Paramètres de sécurité de Microsoft Windows
Fort heureusement, Windows dispose de paramètres qui permettent de sécuriser son utilisation. Nous avons déjà évoqué le firewall de Windows ainsi que l’antivirus Microsoft Defender. Nous allons voir maintenant la gestion des comptes utilisateurs, puis le fonctionnement des autorisations sur les fichiers et dossiers, et enfin comment protéger vos données avec l’utilisation de BitLocker pour chiffrer les fichiers.
Comptes utilisateurs
Authentification des utilisateurs
L’authentification des utilisateurs Windows est une des mesures de sécurité de base, elle permet aux utilisateurs de prouver que leur compte leur appartient bien en utilisant un identifiant et un mot de passe.
Une autre méthode d’authentification existe et elle se nomme single sign-on ou authentification unique en français. Elle vous permet de vous connecter à plusieurs applications au sein de votre réseau qui utilisent le même mécanisme d’authentification, en effectuant une authentification unique. Cette fonctionnalité est permise grâce à l’utilisation d’un protocole d’authentification réseau qui se nomme Kerberos comme Cerbère, le chien à trois têtes de la mythologie grecque.
Utilisateurs et groupes
Un compte utilisateur est un compte qui permet l’authentification à un ordinateur. Plus généralement lorsque l’on gère plusieurs utilisateurs sur une machine ou sur un réseau, on classe les utilisateurs selon différentes catégories :
Administrateur
Power User
Standard User
Guest ou invité
La personne qui détient un compte utilisateur Administrateur dispose du contrôle total de la machine. Ce compte est généralement réservé au personnel s’occupant de la maintenance des systèmes.
Un Power User détient presque les mêmes privilèges que l'administrateur. Les différences sont par exemple que l'administrateur a accès à tous les fichiers, quels que soient les droits en lecture/écriture/exécution, alors que le Power User aurait les mêmes privilèges qu’un utilisateur standard.
Le Standard User, c’est donc le compte utilisateur de base. Il n’a pas un contrôle total sur le système d’exploitation, mais juste les droits nécessaires pour effectuer son travail.
Et enfin, le compte Guest, ou invitée en français, est une version encore plus restreinte du compte utilisateur standard. Il sert aux utilisateurs qui n'ont pas de compte permanent sur l'ordinateur et il permet de l’utiliser sans avoir accès aux fichiers personnels.
Exécuter en tant qu'administrateur
Voyons maintenant la fonction Run as administrator, que l’on traduit en français par Exécuter en tant qu'administrateur.
Cette fonction permet d’accorder de façon temporaire les droits administrateur à une application.
Généralement, on effectue un clic droit sur l’application, puis on clique sur “Exécuter en tant qu'administrateur”, et il faut alors saisir le mot de passe du compte administrateur.
Cette fonction est très utile, car parfois dans des tâches d’assistance, de configuration ou encore d’installation, elle permet à l’administrateur système d'exécuter une application avec des privilèges élevés sans avoir à se déconnecter du compte de l’utilisateur.
Autorisations des fichiers
NTFS vs. Autorisations de partage
Il existe sous Windows deux moyens d’établir des autorisations sur les fichiers, il s’agit des autorisations NTFS et des autorisations de partage.
Les autorisations NTFS dans un premier temps sont enregistrées directement au niveau du système de fichiers et elles affectent à la fois les utilisateurs locaux et les utilisateurs du réseau.
Ces autorisations sont du type :
Fichiers et dossiers partagés
Lors de l’installation du système d’exploitation, il y a des dossiers partagés qui sont créés automatiquement et qui sont dédiés aux tâches d’administration du système.
On les appelle les partages administratifs ou administrative shares en anglais. Le nom de ces dossiers se termine par le symbole $. Les dossiers partagés finissant par un symbole $ sont un peu l’équivalent des dossiers cachés pour le réseau, ils sont accessibles si on connaît leur adresse, mais sinon invisible des autres utilisateurs.
En tapant la commande net share, il est possible de visualiser les dossiers partagés sur le réseau. Comme vous pouvez le voir, le dossier ADMIN$ est un dossier partagé de type partage administratif. Il termine par un symbole $ ce qui signifie qu’il est caché et non visible lors d’une découverte du réseau.
Les dossiers partagés par les utilisateurs sont appelés des locales shares ou en français des partages locaux.
Les autorisations sur les fichiers peuvent être définies de deux façons :
Explicite : c’est l’utilisateur qui vient définir manuellement les autorisations sur les fichiers ou dossiers
Hérité : les autorisations sur les fichiers ou dossiers sont hérités du dossier dans lequel ils se trouvent.
Si vous venez modifier les autorisations sur un fichier qui a hérité de celles du dossier dans lequel il se trouve, vous avez donc créé des autorisations explicites, et bien ces autorisations explicites sont prioritaires sur celles du dossier.
Chiffrement des fichiers
Windows propose une solution pour chiffrer les données qui se nomment BitLocker.
Cette solution ne chiffre pas qu’une sélection de répertoires, mais l’ensemble du disque dur en incluant donc aussi le système d’exploitation.
Ainsi, si votre ordinateur est volé, ou que le disque est retiré, vos données sont toujours protégées.
BitLocker requiert un module TPM (Trusted Platform Module) sur la carte mère de votre ordinateur pour fonctionner.
Microsoft propose aussi BitLocker To Go qui permet de chiffrer les données sur les clés USB.
Et enfin, nous allons voir EFS, Encrypting File System, qui permet de chiffrer les données au niveau du système de fichiers, c’est-à-dire qu’EFS permet de chiffrer des dossiers et des fichiers et non le disque complet. Cette fonctionnalité est disponible grâce au système de fichiers NTFS depuis Windows 7.
Le chiffrage des fichiers EFS est associé à l'identifiant et au mot de passe du compte utilisateur. Attention donc, car si le compte utilisateur est supprimé, il est possible que les données chiffrées avec EFS soient perdues pour toujours.
Plus de cours CompTIA A+
