Beruflich Dokumente
Kultur Dokumente
La sécurité
PLAN
✔ Présentation de l'architecture de sécurité
et de ses objectifs
✔ Identification et authentification
✔ Gestion de comptes
✔ Contrôle d'accès
✔ Sécurité des objets
✔ Autorisations d'accès
✔ Synthèse
Objectifs de sécurité
✔ Modèle de sécurité local cohérent, robuste et
basé sur des objets
✔ Conformité avec la classe C2 du Département
de la Défense américain (sauf réseau)
– Stratégie de sécurité
– Responsabilité
– Garantie
– Documentation
✔ Niveau de sécurité adapté aux utilisations
commerciales
L'architecture de sécurité
Client
Client Client
Client Client
Client
Processus
Processus logon
logon OS/2
OS/2®® Win32
Win32™™ POSIX
POSIX
Sous-systèmes
protégés
(serveurs) Sous-système
Sous-système Sous-système
Sous-système
OS/2
OS/2 POSIX
POSIX
Sous-système
Sous-système Sous-système
Sous-système Mode
Mode
de
de sécurité
sécurité Win32
Win32 utilisateur
utilisateur
Mode
Mode noyau
noyau
Services système
Validation d'accès Gestionnaire
Vérification d'audit de sécurité
Identificateur de compte
✔ Identificateur de sécurité (SID)
✔ S-1-5-Y1-Y2-Y3-Y4
– S-1 : SID de révision 1
– 5 : autorité d'identification Windows NT
– Y1-Y2-Y3 : votre domaine de compte
– Y4 : votre ID relatif (RID) au domaine et un nom
d'utilisateur ou de groupe
✔ NomDomaine\NomUtilisateur ou NomGroupe
Gestion de comptes
Domaine 1 Domaine 2
Utilisateur1 Utilisateur1
Utilisateur2 Utilisateur2
Utilisateur3 Utilisateur3
Domaine 2\Utilisateur1 Domaine1\Utilisateur1
GroupeGlobal1 GroupeGlobal2
Utilisateur3 Utilisateur3
GroupeLocal 1 GroupeLocal 2
Domaine2\GroupeGlobal2 Domaine1\GroupeGlobal1
Utilisateur1 Utilisateur1
Utilisateur2 Utilisateur2
Identification et Authentification
1
8 9
Processus
Processus ouverture
ouverture Sous-système
Sous-système Gestionnaire
Gestionnaire
de
de session
session Win32
Win32 de
de programmes
programmes
2 7
6
Sous-système
Sous-système Module
Module
de
de sécurité
sécurité d'authentification
d'authentification
3
4 5
Base
Base de
de données
données dudu
gestionnaire
gestionnaire dede comptes
comptes
de
de la
la sécurité
sécurité
Jeton d'accès
Groupes :
Cadres\DMSI (SID)
Administrateurs\BDD (SID)
Utilisateurs avec pouvoir (SID)
Duplicateurs (SID)
Utilisateurs (SID)
Privilèges spéciaux :
Changement de l'heure système
Sujet simple
Type
Type d’ACE
d’ACE Type
Type d’ACE
d’ACE
Masque
Masque d'accès
d'accès Masque
Masque d'accès
d'accès
SID
SID SID
SID
ACE ACE
RW
Masque d'accès accordé
Objet fichier
En-tête
objet SD
Accord Accord Accord
X
RW W X
Albert Admin Everyone
(Liste de contrôle d'accès discrétionnaire)
Autorisations d'accès
ID utilisateur :
Albert
ID groupe
Administrateurs
Duplicateurs
Everyone
X
Masque d'accès requis
RW Masque d'accès
Objet fichier accordé
En-tête
objet SD
Accord Accord Accord
X
RW W X
Albert Admin Everyone
(Liste de contrôle d'accès discrétionnaire)
Autorisations d'accès
ID utilisateur :
Albert
ID groupe
Administrateurs
Duplicateurs
Everyone