ordinateur ou un segment de réseau.
 Les pare-feu fonctionnent généralement en ouvrant et en

fermant les ports utilisés par diverses applications.
 En ouvrant uniquement les ports requis sur un pare-feu, vous

implémentez une politique de sécurité restrictive. Tout paquet
non explicitement autorisé est refusé.
 En revanche, une politique de sécurité permissive autorise

l'accès via tous les ports, à l'exception de ceux explicitement
 Si vous souhaitez utiliser un autre pare-feu logiciel,
refusés..
vous devrez désactiver le pare-feu Windows. Pour
 Pour autoriser l'accès au programme via le pare-feu Windows
désactiver le pare-feu Windows, cliquez sur Activer
Defender, recherchez les panneaux de ou désactiver le pare-feu Windows
configuration . Sous Systèmes et sécurité , recherchez  De nombreux paramètres supplémentaires peuvent
le Pare-feu Windows Defender . Cliquez sur Autoriser une être trouvés sous Paramètres avancés . Ici, vous
application ou une fonctionnalité via le pare - feu Windows pouvez créer des règles de trafic entrant ou sortant
Defender , comme illustré dans la figure. en fonction de différents critères.
 Vous pouvez également importer et exporter des
stratégies ou surveiller différents aspects du pare-
feu.© 2016 Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco 47
3.4.7 Vérifiez votre compréhension - Identifiez l'outil Windows

CA - Module - 3 en FR

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

CA - Module - 3 en FR

Transféré par

Droits d'auteur :

Formats disponibles

Cyberops Associate v1.

Module 3 : Systèmes d'exploitation Windows

A partir de quelle version Microsoft a mis sur le marché

Etude sur les différentes éditions de Windows (figure) ?

 Windows propose une interface utilisateur graphique

Description de l’interface graphique ?

 La section principale de l'interface utilisateur graphique

 La barre des tâches comprend le menu Démarrer et

 Un clic droit sur une icône permet d'afficher la liste

 L'Explorateur de fichiers Windows est un outil utilisé

Comment procède un hacker ?

Mode utilisateur Mode noyau

 Exécute toutes les applications installées  Exécute le code du SE installées,

atteindre le matériel adresse mémoire

limité à l'application uniquement et est récupérable. l'ensemble de l'ordinateur est arrêté

espace d'adressage restreint par le noyau, ainsi qu'un espace d'adressage

R: il doit être formaté avec un système de fichiers (par exemple NTFS).

R: le périphérique de stockage doit être partitionné.

Ou sont stockées les données que contient le fichier ?

R: Les données sont stockées dans l'attribut $ DATA et sont appelées

Pourquoi est-il conseillé de connecter des flux de données alternatifs

 Il existe deux types de micrologiciels : BIOS (Basic Input-

 Processus: la phase d'initialisation du BIOS. Initialisation des

 Le MBR contient un petit programme le bootmgr.exe qui est

System Partition (ESP).

 Après avoir localisé une installation Windows valide par le MBR,

 Bootmgr.exe fait passer le système du mode réel au mode

 Bootmgr.exe lit la BCD (Boot Configuration Database).

 Le BCD contient tout code supplémentaire qui permet de

 Si l'ordinateur sort de l'hibernation, le processus de démarrage se

 Si l'ordinateur est démarré à partir d'un démarrage à froid, le fichier

 Le fichier Winload.exe crée un enregistrement de la

options, matériels et logiciels de l'ordinateur.

 Winload.exe utilise également la KMCS (Kernel Mode Code

 Après avoir été examiné les

pilotes, Winload.exe exécute Ntoskrnl.exe qui démarre le

 Enfin, SMSS (Session Manager Subsystem ou sous-système du

gestionnaire de session) lit le registre pour créer

 HKEY _ LOCAL _ MACHINE - Plusieurs aspects de la configuration de

 HKEY _ COURANT _ UTILISATEUR - Plusieurs aspects liés à

utilisé pour afficher et modifier toutes les options de démarrage de

 Shutdown - Éteint l'ordinateur (mise hors tension).

 Redémarrer - Redémarre l'ordinateur (mise hors tension et sous tension).

 Tous les threads dédiés à un processus sont contenus dans le même

Qu’est ce qu’un service Windows ?

 Les services sont des programmes qui s'exécutent en arrière-plan pour

 Les informations relatives aux paramètres du matériel, des

 Le registre est une base de données hiérarchique dont le

 Retenez les cinq ruches du Registre Windows :

• HKEY_CURRENT_USER (HKCU) : cette ruche contient des

 Vous devrez parfois exécuter ou installer un logiciel qui exige

 Utilisez l'option « Exécuter en tant qu'administrateur » ou

Procédure Exécuter en tant qu'administrateur

 Cliquez avec le bouton droit sur la commande dans

Procédure invite de commande d'administrateur

 Recherchez la commande , cliquez avec le bouton droit sur le

 Lorsque vous démarrez un nouvel ordinateur pour la première fois

 L'interface de ligne de commande Windows permet d'exécuter des

informations d'aide pour une commande

 Windows Management Instrumentation (WMI) est utilisé pour gérer

 Il peut récupérer des informations sur les composants informatiques,

 Pour ouvrir le contrôle WMI à partir du Panneau de configuration,

Voici les quatre onglets de la fenêtre Propriétés du contrôle WMI: