User Tools

Site Tools


formationsecurite:windows2000
Programme
  • Réseaux: domain + workgroup
  • Windows 2000 Server: les “nouveautés”
  • installation et configuration
  • 1) (1.5 jour)
  • 2): théorie (le module le plus important, 1 jour)
  • 3) (création d'utilisateur, de groupe)
  • Windows 2000 Networking
  • impression
  • mise à jour d'un réseau vers Windows 2000
Reseaux

domaine: entité de sécurité dans laquelle les utilisateurs s'authentifient (client / serveur)

workgroup: ensemble de ressources mises en commun accessibles aux utilisateurs. (peer to peer)

Workgroup

Exemple: une société 4 PCs:

  • boss: il a le gros HD et l'accès internet
  • interim
  • secrétaire: imprimante
  • comptable

Il y a un workgroup qui est créé.

Quand un utilisateur doit s'identifier pour utiliser la machine: il passe par la SAM (security account manager) de la machine:

  • boss: password1
  • secret: password
  • interim: no pass
  • compta: password3

Données sur HD: un répertoire partagé. Est-ce que la secrétaire peut y accéder? Il faut créer un utilisateur secret (password) dans sa SAM pour qu'elle ait accès au dossier.

Pour que le boss puisse imprimer, il faut créer un login et password sur la machine de la secrétaire. etc.

4 machines, 4 utilisateurs → 16 logins à encoder.

A partir de 10 machines, ça devient lourd: tout le monde utilise le login Administrator avec un mot de passe à blanc: bonjour la sécurité.

Le soir, le boss a fini son dossier pour le lendemain, il veut imprimer: ça ne marche pas. Pourquoi? La secrétaire a éteint son PC.

Le modèle workgroup (peer to peer) n'est pas pratique.

On peut mettre un server stand alone dans le workgroup, afin d'y mettre les informations pour qu'elles soient disponibles pour tout le monde.

Si un commercial vient avec son portable, il n'y a pas moyen de configurer rapidement sa connexion (DHCP, DNS).

Avantage du workgroup:

  • coût
  • pas besoin de connaissances approfondies
  • pas de machine dédiée nécessaire

Désavantage:

  • sécurité
  • pas d'optimisation des ressources
  • pas d'optimisation du réseau
  • sur une workstation, maximum 10 connexions simultanées

Domaine

Ensemble de machines qui partagent une base de données, donc une police de sécurité.

Dans un domaine, il y a toujours un PDC: primary domain controller.

C'est lui qui créé et gère le domaine.

Avec NT4, le domaine se configurait à l'installation.

  • validation
  • gestion du domaine
  • partage de fichiers
  • modifications du domaine

Le PDC possède une SAM locale (read write), celle du domaine. Elle était partagée et comprenait:

  • user
  • group
  • computer
  • account policies (si mauvais passwd → bloqué)
  • system policies (user peut pas avoir accès à base de registres, réseau, etc.)

Problème: le PDC avait du mal à suivre, on a rajouté le BDC: backup domain controller. Rôle: alléger la tâche de validation du PDC. Il possède une SAM, un réplicat de celle du BDC (donc read only). Il y a une synchronisation entre SAM du PDC et celle du BDC.

Il faut un et un seul PDC par domaine. Si le PDC est down, pour pouvoir créer un nouvel utilisateur, le BDC est promu en PDC.

On peut avoir plusieurs BDC et plusieurs serveurs membres (member servers).

Il y avait des problèmes pour la réplication d'account policies et system policies. Une SAM pouvait atteindre 40 Mb.

[[Windows]] 2000 et 2003

A la différence d'NT4, il ne faut pas déterminer le rôle à l'installation. Tous les serveurs sont des domain controlleurs (il n'y a plus de différence entre PDC et BPC). La SAM est remplacée par l'Active Directory; elle est présente sur chaque domain controller.

En NT4, on utilisait des noms netbios pour identifier les PDC et BDC.

En 2000 et 2003, les serveurs ont un FQDN (fully qualified domain name) et les clients des FQHN (fully qualified host name).

Tout les serveurs peuventt effectuer les mises à jour. A la place d'une synchronisation, nous avons une réplication multi-master avec propagation. Une réplication par domain controller (total -1), et ensuite on propage vers les domaines associés (de la “forêt”). La taille maximum de l'active directory est de 17 To (sauf dans un cas: domaine mixte, alors c'est 40 Mo).

Nouveautés gpo = group policies dfs = distributed file system

Types de domaines

En 2000, on a que 2 types de domaines En 2003, on en a 7.

[[Windows]] 2000 server: mode mixte (mixed): serveurs NT4 et 2000

Le serveur NT4 est un BDC, qui continue son rôle de validation. NT4 ne connaît pas 2000, mais l'inverse est vrai. Donc, le serveur Windows 2000 va se faire passer au BDC pour un PDC. Il joue le rôle de PDC emulator (disponible que si AD est installé). Seuls les objets connus par NT4 sont mis à disposition du BDC via l'émulation. Ex: universal group (UG) est disponible à partir de 2000 uniquement. Le PDC emulator va continuer à faire une synchronisation avec le BDC sous Windows NT4. Avec les autres serveurs 2000, il fera la réplication. Le problème, c'est la limitation à 40 Mo de la SAM du BDC: l'active directory voit sa taille maximum passer à 40 Mo. De même, les features suivantes ne sont pas disponibles:

  • historic sid
  • universal group

[[Windows]] 2000 server: mode native

Seulement des domain controllers Windows 2000. Par défaut, on est en mode mixte.

[[Windows]] 20003

Possibilités au niveau des domaines:

N.B: à partir de Windows 2000, les domaines sont représentés par des triangles dans les schémas.

On peut trouver les ensembles de domaines (“forêts”) suivantes:

  • 2000 native, 2000 mixed, 2003 server: forêt Windows 2000
  • 2003 server, NT4 en migration vers 2003: forête Windows 2003 server interim
  • 2003 server: forêt 2003

Notes

Si une workstation est connectée à un domaine, sa SAM (locale donc) est toujours active. Quand on migre, c'est bien de garder un BDC NT4, le temps de migrer. Exemples:

  • permissions NTFS perdues si on migre un dossier sur une autre partition ou un autre disque dur.
  • il y a des applications qui utilisent netbios
Caracteristiques de [[Windows]] 2000 server

Windows 2000 servers:

#|

- Windows 2000 professionnel Windows 2000 server Windows 2000 server advanced Windows 2000 server data center
mémoire 4 Go 4 Go 8 Go 64 Go
processeurs 2 4 8 32
clustering oui oui
network load balancing oui oui

Synchronisation Manager

Pour synchroniser (duh!)

Exemple:

Quand le boss HR est sur le réseau, il se connecte sur le réseau. Quand il veut travailler à la maison dessus (sans connexion réseau), il fait click droit sur le fichier dans l'explorateur et choisi “make available offline”.

Le fichier est sauvé dans un répertoire “offline files”.

L'admin peut laisser le choix aux utilisateurs de faire ça manuellement ou bien que chaque ressource soit automatiquement mise à dispositon off line (fichiers et programmes séparés).

On peut aussi choisir quand faire la sync:

  • au logon
  • au logoff
  • toutes les 30 min.
  • taille des offline files

Pas de merge possible (écrasement).

A la resynchronisation, il y a comparaison:

  • modification en local, mais pas sur le serveur: le fichier offline écrase le fichier sur le réseau
  • modification sur le serveur, mais pas en local: le fichier offiline est mis à jour: le fichier réseau écrase le fichier en local
  • modification en local et sur le serveur: le système demande à l'utilisateur:
    • il y a une copie sur le serveur, est-ce que j'écrase la copie locale
    • il y a une copie sur le serveur, est-ce que j'écrase la copie sur le serveur
    • on met les 2 fichiers sur le serveur (avec un nom différent)

Utilisation:

  • pour avoir la documentation chez les clients à jour (login + passwd)
  • problème avec le home directory qui disparaît

Sous NT4, on passait par le presse-papier, c'était foireux

Internet printing protocol

Mis au point par Novell.

Nécessite une imprimante réseau compatible IPP. Créé pour remplacer le fax à la base.

2 modes de fonctionnements:

  • envoi du fichier directement à l'imprimante (stockage + impression)
  • envoi de l'URL à l'imprimante, c'est elle qui se charge de rapatrier le fichier à imprimer

Active directory: DB qui est mise à disposition de tous les utilisateurs. On peut faire une recherche sur les utilisateurs, les imprimantes, etc.

vrai plug and play

ntdetect.com chargé avant les fichiers systèmes. scanne l'environnement hardware à chaque boot, et va mettre à jour la registry: HKEY_LOCAL_MACHINE → HARDWARE Chaque pièce de hardware reçoit un identifiant. Il y a une liste des drivers Windows dans HCL (hardware compatibility list) qui est d'abord consultée pour trouver le pilote. Si pas de matching, demande de disquette, CD.

[[Windows]] installer

Add / remove program

Technologie rachetée à Veritas ~WinInstall LE

Qu'est-ce qui se passe quand on installe un programme?

  • la base de registres
  • les DLL dans WINNT\SYSTEM32\
  • program files

buts:

  • faire une installation propre

Service pack NT4: quand on modifiait un fichier système, il fallait réinstaller le service pack (pour les DLL qui auraient été écrasées) Service pack 2000:

  • ne contient que des DDL
  • s'installe avec Windows installer
  • les DLL sont copiées dans un répertoire temporaire
  • quand une application écrase une dll, le windows installer va comparer les dll et si la version du service pack est plus récente, elle écrase la version de l'application

Windows 2000 permet de partager les DLL

Deploiement de logiciels

On voudrait installer Winzip sur toutes les machines, mais pas sous forme d'exécutable, mais sous forme d'application pre-configurée. Ce sont des .msi ou .zap

  • creation de paquets: windows installer light (winstle)
    • prend photo (snapshot) de l'OS avant
    • installe winzip
    • prend photo de l'OS après
    • création du paquet (la différence)
    • nettoie le superflu
  • deploiement
    • fait via les GPO (Group Policy Objects)
    • installation quand les utilisateurs se loggent: soit d'office (=assigned), soit au choix de l'utilisateur (=published) auquel cas il est désinstallable via le Windows installer
    • installation quand la machine boote: d'office (=assigned)
  • il y a aussi un self-repair

Setup manager

Possibilité de reprendre une installation (système ou logiciel pour les applications utilisant le windows installer) juste avant le crash.

Version améliorée dans Windows 2000.

Securite

Authentification en NT4:

  • la station de travail envoie le paquet d'authentifcation sur le réseau (encrypté en 16 bits), c'est le premier PDC qui le choppe (possibilité d'interception avec un sniffer).
  • le PDC renvoie un paquet avec une “information critique”
  • accès à un member server: envoi de login + passwd pour accès aux données. Mais il a une SAM locale, donc il doit faire une requête au PDC

6 transferts d'information critiques ou il y a un risque d'interception.

Dans Windows 2000, c'est différent: on travaille avec le kerberos v.5

Les machines dans un domaine 2000 sont intérgrées dans un domaine Kerberos (protocole d'authentification réseau) et se font confiance.

On travaille avec des “tickets” et le KDC (Key Distributor Center) qui est un service faisant partie de l'active directory qui travaille en étroite relation avec le kerberos. Il y a un KDC par domain controller.

On ne fait qu'une seule requête (login + passwd) vers le KDC qui renvoie un TGT (Ticket Granted Ticket)

A partir du SP2 Windows 2000, c'est de l'encryption 128 bits.

Le ticket donne une authentification temporaire pour travailler sur la machine en local:

  • reçu de DC1
  • pour x temps
  • avec l'authentification y

Le member server fait partie du domaine 2000 et du domaine Kerberos.

L'utilisateur envoie son TGT au member server, qui ne peut pas l'accepter. Il lui faut un TGS (Ticket Granted Service). L'utilisateur demande un TGS à un domain controller en envoyant son TGT. Le DC envoie le TGS. L'utilisateur envoie le TGS au member server.

Pour l'encryption, ce sont des clefs asymétriques qui sont utilisées.

Plus sur Kerberos:

En 2003, c'est le même principe.

Encrypted file system

Système de fichier encrypté.

Se fait avec des clefs publiques et des clefs privées. En Windows 2000, la clef privée n'est pas stockée en local, mais dans l'active directory. Il existe un recovery agent (qui est par défaut l'administrateur).

Pour Windows 2003, la personne qui encrypte peut désigner des gens qui peuvent décrypter les fichiers (en plus de l'administrateur).

Disponible à partir de NTFS 5.0 et suivants (donc Windows 2000)

IP SEC

Basé sur les clefs privées et publiques pour les VPN

Smart card support

Double identification: en plus du login et password: clefs hardware (dongle),

Secondary logon service

Run as… Faire tourner une application comme si on était au autre utilisateur.

Active Directory

Base de données nom et object qui fonctionne comme un annuaire.

GPO

Group policies objects: remplace les system policies de NT4. Bridage des droits des utilisateurs, distribution de logiciels à distance, redirection de répertoire, sécurité.

Dynamic DNS

Si on veut installer l'active directory, au boot, il faut s'enregistrer auprès d'un serveur DNS.

  • doit supporter les protocoles dynamiques
  • doit supporter les records SRV (créés par l'AD)

Remote installation server

Déploiement d'images de l'OS (XP Pro ou 2000 Pro) à distance. Nécessite des cartes réseau PXE

Terminal service

Comme sur les mainframes.

Public Key Infrastructure

PKI: infrastructure à clefs publiques

Installation et configuration d'un serveur [[Windows]] 2000

Que considérer avant d'installer un serveur? Planning:

  • hardware
  • partitionnement: nombre de partitions et pour chacune le file system (FAT, FAT32, NTFS)
  • vérifie le matériel (HCL) + vérifier qu'on a les drivers
  • licences (à voir en fonction du type)
    • client access license: il faut payer pour les connexions client / serveur
      • per server: par nombre de connexions simultanées au server
      • per seat (plus cher): une license par workstation (on peut passer de per server à per seat, mais pas dans l'autre sens)
      • per processor: pas intéressant
      • per device (2003)
      • per user (2003)
  • quel type de serveur (en fonction de son rôle:
    • member server, DC, stand alone
    • Advanced, data center, normal
    • file server, print server, web server, SQL server, mail server, terminal server
  • le nombre d'utilisateurs
  • planification de la topologie logique
  • planification de la topologie physique

NTFS 5.0 (Windows 2000):

  • sécurité (fichiers et repertoires)
  • quota disques
  • encryption (new par rapport à NTFS 4.0 avec Windows NT 4)
  • compression (new)

Matériel:

  • recommandé: Pentium 133 MHz
  • en pratique: Pentium II 300 MHz
  • RAM 512 Mo
  • espace disque: 1 Go (à voir en fonction du rôle)

Logiciel:

  • SP4 Windows 2000
  • patches de sécurité et service pack Exchange et SQL

Installation

  • F9
  • boot CD
  • partition 4 Go NTFS
  • workgroup: domain1
  • 10.10.3.xx/24
  • copier I386

Suite

click droit sur My Computer → Manage

  • system information: IRQ, canaux mémoire, carte graphique; on peut les sauver: click droit, save as text file…
  • shared folders: on voit qui est connecté sur le serveur
    • pour prévenir d'un reboot: click droit → → send console message
  • device manager: le hardware installé, les drivers, les ressources
    • utilisé pour vérifier que le matériel installé fonctionne bien
  • local users and groups: la SAM locale
  • storage
    • disk management: partitions
    • defragmenter
    • removable storage
  • services and applications
    • services (aussi accessible par Control Panel → Administrative Tools → Services): voir que tout les services tournent (Exchange: 5 services)
      • double-click: voit les informations sur le service
        • logon: si le service tourne avec d'autres privilèges
        • dependencies: voir ce qui s'arrête si on arrête le service
  • event viewer: voir les logs

Icone My Computer

Properties → onglet Général: voir la version, revient à faire

winver

Vérification de l'installation (ici Windows 2000 server SP4)

N.B: On ne peut pas changer le nom d'un domaine.

Onglet Hardware: Bouton Hardware profile: en NT4, sert à accélerer le boot (en désactivant du matériel). En 2000, c'est utilisé pour les portables (pré-configuré pour profil à la maison ou le profil au bureau)

  • créer un nouveau profil
  • rebooter avec ce profil
  • changer le profil

Pour voir l'environnement netbios:

net view

Pour voir les shares:

net share

30/03/2005

Disk Management
  • partition 1 (C:\): Windows 98 (type: FAT)
  • partition 2 (D:\): Windows 2000 Pro (type: NTFS)
  • partition 3 (E:\): Windows 2003 (type: NTFS)

Il faut toujours une partition primaire active (=bootable) pour démarrer qui contient des fichiers de boot:

  • ntldr
  • boot.ini
  • ntdetect.com

La partition sur laquelle se trouve les fichiers de boot s'appelle la system partition. La partition sur laquelle se trouve les fichiers systèmes s'appelle la boot partition.

Processus de boot:

  • lecture et exécution du MBR
  • appel du ntldr qui lit le boot.ini
  • si l'OS selectionné est
    • pré-NT, il charge bootsec.dos
    • sinon il charge NTDETECT.COM qui va charger les données dans HKEY_LOCAL_MACHINE
  • NTDETECT.COM envoie des information à NTLDR
  • NTLDR charge le noyau NTOSKRNL.EXE

Storage types

basique

Comme pour NT4 (où il n'y avait pas de type): maximum 4 partitions dont maximum une étendue (dans laquelle on peut créer autant de partitions logiques qu'on veut); il y aura toujours une seule partition primaire active (=bootable) Il n'est pas possible de faire du RAID software en mode basique (c'était possible avec NT4).

dynamique

A l'installation, on crée des partitions (basic storage type donc). On peut créer autant de volumes que l'on veut. On peut faire du RAID logiciel. L'information concernant la configuration des disques est stockée sur le disque et est répliquée sur les disques dynamiques + dans la base de registre. Pour passer de basique à dynamique, il faut 1MB d'espace disque.

Numérotation des disques

Numéro des disques durs: 0, 1, 2, … Numéro des partition / volumes: 1, 2, 3, …

L'OS va numéroter d'abord les partitions primaires des disques en commençant par le disque 0.

RAID logiciel

RAID: redundancy array of inexpensive disk ou redundant array of independent disks

Spanned volume

  • 2 à 32 free space (espace libre non formaté sur les disques durs)
  • minimum 1 disque

Ensuite, il revient au disque 0 et numérote les partitions logiques. Exemple: on prend 200 Mo sur le HD0 et 300 Mo, et on en fait un disque virtuel de 500 Mo.

ça permet d'étendre l'espace d'une partition et donc de conserver les permissions NTFS. Si on

RAID0: Stripe set

Aussi appelé aggrégat par bandes.

RAID software:

  • minimum 2 disques durs
  • l'espace utilisé doit être égal sur tous les disques
  • pas fault tolerance: donc en cas de crash, perte de données
  • théoriquement, on a une augmentation de performance (lecture écriture disque). En pratique, pas d'augmentation.

Exemple:

  • sur le disque 0: 5OO Mo de libre
  • sur le disque 1: 300 Mo de libre
  • sur le disque 2: 200 Mo de libre

On ne peut prendre qu'au maximum 200 Mo sur chaque disque, soit 600 Mo. Les 600 Mo seront vus comme un volume dans l'explorateur Windows.

RAID1

Soit mirrored volume, soit duplexing.

Mirroring: Minimum 2 disques, sur lesquels se trouve la totalité de l'information. Si un disque crashe, on continue à travailler sur l'autre. Possible en logiciel ou en hardware.

Duplexing: on dédouble les contrôleurs et les disques.

Mirroring conseillé (par Microsoft) pour les fichiers logs des DB, pour le système.

RAID0, RAID1 et RAID 5 logiciels sont gérés par Windows NT, 2000 et 2003 (+ spanned volume).

RAID5

RAID 2, 3 et 3 sont obsolètes. Stripped set avec un parity check. Minimum 3 disques durs. 2 avec les données, un pour le parity check. Les informations sont écrites sur les 3 disques en travers: Les données sont coupées en 2 (A et B) et en partie (A) écrites sur le HD0, en partie (B) sur le HD1, et sur le HD2, il y a le parity check (C) qui permet de reconstruire les données (A+B) à partir de A ou de B (perdus lors d'un crash de HD0 ou HD1, respectivement). Le parity check est dispersé sur les 3 disques. On peut rajouter plus de disques pour une meilleure redondance.

Conseillé (par Microsoft) pour les données.

Exercice pratique

Pour passer en volume dynamique:

  • icône Computer, click droit, manage
  • dans l'application computer management, il faut choisir “disk management” dans la branche storage
  • click droit sur Disk 0 → upgrade to dynamic disk…

Une fois que c'est fait, on ne peut plus revenir en arrière pour le premier disque (disk 0)

Pour ajouter de l'espace disque sur une partition (stripped volume):

  • créer un répertoire (par exemple: C:\test)
  • dans le computer management (répertoire disk management), créer un nouveau volume
  • click droit sur l'espace disque libre: Create Volume Wizard
  • choisir la taille
  • monter l'espace sur le drive C:\test
  • formater en NTFS
  • le répertoire s'est transformé en volume
  • ce volume hérite des permissions NTFS du drive C:\
Base des registres

L'ensemble des informations software et hardware de la machine. C'est une base de données de type arbre.

  • le noyau (ntokrnl.exe) va lire dans la registry l'ordre dans lequel il doit charger les pilotes de périphériques
  • à l'installation d'un logiciel, des données sont enregistrées dans la registry

Il y a 5 “grandes” cles, dont la plus grande est HKEY_LOCAL_MACHINE (H pour hive?): reprend la sous-clef

  • HARDWARE (modifiée par NTDETECT.COM)
  • SAM (account policies et security policies, trust, workstation, comptes)
  • SOFTWARE (applications installées)
  • SYSTEM (pour le démarrage, elle controle
    • le boot du système
    • load des drivers
    • le démarrage des services
  • SECURITY (polices de sécurité pour les serveurs, validité du TGT, SID, etc.)

HKEY_CLASSES_ROOT: association des extensions de fichiers avec des logiciels. HKEY_CURRENT_CONFIG: profil hardware au démarrage (cf. labo de la veille) HKEY_USERS: informations par défaut des utilisateurs HKEY_CURRENT_USER: informations pour le profil de l'utilisateur loggé ntuser.dat est un fichier utilisé pour les profils volants, il fait le lien entre le profil et la base de registres

Utilitaires

regedit.exe sert à faire des recherches, sauvegardes, il n'affiche pas toutes les informations, on ne l'utilise pas pour modifier la base de registres. regedt32 sert à modifier les clefs ou à changer les permissions.

Pour voir plus loin, cf. les livres de la bibliothèque (de Mark Minasi ou de Karanjit S. Siyan)

1)
Windows2000/DNS DNS
2)
Windows2000/ActiveDirectory Active Directory
3)
Windows2000/Administration Admin Windows 2000 Server
5)
http://web.mit.edu/kerberos/www/ Kerberos: The Network Authentication Protocol
formationsecurite/windows2000.txt · Last modified: 2013/01/30 17:52 (external edit)