Table of Contents
Paramètres de sécurité de Microsoft Windows
Fort heureusement, Windows dispose de paramètres qui permettent de sécuriser son utilisation. Nous avons déjà évoqué le firewall de Windows ainsi que l’antivirus Microsoft Defender. Nous allons voir maintenant la gestion des comptes utilisateurs, puis le fonctionnement des autorisations sur les fichiers et dossiers, et enfin comment protéger vos données avec l’utilisation de BitLocker pour chiffrer les fichiers.
Comptes utilisateurs
Authentification des utilisateurs
L’authentification des utilisateurs Windows est une des mesures de sécurité de base, elle permet aux utilisateurs de prouver que leur compte leur appartient bien en utilisant un identifiant et un mot de passe.
Une autre méthode d’authentification existe et elle se nomme single sign-on ou authentification unique en français. Elle vous permet de vous connecter à plusieurs applications au sein de votre réseau qui utilisent le même mécanisme d’authentification, en effectuant une authentification unique. Cette fonctionnalité est permise grâce à l’utilisation d’un protocole d’authentification réseau qui se nomme Kerberos comme Cerbère, le chien à trois têtes de la mythologie grecque.
Utilisateurs et groupes
Un compte utilisateur est un compte qui permet l’authentification à un ordinateur. Plus généralement lorsque l’on gère plusieurs utilisateurs sur une machine ou sur un réseau, on classe les utilisateurs selon différentes catégories :
Administrateur
Power User
Standard User
Guest ou invité
La personne qui détient un compte utilisateur Administrateur dispose du contrôle total de la machine. Ce compte est généralement réservé au personnel s’occupant de la maintenance des systèmes.
Un Power User détient presque les mêmes privilèges que l'administrateur. Les différences sont par exemple que l'administrateur a accès à tous les fichiers, quels que soient les droits en lecture/écriture/exécution, alors que le Power User aurait les mêmes privilèges qu’un utilisateur standard.
Le Standard User, c’est donc le compte utilisateur de base. Il n’a pas un contrôle total sur le système d’exploitation, mais juste les droits nécessaires pour effectuer son travail.
Et enfin, le compte Guest, ou invitée en français, est une version encore plus restreinte du compte utilisateur standard. Il sert aux utilisateurs qui n'ont pas de compte permanent sur l'ordinateur et il permet de l’utiliser sans avoir accès aux fichiers personnels.
Exécuter en tant qu'administrateur
Voyons maintenant la fonction Run as administrator, que l’on traduit en français par Exécuter en tant qu'administrateur.
Cette fonction permet d’accorder de façon temporaire les droits administrateur à une application.
Généralement, on effectue un clic droit sur l’application, puis on clique sur “Exécuter en tant qu'administrateur”, et il faut alors saisir le mot de passe du compte administrateur.
Cette fonction est très utile, car parfois dans des tâches d’assistance, de configuration ou encore d’installation, elle permet à l’administrateur système d'exécuter une application avec des privilèges élevés sans avoir à se déconnecter du compte de l’utilisateur.
Autorisations des fichiers
NTFS vs. Autorisations de partage
Sous Windows, il existe deux principaux moyens de définir les autorisations sur les fichiers : les autorisations NTFS et les autorisations de partage.
Les autorisations NTFS sont enregistrées directement dans le système de fichiers et s’appliquent aussi bien aux utilisateurs locaux qu’à ceux du réseau. Elles se déclinent en plusieurs niveaux :
Contrôle total : lecture, modification et exécution des fichiers.
Modification : affichage et modification des fichiers et dossiers.
Lecture et exécution : exécution des programmes.
Lecture : ouverture des fichiers et dossiers.
Écriture : ajout ou modification de fichiers dans un dossier.
Les autorisations de partage, quant à elles, offrent un contrôle plus limité. Indépendantes du système de fichiers, elles fonctionnent également sur les disques FAT et FAT32, mais ne s’appliquent qu’aux fichiers partagés sur le réseau.
Elles incluent trois niveaux :
Contrôle total : lecture, modification et exécution.
Modification : lecture et modification.
Lecture : accès en lecture seule.
Quel que soit le type choisi, les autorisations peuvent être attribuées à un utilisateur spécifique ou à un groupe d’utilisateurs pour une gestion fine de la sécurité.
Fichiers et dossiers partagés
Lors de l’installation du système d’exploitation, il y a des dossiers partagés qui sont créés automatiquement et qui sont dédiés aux tâches d’administration du système.
On les appelle les partages administratifs ou administrative shares en anglais. Le nom de ces dossiers se termine par le symbole $. Les dossiers partagés finissant par un symbole $ sont un peu l’équivalent des dossiers cachés pour le réseau, ils sont accessibles si on connaît leur adresse, mais sinon invisible des autres utilisateurs.
En tapant la commande net share, il est possible de visualiser les dossiers partagés sur le réseau. Comme vous pouvez le voir, le dossier ADMIN$ est un dossier partagé de type partage administratif. Il termine par un symbole $ ce qui signifie qu’il est caché et non visible lors d’une découverte du réseau.
Les dossiers partagés par les utilisateurs sont appelés des locales shares ou en français des partages locaux.
Les autorisations sur les fichiers peuvent être définies de deux façons :
Explicite : c’est l’utilisateur qui vient définir manuellement les autorisations sur les fichiers ou dossiers
Hérité : les autorisations sur les fichiers ou dossiers sont hérités du dossier dans lequel ils se trouvent.
Si vous venez modifier les autorisations sur un fichier qui a hérité de celles du dossier dans lequel il se trouve, vous avez donc créé des autorisations explicites, et bien ces autorisations explicites sont prioritaires sur celles du dossier.
Chiffrement des fichiers
Windows propose une solution pour chiffrer les données qui se nomment BitLocker.
Cette solution ne chiffre pas qu’une sélection de répertoires, mais l’ensemble du disque dur en incluant donc aussi le système d’exploitation.
Ainsi, si votre ordinateur est volé, ou que le disque est retiré, vos données sont toujours protégées.
BitLocker requiert un module TPM (Trusted Platform Module) sur la carte mère de votre ordinateur pour fonctionner.
Microsoft propose aussi BitLocker To Go qui permet de chiffrer les données sur les clés USB.
Et enfin, nous allons voir EFS, Encrypting File System, qui permet de chiffrer les données au niveau du système de fichiers, c’est-à-dire qu’EFS permet de chiffrer des dossiers et des fichiers et non le disque complet. Cette fonctionnalité est disponible grâce au système de fichiers NTFS depuis Windows 7.
Le chiffrage des fichiers EFS est associé à l'identifiant et au mot de passe du compte utilisateur. Attention donc, car si le compte utilisateur est supprimé, il est possible que les données chiffrées avec EFS soient perdues pour toujours.
Retrouver de nombreuses vidéos de cours sur la chaîne Youtube Formip :
FAQs
Quels sont les principaux paramètres de sécurité disponibles sous Windows ?
Windows propose plusieurs paramètres de sécurité, notamment le pare-feu Windows Defender, l’antivirus intégré, la gestion des comptes utilisateurs, les autorisations NTFS et de partage, ainsi que le chiffrement des fichiers avec BitLocker ou EFS.
Quelle est la différence entre un compte administrateur et un compte utilisateur standard ?
Le compte administrateur dispose de tous les privilèges pour configurer, installer ou modifier le système, tandis qu’un compte utilisateur standard a des droits limités, suffisants pour une utilisation quotidienne mais sans accès complet aux paramètres critiques du système.
À quoi sert la fonction “Exécuter en tant qu’administrateur” ?
Cette fonction permet d’accorder temporairement les privilèges administrateur à une application, utile pour effectuer des tâches nécessitant des droits élevés sans se déconnecter du compte utilisateur.
Quelle est la différence entre les autorisations NTFS et les autorisations de partage ?
Les autorisations NTFS sont liées au système de fichiers et s’appliquent localement et en réseau, tandis que les autorisations de partage contrôlent uniquement l’accès aux fichiers partagés sur le réseau. En cas de conflit, l’autorisation la plus restrictive prévaut.
Qu’est-ce que BitLocker et à quoi sert-il ?
BitLocker est un outil de chiffrement complet du disque dur, qui protège vos données même en cas de vol ou de retrait du disque. Il nécessite un module TPM (Trusted Platform Module) pour fonctionner.
Quelle est la différence entre BitLocker et EFS ?
BitLocker chiffre l’intégralité du disque dur, y compris le système d’exploitation, alors qu’EFS (Encrypting File System) chiffre uniquement des fichiers ou dossiers spécifiques.
Pourquoi est-il important de bien gérer les autorisations sur les fichiers et dossiers ?
Une mauvaise configuration des autorisations peut entraîner des failles de sécurité, permettant à des utilisateurs non autorisés d’accéder, de modifier ou de supprimer des fichiers sensibles.
Que faire si je perds mon compte utilisateur Windows chiffré avec EFS ?
Si le compte utilisateur est supprimé, les fichiers chiffrés avec EFS peuvent devenir définitivement inaccessibles. Il est donc essentiel de sauvegarder la clé de récupération associée.
