Sécurité et Partage

Sommaire
Chapitre 1
SÉCURITÉ
1. SÉCURITÉ :

Les risques d’intrusion dans les systèmes informatiques sont importants et les postes
de travail constituent un des principaux points d’entrée !

Il est primordial de respecter des précautions élémentaires pour prévenir les accès
frauduleux , l’exécution de virus ou la prise de contrôle à distance, notamment via
Internet.

➢ Ce qu’il ne faut pas faire :

▪ Utiliser des systèmes d’exploitation obsolètes

▪ Donner des droits administrateurs aux utilisateurs n’ayant pas de

compétences en sécurité
1. SÉCURITÉ :

➢ Précautions principales :

▪ Verrouillage automatique de session

▪ Un pare-feu (firewall) logiciel pour limiter l’ouverture des ports de communication
à ceux qui sont strictement nécessaire au bon fonctionnement des applications
▪ Utiliser un antivirus régulièrement mis à jour
▪ Prévoir une politique de mise à jour régulière des logiciels et su système
d’exploitation
▪ Favoriser le stockage des données des utilisateurs sur un espace de stockage
régulièrement sauvegardé accessible via le réseau de l’entreprise (si en local,
fournir des moyens de synchronisation ou de sauvegarde aux utilisateurs)
▪ Limiter la connexion de supports mobiles (clé USB, disques durs externes, …)
▪ Désactiver l’exécution automatique (autorun) depuis des supports amovibles
1. SÉCURITÉ :

➢ Pour l’assistance sur les postes de travail :

▪ Les outils d’administration à distance doivent recueillir l’accord de l’utilisateur

avant toute intervention sur son poste (par exemple en répondant à un message
s’affichant à l’écran)
▪ L’utilisateur doit également pouvoir constater si la prise en main à distance est
en cours et quand elle se termine (par exemple grâce à l’affichage d’un message
sur l’écran)
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Qu’est-ce qu’un logiciel malveillant ?

Un logiciel malveillant (ou malware pour la contraction de « malicious software ») est

un logiciel qui nuit à un système informatique ou directement à son
propriétaire.

Il peut s’agir aussi d’un programme inoffensif en tant que tel à l’origine, dont le
pirate détourne l’utilisation à des fins malveillantes.
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Qu’est-ce qu’un logiciel malveillant ?

Par exemple il s’agit de :

▪ contaminer des fichiers leur ajoutant un code exécutable viral
▪ gêner ou empêcher certaines applications de l’ordinateur cible de fonctionner
(voire de bloquer complètement le système d’exploitation)
▪ supprimer ou crypter des fichiers créés par l’utilisateur (documents textuels,
feuilles de calcul, photos, morceaux de musique, …)
▪ désactiver les logiciels de sécurité de la cible pour mieux l’infecter
▪ intercepter les comptes et mots de passe pour usurper l’identité de la victime
sur le Web, voire lui voler de l’argent sur un site Web financier
▪ installer un relai sur l’ordinateur de la victime pour commettre des méfaits
ailleurs via cet ordinateur piraté, et ainsi cacher son identité
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Les Virus informatique :

Un virus informatique se fixe sur un programme ou un fichier à partir duquel il

peut se propager d'un ordinateur à l'autre, semant des infections partout où il
passe. Un peu comme les virus humains, les virus informatiques peuvent être plus ou
moins graves : certains virus ont seulement des effets légèrement dérangeants, tandis
que d'autres peuvent endommager votre matériel, vos logiciels ou vos fichiers. Presque
tous les virus sont inclus dans un fichier exécutable, ce qui signifie que le virus
peut être présent sur votre ordinateur mais en réalité, il ne peut pas l'infecter si vous
n'exécutez pas ou n'ouvrez pas le programme. Il est important de noter qu'un virus ne
peut pas se répandre sans une intervention humaine, comme l'exécution d'un
programme infecté. Les gens contribuent à la propagation d'un virus informatique, la
plupart du temps sans le savoir, en partageant des fichiers infectieux ou en envoyant
des messages électroniques avec des pièces jointes contenant le virus.
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Les Vers informatique :

Un ver (worm en anglais) est similaire à un virus par sa conception. Il est considéré
comme étant une sous-classe de virus. Les vers se propagent d'un ordinateur à un
autre, mais à l'inverse des virus, ils sont capables de voyager sans intervention
humaine.
Un ver profite des fonctions de transfert d'informations ou de fichiers de votre système, qui
lui permettent de voyager sans intervention. Le plus grand danger que représente un ver
est sa capacité à se reproduire lui-même dans votre système et, au lieu d'expédier un seul
ver, votre ordinateur peut en expédier des centaines ou des milliers de copies, générant un
effet dévastateur. En raison de ses capacités à se répliquer et à voyager à travers les
réseaux, le ver a pour effet de consommer trop de mémoire système (ou de bande
passante des réseaux), ce qui sature les serveurs web, les serveurs réseau et les
ordinateurs individuels qui cessent alors de répondre.
1. SÉCURITÉ :
Partie du
code de
Blaster
Lexique des logiciels malveillant : avec le
message
adressé à
➢ Les Vers informatique : Bill Gates
➢ Exemple : Blaster Worm

Blaster est un ver informatique également connu sous le nom Lovesan, qui s’est répandu en
août 2003 sur les principales version de Windows du moment (NT 4,0, 2000, XP et Server
2003).
Il a exploité une faille de vulnérabilité qui était présente dans le service DCOM RPC de
Windows XP/2000. Il se propageait rapidement vers des adresses IP générées aléatoirement.
Une fois infecté, l’ordinateur s’éteignait après 60 secondes. Le ver était programmé pour
commencer une attaque (quatre jours après son apparition le 11/08/2003) de type SYN flood
(pour atteindre un déni de service) sur le site des mises à jour Windows, ce qui a forcé
Microsoft à rediriger le site vers un autre nom de domaine.
Blaster modifie le registre Windows pour se lancer à chaque nouveau démarrage du
système.
Les utilisateurs qui avaient téléchargé les dernières mises à jours de sécurité via
Windows Update on été protégés !
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Cheval de Troie :

Le cheval de Troie (Trojan Horse) est l'un des types de logiciels malveillants les plus connus.
Son nom est une analogie avec le conte de la mythologie grecque qui décrit la livraison d'un
cadeau qui était en fait destiné à s'infiltrer et à attaquer.

Ce malware fait quelque chose de similaire en prétendant être un programme commun pour
apporter un fichier malveillant aux ordinateurs (le plus souvent une porte dérobée bacdoor ou
un keylogger).

Une fois présent sur un ordinateur, le cheval de Troie ouvre une porte dérobée aux pirates
pour accéder aux informations, aux fichiers informatiques et aux données confidentielles des
utilisateurs. Grâce à ce malware, des délits financiers, tels que le vol d'identifiants bancaires,
sont constamment commis.
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Backdoor ou porte dérobée :

Une porte dérobée (backdoor en anglais) est un moyen d’accès caché à un ordinateur, à
distance et discrètement, pour y exécuter toutes sortes d’actions nuisibles prévues par ce
programme. Autrement dit une porte dérobée permet d’accéder à un ordinateur distant sans
que son utilisateur s’en aperçoive.

Comme action nuisible, il est possible de lire les fichiers de l’ordinateur distant, les modifier,
les supprimer. Et d’installer n’importe quel programme malveillant.

Comme exemple de ce type de logiciel malveillant Internet, on trouve un serveur de spam. Ou

un programme de saturation de site Web. L’ordinateur infecté devient nuisible à l’insu de son
utilisateur : on appelle cela un zombie (voir botnet → réseau de machines zombies).
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Keylogger :

Un keylogger enregistre toutes les touches frappées au clavier sur l’ordinateur infecté. Et les
envoie au pirate sur Internet (par exemple par email).

Souvent il a pour but d’intercepter les pseudonymes et mots de passe de la victime sur des
sites Web. Ainsi le pirate peut usurper son « identité virtuelle », voire voler son argent sur des
sites financiers (banque, enchères en ligne …).
1. SÉCURITÉ :

Lexique des logiciels malveillant :

➢ Spyware (logiciel espion) :

Ce malware agit comme un véritable espion , collectant des informations et les transmettant
aux personnes qui ont développé et surveillent le logiciel malveillant.
En conséquence, de nombreux criminels peuvent divulguer des données des principaux sites
Web ou utiliser le vol d'informations pour faire chanter des entreprises et des personnes.

Les logiciels espions peuvent également être utilisés pour attaquer les internautes courants,
car ils permettent le vol de données bancaires et d'informations de carte de crédit , par
exemple. Autant ce n'est pas un malware qui endommage un ordinateur, autant il est
dangereux car il permet l'espionnage.

Les logiciels espions peuvent s'installer sur les ordinateurs via des failles de sécurité liées au
système d'exploitation ou même intégrées à un cheval de Troie.
1. SÉCURITÉ :
Lexique des logiciels malveillant :

➢ Ransomware :

Un Ransomware ou rançongiciel est un logiciel rançonneur cryptant certains fichiers sur

l’ordinateur de la victime. Ensuite le rançonneur propose la clé de décryptage contre de
l’argent, autrement dit pour récupérer ses fichiers il faut payer une rançon.
La situation provoque le désespoir chez l'utilisateur, qui a généralement besoin d'utiliser son
ordinateur pour travailler, puis décide de payer une rançon pour tout récupérer .

Les ransomwares infectent généralement un utilisateur via des e-mails de phishing ou en

accédant à des sites Web non sécurisés qui tirent parti des failles de sécurité du navigateur,
par exemple.

Généralement, cette attaque s'adresse aux grandes entreprises ou aux personnes ayant une
bonne situation financière puisqu'il y a une demande de rançon.
1. SÉCURITÉ :
Lexique des logiciels malveillant :

➢ Le phishing (ou hameçonnage) :

L’hameçonnage ou phishing en anglais est une technique frauduleuse destinée à leurrer

l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de
passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un
faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de
téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, ...
1. SÉCURITÉ :

Récap en vidéo !

✓ Malware : comprendre l’essentiel (15min)

✓ Le Ransomware (5min)
✓ Backdoor en dessins (4min)
✓ L’attaque DDOS (4min)
✓ L’essentiel sur le pare-feu (7min)
✓ Plus d’info sur les BOTS (4min)
1. SÉCURITÉ : Comptes d’utilisateurs

Type de compte : Administrateur vs Standard

Un compte utilisateur appartient à l’un des

deux types : Administrateur ou Standard.

Il doit toujours exister un compte utilisateur

de type Administrateur sur l’ordinateur !
1. SÉCURITÉ : Comptes d’utilisateurs

Compte local vs Compte Microsoft :

L’utilisateur peut se connecter avec son compte Microsoft et ainsi disposer de son
environnement Windows personnalisé sur tous ses appareils utilisant Windows ainsi que
des applications Windows telles que les applications Courrier, Contact, Calendrier et
les services de géolocalisation pour les applications Cartes ou Météo.

Contrairement à un compte Local, un compte Microsoft permet d’accéder à son

interface ainsi qu’à ses documents stockés dans son espace de stockage OneDrive à
partir de n’importe quel ordinateur équipé de Windows 10 et connecté à Internet, ou
bien avec n’importe quel autre terminal compatible OneDrive (Smartphone, tablette...).

On peut créer un compte Local et le convertir ensuite en compte Microsoft dans les
paramètres du compte de l’utilisateur !
1. SÉCURITÉ : Comptes d’utilisateurs

Compte local vs Compte Microsoft :

Convertir un compte local en compte Microsoft :

1. SÉCURITÉ : Comptes d’utilisateurs

Compte local vs Compte Microsoft :

Créer un utilisateur avec un compte Microsoft :

1. SÉCURITÉ : Comptes d’utilisateurs

Le contrôle de compte d’utilisateur (UAC) :

L’UAC (User Account Control) est une fonctionnalité de sécurité de Windows 10 qui
empêche toute modification non autorisée ou involontaire du système
d’exploitation.

Cette fonction faisait d’abord partie du système de sécurité de Windows Vista et a depuis été
améliorée avec chaque nouvelle version de Windows.

De telles modifications peuvent être provoquées par les utilisateurs, des virus, des logiciels
malveillants ou des applications. Mais si l’administrateur n’approuve pas les
modifications, elles ne seront pas exécutées. La saisie du mot de passe administrateur
est donc obligatoire pour effectuer certaines manipulations.
1. SÉCURITÉ : Comptes d’utilisateurs

Le contrôle de compte d’utilisateur (UAC) :

Quelques modifications qui nécessitent des privilèges administratifs :

✓ Exécuter le planificateur de tâches
✓ Modifier les paramètres de l’UAC
✓ Configuration de Windows Update
✓ Ajout ou suppression de comptes d’utilisateurs
✓ Modification des fichiers ou des paramètres du système dans les dossiers de Windows
✓ Visualisation ou modification des fichiers ou dossiers d’autres utilisateurs
✓ Lancer les applications en tant qu’administrateur
✓ Installation ou désinstallation d’applications ou de pilotes
✓ Modification des paramètres de date et d’heure, du pare-feu Windows ou du système
✓ Configurer la sécurité de la famille ou le contrôle parental
✓ Modification du type de compte d’un utilisateur
 1. SÉCURITÉ : Comptes d’utilisateurs

Modifier le contrôle de compte d’utilisateur (UAC) :

Pour modifier le niveau du contrôle

de compte d’utilisateur :

▪ Panneau de configuration
▪ Comptes d’utilisateurs
▪ Comptes d’utilisateurs
▪ Modifier les paramètres de
contrôle du compte d’utilisateur
1. SÉCURITÉ : Comptes d’utilisateurs

Les niveaux de l’UAC dans Windows 10 :

1. SÉCURITÉ : Comptes d’utilisateurs

Les niveaux de l’UAC dans Windows 10 :

1. SÉCURITÉ : Comptes d’utilisateurs

Les niveaux de l’UAC dans Windows 10 :

▪ Toujours m’avertir quand : l’UAC vous avertit avant que les utilisateurs et les
applications n’effectuent des changements qui nécessitent des autorisations
d’administration. Le contrôle UAC intervient quand des applications tentent
d’installer des logiciels ou d’apporter des modifications sur l’ordinateur ou encore
quand les paramètres de Windows sont modifiés. Ce niveau est recommandé par
Microsoft si vous installez régulièrement de nouveaux logiciels ou si vous visitez des
sites Web qui ne vous sont pas familiers.

▪ M’avertir uniquement quand : l’UAC vous avertit lorsque des

programmes/applications tentent d’apporter des modifications à mon ordinateur :
Vous avertit lorsque des programmes tentent d’apporter des modifications à votre
ordinateur ou d’installer des logiciels. Ce niveau gèle également d’autres tâches
jusqu’à ce que le mot de passe administrateur soit saisi, mais il ne vous avertit pas
lorsque vous apportez des modifications aux paramètres de Windows.
1. SÉCURITÉ : Comptes d’utilisateurs

Les niveaux de l’UAC dans Windows 10 :

▪ M’avertir uniquement quand : l’UAC vous avertit lorsqu’un programme tente

d’apporter des modifications ou d’installer un logiciel sur votre ordinateur. Il ne vous
avertit pas lorsque vous apportez des modifications aux paramètres de Windows.

▪ Ne jamais m’avertir quand : l’UAC ne vous avertit pas lorsqu’un programme

tente d’effectuer des modifications, d’installer un logiciel ou de modifier les
paramètres de Windows. Ce paramètre n’est pas recommandé, surtout si vous ne
disposez pas d’une application de sécurité, car il est beaucoup plus facile pour les
virus et les logiciels malveillants d’infecter votre ordinateur lorsque l’UAC est
désactivé.
1. SÉCURITÉ : Comptes d’utilisateurs

Rappel pour le gestion des utilisateurs :

➢ Panneau de configuration
1. SÉCURITÉ : Comptes d’utilisateurs

Rappel pour le gestion des utilisateurs :

➢ Paramètres
1. SÉCURITÉ : Comptes d’utilisateurs

Rappel pour le gestion des utilisateurs :

➢ Comptes d’utilisateurs netplwiz

1. SÉCURITÉ : Comptes d’utilisateurs

Rappel pour le gestion des utilisateurs :

➢ Utilisateurs et groupes locaux [Link]

1. SÉCURITÉ : Comptes d’utilisateurs

Rappel pour le gestion des utilisateurs :

➢ Commandes CMD :

▪ Créer un compte utilisateur :

En ligne de commande :

- Net user toto /add → crée un utilisateur sans mot de passe

- Net user toto Pa$$w0rd /add → crée un utilisateur avec un mot de passe en clair
- Net user toto * /add → crée un utilisateur avec un mot de passe masqué

▪ Supprimer un compte utilisateur :

- Net user toto /del → supprime le compte d’utilisateur toto

1. SÉCURITÉ : Accès attribué

Le mode plein écran de Windows 10 (accès attribué) :

Windows 10 propose une fonctionnalité de mode plein écran qui vous permet
d'exécuter une application dédiée.

Ainsi, elle prend toute la place à l'écran et le menu démarrer n'est pas présent afin que
l'utilisateur ne puisse pas interagir avec le système d'exploitation.

On peut alors verrouiller un PC sur une application spécifique ou une page WEB.

Grâce au mode plein écran, vous mettrez en place une borne en mode kiosk très
facilement.

En effet, en quelques clics, vous définissez l'application qui s'ouvrira en plein écran et
Windows 10 créé un compte utilisateur à cet effet.
1. SÉCURITÉ : Accès attribué

Mettre en place le mode plein écran de Windows 10 (accès attribué) :

1. SÉCURITÉ : Accès attribué

Mettre en place le mode plein écran de Windows 10 (accès attribué) :

1. SÉCURITÉ : Accès attribué

Mettre en place le mode plein écran de Windows 10 (accès attribué) :

1. SÉCURITÉ : Accès attribué

Mettre en place le mode plein écran de Windows 10 (accès attribué) :

1. SÉCURITÉ : Accès attribué

Mettre en place le mode plein écran de Windows 10 (accès attribué) :

1. SÉCURITÉ : Mode kiosk

Mode kiosk pour mettre en place une borne :

Pour les ordinateurs de démo ou borne, on peut avoir besoin de configurer Windows 10
en mode kiosk.

Cela permet de verrouiller les accès et forcer l'utilisation d'une application dédiée.
Par exemple pour créer une borne pour surfer ou mettre une application en
démonstration.
Les utilisateurs ne pourront ouvrir aucune autre application.
1. SÉCURITÉ : Installation des programmes

Bloquer l’installation de programme :

Cette fonctionnalité permet d’empêcher l’installation d’applications selon leur origine.

✓ Dans les
Paramètres →
Applications

✓ Dans la catégorie
Applications et
fonctionnalités
1. SÉCURITÉ : Windows Defender

Windows Defender et l’antivirus MSE :

Historiquement, Windows Defender est une

protection (intégrée à Windows) contre les
programmes espions (spywares) ou indésirables
(malwares) qui sont exécutés sur votre ordinateur
sans votre accord.

Mais avec Windows 10, la solution Windows

Defender inclut l’antivirus Microsoft Security
Essentials (MSE).
Il n’est donc pas nécessaire d’installer cette
protection séparément.
1. SÉCURITÉ : Windows Defender

Windows Defender et l’antivirus MSE :

Notez que Windows Defender se désactivera si vous utilisez une autre solution
de lutte contre les logiciels espions et malveillants et les virus.

Dans ce cas, dès lors que cette solution tierce ne sera plus à jour (fin d’abonnement par
exemple), Windows vous proposera pendant quinze jours différentes solutions :

▪ renouveler votre abonnement au même fournisseur tiers d’antivirus,

▪ activer Windows Defender,
▪ choisir une autre solution dans Windows Store,
▪ reporter l’alerte à plus tard.

Et si aucune solution tierce n’est activée sur votre ordinateur, Windows Defender
s’activera alors automatiquement.
1. SÉCURITÉ : Windows Defender

Ouvrir Sécurité Windows :

Taper « Sécurité Windows dans la barre de recherche.

Ou dans les Paramètres → Mises à jour et sécurité → Sécurité Windows
1. SÉCURITÉ : Windows Defender

Tenir à jour la liste des logiciels espions et des virus :

La mise à jour des définitions de logiciels espions et des virus s’effectue automatiquement.
On peut également l’effectuer manuellement :
1. SÉCURITÉ : Windows Defender

Effectuer une analyse :

Par défaut, l’application Sécurité Windows analyse automatiquement et régulièrement

votre ordinateur et vous prévient en temps réel de toute tentative d’attaque de logiciel
indésirable
Mais vous pouvez à tout moment lancer une vérification ponctuelle en cas de doute d’une
partie ou de l’intégralité de vos lecteurs et/ou dossiers :
1. SÉCURITÉ : Windows Defender

Afficher le rapport d’intégrité :

Toujours dans Sécurité Windows → Performances et intégrité de l’appareil :

1. SÉCURITÉ : Windows Defender

Protection contre les ransomware :

Cette protection permet de protéger les fichiers des modifications par des logiciels
malveillants de type ransomware en leurs empêchant l’accès aux dossiers.

Activer la protection contre les ransomware :

Cette protection dépend de Windows Defender. Si Windows Defender est désactivé

(antivirus tiers installé), on ne pourra pas activer la protection contre les ransomware.

Pour l’activer, il faut passé par Sécurité Windows, puis par la catégorie Protection contre
les virus et menaces.
En bas du panneau central, cliquez sur le lien Gérer la Protection contre les
ransomware.
1. SÉCURITÉ : Windows Defender

Activer la protection contre les ransomware :

1. SÉCURITÉ : Windows Defender

Activer la protection contre les ransomware :

1. SÉCURITÉ : Windows Defender

Activer la protection contre les ransomware :

1. SÉCURITÉ : Windows Defender

Protection contre les ransomware : Gérer les dossiers

1. SÉCURITÉ : Windows Defender

Protection contre les ransomware : Gérer les autorisations des applications

La protection contre les ransomware ne fait pas la différence entre les applications
légitimes ou malveillantes. Pour éviter qu’une application soit bloquée il faut l’ajouter à la
liste des applications autorisées.
1. SÉCURITÉ : Windows Defender

Protection contre les ransomware : Afficher l’historique des blocages

Les actions de protection listées

concernant les accès aux dossiers
bloqués, aux éléments bloqués et les
blocages établies en fonction de règles.
Pour chaque action, un niveau de
gravité est déterminé Grave, Élevé,
Modéré ou Basse.

Dans le cas d’un blocage, le bouton

Action permet d’ajouter cette
application dans la liste des application
autorisées à accéder aux dossiers
protégés.
1. SÉCURITÉ : Windows Defender

Le filtre SmartScreen :

Le filtre SmartScreen permet d’identifier les sites web d’hameçonnage et les programmes
malveillants signalés.
Il aide à prendre des décisions en toute connaissance de cause concernant les téléchargements.

▪ Analyse les pages web et détermine si elles possèdent des caractéristiques suspectes.
Dans ce cas, SmartScreen affiche une page d’avertissement, proposants à l’utilisateur de
faire un commentaire et l’invitant à être prudent.

▪ Compare les sites visités à une liste dynamique de sites d’hameçonnage et de

logiciels malveillants signalés. S’il trouve une correspondance, il affiche un
avertissement pour informer à l’utilisateur que le site a été bloqué pour sa sécurité.

▪ Compare les fichiers téléchargés sur le web avec une liste de sites connus de
logiciels malveillants et de programmes signalés comme dangereux. S’il trouve une
correspondance et avertit l’utilisateur que le téléchargement a été bloqué
1. SÉCURITÉ : Windows Defender

Le filtre SmartScreen :

En cas de blocage du téléchargement d’une application ou d’un fichier que l’on sait
légitime et non nuisible pour l’ordinateur, il est possible de valider malgré tout le
téléchargement.

Pour que SmartScreen soit efficace, Windows 10 envoie à Microsoft des informations sur
les programmes que l’on installe.
Microsoft à donc connaissance des sites web que l’on visite et de tous les téléchargements et
installation de logiciels effectués depuis Windows 10. Si on ne souhaite pas que Microsoft
récupère ces informations, il suffit de désactiver le filtre SmartScreen.
1. SÉCURITÉ : Windows Defender

Gérer le filtre SmartScreen :

Pour activer/désactiver et gérer le filtre SmartScreen il faudra passer par Sécurité

Windows :
1. SÉCURITÉ : Windows Defender

Gérer le filtre SmartScreen :

Pour activer/désactiver et gérer le filtre SmartScreen il faudra passer par Sécurité

Windows :
1. SÉCURITÉ : Windows Defender

Gérer le filtre SmartScreen :

Pour activer/désactiver et gérer le filtre SmartScreen il faudra passer par Sécurité

Windows :
1. SÉCURITÉ : Pare-feu

Gérer le pare-feu :

Un pare-feu, aussi appelé firewall, désigne un dispositif de sécurité chargé de.

protéger un ordinateur contre les tentatives d'intrusion malveillantes provenant
d'un réseau auquel il est connecté.

Il s'agit d'un logiciel ou d'un matériel dont la principale fonction est de protéger votre
ordinateur contre les virus et contre le piratage lorsque votre ordinateur est relié à
n'importe quel réseau, dont Internet.

Le pare-feu analyse pour cela les données entrant sur un

réseau (les paquets IP) et les données échangées. Il détecte,
dans ces données, la présence d'éléments malveillants pour
pouvoir les bloquer.

Le pare-feu agit en quelques sortes comme un mur de

protection contre tout ce qui pourrait endommager votre
ordinateur.
1. SÉCURITÉ : Pare-feu

Gérer le pare-feu :
1. SÉCURITÉ : Pare-feu

Gérer le pare-feu :
1. SÉCURITÉ : Pare-feu

Gérer le pare-feu :
1. SÉCURITÉ : Pare-feu

Gérer le pare-feu :
1. SÉCURITÉ : Windows Update

Mises à jour et bonnes pratiques :

Les mises à jour sur Windows 10 corrigent des bugs de fonctionnements et de vulnérabilités.
Elles participent directement au bon fonctionnement de Windows et sa sécurité.

On distingue deux types de mises à jour :

- Les mises à jour cumulatives ou de qualité : qui interviennent tous les deuxièmes mardi
de chaque moi (Tuesday Patch). Ce sont généralement des mises à jour de sécurité qui
corrigent des failles de sécurité.

- Les mises à jour de fonctionnalités : Qui interviennent deux fois par an. Elles sont plus
importantes en apportant de nouvelles fonctionnalités et en faisant évoluer la version de
Windows 10
1. SÉCURITÉ : Windows Update

Mises à jour et bonnes pratiques :

Windows Update est un système de mise à jour de Windows par Internet. Il est
constitué d’un logiciel installé sur l’ordinateur et d’un site Web dédié.
Convenablement configuré, il permet d’être certain que l’ordinateur dispose des dernières mises
à jour et correction du système Windows.

Windows Update est configuré pour se connecter automatiquement à Internet et effectuer les
mises à jour.

Les mises à jour sont donc installées automatiquement dès qu’elles sont disponible. Il est
cependant possible de repousser l’installation des mises à jour. Mais pourquoi ?

Une mise à jour peut être défectueuse lors de sa publication !

Il est ainsi conseillé d’attendre entre 7 à 15 jours suite à la publication d’une mise à jour
pour l’installer.
1. SÉCURITÉ : Windows Update

Rechercher et installer des mises à jour :

On accède à Windows Update via la catégorie Mise à jour et sécurité dans les Paramètres :
1. SÉCURITÉ : Windows Update

Rechercher et installer des mises à jour :

Pour rechercher des mises à jour de qualité il faut activer le bouton Rechercher des mises à
jour :
1. SÉCURITÉ : Windows Update

Rechercher et installer des mises à jour :

Les mises à jour de fonctionnalités (mises à jour majeure) apparaissent dans le cadre Mises à
jour facultatives disponibles :
1. SÉCURITÉ : Windows Update

Modifier les heures d’activité :

La plage des heures d’activité permet d’interdire le redémarrage de Windows suite aux
mises à jour automatiques pendant que l’utilisateur travail.
Il est possible de les modifier ou de les ajuster automatiquement en fonction de l’activité de
l’utilisateur :
1. SÉCURITÉ : Windows Update

Suspendre ou reporter les mises à jour :

Il est possible d’interrompre momentanément les mises à jour automatique pendant 7 jours ou,
au maximum 35 jours.
1. SÉCURITÉ : Windows Update

Suspendre ou reporter les mises à jour :

On peut également choisir plus précisément la date à laquelle reprendront les mises à jour via
les Options avancés :
1. SÉCURITÉ : Windows Update

Afficher l’historique des mises à jour :

On peut cliquer sur les liens (en bleu)

pour obtenir les détails de la mises à
jour sur un navigateur web !
1. SÉCURITÉ : Windows Update

Désinstaller des mises à jour :

1. SÉCURITÉ : Antivirus

Définitions :

Les antivirus sont des logiciels conçus pour identifier, neutraliser et éliminer
des logiciels malveillants.

Pour ce faire, un antivirus possède trois principales fonctionnalités :

Méthodes de détection virale
Blocage d’un programme malveillant
Désinfection d’un fichier
1. SÉCURITÉ : Antivirus

Méthodes de détection virale :

Parmi les principales fonctionnalités d’un antivirus, la détection de programme malveillant

est la plus importante. Sans elle rien n’est possible.

- La base de signature virale

Quand il analyse un ordi ou un mobile, l’antivirus parcourt le disque dur et la mémoire

centrale et compare chaque fichier à sa base de signature virale. S’il trouve une signature
virale présente dans le fichier alors ce fichier est infecté par un virus ou autre programme
malveillant.

Cette méthode de détection virale est combinée aujourd’hui avec d’autres.

1. SÉCURITÉ : Antivirus

Méthodes de détection virale :

Parmi les principales fonctionnalités d’un antivirus, la détection de programme malveillant

est la plus importante. Sans elle rien n’est possible.

- L’analyse heuristique

L’analyse heuristique recherche un comportement viral dans un programme actif sur l’ordi
ou le mobile, permettant de détecter des programmes malveillants inconnus de sa base de
signature virale. Elle recherche des actions dangereuses ou suspectes et compare la
structure de son code à ceux déjà identifiés. Elle analyse chaque fichier individuellement,
par différence avec la méthode suivante.
1. SÉCURITÉ : Antivirus

Méthodes de détection virale :

Parmi les principales fonctionnalités d’un antivirus, la détection de programme malveillant

est la plus importante. Sans elle rien n’est possible.

- L’examen comportemental

L'analyse comportementale, elle, se situe au niveau même du système. Ça n'est pas un

fichier que l'on surveille en le passant au travers d'un scanner ou d'un bac à sable, c'est l'OS
dans son ensemble. La protection comportementale observe l'activité du système (Windows,
Android, MacOS...) et reconnaît des actions qui paraissent malveillantes, tels que des
requêtes vers un serveur inconnu, des modifications de fichiers, ou des demandes d'accès à
des emplacements de la mémoire.

Les deux méthodes cohabitent et se complètent.

1. SÉCURITÉ : Antivirus

Méthodes de détection virale :

Parmi les principales fonctionnalités d’un antivirus, la détection de programme malveillant

est la plus importante. Sans elle rien n’est possible.

- Le contrôle d’intégrité

Le contrôle d’intégrité permet de détecter les modifications illégitimes de fichiers sur le

disque. On crée une signature numérique pour chaque fichier au préalable. On recrée cette
signature et on la compare à l’ancienne. Si elle différente alors le fichier a été modifié.
1. SÉCURITÉ : Antivirus

Blocage d’un programme malveillant :

Une fois le malware identifié, l’antivirus bloque son exécution ou son accès et propose trois
choix à l’utilisateur :

mettre le fichier en quarantaine : le fichier infecté est déplacé dans un dossier accessible à
l’antivirus et inaccessible au reste du système; cela permet de pouvoir le récupérer et le
désinfecter par la suite
supprimer le fichier : il faut être sûr que ce fichier n’est pas utile, c’est à l’utilisateur de
décider
désinfecter le fichier : il supprime le virus ou malware dans le fichier infecté.
La première proposition est la plus fréquente. La désinfection est parfois proposé[Link] on la
compare à l’ancienne. Si elle différente alors le fichier a été modifié.
1. SÉCURITÉ : Antivirus

Désinfection d’un fichier :

L’une des principales fonctionnalités d’un antivirus est la désinfection de fichier. Un fichier a
été infecté par un programme malveillant. Ce dernier a été identifié par l’antivirus qui se
charge de le supprimer du fichier. Il rend le fichier à nouveau sain en le remettant à son état
d’origine.

Conclusion :

Malgré une mise à jour fréquente de la base de signatures et toutes les méthodes de
détection, un nouveau virus ou programme malveillant peut quand même passer inaperçu.
Il a été démontré qu’aucun antivirus n’est parfait. Alors ne lui faîtes donc pas confiance
aveuglément. En effet un anti-virus ne peut pas forcément pallier une faille de votre
système d’exploitation non mis à jour, votre négligence ou un logiciel Internet non sécurisé.
1. SÉCURITÉ : Antivirus

Les différents types de logiciels antivirus :

Les programmes antivirus peuvent être classés en trois catégories :

- Logiciel antivirus autonome :

Un logiciel antivirus autonome est un outil spécialisé conçu pour détecter et supprimer
certains virus. Il est souvent appelé « logiciel antivirus portable » car il peut aussi être
installé sur une clé USB et utilisé par les administrateurs pour réaliser des scans d’urgence
sur un système infecté. La majorité des programmes portables ne sont cependant pas
conçus pour offrir une protection en temps réel et télécharger les nouvelles définitions de
virus quotidiennement, raison pour laquelle ils ne peuvent pas se substituer aux suites de
sécurité internet, qui incluent une variété de fonctions supplémentaires.
1. SÉCURITÉ : Antivirus

Les différents types de logiciels antivirus :

- Suites de logiciels de sécurité :

Comme mentionné ci-dessus, les suites de logiciels de sécurité vont au-delà de l’offre des
programmes antivirus simples. En sus d’être capables de détecter et supprimer les virus,
elles sont équipées pour combattre tous les autres types de maliciels et offrir une protection
permanente de votre ordinateur et fichiers. La plupart de ces ensembles de programmes
contient un logiciel anti espionnage, un pare-feu ainsi que des fonctions de contrôle
parental. Certains contiennent aussi des fonctions supplémentaires telles que des
gestionnaires de mot de passe, un VPN et même un programme antivirus autonome
accompagnant la suite.
1. SÉCURITÉ : Antivirus

Les différents types de logiciels antivirus :

- Logiciels antivirus sur le Cloud :

Les logiciels antivirus basés sur le nuage sont un type de technologie antivirus relativement
nouvelle qui analyse vos fichiers sur le nuage et non sur votre ordinateur afin de libérer vos
ressources informatiques et permettre une réponse plus rapide. Ces programmes sont
généralement constitués de deux parties : le client installé sur votre ordinateur et réalise
régulièrement des scans de virus et maliciel sans utiliser trop de mémoire, et le service web
qui traite les données recueillies par le client, les inspecte et les compare à sa base de
données de virus et maliciels.
1. SÉCURITÉ : BitLocker

Qu’est-ce que BitLocker ?

BitLocker est un système de sécurité intégré à Windows qui permet de chiffrer

n'importe quelle lecteur, y compris le disque système C.

Une fois qu'un lecteur est chiffré par BitLocker, il ne peut être déverrouillé ou déchiffré
qu'avec un mot de passe BitLocker ou à l'aide de la clé de récupération BitLocker.

Ainsi, n'importe qui sans authentification appropriée se verra refuser l'accès même si
l'ordinateur a été volé ou que le disque dur, SSD est pris.

Il utilise un algorithme de chiffrement avancé (AES) de 128 bits (par défaut) ou 256
bits pour chiffrer des données dans l'ensemble du lecteur ou uniquement l'espace utilisé du
lecteur.
1. SÉCURITÉ : BitLocker

Module TPM :

BitLocker fonctionne grâce à une puce TPM (Trusted

Platform Module). Cette puce est directement intégré à la
carte mère, elle génère et stocke les clés de chiffrement.

Cependant il est également possible d’utiliser BitLocker sans

TPM (ce qui est moins sécurisé) grâce au chiffrement basé
logiciel.
1. SÉCURITÉ : BitLocker

Activer BitLocker sans module TPM :

Pour utiliser BitLocker sans module TPM il faudra apporter une modification via une stratégie
de groupe.

Dans gpedit suivre le chemin suivant :

Configuration ordinateur → Modèles d’administration → Composants Windows →

Chiffrement de lecteur BitLocker → Lecteurs du système d’exploitation

Double-cliquez sur le paramètre :

Exiger une authentification supplémentaire au démarrage
1. SÉCURITÉ : BitLocker

Activer BitLocker sans module TPM :

Activer le paramètre et vérifier que la case

« Autoriser BitLocker sans un module de
plateforme sécurisée compatible »
1. SÉCURITÉ : BitLocker

Chiffrement AES :

AES (Advanced Encryption Standard) est une norme de chiffrement.

C’est un chiffrement par bloc (découpage des données en blocs de taille fixe). La taille des
blocs est indiqué par le numéro : AES-128, AES-192 ou AES-256.

C’est une norme très utilisée surtout pour le chiffrement de base de données ou de stockage
de données.

C’est également un chiffrement symétrique :

1. SÉCURITÉ : BitLocker

Chiffrement AES :

AES (Advanced Encryption Standard) est une norme de chiffrement.

C’est un chiffrement par bloc (découpage des données en blocs de taille fixe → 128bits soit 16
octets).

C’est une norme très utilisée surtout pour le chiffrement de base de données ou de stockage
de données.

C’est également un chiffrement symétrique :

1. SÉCURITÉ : BitLocker

Chiffrement AES :

L’AES comprend trois chiffrements par bloc, et chacun de ces chiffrements par bloc a un
nombre différent de combinaisons de touches possibles, comme suit :

AES-128 : longueur de clé de 128 bits=3,4 x 1038

AES-192 : longueur de clé 192 bits=6,2 x 1057
AES-256 : longueur de clé de 256 bits=1,1 x 1077

Le numéro représente la longueur de la clé. La clé AES-256 est la plus puissante des trois.
Or plus la clé est grande et plus elle consommera de ressource (par exemple si on utilise le
cryptage AES-256 sur un téléphone, la batterie se déchargera plus vite que si on utilise AES-
128 bits).

Les clés AES-256 sont beaucoup plus difficiles à forcer que les clé 128 bits. Cependant, les
clés AES-128 sont encore presque impossible à déchiffrer.
1. SÉCURITÉ : BitLocker

Passer de l’AES 128 bits à l’AES 256 bits :

Par défaut, BitLocker utilise AES 128 bits. Il est possible de modifier la méthode de
chiffrement via les stratégies de groupe.
1. SÉCURITÉ : BitLocker

Activer BitLocker :

Dans le panneau de configuration (ou en tapant BitLocker dans la barre de recherche) :

1. SÉCURITÉ : BitLocker

Activer BitLocker :
1. SÉCURITÉ : BitLocker

Activer BitLocker :
1. SÉCURITÉ : BitLocker

Activer BitLocker :
1. SÉCURITÉ : BitLocker

Activer BitLocker :
1. SÉCURITÉ : BitLocker

BitLocker To Go :

BitLocker To GO est une nouvelle fonctionnalité de BitLocker introduite dans Windows 7 qui
autorise le chiffrement de lecteurs amovibles.
1. SÉCURITÉ : BitLocker

MANAGE-BDE :

Pour gérer BitLocker en ligne de commande, on utilisera la commande manage-bde :

1. SÉCURITÉ : BitLocker

MANAGE-BDE : Afficher l’état de BitLocker

- Pour afficher l’état de BitLocker sur tous les lecteurs du système :

manage-bde –status

- Pour afficher l’état d’un lecteur en particulier :

manage-bde –status C:
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Activer BitLocker

- Activer BitLocker sur un lecteur D, avec un

mot de passe classique et un mot de passe
de récupération :
manage-bde -on D: -password -recoverypassword
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Activer BitLocker

- Pour activer BitLocker sur un lecteur D, avec un

mot de récupération et une clé de récupération
sur un lecteur E :
manage-bde -on D: -password -recoverypassword
-recoverykey E:\
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Désactiver BitLocker

- Pour désactiver BitLocker sur un lecteur et le déchiffrer complétement :

manage-bde –off D:

- Pour suivre la progression du déchiffrement :

manage-bde –status D:
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Désactiver BitLocker

- Pour désactiver BitLocker sur un lecteur et le déchiffrer complétement :

manage-bde –off D:

- Pour suivre la progression du déchiffrement :

manage-bde –status D:
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Suspendre/Rependre l’opération en cours

Le chiffrement, le déchiffrement et l’effacement d’un espaces libre sont trois opérations

qu’il est possible de suspendre puis de reprendre ultérieurement :

- manage-bde –pause D:
- manage-bde –resume D:
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Verrouiller/Déverrouiller un lecteur

- Pour déverrouiller un lecteur chiffré avec BitLocker à l’aide d’un mot de passe de
récupération :
manage-bde –unlock D: -recoverypassword 695970-708774-360316-198979-076835-400939

- Déverrouiller un lecteur D à l’aide d’une clé de récupération situé sur le lecteur E: :

manage-bde –unlock D: -recoverykey "E:\[Link]«

- Pour verrouiller un lecteur :

manage-bde –lock D:

Une fois que le lecteur est verrouillé, il ne peut être déverrouillé qu’à l’aide d’un des protecteurs
qui ont été définis dessus.
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Gérer les protecteurs

- Pour afficher la liste des protecteurs d’un lecteur chiffré :

manage-bde –protectors –get D:
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Gérer les protecteurs

- Pour supprimer un protecteurs de type mot de passe classique :

manage-bde –protectors –delete D: -type Password

- Pour ajouter un protecteurs de type mot de passe de récupération :

manage-bde –protectors –add D: -RecoveryPassword
1. SÉCURITÉ : BitLocker

MANAGE-BDE : Modifier le mot de passe et le code PIN

- Pour modifier le mot de passe d’un lecteur chiffré :

manage-bde –changepassword D:

- Pour modifier le code pine d’un lecteur chiffré :

manage-bde –changepin D:
Chapitre 2
PARTAGE
2. PARTAGE :

Qu’est-ce qu’un partage réseau ?

Un partage réseau permet de transférer des données entre deux PC distant sur un
réseau local LAN.

Pour cela il faudra créer un dossier partagé sur une machine pour que les autres puissent y
accéder via son chemin réseau :

\\nom-pc\dossier-partagé ou \\IP\dossier-partagé
2. PARTAGE :

Prérequis pour un partage réseau :

- Les ordinateurs sont sur le même réseau local (configuration réseau correcte)
- Les ordinateurs font partie du même groupe de travail ou même domaine
- Les ordinateurs du LAN sont dans le même emplacement réseau (en général Privé)
- Le pare-feu ne bloque pas les partages de fichier
2. PARTAGE :

Les emplacements réseau ou profils réseau :

Le profil réseau représente le type de réseau auquel l’ordinateur est connecté. En fonction du
profil réseau choisis, Windows activera ou non la découverte de réseau, le partage de fichiers
et d’imprimantes, et définira automatiquement les paramètres de pare-feu et de sécurité
appropriés.

Les profils réseau disponibles sont :

- Réseau public : attribué à tous les nouveau réseaux lors de leur première connexion.
Ce profil convient au réseaux sensibles comme par exemple le réseau Wi-Fi d’un café. La
découverte du réseau et le partage réseau seront désactivé. Les règles du pare-feu seront
restrictives.
- Réseau privé : pour les réseaux de confiance, comme le réseau domestique ou
professionnel. Le partage de fichiers et d’imprimantes, ainsi que la découverte du réseau
seront activés.
- Réseau de domaine : ce profil est détecté lorsque l’ordinateur est membre d’un
domaine AAD et qu’il peut qu’authentifier auprès d’un contrôleur de domaine.
2. PARTAGE :

Les emplacements réseau ou profils réseau :

Le profil réseau représente le type de réseau auquel l’ordinateur est connecté. En fonction du
profil réseau choisis, Windows activera ou non la découverte de réseau, le partage de fichiers
et d’imprimantes, et définira automatiquement les paramètres de pare-feu et de sécurité
appropriés.

Les profils réseau disponibles sont :

- Réseau public : attribué à tous les nouveau réseaux lors de leur première connexion.
Ce profil convient au réseaux sensibles comme par exemple le réseau Wi-Fi d’un café. La
découverte du réseau et le partage réseau seront désactivé. Les règles du pare-feu seront
restrictives.
- Réseau privé : pour les réseaux de confiance, comme le réseau domestique ou
professionnel. Le partage de fichiers et d’imprimantes, ainsi que la découverte du réseau
seront activés.
- Réseau de domaine : ce profil est détecté lorsque l’ordinateur est membre d’un
domaine AAD et qu’il peut qu’authentifier auprès d’un contrôleur de domaine.
2. PARTAGE :

Changer le profil réseau :

Pour changer le profil réseau :

2. PARTAGE : Centre Réseau et partage

Le Centre Réseau et partage de Windows 10 centralise toutes les informations relatives à

l’état du réseau. Pour y accéder :

- Panneau de configuration → Réseau et Internet → Centre Réseau et partage

- Dans Exécuter (Windows + R) : [Link] /name [Link]
- Dans l’explorateur de fichier, clique-droit sur Réseau puis Propriétés
2. PARTAGE : Centre Réseau et partage

Activer/désactiver le partage des dossiers Publics :

Si le partage des dossiers publics est activé, tous les

utilisateurs locaux ou du réseau auront accès à ces dossiers.
Si le partage est désactivé, seuls les utilisateurs ayant un
compte et un mot de passe sur l’ordinateur y auront accès.

Dans le Centre Réseau et partage puis Modifier les

paramètres de partage avancés :
2. PARTAGE : Centre Réseau et partage

Activer/désactiver le partage des dossiers Publics :

Activer la flèche déroulante pour Tous les réseaux :

2. PARTAGE : Centre Réseau et partage

Activer/désactiver le partage des dossiers Publics :

2. PARTAGE : Centre Réseau et partage

Activer/désactiver le partage protégé par mot de passe :

2. PARTAGE : Centre Réseau et partage

Activer la découverte de réseau :

2. PARTAGE : Centre Réseau et partage

Activer la découverte de réseau :

2. PARTAGE : Centre Réseau et partage

Partager un dossier :

Pour partager en réseau un dossier il faut activer le partage dans les propriétés du dossier :
2. PARTAGE : Centre Réseau et partage

Partager un dossier :

On choisit ensuite qui aura accès au partage et avec quel niveau d’autorisation :
2. PARTAGE : Centre Réseau et partage

Partager un dossier :

Une fois le dossier partagé on obtient le chemin réseau.

On peut également vérifier les autorisations dans l’onglet Sécurité :
2. PARTAGE : Centre Réseau et partage

Cesser un partage réseau :

Pour arrêter de partager un dossier en réseau il faut décocher l’option du partage dans les
propriétés.
2. PARTAGE : Centre Réseau et partage

Afficher les dossiers partagés :

Via la commande Exécuté (Windows + R) : [Link]

2. PARTAGE : Centre Réseau et partage

Afficher et gérer les dossiers partagés :

Via la commande Exécuté (Windows + R) : [Link]

2. PARTAGE : Autorisations NTFS

Les autorisations NTFS permettent d’autoriser ou d’interdire l’accès à des fichiers ou

dossiers spécifiques au sein d’un partage réseau.

En plus des autorisations sur le partage, Windows permet d’affiner les permissions sur les
fichiers ou dossiers grâce aux ACL (Access Control List). On peut ainsi définir des
autorisations pour un compte utilisateur ou un groupe.

Voici les différents types d’autorisation :

- Lecture : vous pouvez voir le contenu d’un dossier, lire un fichier et voir ses attributs
via les propriétés
- Écriture : vous pouvez écrire dans un fichier texte, modifier ses attributs, afficher les
autorisations
- Modification : vous pouvez effectuer toutes les actions permises par les autorisations
Écriture, Lecture et exécution soit modifier le contenu du fichier et le supprimer
- Contrôle total : vous pouvez effectuer toutes les actions permises par les autres
autorisations de bases + modifier les autorisations NTFS et devenir propriétaire du
fichier
2. PARTAGE : Autorisations NTFS

Notion d’hérédité dans les autorisations :

Lorsque l’on configure une autorisation, elle s’appliquera (par défaut) aux sous-dossiers et
au fichiers.
Pour vérifier et modifier les ACL il faut passer par l’option Avancé :
2. PARTAGE : Autorisations NTFS

Notion d’hérédité dans les autorisations :

On peut ainsi Ajouter, Supprimer et Modifier les autorisations :

Pour gérer l’hérédité il faut sélectionner l’option souhaité dans S’applique à :
2. PARTAGE : Autorisations NTFS

Notion d’hérédité dans les autorisations :

Dans les autorisations du Dossier1, créé dans le dossier partagé, on remarque qu’il hérite
des autorisations du dossier parent :
2. PARTAGE : Autorisations NTFS

Notion d’hérédité dans les autorisations :

Il est impossible de supprimer une autorisation hérité !

Il faudra donc désactiver l’héritage :

2. PARTAGE : Autorisations NTFS

Notion d’hérédité dans les autorisations :

Quand on désactiver l’héritage on a le choix entre :

2. PARTAGE : Lecteur réseau

Créer un lecteur réseau :

Un lecteur réseau permet d’accéder rapidement à un dossier partagé.

2. PARTAGE : Lecteur réseau

Créer un lecteur réseau :

2. PARTAGE : Lecteur réseau

Supprimer un lecteur réseau :

2. PARTAGE : Avec l’invite de commande

Gérer les partages réseau en CMD :

2. PARTAGE : Avec l’invite de commande

Gérer les partages réseau en CMD :

- NET SHARE → permet de lister les partages réseau

2. PARTAGE : Avec l’invite de commande

Créer un partage réseau en CMD :

Créer une simple partage de dossier nommé « MonPartag » :

NET SHARE MonPartage=C:\dossier

Ajouter un commentaire au partage avec l’option /REMARK

NET SHARE MonPartage=C:\dossier /REMARK: »Mon Super Dossier Partagé »

Indiquer les autorisations sur le partage avec l’option /GRANT

NET SHARE MonPartage=C:\dossier /GRANT:utilisateur,READ

Avec les autorisations suivantes : READ (lecture), CHANGE (écriture et modification), FULL
(contrôle total)
2. PARTAGE : Avec l’invite de commande

Créer un partage réseau en CMD :

Exemple :
2. PARTAGE : Avec l’invite de commande

Supprimer un partage réseau en CMD :

Pour supprimer un partage de dossier :

NET SHARE C:\dossier /DELETE

Pour supprimer un partage distant :

(si on possède les autorisations !)
NET SHARE NomPartage \\IP /DELETE
2. PARTAGE : AGDLP

Méthode AGDLP : Account Global Domain Local Permisions

La méthode AGDLP est une bonne pratique pour gérer les accès aux ressources
partagées. C’est une méthode préconisée par Microsoft.
Elle est basé sur les groupes de sécurité Active Directory et leurs étendues.
2. PARTAGE : AGDLP

Rappel sur les groupes Actives Directory :

• Le type du groupe :

• Sécurité : Les groupes de sécurité sont les plus utilisés. Il permettent de gérer les
autorisations d’accès aux ressources. Un groupe de sécurité « transmet » ses
autorisations d’accès aux ressources à ses membres
Les groupes de sécurités auront donc besoin d’un identifiant de sécurité SID
• Distribution : utile pour créer des listes de distribution. Par exemple, pour créer
une liste de distribution d’adresses e-mail en ajoutant des contacts. Ces groupes
sont principalement utilisés par des applications de messageries comme Microsoft
Exchange.
Les groupes de distribution n’auront pas besoin d’un identifiant de sécurité SID

Il est possible de convertir un groupe de sécurité en groupe de distribution et inversement !

2. PARTAGE : AGDLP

Rappel sur les groupes Actives Directory :

• L’étendue du groupe :
L’étendue d’un groupe correspond à sa portée au niveau de l’arborescence Active Directory,
les étendues peuvent aller d’une portée uniquement sur le domaine local, mais aussi
s’étendre sur la forêt entière
• Domaine local : groupe qui peut être utilisé uniquement dans le domaine dans
lequel il a été créé.
• Global : ce groupe pourra être utilisé dans le domaine local, mais aussi dans tous
les domaines approuvés par le domaine de base
• Universelle : ce groupe sera disponible sur l’ensemble de la forêt

Attention ! Les étendues sont dépendantes du niveau fonctionnel de la forêt et du

domaine ainsi que des relations d’approbations entre les différents domaines et arbres.
2. PARTAGE : AGDLP

Convention de nommage des groupes AD :

Il est important que tous les membres du services informatique respecte la convention de
nommage.
Elle permet notamment, de comprendre rapidement à quoi correspond le groupe.

Exemple de convention de nommage :

- GG_XXXXX : groupe global qui va contenir les utilisateurs de département

- GL_XXXXX_YY : groupe local qui sera positionné sur les ressources et YY va
correspondre aux droits d’accès (RO → Read-Only / RW → Read-Write)
2. PARTAGE : AGDLP

Exemple :
2. PARTAGE : AGDLP

Exemple :
2. PARTAGE : AGDLP

Exemple :
2. PARTAGE : AGDLP

Exemple :
2. PARTAGE : AGDLP

Exemple :
2. PARTAGE : AGDLP

Exemple :
2. PARTAGE : AGDLP

Exemple :
Chapitre 3
STRATÉGIES DE
GROUPE (GPO)
2. STRATÉGIE DE GROUPE AD : GPO

Qu’est-ce qu’une GPO ?

• Une stratégie de groupe ou GPO (Group Policy Object) est un ensemble d’outils
intégrés à Windows Server qui permet au service informatique de centraliser la
gestion de l’environnement utilisateur et la configuration des machines grâce à
l’application de politiques
• Chaque GPO dispose de ses propres paramètres, définis par l’administrateur système, et
qui seront appliqués à des postes de travail, des serveurs ou des utilisateurs
• Par exemple : une GPO qui applique le même fond d’écran sur tous les postes clients du
domaine, sans que l’utilisateur puisse modifier l’image du fond d’écran

• Les avantages :
• configuration homogène entre les différentes machines du parc informatique, mais
aussi au niveau de l'environnement utilisateur
• Gain de temps en réalisant une modification qui s’applique sur un ensemble de
postes
• Flexibles car on peut changer facilement la configuration d’une GPO
2. STRATÉGIE DE GROUPE AD : GPEDIT

GPO local VS GPO Active Directory :

• GPO local :
Il est possible de configurer des stratégies de groupes sur une machine (Windows 10 ou
Server) hors domaine (workgroup) mais ces stratégies ne s’appliquent que sur cette
machine.
2. STRATÉGIE DE GROUPE AD : GPO

GPO local VS GPO Active Directory :

• GPO Active Directory :

Les GPO Active Directory permettent,

contrairement aux GPO locales, d’appliquer des
paramètres sur un ensemble de postes et/ou un
ensemble de comptes utilisateurs

Pour ouvrir la console :

• Onglet Outils du Gestionnaire de serveur
• Puis Gestion des stratégies de groupe
2. STRATÉGIE DE GROUPE AD : AGDLP

GPO local VS GPO Active Directory :

• GPO Active Directory :

On peut également ouvrir la console avec [Link] :

 2. STRATÉGIE DE GROUPE AD : AGDLP
Présentation de la console Gestion des stratégies de groupe :

La forêt

Les domaines

Le domaine aston-
[Link]

Les UO du domaine
[Link]

Arborescence Informations
de la forêt sur ce qu’on a
sélectionné
2. STRATÉGIE DE GROUPE AD : AGDLP
Présentation de la console Gestion des stratégies de groupe :

Dossier où sont rangées toutes les

GPO

Dossier où on range les filtres

WMI
Exemple : filtre qui applique une
GPO que sur les postes Windows
10

Dossier où sont rangées les modèles de

GPO
2. STRATÉGIE DE GROUPE AD : AGDLP
Présentation de la console Gestion des stratégies de groupe :

On peut lier des GPO sur les

différents sites du domaine
(utiles quand l’entreprise à
plusieurs agences)

Permet de tester des GPO avant

leur mise en production

Permet de visualiser les GPO qui

s’applique sur les postes du domaine à
distance
2. STRATÉGIE DE GROUPE AD : AGDLP
Présentation de la console Gestion des stratégies de groupe :

L’onglet Étendue affiche des

informations sur le GPO comme :
- Les emplacements où cette
GPO est lié
- Le filtrage de sécurité = à
quels groupes, utilisateurs ou
ordinateurs les paramètres
s’appliquent
2. STRATÉGIE DE GROUPE AD : AGDLP
Présentation de la console Gestion des stratégies de groupe :

L’onglet Détails affiche les

informations de base de la GPO
comme, le propriétaire, quand
elle a été créée, quand elle a été
modifiée pour la dernière fois,
son identifiant, ….
2. STRATÉGIE DE GROUPE AD : AGDLP
Présentation de la console Gestion des stratégies de groupe

L’onglet Paramètres,
affiche toutes les
stratégies et les
paramètres qui
composent la GPO
2. STRATÉGIE DE GROUPE AD : AGDLP
Présentation de la console Gestion des stratégies de groupe

Enfin, l’onglet Délégation, affiche

les autorisations pour la GPO
2. STRATÉGIE DE GROUPE AD : AGDLP
Ordre d’application des stratégies de groupe : LSDOU

• LSDOU pour Local, Site, Domain, Organizational Unit

2. STRATÉGIE DE GROUPE AD : AGDLP
Ordre d’application des stratégies de groupe : LSDOU

• Prioriser une GPO

Pour faire appliquer une GPO en priorité on va pouvoir utiliser l’option Appliqué.
Cette option est en réalité mal traduite → Enforced en anglais.

Une fois appliqué, la GPO aura un cadenas sur elle. Elle sera appliqué en priorité par
rapport aux autres GPO qui ne sont pas Enforced !
2. STRATÉGIE DE GROUPE AD : AGDLP
Créer une GPO :

• Créer une GPO sans la lier :

Clic-droit sur le dossier Objets de stratégie de groupe
Puis Créer une GPO
2. STRATÉGIE DE GROUPE AD : AGDLP
Créer une GPO :

• Créer une GPO en la liant à une UO ou à la racine du domaine :

Clic-droit où on souhaite lier la GPO
Puis Créer une GPO et la lier ici
2. STRATÉGIE DE GROUPE AD : AGDLP
Configurer une GPO :

• L’éditeur de GPO
Il faut faire clic-droit sur la GPO
Puis Modifier
2. STRATÉGIE DE GROUPE AD : AGDLP
Configurer une GPO :

• Exemple : Bloquer l’accès au CMD pour l’UO Compta

Configuration utilisateur → Stratégies → Modèles d'administration → Système :
2. STRATÉGIE DE GROUPE AD :
Configurer une GPO :

• Exemple : Bloquer l’accès au CMD pour l’UO Compta

Configuration utilisateur → Stratégies → Modèles d'administration → Système :
2. STRATÉGIE DE GROUPE AD :
Mise à jour des stratégies :

Les stratégies de groupe se mettent à jour lors de l’ouverture d’une session pour
charger toute la configuration ou via la commande GPUPDATE /FORCE
2. STRATÉGIE DE GROUPE AD :
Générer un rapport d’exécution des stratégies :

La commande GPRESULT permet d’afficher les stratégies de groupe active pour l’ordinateur
et les utilisateurs cibles.
2. STRATÉGIE DE GROUPE AD :
Générer un rapport d’exécution des stratégies :

Quelques exemples :

- GPRESULT /R → affiche un rapport pour afficher des informations sur les GPO chargées
sur le poste et associée à l’utilisateur connecté

- GPRESULT /R /SCOPE:USER → affiche un rapport sur les GPO chargées, seulement

pour l’utilisateur courant

- GPRESULT /R /SCOPE:COMPUTER → affiche un rapport sur les GPO chargées

seulement pour la machine locale
2. STRATÉGIE DE GROUPE AD :
Générer un rapport d’exécution des stratégies :

On peut garder une trace du résultat avec les commandes suivantes :

- GPRESULT /R > C:\DATA\[Link] → redirection du résultat du gpresult dans un

fichier texte

- GPRESULT /H C:\DATA\[Link] → l’option /H permet de générer un

rapport HTML

- GPRESULT /H C:\DATA\[Link] & C:\DATA\[Link] → génère un

rapport html et l’ouvre immédiatement