Semaine 6 – Compte utilisateur

Question 1

1. Compte utilisateur

Answer 1

Les systèmes d’exploitation d’aujourd’hui sont tous multi-usagers, c.-à-
d., plusieurs personnes utilisent le même ordinateur, mais avec des
environnements différents.

• Différentes personnes ont:
   Différentes applications
   Différentes préférences pour l’environnement
   Différents besoins de sécurité
• Chaque usager a son propre profil:
   Configuration personnelle
   Fond d’écran
   « Screensaver »
   Programmes installés (certains sont communs, d’autres pas)
   Dossiers personnels (mes documents)
   Quota d’espace disque

Question 2

2. Usagers

Answer 2

• Un compte usager est associé à chaque personne utilisant
  l’ordinateur.
• Pour utiliser son compte usager, on doit fournir le nom d’usager et le
  mot de passe (authentification).
• L’authentification permet à Windows de connaître les pouvoirs
  (droits) de l’usager (p. ex., installer de nouvelles applications,
  supprimer un fichier, etc.).
• On peut ainsi éviter que quelqu’un d’autre modifie/supprime nos
  travaux.
• Seules les personnes pouvant s’authentifier avec un compte usager
  bénéficieront des possibilités de ce compte.
• Après l’installation, il y a 5 usagers:
   Celui créé lors de l’installation (vous)
   Administrateur
   Invité (à désactiver, s’il ne l’est pas)
   DefaultAccount/defaultuser() (désactivé)
   WDAGUtilityAccount (désactivé)

Question 3

Pourquoi restreindre l’utilisation du compte administrateur?

Answer 3

• Un utilisateur administrateur a les possibilités de:
   Installer/supprimer des applications
   Installer/supprimer des périphériques
   Effectuer des mises à jour du système
   Effectuer des restaurations du système
   Modifier la configuration globale de Windows de façon importante
  (ajout/suppression utilisateurs, modifications de la configuration d’Internet
  Explorer dont la sécurité, arrêter des programmes en cours comme un
  antivirus ou un firewall, etc.. ).
   Modifier/Supprimer des fichiers systèmes, en autre, il a la possibilité
  d’écrire dans le dossier Program files (pour installer des applications), ou
  dans le dossier Windows, mais surtout Windows/System32
• Lorsque vous surfez sur internet en étant administrateur, les
  malwares/virus tirent parti de ce fait, pour s’installer sur votre
  ordinateur à votre insu. Si vous surfez sur internet sans être
  administrateur de l’ordinateur, vous allez augmenter de façon très
  significative votre protection. Les exploits sur les sites WEB piégés ne
  fonctionneront pas, puisque le fichier à l’origine de l’infection n’aura pas
  les droits adéquats pour installer l’infection sur le système (écrire dans
  le dossier Windows, créer les services, modifier les clefs du registre pour
  se charger au démarrage, etc..).
• Dans le cas où vous êtes plusieurs utilisateurs de l’ordinateur, vous
  devez vous poser la question, si tous les utilisateurs ont besoin ou non
  d’être administrateurs de la machine et donc de modifier la
  configuration de Windows ou l’ajout d’applications notamment dans le
  cas où l’ordinateur est utilisé par des enfants. Donnez les droits
  “administrateur” à une personne qui n’en a pas besoin ou qui n’a pas les
  connaissances est dangereux, car la personne pourra installer des
  programmes, modifier la configuration de Windows; infecter Windows ou
  l’endommager.

Question 4

3. Compte local v/s compte Microsoft

Answer 4

• Le compte local est ce qu’on avait avec Windows 7 et les versions
  précédentes.
• Il s’agit d’un compte présent sur la machine physique seulement et
  rattacher à une seule installation de Windows.
• Le compte local permet l’utilisation du nom d’utilisateur et du mot de
  passe de votre choix
  420-105 Système d’exploitation
  8
  3. Compte local v/s compte Microsoft
• Le compte « Microsoft » est une nouvelle manière de s’authentifier
  depuis Windows 10. Il est composé d’une adresse courriel et d’un mot
  de passe. Si vous utilisez déjà Outlook.com, OneDrive, Windows
  phone ou Xbox Live, alors vous avez déjà un compte Microsoft qui
  peut être utilisé pour Windows 11.
• En utilisant un compte Microsoft, vous pourrez accéder à toutes les
  applications qui demandent un compte Microsoft (Windows Store,
  One Drive…)

Question 5

3. Compte local v/s compte Microsoft

Answer 5

Compte Local
* Avantages:
 Sécuritaire
 Est davantage privé
 Pas besoin de connectivité Internet
 Choix du nom d’utilisateur (au lieu
d’utiliser un courriel)
 Mot de passe différent de celui du
courriel
* Désavantages:
 Certaines applications ne
fonctionneront pas
 Doit saisir les informations de
connexion manuellement pour les
applications tel que One Drive.

Compte Microsoft
* Avantages:
 Utilisation de Windows Store
 Automatiquement connecté aux
applications tel que One Drive
* Désavantages:
 Forcé de se connecter avec un courriel
(plus long). Mot de passe est le même
que celui du courriel.
 Vos données personnelles plus
facilement accessibles pas Microsoft
 Plus de risque de Spam, virus… Les
applications roulant sous Windows
connaissent votre adresse courriel.
 Synchronisation automatique entre
différentes machines (pourrait être un
avantage)

Question 6

5. Groupes utilisateurs

Answer 6

Après l’installation, il y a plusieurs groupes dont voici les plus importants:
* Administrateurs (contrôle total)
 Les membres du groupe “Administrateurs” disposent d’un accès complet et
illimité à l’ordinateur et au domaine.
* Utilisateurs avec pouvoir
 Utilisé en entreprise par les gestionnaires de réseaux.
* Utilisateurs
 Les membres du groupe “Utilisateurs” ne peuvent pas effectuer de
modifications système accidentelles ou intentionnelles; par ailleurs, ils peuvent
exécuter la plupart des applications.
* Invités
 Les membres du groupe “Invités” disposent par défaut du même accès que les
membres du groupe Utilisateurs, à l’exception du compte invité qui dispose
d’autorisations restreintes.
* Opérateurs de sauvegarde
 Les membres du groupe “Opérateurs de sauvegarde” peuvent passer outre
les restrictions de sécurité uniquement dans le but d’effectuer la
sauvegarde ou la restauration de fichiers.
* Duplicateurs (réplication de fichiers dans un réseau basé sur les
domaines)
 Prends en charge la réplication des fichiers dans le domaine, gestion de
réseau.
* Opérateurs de configuration réseau
 Les membres de ce groupe peuvent disposer de certaines autorisations
d’administration pour la configuration des fonctionnalités réseau.
* Utilisateurs du bureau à distance
 Les membres de ce groupe disposent des droits nécessaires pour ouvrir une
session à distance.

Question 7

Groupe résidentiel (Windows 10)
* La fonctionnalité « Groupe Résidentiel » a été supprimée de Windows 10
(Version 1803). Pour en savoir plus, voir Groupe résidentiel supprimé de
Windows 10 (version 1803).

Answer 7

• Après avoir installé la mise à jour, vous ne serez pas en mesure de
  partager des fichiers et des imprimantes à l’aide d’un groupe résidentiel.
  Toutefois, vous pourrez continuer à effectuer ces actions en exploitant les
  fonctionnalités intégrées à Windows 10.
• Pour savoir comment partager des imprimantes dans Windows 10, voir
  Partager votre imprimante réseau.
• Pour savoir comment partager des fichiers, voir Partager des fichiers
  dans l’Explorateur de fichiers.
• Groupe résidentiel avant la version 1803 de Windows 10 :
  https://www.justgeek.fr/creer-groupe-residentiel-windows-10-51990/

Question 8

6. Les permissions

Answer 8

On peut associer aux usagers ou aux groupes des permissions pour les différentes
ressources (principalement les dossiers et les fichiers).
IMPORTANT : Il faut obligatoirement que le système de fichiers supporte les
permissions, soit NTFS.
Il y a six permissions de base que l’on peut assigner à un usager pour une ressource
donnée:
* Lecture: s’applique uniquement à un fichier. Permets de lire le contenu du
fichier, lire ses attributs et ses permissions.
* Affichage du contenu du dossier: s’applique uniquement à un dossier. Donne
les mêmes accès que “Lecture”, mais donne en plus le droit d’exécuter tous les
fichiers qui se trouvent dans le dossier
* Lecture et exécution: équivaut à “Affichage du contenu du dossier”, mais peut
s’appliquer à un fichier comme à un dossier. Dans le cas d’un fichier, il permet
donc de l’exécuter. Dans le cas d’un dossier, la seule différence entre “ Lecture et
exécution “ et “ Affichage du contenu du dossier “ est au niveau de l’héritage: la
première est héritée à tous les objets enfants du dossier et la deuxième n’est
héritée qu’aux sous-répertoires (nuance très subtile)

• Écriture: permets de créer des fichiers, de modifier le contenu des
  fichiers, de créer des dossiers et de modifier les attributs des fichiers
  et des dossiers. Attention: la permission “Écriture” ne permet pas
  à quelqu’un de modifier les permissions d’un objet! Elle ne permet
  pas non plus de supprimer ni d’exécuter!
• Modification: équivaux à la somme de “Lecture” et “Écriture”, avec
  en plus le droit d’exécuter et d’effacer le fichier.
• Contrôle total: donne toutes les permissions possibles. Équivaux
  donc à “Modification” avec en plus le droit de prendre possession du
  fichier et de changer ses permissions (c’est la seule permission qui
  permet ce genre d’opérations).
• L’administrateur est limité comme tout le monde par les permissions (en ce sens
  qu’il ne pourra pas par exemple entrer dans un répertoire où il n’a pas accès, ni effacer
  un fichier pour lequel il n’a pas le droit de modification). Toutefois, il a toujours le
  droit de modifier les permissions de tout objet, donc il pourra s’il le désire contourner
  toutes les limitations.
• Si quelqu’un a le contrôle total d’un dossier, il pourra effacer tous les objets de ce
  dossier, peu importe les accès individuels qu’il a sur ces objets.
• Un usager reçoit la somme de toutes les permissions qui s’appliquent à lui. Par
  exemple, si on donne des permissions à un usager directement, puis qu’on définit
  d’autres permissions à un groupe dont l’usager fait partie, cet usager recevra donc les
  deux ensembles de permissions. Dans un cas où un de ces ensembles lui permet
  quelque chose et que l’autre le lui interdit, c’est toujours l’interdiction qui aura
  préséance.
• Quoi qu’il arrive, le propriétaire d’un fichier est toujours capable de modifier les
  permissions d’accès du fichier, même si personne ne semble avoir aucune permission.
• Lorsqu’on supprime un usager, ses fichiers appartiennent maintenant au groupe
  administrateurs, s’ils sont gardés.

Question 9

6. Les permissions
   Les permissions avancées

Answer 9

Les permissions avancées
* Il y a aussi une liste de 14 permissions avancées. Les 6 permissions de base
sont en fait définies en termes des permissions avancées (plus détaillées,
permettent une configuration plus fine).

Question 10

Attention : Permissions héritées

Answer 10

• Si vous voulez supprimer un groupe ou un utilisateur qui a des
  permissions héritées sur un dossier ou un fichier, ici le groupe
  « Utilisateurs »

Question 11

7. Partage de dossiers

Answer 11

• Un dossier partagé est accessible à partir du réseau (c.-à-d., à partir
  d’un autre ordinateur).
• Les dossiers partagés ont un ensemble de permissions
  (autorisations), différent et indépendant des permissions locales.
• Pour accéder à ces dossiers, via le réseau il faut avoir des droits
  d’accès locaux et distants.
• Une fois qu’on a accès à l’ordinateur distant, les permissions
  (ou autorisations) entrent en action sur les dossiers.
• Il est préférable d’enlever le contrôle total à tous et de mettre des
  permissions à chaque usager ou groupe.
• Il y a seulement trois permissions pour les dossiers partagés:
   Contrôle total
   Modifier
   Lecture
• IMPORTANT : Si un usager veut accéder à un dossier partagé à
  partir du réseau, il devra s’authentifier auprès de la machine hôte.
• Selon le résultat de son authentification, il recevra des permissions,
  sur le dossier, qui ont été configurées pour le partage.

Question 12

7. Partage de dossiers
   Permissions combinées

Answer 12

• Les permissions, lors d’un accès réseau, sont l’intersection des
  permissions locales et des autorisations partagées.
• Lors d’un accès local: Afficher le contenu
• Lors d’un accès réseau: Afficher le contenu
• Lors d’un accès local : Contrôle total
• Lors d’un accès réseau : Afficher le contenu
• NOTE : Bref, les permissions c’est très important et très
  utile, mais ce n’est pas simple !

Question 13

9. Authentification classique

Answer 13

9. Authentification classique
   * Depuis Windows 8, on demande à l’usager de choisir son compte à l’écran
   et d’entrer ensuite son mot de passe.
   * Deux trous de sécurité:
    Un « attaquant » obtient automatiquement la liste des usagers, il n’a besoin que
   d’un mot passe.
    Il est possible de ne pas forcer les usagers à appuyer sur Ctrl-Alt-Del avant de
   s’authentifier.

Question 14

9. Authentification classique

Answer 14

Pour revenir à l’authentification classique :
* Modifier la manière dont les utilisateurs ouvrent et ferment une session à partir de la
fenêtre de configuration des usagers de Windows.
* Forcer un Ctrl-Alt-Del en tapant : dans la fenêtre recherche: secpol.msc (autre façon)
puis Stratégies locales -> Options de sécurité -> Ouverture de session interactive: ne
pas demander la combinaison Ctrl+Alt+Del -> « Désactivé ».
Pourquoi appuyer sur Ctrl-Alt-Del est plus sécuritaire?
* Ctrl-Alt-Del est la seule séquence où nous sommes assurés que ce sera le système
d’exploitation qui répondra au signal.
* Windows n’autorise aucune redirection de ce signal. Donc vous vous assurer de donner
votre mot de passe au système d’exploitation et non à une fausse fenêtre
d’authentification.