Upload
miyo-mester
View
45
Download
0
Embed Size (px)
DESCRIPTION
wjndows
Citation preview
http://msreport.free.fr La connaissance s'accrot quand on la partage 1
ADMINISTRATION ET DPANNAGE
WINDOWS 7
REDIGE PAR GUILLAUME MATHIEU
CONSULTANT ARCHITECTURE & INTEGRATION PROSERVIA
(MANPOWERGROUP SOLUTIONS)
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 2
1. Configuration avanc de Windows 7:
Configuration rseau, services, disques, ajout de composant. La base de registre Windows 7, les fichiers systmes / dmarrage.
2. Authentification Windows 7 :
Un peu de thorie (SID, TGT, TGS) Prsentation de la base SAM et de lannuaire Active Directory. Comment une station de travail dtecte un contrleur de domaine.
3. Partager des fichiers sous Windows 7:
Scurisation dun dossier avec des permissions NTFS / cration de partages Les bonnes pratiques pour scuriser un dossier avec des ressources Active
Directory
4. Internet Explorer :
Les protocoles dauthentification, les zones de scurit, le mode compatibilit
5. Les outils dadministration de Windows 7 :
Les consoles MMC / RSAT. PowerShell. Prise en main distance avec le Bureau distance et lassistance distance.
Plan de cours 1/2
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 3
Plan de cours 2/2 6. Gestion de la configuration station de travail Windows 7 :
Les stratgies de groupe Les scripts de login.
7. Scuriser une station de travail avec Windows 7 :
Le pare feu LUAC Les risques lis au virus et aux failles de scurit. APPLOCKER
8. Dploiement Windows 7 :
WAIK, WDS , MDT
9. Dpannage Windows 7 :
Mthodologie Les outils de diagnostics.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 4
1. Configuration avanc Windows 7
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 5
Ouverture session avec Windows 7 A SAVOIR :
Windows 7 Home (Familiale) ne permet pas de joindre une machine dans le domaine.
Le champ Se connecter A nexiste plus. Pour se connecter la base SAM local sur Windows Server 2008, taper : nom_machine\utilisateurbasesam
.\utilisateur_base_sam
Si la machine est membre dun domaine, se connecter au domaine en tapant : Nom_NETBIOS\login_utilisateur_pre_Windows_2000
login@nom_dns_domaine
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 6
Interface graphique CONFIGURATION DE LEXPLORATEUR WINDOWS Configurer Windows 7 pour afficher le menu, les extensions de fichiers, afficher
les fichiers systmes et les icnes poste de travail, panneau de configuration sur
le bureau.
Aller dans Organiser | Disposition et cocher Barre de menus. Aller ensuite dans Organiser | Disposition. Dans Options des dossiers , dans
longlet Affichage, dcocher les cases Masquer les extensions des fichiers dont le type est connu , Masquer les fichiers protgs du systme dexploitation et slectionner Afficher les fichiers, dossiers et lecteurs cachs .
Aller dans Panneau de configuration | Personnalisation | Changer icnes bureau.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 7
Configuration rseau : LES NOTIONS FONDAMENTALES :
Adressage IP priv / publique : http://fr.wikipedia.org/wiki/Adresse_IP NAT : http://fr.wikipedia.org/wiki/Network_address_translation Routage : http://fr.wikipedia.org/wiki/Routage
CONFIGURATION RSEAU WINDOWS 7 :
Aller dans Panneau de Configuration | Centre rseau et partage et cliquer sur Modifier les paramtres de la carte.
CLIENT VPN PRISE EN CHARGE NATIVEMENT PAR WINDOWS 7
VPN L2TP IPSEC DirectAccess (nouveaut) : http://www.microsoft.com/en-
us/download/details.aspx?id=24144
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 8
Configuration rseau : IPV6
Par dfaut IPV6 est activ sur Windows 7. IPV6 est prioritaire sur IPV4. IPV6 est ncessaire pour les technologies comme DirectAccess (dconseill de le dsactiver).
Configurer IPV4 comme prioritaire sur IPV6 :
Crer la valeur DWORD 32 Bits DisabledComponents avec la valeur 20 (hexadcimal). http://support.microsoft.com/kb/929852/en-us
Dsactiver IPV6 compltement (non prconis) :
Crer la valeur DWORD 32 Bits DisabledComponents avec la valeur FFFFFFFF (hexadcimal). http://support.microsoft.com/kb/929852/en-us
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 9
Gestion des fonctionnalits : POUR AJOUTER DES FONCTIONNALITS SOUS WINDOWS 7
Aller dans Panneau de configuration | Programmes et fonctionnalits | Activer ou dsactiver des fonctionnalits Windows.
Windows 7 intgre un site web IIS / FTP. Contrairement IIS sous Windows 2008 R2, il nest possible que de crer un seul site web.
RSAT : permet de grer un serveur Windows 2008 R2 depuis une machine Windows 7 : http://www.microsoft.com/en-us/download/details.aspx?id=7887
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 10
La base de registre 1/2 : A SAVOIR :
Base de registre = base de configuration de Windows. REGEDIT / REGEDT32 : diteur base de registre. Ruche : ensemble de cls et de valeurs qui correspondent un
fichier au niveau du systme.
Cls : cest un conteneur de valeur. Valeur : variable. Il existe diffrent type de valeur (binaire,
chane de caractres, tableaux de chaines de caractres). La base de registre est organise en deux grandes sections
HKEY LOCAL MACHINE et HKEY USERS.
La ruche HKEY_CURRENT_CONFIG est une sous ruche de HKEY_LOCAL_MACHINE
Il est possible de charger des ruches (fichier NTUSER.DAT dun autre utilisateur).
Il est possible de dfinir des permissions au niveau des cls de registre
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 11
La base de registre 2/2 : A SAVOIR
Les paramtres de HKEY_USERS correspondent la configuration spcifique au niveau des utilisateurs.
Les paramtres de HKEY_LOCAL_MACHINE correspondent la configuration de la machine (commune pour tous les
utilisateurs).
Dans HKEY_LOCAL_MACHINE | SYSTEM | CurrentControlSet | Services, on retrouve la configuration des
services.
Dans HKEY_LOCAL_MACHINE | SOFTWARE, on retrouve la configuration des logiciels communs tous les utilisateurs.
Dans HKEY_USERS | SOFTWARE, on retrouve la configuration des logiciels spcifiques un utilisateur.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 12
Les services 1/2 : A SAVOIR
Services = programmes (ex :LSASS.EXE pour le service NETLOGON). Un service peut dmarrer manuellement (dmarrer au lancement dune
application) ou automatiquement (avant ou aprs ouverture de session)
Un service sexcute avec les droits dun compte utilisateur : Local System Account (System), Local Service ou un compte utilisateur standard.
Possibilit de dfinir un comportement en cas de dfaillance dun service (redmarrage du service, redmarrage de lordinateur,).
Les virus SASSER et BLASTER faisait plant le service Remote Procedure Call et la machine redmarrait automatiquement (comme configur dans
longlet RECOVERY) : http://support.microsoft.com/kb/826955/en-us
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 13
Les services 2/2 : NOTIONS AVANCEES :
La configuration des services se trouve dans la base de registre lemplacement suivant : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
Les services IPV4 (TCP) et IPV6 (TCP6) ne sont configurables que par la base de registre.
Lentre de registre DependOnService permet de dfinir des dpendances. Lentre de registre Start permet de dfinir le mode de dmarrage du service.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 14
Licences et activation : 3 TYPES DE LICENCE WINDOWS 7 :
OEM : cot unitaire faible, 1 numro de licence par machine, la licence rattache la machine (perte licence si mise rebus machine / virtualisation
machine), activation manuelle (5 fois maximum).
DETAIL / OPEN : cot unitaire important, 1 numro de licence par machine, la licence nest pas rattache la machine (support virtualisation), activation manuelle (nombre dactivation illimit).
VOLUME : cot unitaire moyen. 1 numro de licence unique pour toutes les machines Windows 7, la licence nest pas rattache la machine (support virtualisation), activation manuelle laide du cl MAK ou via serveur KMS, on dclare Microsoft tous les ans nombre de licences requise.
ACTIVATION CL VOLUME :
Cl MAK : activer manuellement Windows 7 avec cl MAK. Cl KMS : installer un serveur KMS et lactiver avec cl KMS (5 activations
maximum). Windows 7 sactive sur le serveur KMS avec la cl systme intgre par dfaut. Windows 7 doit se ractiver au moins 1 fois tous les 180 jours auprs
du KMS. Si la machine est hors rseau > 180 jours, activer avec une cl MAK.
SLMGR.VBS : gestion de lactivation sous Windows 7 / 2008 R2 Lire : http://msreport.free.fr/?p=153
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 15
Gestion des disques 1/2 : A SAVOIR :
Windows 7 gre nativement le format de fichier VHD. Ce format de fichiers est utilis par le systme de sauvegarde de Windows 7 et par la solution de
virtualisation Hyper-V. Il est donc possible de charger le disque de sauvegarde
dune machine Windows 7 ou un disque dune machine virtuelle sous forme de disque dur supplmentaire.
Windows 7 permet daugmenter ou de rduire la taille dune partition.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 16
Gestion des disques 2/2: TYPES DE DISQUE :
Disque de base : 4 partitions principales maximum. 2 To pour partition NTFS. Disque dynamique : partition = volume. Nouveaut Windows 2000. Ne pas
utiliser car nombreuses fonctionnalits non compatibles.
Disque GPT : recommand nouveauts Windows 2003 SP1. Permet prise en charge partition de plus de 2 To et supprime limite des 4 partitions.
SYSTME DE FICHIERS SOUS WINDOWS 7 :
FAT16 : taille maximum dune partition = 4 Go. Pas de permissions de fichiers. Voir http://fr.wikipedia.org/wiki/FAT16.
FAT32 : taille maximum partition : 2 To. Pas prise en charge des fichiers de plus de 4 Go. Pas de permissions de fichiers. Voir http://fr.wikipedia.org/wiki/FAT32
NTFS : recommand, taille maximum partition 2 To (disque de base), 16 Exaoctet (disque GPT) :
http://blogs.technet.com/b/askcore/archive/2010/02/18/understanding-the-2-tb-
limit-in-windows-storage.aspx et http://msdn.microsoft.com/en-
us/library/windows/hardware/gg463525.aspx
FAT 16, POURQUOI UNE TAILLE MAXIMALE DE 4 GO ?
Table dallocation de fichiers contient un maximum de 2^16 blocs. La taille dun bloc en FAT16 est de 64 Ko, on a 64 * (2^16) = 4194304 Ko
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 17
Fonctionnement interne Windows 1/2 :
2 MODES DEXECUTION : Mode utilisateur : les applications
tournent en mode utilisateur (Word,
Excel). Les applications nont aucun accs direct au matriel (mmoire,
disque, CPU) et ne peuvent gnrs thoriquement de dfaillance
systme gnrale.
Mode noyau : les applications en mode noyau (ordonnanceur, pilotes,
certains services) ont un accs direct
au matriel. Un pilote dfectueux peut
donc entraner une dfaillance
gnrale du systme dexploitation. Voir http://sebastien-
viardot.imag.fr/Enseignements/SEPC/
Documents/windows.pdf
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 18
Fonctionnement interne Windows 7 2/2 : GESTION DES PROCESSUS:
Laffectation des ressources aux processus est gre par le noyau. Cela permet dviter quune application soctroie toutes les ressources et pnalise les autres (thoriquement). Il est possible de modifier manuellement la priorit dun processus.
LES SOUS SYSTEMES :
Plusieurs sous systmes pour prise en charge par Windows dapplications Windows 16 bits (WIN16), dapplications Windows 32 bits (WIN32), dapplications Windows 64 bits Windows (WIN64), dapplications .Net Framework, dapplications POSIX (compatibilit limite avec les applications Unix).
LES PILOTES :
Elment critique car en mode noyau. Pilotes gnriques : permettent dexploiter des priphriques sortis aprs
Windows 7. Incluent fonctions de base (prise en charge 2D pour carte graphique
uniquement).
Pour la dtection des pilotes, aller sur le site suivant : http://www.touslesdrivers.com/index.php?v_page=29
WHQL : Microsoft certifie les pilotes (par dfaut : installation que des pilotes signs). Installation pilote non sign :
http://www.commentcamarche.net/faq/19651-windows-7-installer-un-pilote-non-
signe
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 19
Dmarrage Windows 7 :
Le fichier boot.ini a t remplac par le BCD.
BCDEDIT, BCDBOOT : permet de grer dmarrage du systme
Windows 7. Voir
http://technet.microsoft.com/fr-
fr/library/dd799299(v=ws.10).aspx
BOOTREC : permet de reconstruire le BCD :
http://support.microsoft.com/kb/92
7392/en-us
Exemple dune machine avec double boot (capture de droite).
GESTION DU DMARRAGE / CRATION DUN DUAL BOOT :
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 20
TP : Installation Windows 7 ACTIONS (1/2) :
Effectuer une installation par dfaut. Le nom machine est gnr automatiquement. Renommer la machine
(Panneau de configuration | Systme ou Windows+Pause).
Configurer la machine en IP fixe. A quoi sert un masque de sous rseau, une passerelle, un serveur DNS, un serveur Wins ?
Dsactiver le pare feu, lUAC. Configurer IPV4 comme protocole prioritaire sur IPV6. Activer le bureau distance et accder la station de travail dun autre
stagiaire.
Dmarrer le service Explorateur dordinateur . Taper la commande SLMGR.VBS /DLV pour valider configuration activation. Taper REGEDT32 pour accder base de registre. Aller dans HKEY_LOCAL_MACHINE | SAM | SAM. Faire un clic droit sur le
dossier SAM et cliquer sur Autorisation . Ajouter les droits Control Total au
groupe Administrateurs de la base SAM locale. Visualiser le contenu de la base
SAM locale. Faire la mme chose sur la cl Security.
Crer un compte utilisateur appel testregistre dans la base SAM. Ouvrir une session avec le compte administrateur local sur cette station de
travail. Lancer lditeur de base de registre.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 21
TP : Installation Windows 7 ACTIONS 2/2 :
Slectionner HKEY_USERS puis aller dans le menu Fichier et cliquer sur Charger la ruche . Aller dans c:\Documents and settings\testregistre et
slectionner le fichier NTUSER.DAT . A quoi correspond ce fichier ?
Rechercher dans HKEY_LOCAL_MACHINE la cl PROFILEIMAGEPATH . A quoi sert cette cl. On se rend compte que toute la scurit est bas sur le SID.
Il est possible de rassocier un compte utilisateur avec le profil dun autre utilisateur. Appliquer la procdure suivante http://msreport.free.fr/?p=86
Aller dans c:\windows\system32\config. On y retrouve tous les fichiers des ruches de la base de registre.
Lancer la console Gestion de lordinateur. Aller dans Gestion des disques . Crer un nouveau disque virtuelle. Initialiser les disques et le formater. Effectuer les exercices suivants : http://allcomputers.us/windows_7/managing-hardware-in-windows-7-(part-1)---
managing-memory---managing-disks.aspx
http://allcomputers.us/windows_7/Managing-Hardware-in-Windows-7-(part-2)---
Managing-BIOS---Managing-Devices.aspx
Lancer le Gestionnaire de priphrique. Aller dans le menu Affichage | Afficher les priphrique cachs pour voir les pilotes cachs (matriel non connect ou
pilotes systmes). Les antivirus ajoutent des pilotes systmes pour sinterfacer avec le systme.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 22
2. Authentification Windows 7
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 23
Les comptes utilisateurs / annuaires : LES BASES DE COMPTES UTILISATEURS :
Authentification locale avec la base SAM (System Account Manager) : cest la base de compte prsente par dfaut sous Windows 7. La base de compte peut
tre gr dans la console Gestion de lordinateur ou dans Panneau de configuration | Utilisateurs
Authentification avec un domaine : ncessite dintgrer la machine dans un domaine (Active Directory / Samba / NT4). La gestion des comptes se fait alors
depuis le contrleur de domaine. Pour intgrer une machine dans le domaine :
Panneau de configuration | Systme | Nom de lordinateur | Modifier Authentification avec une base Novell : ncessite le dploiement du client Novell
sur Windows 7.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 24
Comparatif annuaire SAM / AD : Un service d'annuaire (base de comptes utilisateurs) permet :
D'identifier des ressources. Offre une mthode cohrente pour nommer, dcrire, rechercher, accder, grer
et scuriser laccs aux ressources de lentreprise.
Diffrence base SAM avec AD :
AD est annuaire centralis. Plusieurs machines peuvent accder aux mme annuaires.
Une base SAM est un annuaire local. Pour pouvoir sauthentifier avec le mme compte sur diffrente machine, il faut recrer le mme compte sur diffrentes
machines.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 25
SID, TGT, TGS, NTP 1/2 : SID (Security Identifiant)
SID (Security Identifiant) : la scurit sous Windows 7 repose intgralement sur les SID.
Chaque compte utilisateur, groupe, compte ordinateur dispose dun SID unique.
Permission sur un dossier (NTFS) : on affecte les permissions des SID pas des noms dutilisateurs. Quand on supprime un compte utilisateur, les SID non rsolus apparaissent au niveau des dossiers.
TGT (TICKET GRANT TICKET) :
Gnr lors de louverture de session dun utilisateur. Contient le SID du compte utilisateur et des groupes dont le compte utilisateur
est membre directement ou indirectement. Si lutilisateur A est membre dun groupe B qui lui-mme est membre dun groupe C, le TGT contient les SID de A, B et C.
Voir http://technet.microsoft.com/en-us/library/bb742516.aspx Valide pendant 10 heures par dfaut. Un utilisateur doit donc fermer sa session,
utiliser loutil KLIST ou attendre 10 heures pour que les modifications dappartenance aux groupes soient prises en compte.
Taille maximum TGT : 1014 entres aprs modification dans la base de registre: http://support.microsoft.com/kb/327825/en-us
Sur IIS : http://support.microsoft.com/kb/2020943
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 26
SID, TGT, TGS, NTP 2/2 :
TGS (TICKET GRANT SERVICE) :
Lutilisateur prsente son TGT au serveur de ressource qui lui gnre alors un TGS avec la liste des accs.
Valide pendant 10 heures.
NTP (NETWORK TIME PROTOCOL) :
Par dfaut, lauthentification Kerberos autorise un maximum de 5 minutes de dcalage horaire.
Les stations de travail se synchronise au contrleur de domaine via le service W32Time.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 27
Authentification avec un domaine AD : A SAVOIR :
Un domaine Active Directory a deux noms, un nom NETBIOS et un nom DNS.
Toujours joindre une machine Windows 7 avec le nom DNS du domaine Active Directory (AD).
Les stations de travail localisent les contrleurs du domaine ORGA2.LAN en effectuant des requtes sur les enregistrements DNS _ldap._tcp.orga2.lan et
_ldap._tcp.le_nomsitead.orga2.lan.
Pour changer un mot de passe depuis une machine Windows 7 (CTRL + ALT + SUPPR | Changer mot de passe), Windows 7 rsout lentre DNS _ldap._tcp.pdc._msdcs.orga2.lan
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 28
TP : authentification
ACTIONS
Crer un compte dans la base SAM appel MSREPORT
Crer un dossier c:\test et affecter des permissions (contrle total) au compte
MSREPORT.*
Supprimer le compte local appel MSREPORT
Fermer la session et la rouvrir. Aller dans les proprits du dossier
c:\test.
Le SID du compte va apparatre au niveau du dossier c:\test. Conclure
Joindre la machine dans le domaine Active Directory.
Ouvrir une session avec un compte du domaine.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 29
Profil utilisateur 1/3 : LE PROFIL :
Profil dun utilisateur Windows 7 : dossier portant le nom de lutilisateur (par dfaut) dans C:\Users.
Ce dossier contient : AppData (fichiers lis aux applications), Contacts (les contacts Windows), Desktop (tous les dossiers / fichiers du bureau), Downloads
(le dossier de tlchargement par dfaut dInternet Explorer), Favorites (les favoris Internet Explorer), My Documents (le dossier Mes documents),
NTUSER.DAT (les paramtres de configuration de la session de lutilisateur). Sous XP, tous les profils utilisateurs sont sous c:\Documents and Settings. Ce
rpertoire existe toujours sous Windows 7 pour la compatibilit avec les
applications (lien physique vers c:\Users).
Accs c:\Documents and Settings : accs refus Accs c:\Documents and Settings\nomutilisateur : cela fonctionne. Premire connexion dun utilisateur sur une machine : le nouveau profil utilisateur
est gnr partir dune copie du profil par dfaut (C:\Users\Default). C:\Default User : profil par dfaut sous Windows XP. Existe sous Windows 7 pour
la compatibilit avec les applications (lien physique vers c:\Users\Default).
Accs C:\Default User : accs refus Accs C:\Users\Default User\AppData : cela fonctionne. UtilisateurA et le groupe Administrateurs disposent des droits sur le dossier
c:\users\utilisateurA correspondant au profil de lutilisateur A.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 30
Profil utilisateur 2/3 : Le fichier NTUSER.DAT :
Cest une ruche de la base de registre. Contient tous les paramtres de la session de lutilisateur (fond dcran,
imprimantes, configuration des logiciels spcifiques lutilisateur). NTUSER.DAT = HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-
XXXXXXXXXX-XXXX
A louverture de session la ruche c:\users\nomusers\NTUSER.DAT est charge dans la base de registre sous HKEY_USERS.
Seul lutilisateur associ au profil et le groupe Administrateurs disposent des droits sur le profil.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 31
Profil utilisateur 3/3 : A SAVOIR
Au niveau de la base de registre, cest lentre ProfileImagePath (ProfileList). Au niveau interface : Panneau de configuration | Systme | Paramtres systmes
avances. Aller dans longlet Avanc puis cliquer sur Proprits dans la section Profil utilisateur
A louverture de session la ruche c:\users\nomusers\NTUSER.DAT est charg dans la base de registre sous HKEY_USERS. On retrouve dans cette ruche tous
les paramtres de la session de lutilisateur (fond dcran, imprimantes, configuration des logiciels spcifiques lutilisateur).
NTUSER.DAT = HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXX
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 32
Le coffre fort Windows 7 : LE COFFRE FORT :
Windows 7 permet denregistrer des mots de passe pour laccs des ressources dans le coffre fort. Cela permet que le mot de passe ne
soit plus demand.
Si accs une machine dun autre domaine non approuv / groupe de travail, il faut
sauthentifier. On peut alors cocher la case Mmoriser ces informations .
Accs coffre fort : Panneau configuration | Gestionnaire identification.
Retour exprience : quand on change de mots de passe pour le compte rseau, il faut aller
dans le coffre fort pour modifier / supprimer
lentre.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 33
3. Partage de fichiers Windows 7
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 34
Permissions NTFS : PERMISSION NTFS :
Onglet scurit : permet de dfinir des permissions NTFS. Deux affichages pour les permissions NTFS : simplifis (5 permissions),
complexes (13 permissions).
Hritage : les permissions du dossier parent hritent sur les dossiers enfants. Pour supprimer permissions hrites : casser lhritage. Permissions hrites : apparaissent grises. Permissions dfinis sur lobjet : apparaissent en noir.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 35
Permissions de partage : PERMISSION DE PARTAGE :
Dans longlet Partage | Permissions. Ces permissions sappliquent quand on accde aux dossiers par le chemin UNC
\\nommachine\nompartage.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 36
Comment scuriser un dossier ? BONNES PRATIQUES :
Casser lhritage au niveau du dossier parent. Crer 1 groupe local (base SAM ou Active Directory) pour chaque type daccs :
lecture, criture, contrle totale.
Dfinir les permissions sur ce dossier pour les 3 groupes locaux, le compte system et le groupe Administrateurs de lordinateur.
Ajouter les utilisateurs ou les groupes de services (groupes globaux dans lannuaire Active Directory) en tant que membre des groupes locaux / locaux de domaine.
Partager le dossier. Dfinir les permissions de partage sur Contrle Total pour Utilisateurs authentifies (pas de contrle sur permissions de partages).
Laisser lhritage sur les dossiers enfants sauf si besoin de droits spcifiques. Eviter de trop personnaliser les droits dans les arborescences. Il faut limiter le
nombre de groupe car la taille du TGT maximum est de 1014 SID. Il faut viter de
devoir appartenir 100 groupes pour accder un rpertoire projet par exemple.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 37
4. Internet Explorer
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 38
Internet Explorer et la scurit ZONES DE SECURITE INTERNET EXPLORER :
4 zones pour les sites web avec des rglages diffrents : Internet, Intranet local, Sites web de confiance, Sites sensibles. Chaque zone dispose de ses propres
rglages de scurit (activation des cookies, ActiveX). Mode protg : un peu comme lUAC pour Internet Explorer. Il bloque les scripts
qui ncessitent des privilges dadministration. Le but est dempcher quun script ActiveX formate une partition ou modifie une entre dans la base de registre.
Zone Intranet local : lauthentification intgr (gr par IIS) permet denvoyer le login / mot de passe utilis pour ouvrir une session au serveur web. Pour des
raisons de scurit, le site web doit tre dans la zone Intranet Local. Dans le cas
contraire, lutilisateur devra sauthentifier de nouveau.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 39
Internet Explorer LES PROTOCOLES DAUTHENTIFICATION : Authentification intgre : base sur le protocole KERBEROS / NTLM. Authentification de base : le mot de passe est envoy en clair par le rseau. Si le
trafic web nest pas chiffr (HTTPS), il est possible de retrouver le mot de passe via un outil comme WIRESHARK (http://www.wireshark.org/download.html).
ADMINISTRATION / DEPLOIEMENT INTERNET EXPLORER:
Internet Explorer est configurable par stratgie de groupes (Internet Explorer Maintenance dans stratgie utilisateur).
Il est possible de dployer une version prconfigur dInternet Explorer laide de lIEAK.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 40
Internet Explorer (confidentialit / interface) MECANISMES DE SECURITE INTERNET EXPLORER :
Internet Explorer permet de purger le cache de navigation la fermeture. Pour cela, cocher la case Supprimer lhistorique de navigation en quittant le navigateur dans Options Internet.
CONFIGURATION DE LINTERFACE : Pour configurer Internet Explorer 9 pour afficher le menu : cliquer sur Affichage |
Barre doutils | Barre de menu. Pour Configurer Internet Explorer 9 pour afficher la barre dadresse sur une seule
ligne : faire un clic droit en dessous de la barre dadresses et cocher la case Afficher les onglets dans une ligne spare
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 41
5. Outils dadministration Windows 7
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 42
Les outils dadministration graphiques 1/2 : OUTIL DADMINISTRATION : Les consoles MMC : permet de grer les fonctionnalits dune machine locale et
distante. Sappuie sur le protocole RPC. Protocole RPC : connexion initiale sur le port TCP 135. Ngociation dun port
dynamique (1024 65535) pour le trafic des donnes. Chaque application RPC a un numro unique. Pose de nombreux problmes avec les pare feu. Forefront
TMG sait grer de manire scuriser ce type de trafic (en filtrant les numros
dapplication). Voir http://technet.microsoft.com/en-us/library/cc738291(v=ws.10).aspx Consoles MMC prdfinis : fichier .MSC prsent dans c:\windows\system32. Composant logiciel enfichable : chaque service (IIS, DNS) dispose de son
composant logiciel enfichable.
MMC.EXE : permet de crer une console MMC vierge et dajouter des composants logiciels enfichables.
De nombreux composants logiciels enfichables ne sont pas prsent dans les consoles MMC prdfinis (comme magasin de certificat).
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 43
Les outils dadministration graphiques 2/2 : OUTIL DADMINISTRATION : Microsoft va vers labandon du RPC qui est remplac par le protocole Windows
Remote Management (WIN RM) qui sappuie sur le protocole HTTP / HTTPS. Ce protocole est une implmentation du protocole standard WS-MANAGEMENT. Sous Windows 7, le service WINRM sappelle WINMGMT
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 44
TP : outils dadministration graphiques : ACTIONS :
Crer une console vierge en excutant MMC.EXE Ajout le composant logiciel certificat (Fichier | Ajouter et supprimer un composant
logiciel enfichable).
Slectionner le composant certificat. Slectionner certificat pour le compte utilisateur. Enregistrer la console sur le Bureau (lab1.msc). Il est possible de configurer le fait que la console ne soit plus modifiable sauf si on
louvre en mode auteur). Cela se rgle dans Fichier | Options. Installer le service IIS sous Windows 7. Le composant logiciel enfichable IIS est
maintenant disponible.
Installer les RSAT pour Windows Seven SP1 (fichiers Windows6.1-KB958830-x86-RefreshPkg.msu ou Windows6.1-KB958830-x64-RefreshPkg.msu).
Aller dans Panneau de configuration | Programmes et fonctionnalits | Activer ou dsactiver des fonctionnalits Windows. Aller dans la section Outils
dadministration distance. Activer la console DNS et DHCP. Ajouter les composants logiciels enfichable DNS et DHCP et se connecter une
machine Windows Server 2008 R2 avec les services DHCP / DNS installs.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 45
PowerShell Prsentation PowerShell :
Install de base sous Windows 7. Nouvelle interface ligne de commande / sappuie sur le .Net Framework. Format de commande simple : commutateur-objet Liste commutateur : Get, new, Add, Remove, Set Liste objets : ChildItem, QADuser, QADobjet Exemple de commande : Get-QADuser (liste tous les comptes utilisateurs du
domaine).
Extensible (ajout de CMDLETs via chargement PSSNAPINs). Quest fournit un plugin gratuit pour grer les ressources Active Directory (ActiveRoles
Management Shell).
Les oprateurs ( < > | where ne ), les variables $_.attributs et les filtres Le pipe | : permet de chaner deux commandes. La commande Get-QADuser |
Set-QADuser description Msreport va dfinir Msreport dans le champ description de tous les utilisateurs de la fort.
Les commandes PowerShell indispensables :
Get-Help nom_cmdlet : Get-Help get-aduser full Get-Help get-aduser -examples
Get-pssnapin : pour avoir la liste des composants de PowerShell Select-object : permet de slectionner que certains attributs de lobjet de sortie
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 46
TP : Powershell : ACTIONS :
Lancer PowerShell. Taper Get- puis appuyer sur la touche TAB. PowerShell va proposer de complter
la commande.
Lister les alias de la commande Get-ChildItems en tapant : Get-Alias Get-ChildItems
Installer Quest ActiveRoles Management Shell pour grer lActive Directory : http://www.quest.com/powershell/activeroles-server.aspx
Lancer le PowerShell avec les addins QUEST. Taper les commandes suivantes sur un environnement de tests : New-QADUser -SamAccountName melanie.mathieu -FirstName Mlanie -LastName
"Mathieu Bertrand" -Description "Compte utlisateur de Mlanie MATHIEU
BERTRAND" -ParentContainer "OU=GLF,DC=MSPROBA,DC=NET" -name
melanie.mathieu | Set-QADUser -UserPassword P@ssword
Get-QADUser -SearchRoot "OU=GLF,DC=MSPROBA,DC=NET" | Format-Table Property SamAccountname,Description
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 47
PMAD sous Windows 7 : Deux solutions natives :
Bureau distance (Terminal Server mode administration distance) : port ouvrir en entre TCP 3389. Trs fluide, peu gourmant au niveau rseau. Permet la
redirection des imprimantes, du son et des lecteurs disques. 1 seul utilisateur peut
se connecter en bureau distance. Lautre utilisateur est dconnect. Pas de mode observation sous Windows 7 (seule une personne peut voir lcran).
Assistance distance : bas sur le protocole RDP, port ouvrir en entre TCP 3389 et TCP 445. Ncessite lapprobation de lutilisateur pour tablir la connexion. 2 personnes peuvent visualiser lcran en mme temps, possibilit de mettre en pause laffichage cran, envoie de fichiers, messagerie instantane.
Une version de client distance pour chaque volution du protocole Bureau distance / Terminal Server : http://support.microsoft.com/kb/2592687/en-us
Une connexion dAssistance distance peut tre cr via laide de Windows (change dun fichier, http://support.microsoft.com/kb/981004/fr) ou via un client ddi (ncessite configuration station de travail, mthode recommande). Voir
http://www.rigolet.fr/articles/print.php?id=3
Solutions tierces :
TeamViewer / LOGMIN : A et B tablissent une connexion sortante (HTTPS) vers le serveur de TEAMVIEWER. Les serveurs de TeamViewer tablissent la relation
entre les A et B et permettent le partage dcran. Comme le trafic HTTPS est rarement bloqu, le partage dcran travers un proxy est possible.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 48
TP : utilisation du bureau distance ACTIONS :
Sur la machine A, aller dans Panneau de configuration | Systme | Paramtres systmes avances. Dans la fentre Proprits Systmes, cocher la case
Autoriser la connexion des ordinateurs excutant nimporte quelle version du bureau distance . Dterminer lIP de la machine A.
Sur la machine B, taper Dmarrer | Excuter | MSTSC.EXE. Cliquer sur me bouton options et cliquer sur longlet Display et configurer la rsolution sur 800 * 600, 16 bits. Cliquer sur longlet Local Ressources et sur le bouton More . Configurer le client bureau distance pour connecter le disque C.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 49
TP : assistance distance OBJECTIFS :
A se connecte sur la machine de B.
ACTIONS :
Sur B, dans Proprits systmes , cocher la case Assistance distance . Crer une stratgie de groupe pour activer lassistance distance sur les stations
de travail. Activer les paramtres Activer la journalisation de session , Activer
loptimisation de la bande passante et Proposer lassistance distance . Dfinir le groupe qui a le droit de proposer une assistance distance. Ajouter
lutilisateur A dans ce groupe. Sur A, excuter la commande C:\Windows\System32\msra.exe /offerRA
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 50
6. Gestion configuration station de travail
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 51
Quest ce quune stratgie de groupe ? QUEST CE QUUNE STRATGIE DE GROUPE : Les stratgies de groupes (GPO) sont des cls et valeurs de registre. Deux sections pour les stratgies de groupe : Configuration ordinateur (modifie
HKEY_LOCAL_MACHINE) et Configuration utilisateur (modifie HKEY_USERS).
Les stratgies de groupe peuvent tre dfinies localement et/ou via un domaine Active Directory.
LES STRATGIES DE GROUPE PERMETTENT :
De dployer des logiciels : dploiement fichier MSI uniquement, pas de rapport, pas de gestion bande passante.
Dexcuter des scripts au dmarrage / arrt de la machine (sous compte SYSTEM).
De configurer les stratgies de mots de passe : http://msreport.free.fr/?p=156. De configurer les paramtres de scurit (qui peut ouvrir une session localement,
arrter la machine ). De configurer les paramtres des logiciels et du systme (Windows Update,
interface utilisateur, configuration des logiciels).
EXTENSION :
Les GPO sont extensibles : via ajout fichiers ADM / ADMX pour paramtrer des logiciels comme Office, Adobe Acrobat, CitrixXenApp) :
http://www.microsoft.com/downloads/details.aspx?familyid=92d8519a-e143-4aee-
8f7a-e4bbaeba13e7&displaylang=en
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 52
ADMINISTRATION DES GPO : GPO LOCAL :
Sous Windows 7, excuter MMC.EXE. Ajouter le composant
logiciel enfichable Objets de
stratgie de groupe .
La GPO ne sapplique qu la machine.
Pas de support de la fonctionnalit dploiement de logiciel.
GPO local = diteur base registre.
GPO CR DEPUIS UN
CONTRLEUR DE DOMAINE :
Cration via console Gestion des stratgies de groupe (GPMC)
Possibilit dappliquer la GPO plusieurs machines / comptes
utilisateurs.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 53
Comment sappliquent les GPO ? Une GPO Configuration Ordinateur
sapplique une machine (si compte ordinateur est dans OU o est lie la GPO
et si le compte ordinateur a les droits
Lire et Appliquer la stratgie de
groupe ).
Une GPO Configuration Utilisateur sapplique aux utilisateurs (si compte utilisateur est dans OU o est lie la GPO
et si le compte utilisateur a les droits
Lire et Appliquer la stratgie de
groupe ).
Par dfaut Utilisateurs authentifis (toutes les comptes ordinateurs et
utilisateurs qui ont ouvert une session) a
les droits Lire et Appliquer la
stratgie de groupe . Possibilit filtrage
en supprimant cet entit de scurit.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 54
Administration des stratgies de groupe : ORDRE APPLICATION GPO / GESTION CONFLIT :
GPO sappliquent dans un certains ordre : Local, Site, Domaine, units dorganisation (OU), units dorganisation enfant (OU)
Si paramtres contradictoires diffrents niveaux, stratgie au niveau OU qui lemporte sauf si activation paramtres Appliquer (ne pas passer outre) et/ou Bloquer lhritage
Paramtre Appliquer : force lapplication de la GPO. Paramtre Bloquer lhritage : si ce paramtre est fix au niveau dune OU
enfant, les GPO au niveau des sites, domaines et des OU parent ne sappliquent pas (sauf les paramtres de scurit).
Le paramtre Appliquer prime sur le paramtre Bloquer lhritage .
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 55
7. Scuriser Windows 7
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 56
Le pare feu de Windows 7 : PARE FEU SOUS WINDOWS SEVEN :
Windows 7 dispose dun pare feu entrant / sortant STATEFULL activ par dfaut. 3 profils : domaine (machine membre du domaine), public et priv (machine en
groupe de travail : lutilisateur choisit le profil selon le rseau) Paramtrable par stratgie de groupe ou via la console Pare feu avec
fonctionnalits avances : http://www.howtogeek.com/100409/group-policy-
geek-how-to-control-the-windows-firewall-with-a-gpo/
Rgles grs dynamiquement quand on active une fonctionnalit Microsoft.
RISQUE :
Mauvais fonctionnement application lie des ports bloqus. Ncessite de connatre son environnement et les prrequis des applications mtiers.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 57
LUAC : UAC :
Contrle les accs administratif au systme dexploitation Windows 7 depuis linterface graphique ou via linvite de commande.
Activ par dfaut sous Windows 7 Pour excuter une application / invite de
commande sans lUAC : faire un clic droit, excuter en tant quadministrateur.
Pour configurer lUAC : aller dans le Panneau de configuration | Comptes utilisateurs.
Niveau de lUAC paramtrable. Possibilit de configurer lUAC par stratgie de
groupe : http://technet.microsoft.com/en-
us/library/dd835564(WS.10).aspx
PROBLEMES GENERES PAR LUAC : Problme dexcution des scripts de login. Problme avec des applications qui ncessitent
des droits administrateurs (excution action sur
le systme en arrire plan).
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 58
Pourquoi installer mises jour Windows ? QUELS SONT LES RISQUES POUR UNE STATION DE TRAVAIL WINDOWS 7 ?
Virus : ncessite une action de lutilisateur (cliquer sur fichier infect). Faille de scurit : elle peut tre exploite sans requrir dintervention de
lutilisateur.
COMMENT SE PREMUNIR DE CES 2 RISQUES ?
Virus : installer un antivirus et filtrer les connexions Internet laide de proxy. Faille de scurit : installer les mises jour Windows laide de Windows
Update ou de WSUS.
POURQUOI LES ADMINISTRATEURS HSITENT INSTALLER LES MISES
JOUR ?
Certaines mises jour gnrent des problmes avec les applications mtiers (ralentissement ou instabilit).
COMMENT LIMITER LE RISQUE LIE A LINSTALLATION DES MISES A JOUR ? Proposer aux administrateurs de valider les correctifs dployer sur
environnement de test copie conforme de la production.
Dployer que les correctifs de scurit critiques ou importants tous les mois Dployer les correctifs de scurit moyen et faible aprs recette des
applications.
Dployer un serveur WSUS pour contrler les correctifs dploys et les machines sur lesquels ils sont dploys.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 59
Comment exploiter une faille de scurit ? PRSENTATION DE METASPLOIT :
Outil gratuit tlchargeable depuis http://www.metasploit.com/download/ Trs bien document. Le TOP 10 des failles les plus dangereuses :
https://community.rapid7.com/community/metasploit/blog/2012/12/11/exploit-
trends-new-exploits-make-the-top-10
CVE-2008-4250 / MSB-MS08-067 : prise de contrle Windows XP SP3 : http://www.metasploit.com/modules/exploit/windows/smb/ms08_067_netapi
CVE-2012-0002, MSB-MS12-020 : cran bleu machine Windows avec bureau distance activ :
http://www.metasploit.com/modules/auxiliary/dos/windows/rdp/ms12_020_maxch
annelids
CVE-2010-0017 / MSB-MS10-006 : cran bleu sur une machine Windows 2008 R2 SP0 (ncessite accs en lecture un partage) :
http://www.metasploit.com/modules/auxiliary/dos/windows/smb/ms10_006_negot
iate_response_loop
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 60
TP : Utilisation de METASPLOIT ACTIONS 1/2 :
Dans un environnement rseau isol (2 machines virtuelles A, B sous Windows XP SP3 avec mise jour pour A, sans mise jour pour B et 1 machine virtuelle
C sous Windows 2008 R2 SP1 sans mise jour).
Tlcharger (avec Chrome) et installer loutil METASPLOIT depuis http://www.metasploit.com/download sur ma machine A.
Activer le bureau distance sur la machine C, rcuprer lIP de la machine A et C et appliquer la procdure suivante :
http://www.metasploit.com/modules/auxiliary/dos/windows/rdp/ms12_020_maxch
annelids
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 61
TP : Utilisation de METASPLOIT ACTIONS 2/2 :
Rcuprer lIP et dsactiver le pare feu sur A et B : Il faut autoriser le dport de linvite de commande de la machine B sur A.
Appliquer la procdure suivante http://www.metasploit.com/modules/exploit/windows/smb/ms08_067_netapi
Il est important davoir un dport du shell. Le service serveur plante sur B Taper ? pour avoir la liste des commandes puis getsystem pour rcuprer les
droits administrateur, clearenv pour purger les observateurs dvnements. Taper getpid pour avoir le PID du processus METADSPLOIT sur B. Valider avec
Gestionnaire de tches de B si processus existe (afficher colonne PID).
Taper la commande ps pour lister les processus de la machine cible. Arrter le processus laide de la commande kill numro-PID
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 62
APPLOCKER COMMENT RESTREINDRE LES ACCES A UNE MACHINE WINDOWS 7:
Paramtrage de linterface graphique avec les stratgies de groupe. Utilisation dAPPLOCKER.
APPLOCKER :
Fonctionnalits prsentes sous Windows 7 et Windows 2008 R2 Permet de bloquer lutilisation de tous les logiciels sauf ceux autoriss. Pour la mise en uvre APPLOCKER, voir : http://msreport.free.fr/?p=204
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 63
8. Dploiement Windows 7
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 64
Le dploiement : A SAVOIR :
Une machine Windows 7 a un identifiant unique (SID machine). Pour cloner une machine virtuelle, il faut auparavant excuter SYSPREP.
BOOT.WIM sur DVD installation Windows 7 : contient une version de Windows PE configur pour dmarrer linstallation de Windows 7.
INSTALL.WIM sur DVD installation Windows 7 : contient limage par dfaut dploy par Microsoft.
Possibilit de gnrer un fichier IMAGE.WIM personnalis en capturant une machine Windows 7 avec IMAGEX (WAIK : http://www.microsoft.com/fr-
fr/download/details.aspx?id=5753)
Pour effectuer une installation sans assistance via fichier de rponse : installer le WAIK.
Pour dployer les images WIM via le rseau : MDT (http://www.webbedeye.com/2012/07/mdt-2012-lite-touch-deployment-step-by-
step) , WDS, SCCM.
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 65
9. Dpannage Windows 7
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 66
1. QUALIFIER LINCIDENT : Estimer le niveau de svrit : combien perd mon client si son outil
informatique ne marche plus ? Dois-je escalader lincident ? 3 niveaux : Svrit A (arrt de production), svrit B (risque sur la production de
lentreprise), svrit C (problme mineur). Utiliser un questionnaire prdfini : relever les coordonnes du contact pour
lincident, larchitecture logicielle / matrielle, la description complte du problme, les actions qui ont effectues avant lapparition du problme.
Rcuprer des lments de diagnostics : pour pouvoir reproduire lincident sur maquette :
Exporter les journaux dvnements au format EVT. Utiliser outil MPSREPORT (collecte journaux vnements et rsultats outils
diagnostics).
Utilisation doutils pour vrifier la configuration matrielle (CPUTEST, MEMTEST). Faire une trace rseau avec Wireshake.
Utiliser des Live CD pour rcuprer les informations si le systme
dexploitation ne dmarre plus!
Mthodologie de dpannage :
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 67
2. ANALYSE ET RECHERCHE SOLUTION :
Reproduire lincident : pour cela, crer une copie de lenvironnement de production sous forme de machines virtuelles (outils gratuits : VMware Server,
Vmware ESX ou VirtualBox).
Analyser le problme : importer les journaux dvnements sur la maquette, analyser les fichiers rsultats. Configurer lenvironnement de maquette comme la production et valider si le problme se produit.
Rechercher des solutions : le but est de trouver la solution du problme que lon a identifi. Taper les messages derreurs ou la source / ID des alertes dans les observateurs dvnements sous GOOGLE (exemple NETLOGON 5789).
3. VALIDATION DE LA SOLUTION ET APPLICATION :
Tester les solutions trouves (forum, bases de connaissance diteur) sur lenvironnement de maquette.
Valider un plan de retour arrire en cas de problme sur la production. Faire une sauvegarde de lenvironnement de production (pour retour arrire). Appliquer la solution.
Mthodologie de dpannage :
Dcembre 2009 Guillaume MATHIEU - proprit de Proservia reproduction interdite - www.proservia.fr Guillaume MATHIEU http://msreport.free.fr La connaissance s'accrot quand on la partage 68
La trousse outils : LES OUTILS :
Logiciel de virtualisation gratuit : VMware Server / VMware ESX 5i (www.vmware.com) , VirtualBox (https://www.virtualbox.org) .
Logiciel pour rcuprer les logs : MPSREPORT Live CD Microsoft : DRD 6.5, Windows RE (dmarrer sur le DVD dinstallation de
Windows 7 et choisir Rcuprer)
Logiciel pour gnrer des Live CD WINPE : http://technet.microsoft.com/en-us/library/cc709665.aspx
Live CD Linux : http://www.ultimatebootcd.com Live CD BARTPE : http://www.nu2.nu/pebuilder)
LES ASTUCES :
Dans Google, filtrer sur le site en tapant site:microsoft.com Pour les sites payants ou hors ligne, afficher le cache Google. Taper les Source avec ID des messages derreurs Microsoft.