INTRODUCTION A WINDOWS

En tant que technicien système et réseaux, il est important d'avoir des connaissances sur une
large variété de technologies. Une compréhension approfondie des systèmes d'exploitation
Windows et Linux est bénéfique pour de nombreux types de problèmes rencontrés. Il est
essentiel de comprendre comment fonctionnent ces systèmes d'exploitation et d'être
suffisament à l'aise pour répondre aux attentes des clients face aux problèmes rencontrés.

LE SYSTEME D'EXPLOITATION WINDOWS

Microsoft a d'abord introduit le système d'exploitation Windows le 20 novembre 1985. La

première version de Windows était une interface graphique pour MS-DOS. Les versions
ultérieures de Windows Desktop ont introduit des programmes tels que Windows File
Manager, Program Manager et Print Manager.

Windows 95 a été la première intégration complète de Windows et DOS et a offert un support

Internet intégré pour la première fois. Cette version a également vu le lancement du
navigateur web Internet Explorer. Depuis la version initiale, plus d'une douzaine de versions
de Windows ont été publiées, telles que Windows XP, Vista et 8, jusqu'à la version actuelle :
Windows 11. Au fil du temps, Microsoft a proposé diverses éditions de chaque version de
Windows Desktop, s'adressant aussi bien aux consommateurs occasionnels qu'aux clients
d'entreprise.

Windows Server a été lancé pour la première fois en 1993 avec la sortie de Windows NT 3.1
Advanced Server. Windows NT a connu plusieurs mises à jour au fil des ans, ajoutant des
technologies telles que les Services d'Information Internet (IIS), divers protocoles réseau, des
assistants administratifs pour faciliter les tâches d'administration, et plus encore. Avec la
sortie de Windows 2000, Microsoft a présenté Active Directory, initialement conçu pour aider
les administrateurs système à mettre en place le partage de fichiers, le chiffrement des
données, les VPN, etc. Windows Server 2000 incluait également la Console de Gestion
Microsoft (MMC) et prenait en charge les volumes de disque dynamique.

Windows Server 2003 a suivi avec des rôles de serveur, un pare-feu intégré, le Service de
Copie de Volume, et plus encore. Windows Server 2008 a inclus le clustering de basculement,
le logiciel de virtualisation Hyper-V, Server Core, l'Observateur d'événements et des
améliorations majeures d'Active Directory. Au fil des ans, Microsoft a publié d'autres versions
de serveur, y compris Server 2012, Server 2016, et plus récemment, Server 2019. Cette
dernière version a ajouté le support pour Kubernetes, les conteneurs Linux, et des
fonctionnalités de sécurité plus avancées.

À mesure que de nouvelles versions de Windows sont introduites, les versions plus anciennes
sont dépréciées et ne reçoivent plus de mises à jour de Microsoft (sauf dans certains cas où un
contrat de support à long terme est acheté). Windows Server 2008 et 2012 ont atteint la fin de
vie pour les mises à jour de sécurité le 14 janvier 2020. Actuellement, seuls Server 2012 R2 et
les versions ultérieures sont en support. Cependant, Microsoft a publié des correctifs hors
bande pour les versions antérieures de Windows ces dernières années en raison de la
découverte de la vulnérabilité critique SMBv1 (EternalBlue).
De nombreuses versions de Windows sont désormais considérées comme "héritées" et ne sont
plus supportées. Les organisations se retrouvent souvent à exécuter divers systèmes
d'exploitation plus anciens pour prendre en charge des applications critiques ou en raison de
préoccupations opérationnelles ou budgétaires. Un administrateur doit comprendre les
différences entre les versions et les diverses erreurs de configuration et vulnérabilités
inhérentes à chacune.

VERSIONS DE WINDOWS

Voici une liste des principaux systèmes d'exploitation Windows et des numéros de version
associés :

Noms des Systèmes d'Exploitation Numéro de Version

Windows NT 4 4.0
Windows 2000 5.0
Windows XP 5.1
Windows Server 2003, 2003 R2 5.2
Windows Vista, Server 2008 6.0
Windows 7, Server 2008 R2 6.1
Windows 8, Server 2012 6.2
Windows 8.1, Server 2012 R2 6.3
Windows 10, Server 2016, Server 2019 10.0

Nous pouvons utiliser la commande Get-WmiObject pour obtenir des informations sur le
système d'exploitation. Cette commande peut être utilisée pour obtenir des instances de
classes WMI ou des informations sur les classes WMI disponibles. Il existe plusieurs façons
de trouver la version et le numéro de "build" de notre système. Nous pouvons facilement
obtenir ces informations en utilisant la classe win32_OperatingSystem, qui indique que nous
sommes sur un hôte Windows 10, numéro de build 19041.

Certaines autres classes utiles peuvent être utilisées avec Get-WmiObject en incluant
Win32_Process pour obtenir une liste des processus, Win32_Service pour obtenir une liste
des services, et Win32_Bios pour obtenir des informations sur le système de base
d'entrée/sortie (BIOS). Le BIOS est un logiciel intégré sur la carte mère d'un ordinateur qui
contrôle les fonctions essentielles de l'ordinateur, telles que la gestion de l'alimentation, les
interfaces d'entrée/sortie et la configuration du système. Nous pouvons utiliser le paramètre
ComputerName pour obtenir des informations sur des ordinateurs distants. Get-WmiObject
peut être utilisé pour démarrer et arrêter des services sur des ordinateurs locaux et distants, et
plus encore. Plus d'informations sur la cmdlet peuvent être trouvées ici et ici.

ACCEDER A WINDOWS

Concepts d'accès local

Si vous lisez ces mots en ce moment, vous avez un accès local à un ordinateur de quelque
sorte. Que ce soit un smartphone, une tablette, un ordinateur portable, un Raspberry Pi ou un
ordinateur de bureau. L'accès local est le moyen le plus courant d'accéder à tout ordinateur, y
compris ceux fonctionnant sous Windows. L'entrée se fait probablement par un clavier, un
pavé tactile et/ou une souris. La sortie provient de l'écran(s) d'affichage. Les organisations
disposant d'espaces de bureau où les employés travaillent au quotidien établissent des
politiques de sécurité et des contrôles de sécurité autour de l'idée que leurs employés
travaillent dans des espaces de travail dédiés sur des ordinateurs appartenant à l'organisation.
Il devient de plus en plus courant de voir des organisations augmenter leur soutien au
télétravail pour leurs équipes techniques et non techniques. Ce n'est pas nouveau pour les
professionnels techniques travaillant dans l'informatique, le développement logiciel et la
sécurité de informatique. Un professionnel technique peut, à tout moment, accéder à plusieurs
machines localement et à distance. Sur ce, discutons du concept d'accès à distance.

Concepts d'accès à distance

L'accès à distance consiste à accéder à un ordinateur via un réseau. Un accès local à un

ordinateur est nécessaire avant de pouvoir accéder à un autre ordinateur à distance. Il existe
d'innombrables méthodes d'accès à distance. Dans ce module, nous utiliserons principalement
des méthodes d'accès à distance pour nous connecter et interagir avec les systèmes
d'exploitation Windows. Les avancées dans les technologies de réseau et d'Internet ont donné
naissance à des industries entières qui dépendent complètement de l'accès à distance et de
l'administration à distance des systèmes informatiques.

Considérez les ESN et les SS2I, deux industries qui dépendent principalement de la gestion à
distance des systèmes informatiques de leurs clients. Cette fonctionnalité leur permet de
centraliser la gestion, de standardiser les technologies utilisées, d'automatiser de nombreuses
tâches, de permettre des arrangements de travail à distance et de garantir un temps de réponse
rapide lorsque des problèmes surviennent ou que des menaces potentielles à la sécurité
émergent. L'accès à distance ne se limite pas aux ESN et aux SS2I. Les organisations
disposant d'équipes informatiques, de développement logiciel et/ou de sécurité utilisent
quotidiennement des méthodes d'accès à distance pour construire des applications, gérer des
serveurs et administrer les stations de travail des employés. Certaines des technologies d'accès
à distance les plus courantes sont :

 Réseaux privés virtuels (VPN)

 Secure Shell (SSH)
 Protocole de transfert de fichiers (FTP)
  Virtual Network Computing (VNC)
 Gestion à distance de Windows (ou PowerShell Remoting) (WinRM)
 Protocole de bureau à distance (RDP)

Nous nous concentrerons principalement sur l'utilisation de RDP dans ce module.

PROTOCOLE DE BUREAU A DISTANCE (RDP)

RDP utilise une architecture client/serveur où une application côté client est utilisée pour
spécifier l'adresse IP ou le nom d'hôte d'un ordinateur cible sur un réseau où l'accès RDP est
activé. L'ordinateur cible où l'accès RDP à distance est activé est considéré comme le serveur.
Il est important de noter que RDP écoute par défaut sur le port logique 3389. Gardez à l'esprit
qu'une adresse IP est utilisée comme identifiant logique pour un ordinateur sur un réseau, et
qu'un port logique est un identifiant attribué à une application. En termes plus simples, nous
pourrions considérer un sous-réseau comme une rue dans une ville (le réseau de l'entreprise),
une adresse IP dans ce sous-réseau attribuée à un hôte comme une maison sur cette rue, et les
ports logiques comme des fenêtres/portes qui peuvent être utilisées pour accéder à la maison.

Une fois qu'une demande (encapsulée dans un paquet) a atteint un ordinateur de destination
via son adresse IP, la demande sera dirigée vers une application hébergée sur l'ordinateur en
fonction du port spécifié dans cette demande (inclus en tant qu'en-tête dans un paquet).
L'adressage IP et l'encapsulation de protocole sont abordés en détail dans le module
Introduction au réseautage. D'un point de vue réseau, dans ce module, nous devons
simplement comprendre que chaque ordinateur a une adresse IP attribuée pour communiquer
sur un réseau, et que les applications hébergées sur des ordinateurs cibles écoutent sur des
ports logiques spécifiques.

Nous pouvons utiliser RDP pour nous connecter à une cible Windows depuis un hôte
exécutant Linux ou Windows. Si nous nous connectons à une cible Windows depuis un hôte
Windows, nous pouvons utiliser l'application cliente RDP intégrée appelée Remote Desktop
Connection (mstsc.exe).
Pour que cela fonctionne, l'accès à distance doit déjà être autorisé sur le système Windows
cible. Par défaut, l'accès à distance n'est pas autorisé sur les systèmes d'exploitation Windows.
La connexion Bureau à distance permet également de sauvegarder des profils de connexion.
C'est une habitude courante parmi les administrateurs informatiques, car cela rend la
connexion aux systèmes distants plus pratique.

De nombreuses autres applications clientes de bureau à distance existent, dont certaines sont
répertoriées dans cet article de Microsoft intitulé Clients de bureau à distance. Nous ne
couvrirons pas toutes les applications clientes de bureau à distance dans ce module.

Utilisation de xfreerdp
Depuis un hôte basé sur Linux, nous pouvons utiliser un outil appelé xfreerdp pour accéder à
distance aux cibles Windows. Vous remarquerez que nous utilisons xfreerdp dans plusieurs
modules en raison de sa facilité d'utilisation, de son ensemble de fonctionnalités, de son utilité
en ligne de commande et de son efficacité.

De nombreuses autres applications clientes de bureau à distance existent, dont certaines sont
répertoriées dans cet article de Microsoft intitulé Clients de bureau à distance. Nous ne
couvrirons pas toutes les applications clientes de bureau à distance dans ce module.

xfreerdp /v:<targetIp> /u:User /p:Password

Cette commande permet de se connecter à un ordinateur cible en utilisant xfreerdp, où :

 /v:<targetIp> spécifie l'adresse IP de la cible.

 /u:User indique le nom d'utilisateur.
 /p:Password définit le mot de passe pour la connexion.
STRUCTURE DU SYSTEME D'EXPLOITATION

Dans les systèmes d'exploitation Windows, le répertoire racine est <lettre_du_lecteur>:\

(généralement le lecteur C). Le répertoire racine (également connu sous le nom de partition de
démarrage) est l'endroit où le système d'exploitation est installé. D'autres lecteurs physiques et
virtuels se voient attribuer d'autres lettres, par exemple, Data (E:). La structure de répertoires
de la partition de démarrage est la suivante :

Répertoire Fonction
Peut contenir des journaux de performance Windows, mais est vide par
Perflogs
défaut.
Sur les systèmes 32 bits, tous les programmes 16 bits et 32 bits sont
Program Files installés ici. Sur les systèmes 64 bits, seuls les programmes 64 bits sont
installés ici.
Program Files Les programmes 32 bits et 16 bits sont installés ici sur les éditions 64 bits
(x86) de Windows.
Il s'agit d'un dossier caché qui contient des données essentielles au bon
ProgramData fonctionnement de certains programmes installés. Ces données sont
accessibles par le programme, quel que soit l'utilisateur qui l'exécute.
Ce dossier contient les profils d'utilisateurs pour chaque utilisateur qui se
Users
connecte au système et contient les deux dossiers Public et Default.
C'est le modèle de profil utilisateur par défaut pour tous les utilisateurs
Default créés. Chaque fois qu'un nouvel utilisateur est ajouté au système, son
profil est basé sur le profil Default.
Ce dossier est destiné à permettre aux utilisateurs de l'ordinateur de
partager des fichiers et est accessible par défaut à tous les utilisateurs. Ce
Public
dossier est partagé sur le réseau par défaut, mais nécessite un compte
réseau valide pour y accéder.
Les données et paramètres d'application spécifiques à chaque utilisateur
sont stockés dans un sous-dossier caché (par ex., cliff.moore\AppData).
Chacun de ces dossiers contient trois sous-dossiers. Le dossier Roaming
contient des données indépendantes de la machine qui doivent suivre le
AppData profil de l'utilisateur, comme des dictionnaires personnalisés. Le dossier
Local est spécifique à l'ordinateur et n'est jamais synchronisé sur le
réseau. LocalLow est similaire au dossier Local, mais il a un niveau
d'intégrité des données inférieur. Il peut être utilisé, par exemple, par un
navigateur web en mode protégé ou sécurisé.
La majorité des fichiers requis pour le système d'exploitation Windows se
Windows
trouvent ici.
Contient toutes les DLL requises pour les fonctionnalités principales de
System,
Windows et l'API Windows. Le système d'exploitation recherche dans ces
System32,
dossiers à chaque fois qu'un programme demande de charger une DLL
SysWOW64
sans spécifier de chemin absolu.
Le Windows Component Store contient une copie de tous les composants
WinSxS
Windows, mises à jour et packs de service.
EXPLORER LES REPERTOIRES AVEC LA LIGNE DE COMMANDE

Nous pouvons explorer le système de fichiers en utilisant la commande dir.

L'utilitaire tree est utile pour afficher graphiquement la structure des répertoires d'un chemin ou
d'un disque.

La commande tree peut nous fournir une grande quantité d'informations. La commande suivante
peut être utilisée pour parcourir tous les fichiers du lecteur C, écran par écran. Cette commande peut
être modifiée pour être exécutée sur n'importe quel répertoire.
SYSTEME DE FICHIERS

Il existe 5 types de systèmes de fichiers Windows : FAT12, FAT16, FAT32, NTFS et exFAT.
FAT12 et FAT16 ne sont plus utilisés sur les systèmes d'exploitation Windows modernes.
Nous aborderons les systèmes de fichiers FAT32 et exFAT pour cette formation, mais notre
principal objectif sera le système de fichiers NTFS.

FAT32 (Table d'allocation de fichiers) est largement utilisé sur de nombreux types de
dispositifs de stockage tels que les clés USB et les cartes SD, mais peut également être utilisé
pour formater des disques durs. Le "32" dans le nom fait référence au fait que FAT32 utilise
32 bits de données pour identifier les clusters de données sur un dispositif de stockage.

Avantages de FAT32 :

 Compatibilité des dispositifs : il peut être utilisé sur des ordinateurs, des appareils photo
numériques, des consoles de jeux, des smartphones, des tablettes, et plus encore.
 Compatibilité entre systèmes d'exploitation : il fonctionne sur tous les systèmes
d'exploitation Windows depuis Windows 95 et est également supporté par MacOS et Linux.

Inconvénients de FAT32 :

 Ne peut être utilisé qu'avec des fichiers de moins de 4 Go.

 Pas de protection des données intégrée ni de fonctionnalités de compression de fichiers.
 Nécessite l'utilisation d'outils tiers pour le chiffrement des fichiers.

NTFS (New Technology File System) est le système de fichiers par défaut de Windows
depuis Windows NT 3.1. En plus de compenser les lacunes de FAT32, NTFS offre également
un meilleur support des métadonnées et de meilleures performances grâce à une structuration
des données améliorée.

Avantages de NTFS :

 NTFS est fiable et peut restaurer la cohérence du système de fichiers en cas de défaillance
du système ou de perte de courant.
 Offre une sécurité en permettant de définir des autorisations granulaires sur les fichiers et
les dossiers.
 Prend en charge des partitions de très grande taille.
 Dispose d'un journalisation intégrée, ce qui signifie que les modifications de fichiers (ajout,
modification, suppression) sont enregistrées.
Inconvénients de NTFS :

 La plupart des dispositifs mobiles ne supportent pas NTFS nativement.

 Les anciens appareils multimédias tels que les téléviseurs et les appareils photo numériques
ne prennent pas en charge les dispositifs de stockage NTFS.

AUTORISATIONS

Le système de fichiers NTFS possède de nombreuses autorisations de base et avancées. Voici

quelques types d'autorisations clés :

Type
Description
d'autorisation

Contrôle total Permet la lecture, l'écriture, la modification et la suppression de fichiers/dossiers.

Modifier Permet la lecture, l'écriture et la suppression de fichiers/dossiers.

Lister le
Permet de visualiser et de lister les dossiers et sous-dossiers ainsi que d'exécuter
contenu du
des fichiers. Les dossiers héritent uniquement de cette autorisation.
dossier

Lire et Permet de visualiser et de lister des fichiers et sous-dossiers ainsi que d'exécuter
exécuter des fichiers. Les fichiers et dossiers héritent de cette autorisation.

Permet d'ajouter des fichiers aux dossiers et sous-dossiers et d'écrire dans un

Écrire
fichier.

Permet de visualiser et de lister des dossiers et sous-dossiers et de visualiser le

Lire
contenu d'un fichier.

Permet ou refuse la capacité de naviguer dans les dossiers pour atteindre d'autres
fichiers ou dossiers. Par exemple, un utilisateur peut ne pas avoir la permission de
Navigation lister le contenu du répertoire ou de visualiser des fichiers dans le dossier
dans le documents ou web apps dans cet exemple
dossier C:\users\bsmith\documents\webapps\backups\backup_02042020.zip,
mais avec les autorisations de navigation appliquées, il peut accéder à l'archive de
sauvegarde.

Les fichiers et dossiers héritent des autorisations NTFS de leur dossier parent pour faciliter
l'administration, de sorte que les administrateurs n'ont pas besoin de définir explicitement les
autorisations pour chaque fichier et dossier, car cela serait extrêmement chronophage. Si des
autorisations doivent être définies explicitement, un administrateur peut désactiver l'héritage
des autorisations pour les fichiers et dossiers nécessaires, puis définir les autorisations
directement sur chacun d'eux.
CONTROLE D'INTEGRITE DE LA LISTE DE CONTROLE D'ACCES (ICACLS)

Les autorisations NTFS sur les fichiers et dossiers dans Windows peuvent être gérées à l'aide
de l'interface graphique de l'Explorateur de fichiers sous l'onglet Sécurité. En plus de
l'interface graphique, nous pouvons également atteindre un niveau de granularité fin sur les
autorisations de fichiers NTFS dans Windows à partir de la ligne de commande en utilisant
l'utilitaire icacls.

Nous pouvons lister les autorisations NTFS sur un répertoire spécifique en exécutant soit
icacls depuis le répertoire de travail, soit icacls C:\Windows pour un autre répertoire.

Le niveau d'accès aux ressources est indiqué après chaque utilisateur dans la sortie. Les
paramètres d'héritage possibles sont les suivants :

 (CI) : héritage de conteneur

 (OI) : héritage d'objet
 (IO) : héritage uniquement
 (NP) : ne pas propager l'héritage
 (I) : autorisation héritée du conteneur parent

Dans l'exemple ci-dessus, le compte NT AUTHORITY\SYSTEM a les permissions

d'héritage d'objet, d'héritage de conteneur, d'héritage uniquement et d'accès complet. Cela
signifie que ce compte a un contrôle total sur tous les objets du système de fichiers dans ce
répertoire et les sous-répertoires.

Les autorisations d'accès de base sont les suivantes :

 F : accès complet
 D : accès de suppression
 N : aucun accès
 M : accès de modification
 RX : accès en lecture et exécution
  R : accès en lecture seule
 W : accès en écriture seule

Nous pouvons ajouter et supprimer des autorisations via la ligne de commande en utilisant
icacls. Ici, nous exécutons icacls dans le contexte d'un compte administrateur local, affichant
le répertoire C:\users où l'utilisateur toto n'a aucune permission d'écriture.

En utilisant la commande icacls c:\users /grant toto:f, nous pouvons accorder à

l'utilisateur toto un contrôle total sur le répertoire. Cependant, étant donné que les options (OI) et
(CI) n'ont pas été incluses dans la commande, l'utilisateur toto n'aura des droits que sur le dossier
c:\users et non sur les sous-répertoires et fichiers qu'il contient.
Ces autorisations peuvent être révoquées en utilisant la commande icacls c:\users
/remove toto.

icacls est un outil très puissant et peut être utilisé dans un environnement de domaine pour
accorder à certains utilisateurs ou groupes des autorisations spécifiques sur un fichier ou un
dossier, refuser explicitement l'accès, activer ou désactiver les autorisations d'héritage, et
modifier la propriété d'un répertoire ou d'un fichier.

Une liste complète des arguments de ligne de commande icacls et des paramètres
d'autorisation détaillés peut être trouvée ici.

Microsoft détient plus de 70 % de la part de marché mondiale des systèmes d'exploitation de

bureau avec Windows. Cela explique pourquoi la plupart des auteurs de logiciels malveillants
choisissent d'écrire des malwares pour Windows et pourquoi beaucoup perçoivent Windows
comme étant moins sécurisé que d'autres systèmes d'exploitation. D'un point de vue
commercial, il est tout simplement logique pour les auteurs de malwares de consacrer des
ressources à l'écriture de logiciels malveillants pour Windows. C'est une cible de grande
valeur. L'idée qu'un système d'exploitation puisse être immunisé contre les malwares est une
erreur technique. Si des logiciels peuvent être écrits pour un système d'exploitation, alors un
virus peut également être écrit pour ce système. Il est important de garder à l'esprit qu'un
virus, par définition, est un logiciel écrit avec une intention malveillante et peut être écrit pour
n'importe quel système d'exploitation. De nombreuses variantes de malwares écrits pour
Windows peuvent se propager via le réseau, en exploitant les partages réseau avec des
permissions trop permissives. Il convient également de noter que, jusqu'à aujourd'hui, la
célèbre vulnérabilité EternalBlue continue de hanter les systèmes Windows non patchés
utilisant SMBv1, ouvrant souvent la voie aux ransomwares qui paralysent des organisations
entières.

Le protocole Server Message Block (SMB) est utilisé dans Windows pour connecter des
ressources partagées, telles que des fichiers et des imprimantes. Il est utilisé dans les
environnements d'entreprise de grande, moyenne et petite taille. Consulte l'image ci-dessous
pour visualiser ce concept :
Note : Chaque fois que vous voyez une visualisation ou un diagramme d'un concept, prenez le
temps de bien le comprendre. Une image vaut mille mots, mais il est très tentant de la négliger
lors de la lecture.

Les autorisations NTFS et les autorisations de partage sont souvent considérées comme étant
les mêmes. Sachez qu'elles ne le sont pas, mais elles s'appliquent souvent à la même ressource
partagée. Examinons les autorisations individuelles qui peuvent être définies pour sécuriser ou
accorder l'accès à un objet partagé sur un réseau hébergé sur un système Windows utilisant le
système de fichiers NTFS.

AUTORISATIONS DE PARTAGE

Autorisation Description
Les utilisateurs sont autorisés à effectuer toutes les actions des autorisations
Full Control Change et Read, ainsi que de modifier les permissions des fichiers et sous-
dossiers NTFS.
Les utilisateurs peuvent lire, modifier, supprimer et ajouter des fichiers et des
Change
sous-dossiers.
Les utilisateurs sont autorisés à consulter le contenu des fichiers et sous-
Read
dossiers.

AUTORISATIONS DE BASE NTFS

Autorisation Description
Les utilisateurs peuvent ajouter, modifier, déplacer, supprimer des fichiers
Full Control et dossiers, ainsi que changer les permissions NTFS appliquées à tous les
dossiers autorisés.
Les utilisateurs sont autorisés ou interdits de visualiser et de modifier des
Modify
fichiers et des dossiers. Cela inclut l'ajout ou la suppression de fichiers.
Read & Les utilisateurs sont autorisés ou interdits de lire le contenu des fichiers et
Execute d'exécuter des programmes.
 Autorisation Description
List folder Les utilisateurs peuvent ou non afficher une liste des fichiers et sous-
contents dossiers.
Read Les utilisateurs sont autorisés ou interdits de lire le contenu des fichiers.
Les utilisateurs sont autorisés ou interdits de modifier un fichier et d'ajouter
Write
de nouveaux fichiers dans un dossier.
Special
Une variété d'options avancées de permissions.
Permissions

AUTORISATIONS SPECIALES NTFS

Autorisation Description
Les utilisateurs sont autorisés ou interdits d'ajouter, modifier, déplacer,
Full Control supprimer des fichiers et dossiers, ainsi que de changer les permissions
NTFS appliquées à tous les dossiers autorisés.
Les utilisateurs peuvent ou non accéder à un sous-dossier même si
Traverse folder /
l'accès au dossier parent est refusé. Ils peuvent aussi être autorisés ou
execute file
non à exécuter des programmes.
List folder/read Les utilisateurs peuvent ou non voir les fichiers et dossiers contenus
data dans le dossier parent. Ils peuvent aussi ouvrir et visualiser les fichiers.
Les utilisateurs peuvent ou non voir les attributs de base d'un fichier ou
Read attributes
dossier (ex. : système, archive, lecture seule, caché).
Read extended Les utilisateurs peuvent ou non voir les attributs étendus d'un fichier ou
attributes dossier, qui varient selon le programme.
Create files/write Les utilisateurs peuvent ou non créer des fichiers dans un dossier et
data modifier un fichier.
Create Les utilisateurs peuvent ou non créer des sous-dossiers dans un dossier.
folders/append Des données peuvent être ajoutées à des fichiers, mais le contenu
data existant ne peut pas être écrasé.
Les utilisateurs peuvent ou non modifier les attributs d'un fichier. Cette
Write attributes
autorisation ne permet pas de créer des fichiers ou des dossiers.
Write extended Les utilisateurs peuvent ou non modifier les attributs étendus d'un
attributes fichier ou dossier. Les attributs varient selon le programme.
Delete subfolders Les utilisateurs peuvent ou non supprimer des sous-dossiers et fichiers.
and files Les dossiers parents ne seront pas supprimés.
Les utilisateurs peuvent ou non supprimer les dossiers parents, sous-
Delete
dossiers et fichiers.
Read permissions Les utilisateurs peuvent ou non lire les permissions d'un dossier.
Change Les utilisateurs peuvent ou non modifier les permissions d'un fichier ou
permissions dossier.
Les utilisateurs peuvent ou non prendre possession d'un fichier ou
Take ownership dossier. Le propriétaire d'un fichier a le droit de changer toutes les
permissions.
Gardez à l'esprit que les permissions NTFS s'appliquent au système sur lequel les dossiers et
fichiers sont hébergés. Par défaut, les dossiers créés en NTFS héritent des permissions du
dossier parent. Il est possible de désactiver cet héritage pour définir des permissions
personnalisées sur les dossiers parents et sous-dossiers, comme nous le ferons plus tard dans
ce module. Les permissions de partage s'appliquent lorsque le dossier est accessible via SMB,
généralement depuis un autre système sur le réseau. Cela signifie que quelqu'un connecté
localement à la machine ou via RDP peut accéder au dossier partagé en naviguant simplement
vers l'emplacement dans le système de fichiers et n'a besoin de tenir compte que des
permissions NTFS. Les permissions au niveau NTFS offrent aux administrateurs un contrôle
beaucoup plus granulaire sur ce que les utilisateurs peuvent faire dans un dossier ou fichier.

CREATION D'UN PARTAGE RESEAU

Pour comprendre solidement SMB et sa relation avec NTFS, nous allons créer un partage
réseau sur la machine cible Windows 10.

Note : Il est idéal d'avoir Ubuntu ouvert en plein écran sur un deuxième moniteur afin d'avoir
au moins un écran dédié à l'affichage du contenu écrit et un écran pour les interactions avec
les machines. Alternativement, si nous n'avons accès qu'à un seul écran, nous pouvons utiliser
cet écran pour les interactions avec les machines et un smartphone ou une tablette pour
consulter le contenu écrit.

Dans ce cas, nous allons créer un dossier partagé en créant d'abord un nouveau dossier sur le
bureau de Windows 10. Gardez à l'esprit que dans la plupart des environnements d'entreprise,
les partages sont créés sur un Storage Area Network (SAN), un Network Attached Storage
(NAS), ou sur une partition séparée des disques accessibles via un système d'exploitation
serveur comme Windows Server. Si nous rencontrons un partage sur un système
d'exploitation de bureau, il s'agira soit d'une petite entreprise, soit d'un système de tête de pont
utilisé par un testeur d'intrusion ou un attaquant malveillant pour recueillir et exfiltrer des
données.

Nous allons passer par ce processus en utilisant l'interface graphique de Windows.

CREATION DU DOSSIER

Nous allons utiliser l'option de partage avancé (Advanced Sharing) pour configurer notre partage.

Remarquez comment le nom du partage par défaut est automatiquement défini sur le nom du
dossier. De plus, nous pouvons voir qu'il est possible de limiter le nombre d'utilisateurs
pouvant se connecter à ce partage simultanément. Dans un environnement réel, il est bon pour
les administrateurs de définir ce nombre en fonction du nombre d'utilisateurs qui ont
régulièrement besoin d'accéder à la ressource partagée.

Tout comme les autorisations NTFS, il existe une liste de contrôle d'accès (ACL) pour les
ressources partagées. Nous pouvons considérer cela comme la liste des autorisations SMB.
Gardez à l'esprit qu'avec les ressources partagées, à la fois les listes de permissions SMB et
NTFS s'appliquent à chaque ressource partagée dans Windows. L'ACL contient des entrées de
contrôle d'accès (ACE). En général, ces ACE sont composées d'utilisateurs et de groupes
(également appelés principaux de sécurité), car ils constituent un mécanisme adapté pour
gérer et suivre l'accès aux ressources partagées.

Remarquez les paramètres par défaut des entrées de contrôle d'accès et des autorisations.

ACL DES AUTORISATIONS DE PARTAGE (ONGLET DE PARTAGE)

Pour l’instant, nous allons appliquer ces paramètres afin de tester l’effet de cette ACL et des
autorisations appliquées telles quelles. Nous testerons la connectivité depuis Ubuntu en
ouvrant le terminal et en utilisant smbclient.

Remarque : Un serveur est techniquement une fonction logicielle utilisée pour répondre aux
demandes d’un client. Dans ce cas, Ubuntu est notre client et la machine cible Windows 10
est notre serveur.
Utilisation de smbclient pour lister les partages disponibles

Connexion au partage Company Data

Qu'est-ce qui pourrait potentiellement nous bloquer l'accès à ce partage si toutes nos
entrées sont correctes et que notre liste d'autorisations comprend le groupe "Tout le
monde" avec au moins des autorisations de lecture ?

CONSIDERATIONS SUR LE PARE-FEU WINDOWS DEFENDER

C'est le pare-feu Windows Defender qui pourrait potentiellement bloquer l'accès au partage
SMB. Étant donné que nous nous connectons à partir d'un système basé sur Linux, le pare-feu
a bloqué l'accès depuis tout appareil qui n'est pas rejoint au même groupe de travail. Il est
également important de noter que lorsque un système Windows fait partie d'un groupe de
travail, toutes les demandes de connexion réseau (netlogon) sont authentifiées contre la base
de données SAM de ce système Windows particulier. Lorsqu'un système Windows est joint à
un environnement de domaine Windows, toutes les demandes de connexion réseau sont
authentifiées contre Active Directory. La principale différence entre un groupe de travail et un
domaine Windows en termes d'authentification est qu'avec un groupe de travail, la base de
données SAM locale est utilisée, tandis que dans un domaine Windows, une base de données
centralisée basée sur le réseau (Active Directory) est utilisée. Nous devons connaître ces
informations lorsque nous tentons de nous connecter et de nous authentifier avec un système
Windows. Considérez où le compte htb-student est hébergé pour se connecter correctement à
la cible.
En ce qui concerne le pare-feu bloquant les connexions, cela peut être testé en désactivant
complètement chaque profil de pare-feu dans Windows ou en activant des règles de pare-feu
entrant prédéfinies spécifiques dans les paramètres de sécurité avancée du pare-feu Windows
Defender. Comme la plupart des pare-feu, le pare-feu Windows Defender autorise ou refuse le
trafic (demandes d'accès et de connexion dans ce cas) entrant et/ou sortant.

PROFILS DE PARE-FEU WINDOWS DEFENDER :

 Public
 Privé
 Domaine

Il est recommandé d'activer des règles prédéfinies ou d'ajouter des exceptions personnalisées
plutôt que de désactiver complètement le pare-feu. Malheureusement, il est très courant que
les pare-feu soient laissés complètement désactivés par souci de commodité ou par manque de
compréhension. Les règles de pare-feu sur les systèmes de bureau peuvent être gérées de
manière centralisée lorsqu'elles sont jointes à un environnement de domaine Windows par le
biais de la stratégie de groupe. Les concepts et configurations de la stratégie de groupe sont en
dehors du champ d'application de ce module.

Une fois que les règles de pare-feu entrant appropriées sont activées, nous nous connecterons
avec succès au partage. Gardez à l'esprit que nous ne pouvons nous connecter au partage que
parce que le compte utilisateur que nous utilisons (htb-student) est dans le groupe Everyone.
Rappelons-nous que nous avons laissé les autorisations spécifiques du partage pour le groupe
Everyone réglées sur Lecture, ce qui signifie littéralement que nous ne pourrons que lire des
fichiers sur ce partage. Une fois la connexion établie avec un partage, nous pouvons créer un
point de montage depuis notre Pwnbox vers le système de fichiers de la machine cible
Windows 10. C'est là que nous devons également prendre en compte que les autorisations
NTFS s'appliquent en parallèle aux autorisations de partage. Rappelons-nous que NTFS est le
système de fichiers par défaut dans Windows. Revenons à notre session xfreerdp avec notre
machine cible Windows 10 et examinons les autorisations NTFS sur le dossier Company
Data.
ACL DES AUTORISATIONS NTFS (ONGLET SECURITE)

Il y a un contrôle plus granulaire avec les autorisations NTFS qui peuvent être appliquées aux
utilisateurs et aux groupes. Chaque fois que nous voyons une coche grise à côté d'une
autorisation, cela signifie qu'elle a été héritée d'un répertoire parent. Par défaut, toutes les
autorisations NTFS sont héritées du répertoire parent. Dans le monde Windows, le lecteur C:\
est le répertoire parent qui régit tous les répertoires, à moins qu'un administrateur système ne
désactive l'héritage dans les paramètres de sécurité avancés d'un dossier nouvellement créé.

Dans de nombreux cas, les administrateurs système d'une organisation sont responsables de la
décision des autorisations qu'un utilisateur ou un groupe d'utilisateurs obtient sur les
ressources réseau. C'est pourquoi de nombreuses attaques de spear-phishing sont dirigées
contre les administrateurs système et d'autres responsables informatiques. Ils ont beaucoup
d'influence sur ce qui est autorisé dans les environnements qu'ils supervisent, encore plus que
les dirigeants non techniques de niveau C d'une organisation dans de nombreux cas. Par
exemple, les médecins ou les cadres travaillant dans un hôpital n'auront pas de droits
administratifs sur le réseau, mais les administrateurs système en auront.

Maintenant, donnons au groupe Everyone un contrôle total au niveau du partage et testons

l'impact de ce changement en essayant de créer un point de montage vers le partage depuis le
bureau de notre Ubuntu.
MONTAGE VERS LE PARTAGE

Si cette commande ne fonctionne pas, vérifiez la syntaxe. Si la syntaxe est correcte mais que
la commande ne fonctionne toujours pas, il se peut que les utilitaires CIFS doivent être
installés. Cela peut être fait avec la commande suivante :

INSTALLATION DES UTILITAIRES CIFS

Une fois que nous avons réussi à créer le point de montage sur le bureau de notre Ubuntu,
nous devrions examiner quelques outils intégrés à Windows qui nous permettront de suivre et
de surveiller ce que nous avons fait.

La commande net share nous permet de voir tous les dossiers partagés sur le système.
Remarquez le partage que nous avons créé ainsi que le lecteur C:.

Vous souvenez-vous que nous avons partagé le lecteur C: ?

Nous n'avons pas partagé manuellement C:. Le lecteur le plus important, contenant les
fichiers les plus critiques sur un système Windows, est partagé via SMB lors de l'installation.
Cela signifie que quiconque dispose des accès appropriés pourrait accéder à distance à
l'intégralité de C: de chaque système Windows sur un réseau.

Nous pouvons également voir le partage que nous avons créé.

Affichage des partages à l'aide de la commande net share

La gestion de l'ordinateur (Win + X -> Gestion de l'ordinateur) est un autre outil que nous
pouvons utiliser pour identifier et surveiller les ressources partagées sur un système Windows.

Surveillance des Partages depuis la Gestion de l'Ordinateur

Nous pouvons explorer les Partages, les Sessions et les Fichiers Ouverts pour obtenir une idée
des informations que cela nous fournit. En cas de situation où nous assistons un individu ou
une organisation dans la réponse à une violation liée à SMB, ce sont de bons endroits à
vérifier pour commencer à comprendre comment la violation a pu se produire et ce qui a pu
rester.

Visualisation des journaux d'accès aux partages dans l' Observateur d'Événements

L' Observateur d'Événements est un autre bon endroit pour enquêter sur les actions effectuées
sur Windows. Presque tous les systèmes d'exploitation ont un mécanisme de journalisation et
un utilitaire pour afficher les journaux capturés. Sachez qu'un journal est comme une entrée
de journal pour un ordinateur, où l'ordinateur écrit toutes les actions qui ont été effectuées
ainsi que de nombreux détails associés à cette action. Nous pouvons consulter les journaux
créés pour chaque action que nous avons effectuée lors de l'accès à la machine cible Windows
10, ainsi que lors de la création, de la modification et de l'accès au dossier partagé.