11 Les données - e-campus pour les cours de Philippe De Winter

11 Les données
Nous avons établi depuis le début de ce cours une liaison vers d'autres "entités"; bon, c'est bien
mais revenons aux raisons de cette liaison.
Dans le but de décentraliser le traitement, nous envisageons de traiter en local des données
qui nous sont propres.
Toutefois, le partage est souvent nécessaire.
Il faut envisager la protection des données, et donc créer les droits d'accès, dans le but de
"filtrer" les intervenants sur ces données. En laissant tout accessible, une mauvaise
manœuvre telle que l'effacement du fichier, du dossier est aussi une action !
Le problème est d'aussi envisager la pérennité des données.
En résumant, nous désirons :
•
•
Partager des accès et ressources envers/à certains "utilisateurs"26 tout en contrôlant, par
des autorisations, les actions possibles.
Protéger les données, cette protection étant aussi orientée fausse manœuvre.
Historique :
• Les fichiers étaient enregistrés sur des disques durs formatés en FAT3227. Ce type
d'organisation avait comme conséquences :
o Taille max de fichier de 4Go - 1octet
o Taille maximale théorique de partition de 16To
o Nombre maximum de fichiers : 228 car la table FAT est codée sur 28 bits. Utilisant des
adresses sur 28 bits, il permet de constituer des unités d’allocation de taille réduite
sur des disques de taille importante : il en résulte une plus grande complexité de
gestion que ses prédécesseurs.
• Evolution faite vers le NTFS 28 en remédiant à la limitation de taille et nombre de fichiers.
Autre intégration faite lors de cette évolution : NTFS permet aussi de restreindre l'accès au
contenu des fichiers en local en fonction de l'utilisateur. L'inconvénient : les disques formatés
en NTFS ne sont plus lisibles sous DOS ou Windows 98 et les performances sont un peu
moins bonnes.
En intégrant la sécurité et les autorisations d'accès dans les enregistrements, cela permet de
sécuriser, à la base, les données. Il faut dès lors organiser les autorisations dans le réseau, et cette
partie a fait l'objet de plusieurs types selon le système d'exploitation. Ainsi pour un OS de type XP en
version "Home Edition", le contrôle est le plus basique. Cela permet aussi de justifier des versions
plus élaborées, plus sécurisées.
26
Utilisateur au sens large : p.ex. Collègue, mais aussi p.ex. Imprimante, lecteur DVD, …
FAT32 (FAT pour file allocation table, table d’allocation de fichiers)
28
NTFS (New Technology File System) est un système de fichiers propriétaire développé par Microsoft pour sa
famille de systèmes d'exploitation Windows NT, à partir de Windows NT 3.1 et Windows 2000, y compris
Windows XP, Windows Server 2003, et tous leurs successeurs à ce jour.
27
Ph. De Winter
Base des réseaux EICE
Ainsi la structure NTFS inclus différentes modifications et adaptations sur le style d'enregistrement :
•
•
•
•
Le cryptage,
La compression,
Le partage de dossier et les autorisations d'accès,
L'indexation
11.1 Le cryptage
Une fois qu’un fichier ou un dossier est crypté, vous pouvez l’exploiter de la même façon que
n’importe quel autre fichier ou dossier. Le cryptage est un processus transparent pour l’utilisateur
qui a crypté le fichier. En d’autres termes, vous n’avez pas besoin de décrypter le fichier crypté avant
de pouvoir l’utiliser. Vous pouvez ouvrir et modifier le fichier comme vous le feriez normalement.
Cependant, tout intrus qui essaie d’accéder à vos fichiers ou dossiers cryptés en sera empêché. Il
recevra un message de refus d’accès s’il essaie d’ouvrir, de copier, de déplacer ou de renommer
votre fichier ou dossier crypté.
Pour crypter ou décrypter un dossier ou un fichier, vous devez définir la propriété de cryptage pour
les dossiers et les fichiers tout comme vous définiriez n’importe quel autre attribut, tel que lecture
seule, compressé ou caché. Si vous cryptez un dossier, tous les fichiers et sous-dossiers créés dans le
dossier crypté sont automatiquement cryptés. Il est recommandé d’effectuer le cryptage au niveau
des dossiers.
Utilisez le cryptage pour protéger vos documents contre les intrus qui pourraient obtenir un accès
physique non autorisé à vos données stockées confidentielles (en volant votre ordinateur portable
ou votre lecteur Zip, par exemple).
Pour crypter un fichier, vous pouvez également crypter ou décrypter un fichier ou un dossier à l’aide
de la fonction de ligne de commande cipher29. Pour plus d’informations sur la commande cipher,
tapez cipher /? à l’invite de commande.
Vous pouvez aussi :
•
•
•
•
29
Faire un clic droit sur le fichier ou dossier puis
propriétés
Dans l’onglet général, cliquez sur avancées
Cochez alors la case " Crypter le contenu pour
sécuriser les données"
Si vous avez sélectionné un dossier, une
fenêtre vous demandera si vous désirez
appliquer le cryptage à tous les sous-dossiers.
http://support.microsoft.com/kb/315672/fr
Ph. De Winter
Base des réseaux EICE
11.2 La compression de fichiers
La compression de fichiers permet de gagner de la place sur le disque, puisque les fichiers sont
compressés.
Cependant, lors de l’accès à ces fichiers, il faut les décompresser, vous perdez donc en performance.
Il est conseillé de compresser les fichiers que vous utilisez peu souvent. Evitez de compresser les
programmes et les fichiers déjà compressés (p.ex. mp3, zip, rar, avi ou divx) puisqu’ils sont déjà
compressés une nouvelle application de cryptage ne donnerait pas de résultat significatif.
Pour compresser, sélectionnez le fichier ou dossier puis faites un clic droit propriétés. Dans la
nouvelle fenêtre dans l’onglet général, cliquez sur avancées en bas à droite. Cochez < compresser le
contenu pour minimiser l’espace disque nécessaire >
Si vous avez sélectionné un dossier, une fenêtre vous demandera si vous souhaitez compresser les
sous-dossiers :
Vous avez aussi la possibilité de faire apparaître d’une autre couleur les fichiers ou dossiers
compressés, pour cela :
•
•
•
•
Ouvrez le poste de travail
Allez dans le menu outils / options des dossiers
Dans la nouvelle fenêtre, cliquez sur l’onglet Affichage
Cochez <Donner une couleur différente aux fichiers et dossiers compressés>
Ph. De Winter
Base des réseaux EICE
11.3 Le partage de fichiers simple
C'est le seul mode disponible sous Windows XP Home (édition familiale). Pour activer le partage de
fichiers simple sous XP, faire <Démarrer>, <Paramètres>, <Panneau de configuration>, <Options des
dossiers>, <Affichage> et cocher la case indiquée sur la figure ci-après. Ensuite, faire clic droit sur le
disque ou le dossier à partager, choisir partage et sécurité.... Vous pouvez alors indiquer, comme sur
la figure ci-après, le nom de partage et le type de partage en lecture ou en écriture. La première fois,
le système vous propose d'utiliser l'assistant de sécurité. Ce n'est pas une bonne idée si votre
machine est sur un réseau local et si vous partagez la connexion Internet par un routeur car le
système va installer un pare-feu [firewall] qui empêche le partage de fichiers et d'imprimantes.
Les dossiers partagés sont visibles et accessibles
par tous les utilisateurs du réseau sauf si le nom
de partage se termine par un $ (exemple DVD$).
Dans ce cas, le nom du dossier n'apparaît pas dans la liste des dossiers partagés. Pour utiliser ce
dossier partagé, il faut soit le connecter à un lecteur réseau, soit utiliser directement le chemin
\\ordinateur\DVD$ . C'est un moyen d'ajouter un peu de sécurité dans le partage des dossiers avec
ce système.es dossiers partagés sont visibles et accessibles par tous les utilisateurs du réseau sauf si
le nom de partage se termine par un $ (exemple DVD$). Dans ce cas, le nom du dossier n'apparaît
pas dans la liste des dossiers partagés. Pour utiliser ce dossier partagé, il faut soit le connecter à un
lecteur réseau [Dans l'explorateur de fichiers, menu Outils, connecter un lecteur réseau... choisir une
lettre libre et indiquer le nom du dossier] soit utiliser directement le chemin \\ordinateur\DVD$ .
C'est un moyen d'ajouter un peu de sécurité dans le partage des dossiers avec ce système.
Toutefois, il est possible d'ajouter l’onglet Sécurité afin d’obtenir la gestion des permissions sur
Windows XP Familiale; ne disposant pas de la possibilité de vérifier cette information, elle est donnée
à titre indicatif:
•
•
Téléchargez scesp4i.exe
Double-cliquer sur le fichier scesp4i.exe pour le décompresser dans un répertoire
temporaire.
Ph. De Winter
Base des réseaux EICE
•
•
•
Cliquer avec le bouton droit sur le fichier Setup.inf, puis choisir « Installer ».
Note : Il est possible qu’une boîte de dialogue demande à écraser le fichier ESENT.DLL :
refuser en cliquant sur « Non pour tous ».
Redémarrer l’ordinateur à la fin de l’installation.
11.4 Le partage contrôlé
Le terme de "contrôlé" n'est que la variante du partage simple qui ne comprend aucune distinction
sur l'utilisateur qui accède aux données. Cette option n'existe que sous Windows Pro. Il faut suivre
les étapes suivantes :
1. Supprimer le partage de fichier simple si celui-ci a été installé par défaut en décochant la
case indiquée sur la figure du §10.3.
2. Créer des comptes utilisateurs et éventuellement des groupes. Dans le panneau de
configuration, cliquer sur comptes utilisateurs, créer un nouveau compte. Choisir un compte
"administrateur" ou "limité". Pour plus de détails, voir ici. Une fois le compte créé, ajouter un
mot de passe en cliquant dessus. Vous pouvez regrouper des utilisateurs en créant des
groupes à qui vous pourrez attribuer des droits de partage comme à des utilisateurs. Pour
créer des groupes, clic droit sur Poste de travail, gérer utilisateurs et groupes locaux, groupes
puis clic droit et Nouveau groupe...
Pour vous simplifier la vie, je vous suggère d'utiliser sur chaque machine de votre réseau un
Compte Utilisateur avec un mot de passe et de créer sur la ou les machines les comptes
utilisateurs correspondants avec le même nom et le même mot de passe. En effet c'est ce
nom/mot de passe qui va servir automatiquement à authentifier les utilisateurs sur le
réseau. Windows XP n'acceptant pas les mots de passe vides sauf à bricoler dans le registre,
mais c'est une complication inutile.
3. Créer des dossiers partagés Sur un dossier, faire clic droit et choisir partage et sécurité...
Dans l'onglet partage (voir figure 3), cliquer sur partager ce dossier, donner un nom de
partage qui peut être différent du nom du dossier. Laisser le nombre limite d'utilisateurs au
nombre maximum autorisé (10). Ensuite, cliquer sur autorisations (voir figure 4) : soit vous
laissez "Tout le monde" (par défaut), soit vous supprimez "Tout le monde" et vous ajoutez
une liste d'utilisateurs avec leurs droits.
Ph. De Winter
Base des réseaux EICE
Tout ce que nous venons de voir s'applique pour le contrôle d'accès aux dossiers et fichiers via le
réseau. Un utilisateur qui a accès à la machine peut voir et modifier des fichiers même s'ils ne sont
pas partagés. Les autorisations NTFS permettent de donner des permissions d'accès aux utilisateurs
en local ou à distance. Ces permissions sont gérées au niveau d'un disque, d'un dossier ou même
d'un fichier. Pour accéder à ces informations, clic droit sur l'objet, propriétés et onglet sécurité. Cet
onglet (voir figure ci-dessous) n'apparaît que pour les disques formatés en NTFS. A chaque niveau de
la hiérarchie disque/dossiers/fichier, on peut définir des permissions. Une bonne partie des
permissions est donc en général "héritée".
En cliquant sur "paramètres avancés", vous pouvez examiner et modifier cet héritage. Ce système
d'autorisations devient assez vite très compliqué et je vous suggère donc soit de ne pas vous en
servir soit de passer beaucoup de temps sur la documentation. En tous les cas, c'est largement audelà des besoins d'un utilisateur normal.
Ph. De Winter
Base des réseaux EICE
Question : ayant défini des partages d'accès, a-t-on besoin
de se préoccuper des autorisations NTFS ?
Si le dossier partagé est à l'intérieur du dossier "Mes
documents", la réponse est peut-être car le dossier hérite
ses autorisations du dossier "Mes documents" qui interdit
aux autres utilisateurs d'y avoir accès en local sur la
machine.
Si le dossier partagé a été créé ailleurs, non puisqu'il
hérite ses autorisations du disque.
11.5 Les autorisations sur les dossiers/fichiers
Les autorisations permettent d’empêcher l’accès à certains fichiers ou dossiers à un utilisateur. Dans
un environnement monoposte, vous pouvez donc empêcher à un utilisateur d’accéder à l’un de vos
répertoires.
Mais cela est vraiment intéressant dans le cas d’un réseau surtout pour les serveurs de fichiers. Il
vous est alors possible d’interdire l’accès à certains fichiers à des utilisateurs sur vos partages
réseaux.
Voici les droits que vous pouvez affecter à des fichiers :
Autorisations
Lecture
Ecriture
Lecture et exécution
Modification
Contrôle total
Ph. De Winter
Tâches autorisées
Lire le fichier, son contenu et ses attributs via
clic/droit propriétés.
Ecrire dans le fichier dans le cas d’un fichier
texte/modifier ses attributs, afficher ses
autorisations et son propriétaires.
Effectuer toutes les actions permises par
l’autorisation Lecture et exécuter des
applications.
Effectuer toutes les actions permises par les
autorisations Ecriture, Lecture et exécution,
modifier le contenu du fichier et supprimer ce
dernier.
Effectuer toutes les actions permises par les
autres autorisations de base, attribuer des
autorisations aux autres utilisateurs, et devenir
propriétaire du fichier.
Base des réseaux EICE
Par défaut sous Windows XP, l’accès à la gestion des autorisations est désactivé, pour l’activer :
•
•
•
•
•
Ouvrez le poste de travail
Cliquez sur le menu Outils puis Options des
dossiers
Cliquez sur l’onglet Affichage
Tout en bas de la liste, décochez Utiliser le
partage de fichiers simples
Pour attribuer des autorisations, faites un clic
droit propriétés sur le fichiers/dossiers, puis allez
dans l’onglet sécurités, vous obtenez alors une
fenêtre similaire à celle-ci :
Dans la partie haute, vous pouvez visualiser la liste des
utilisateurs ou groupes qui ont accès à ce fichier ou
dossier. En cliquant sur l’utilisateur ou groupe, vous
pouvez voir dans la partie basse de la fenêtre, les
autorisations que ce dernier possède. Il ne vous reste plus qu’à modifier ces autoriser en cochant les
cases selon les permissions que vous désirez attribuer à l’utilisateur/groupe.
Le bouton « Permettre aux autorisations pouvant être héritées du parent d’être propagées à cet
objet » signifie que les droits que vous allez attribuer au dossier vont être propagés aux sous-dossiers
et fichiers. En d’autres termes, l’attribution des permissions est récursive.30
En cliquant sur le bouton ajouter en haut à droite, vous pouvez ajouter un utilisateur/groupe à la liste
et leurs affecter les permissions que vous désirez. En cliquant sur le bouton avancé, vous obtenez la
fenêtre ci-dessous (Paramètres du contrôle d’accès pour….).
Celle-ci permet de réinitialiser les autorisations des parents aux enfants31, en cochant le bouton tout
en bas « Réinitialiser les autorisations sur tous les objets enfants et permettre la propagation des
autorisations pouvant être héritées » et en cliquant sur <Appliquer>
Cependant, il peut arriver que vous désiriez avoir des droits différents d’un dossier à son parent.
Dans ce cas précis :
•
•
Faites un clic droit sur ce sous-dossier ou fichier puis sélectionnez dans le menu déroulant
<propriétés>
Cliquez sur l’onglet sécurité puis sur le bouton en bas à droite avancées
30
Les groupes se terminent en général par un s. Par exemple, vous pouvez avoir les droits sur l’utilisateur «
administrateur » et/ou le groupe « administrateurS »
31
Lorsque vous définissez les permissions sur les dossiers & partages, la plus restrictive des autorisations est
appliquée.
Concrètement, si vous donnez à un utilisateur les droits en lecture sur un partage et contrôle total sur tous les
fichiers, il ne pourra lire que les fichiers. Faites donc bien attention lorsque vous définissez les droits.
Ph. De Winter
Base des réseaux EICE
•
Vous arrivez à la fenêtre ci-dessous, décochez la case " Permettre aux autorisations pouvant
être héritées du parent".
Une fenêtre apparaît alors, vous demandant si vous
désirez copier les autorisations ou les supprimer.
Dans le cas où la modification que vous désirez
apporter est mineure par rapport aux autorisations
du parent et alors intéressant de les copier pour les
modifier.
Dans le cas où la modification est importante
comparée aux autorisations du parent, choisissez
supprimer pour repartir de zéro.
Après avoir choisi l’option qui vous convient, il se
peut que vous aillez besoin de fermer la fenêtre des
propriétés et de la ré-ouvrir pour pouvoir revisualiser les nouvelles autorisations.
11.6 Problèmes rencontrés
En cas de problème, vérifier que les pare-feu [firewalls] sont désactivés pendant les essais et ne pas
hésiter à passer un anti-virus à jour.
•
Parcours du réseau impossible :
Sous Windows 95/98/Me, cette erreur arrive
généralement lorsqu'il n'y a pas d'utilisateur
connecté. Pour s'en convaincre, il faut regarder
<Démarrer>, <Déconnexion> "nom d'utilisateur" :
"nom d'utilisateur" est sans doute vide. Il y a deux
raisons : soit l'utilisateur a fait <annuler> sur
l'écran de connexion, soit l'écran de connexion n'est jamais apparu32.
•
Accès refusé : L'utilisateur, tel que connecté, n'a pas les droits d'accès. Il faut créer un
utilisateur sous la machine XP et lui donner les droits
correspondants. L'utilisateur, tel que connecté, n'a pas les
droits d'accès. Il faut créer un utilisateur sous la machine XP
et lui donner les droits correspondants.
•
Le mot de passe IPC$ :
32
Dans ce dernier cas voir Microsoft Knowledge Base article Q141858. La solution consiste à toujours se
connecter avec un nom et un mot de passe.
Ph. De Winter
Base des réseaux EICE
Cela arrive lorsque vous êtes
authentifié mais cette authentification ne
satisfait pas la machine XP :
Votre nom d'utilisateur n'existe pas
sur la machine XP. Il faut soit changer votre
nom de connexion, soit créer un compte
correspondant sur la machine XP.
Votre nom d'utilisateur est valide mais c'est le mot de passe qui n'est pas correct. Il
faut soit entrer le mot de passe qui correspond au nom d'utilisateur sur la machine
XP, soit changer le mot de passe de votre machine pour être identique à celui de la
machine XP.
•
Le dossier partagé sous XP n'apparaît pas sur des postes Windows 95, 98 ou Me :
• Vérifier que le nom du dossier ne contient pas de caractère "espace" ou qu'il ne
comporte pas plus de 12 caractères. Ca suffit pour le rendre invisible.
11.7 Les comptes utilisateurs
La sécurité d'un PC ne dépend pas d'un produit miracle. Elle dépend pour l'essentiel du
comportement de l'utilisateur. C'est comme pour une voiture : le conducteur est en charge de la
sécurité. ABS ou airbags ne servent qu'à limiter les conséquences d'un accident.
Le but est de donner les principes simples pour mieux comprendre les mécanismes de sécurité qui
existent sous Windows XP et comment les mettre en œuvre.
Pour simplifier le contenu de cet article, nous supposerons être dans le cas Windows XP
professionnel avec gestion de fichiers en NTFS.
Utilisez le composant de gestion de l'ordinateur pour faire des essais en tapant
<Démarrer>, <Exécuter>.. cmd
puis
compmgmt.msc /s
Cet accès est également accessible par un clic droit sur l'icône
<Ordinateur> .
1. Compte utilisateur
Tout utilisateur d'un système Windows XP possède un compte utilisateur avec un nom et un mot de
passe pour l'identifier. Il est conseillé de ne pas mettre un mot de passe vide. Pour éviter d'entrer son
mot de passe à chaque ouverture de session, il est possible d'installer des softs tels que TweakUI
pour Windows XP puis aller dans logon, autologon, mais cela sort du cadre de ce cours.
Ph. De Winter
Base des réseaux EICE
2. Groupe
Un groupe rassemble les utilisateurs qui ont des droits et des permissions identiques.
Pour faciliter la gestion, il est très fortement conseillé de n'attribuer des droits et des permissions
qu'à des groupes puis à classer les utilisateurs dans ces groupes.
3. Permissions
Les permissions déterminent qui peut lire, écrire, modifier des fichiers et répertoires partagés ou non
sur la machine et sur le réseau.
4. Droits (ou privilèges).
Les droits s'appliquent à l'environnement système XP et matériel : mise à jour ou modification du
système, accès à des imprimantes, connexions réseaux, ...
Il faut bien comprendre ce qui se passe à l'ouverture d'une session Windows XP. L'utilisateur fournit
ses identifiants : nom et mot de passe. Si ces identifiants correspondent à ceux d'un utilisateur défini
sur la machine, Windows exécute une instance du bureau, dans le contexte de sécurité de
l'utilisateur. Le contexte de sécurité de l'utilisateur comporte les droits et permissions attribués à cet
utilisateur. Tous les programmes démarrés par cet utilisateur utiliseront le même contexte de
sécurité. Un grand principe de sécurité consiste à n'accorder à un utilisateur que les droits justes
suffisants pour effectuer son travail. En effet si l'utilisateur fait une erreur ou déclenche par mégarde
un programme malveillant, les dégâts possibles seront limités par le contexte de sécurité.
Les machines qui exécutent Windows XP stockent dans une base de données locale autonome
(SAM33) les informations sur les utilisateurs et les groupes locaux. Si la machine rejoint un domaine,
les utilisateurs du domaine sont fusionnés avec les utilisateurs locaux et le groupe des
administrateurs du domaine est ajouté au groupe des administrateurs locaux.
Les groupes :
Windows XP comporte trois groupes essentiels : Utilisateurs, Utilisateurs avec pouvoir,
Administrateurs. C'est un membre du groupe Administrateurs qui peut attribuer l'appartenance d'un
utilisateur à un groupe. Il existe beaucoup d'autres groupes crées par le système ou par des
applications comme vous pouvez le voir dans l'exemple ci-dessous.
33
La SAM (Security AccountS Manager ou gestionnaire des comptes de sécurité) est la base de données des
comptes locaux sur Windows Server 2003, Windows XP, Windows 2000. C'est l'un des composants de la base
de registre. Elle contient les mots de passe locaux.
L'utilitaire syskey de Microsoft est nécessaire si on veut se protéger contre un attaquant local (personne ayant
un accès physique au local où se trouve le PC) ; cet utilitaire permet d'améliorer la sécurité sur la clé de
chiffrement des mots de passe.
Ph. De Winter
Base des réseaux EICE
Les groupes contrôlés par un administrateur servent à attribuer les permissions sur les fichiers et les
dossiers.
•
Groupe Utilisateurs
Les autorisations par défaut du groupe Utilisateur fournissent l'environnement le plus sûr pour
exécuter des applications. Les membres du groupe Utilisateurs ont le contrôle complet sur la totalité
de leurs fichiers, de leurs données (%userprofile%) et sur la partie du registre les concernant
(HKEY_CURRENT_USER). En revanche, ils ne peuvent pas modifier les paramètres du système
d'exploitation ou les données d'autres utilisateurs. Toutefois, les autorisations Utilisateur ne
permettent pas toujours d'exécuter correctement certaines applications sans accorder des droits
supplémentaires adéquats. Les membres du groupe Utilisateurs sont uniquement assurés de pouvoir
exécuter des programmes certifiés Windows.
•
Groupe Utilisateurs avec pouvoir
Le groupe Utilisateurs avec pouvoir fournit une compatibilité ascendante pour l'exécution
d'applications non certifiées Microsoft. Les membres du groupe Utilisateurs avec pouvoir peuvent
exécuter tous les programmes et toutes les tâches du système sauf celles réservées au groupe
Administrateurs.
Les Utilisateurs avec pouvoir peuvent :
•
•
•
•
Ph. De Winter
Exécuter toutes les anciennes applications, en plus des applications certifiées
Microsoft,
Installer des programmes qui ne modifient pas les fichiers du système ou installer des
services système,
Personnaliser des ressources système, telles que les imprimantes, l'heure, la date, les
options d'énergie et les autres ressources du Panneau de configuration,
Créer et gérer des comptes d'utilisateur et des groupes locaux
Base des réseaux EICE
•
•
Arrêter et démarrer les services système qui ne sont pas démarrés par défaut.
Groupe Administrateurs
Les membres du groupe Administrateurs ont tous les pouvoirs sur le poste de travail.
L'utilisation du compte Administrateur doit être réservé à :
•
•
•
•
•
Installer le système d'exploitation et ses composants (pilotes, périphériques,...),
Installer Service Packs et Windows Packs et faire la mise à niveau du système,
Récupérer des fichiers devenus inaccessibles,
Gérer les journaux d'audit et de sécurité et les stratégies correspondantes,
Sauvegarder et restaurer le système.
Attention, si vous ouvrez une session avec un nom de domaine, le groupe des Administrateurs
s'enrichit automatiquement des administrateurs du domaine, du groupe des opérateurs de
configuration du réseau et de tout groupe de domaine qui existe dans n'importe lequel des groupes
administrateurs locaux. Autant dire que vous perdez le contrôle de la sécurité de votre machine.
Les groupes spéciaux
Il existe beaucoup d'autres groupes dont certains ne sont pas visibles. Voici les principaux groupes
qu'il faut connaître :
•
Le groupe Opérateurs de sauvegarde :
Les membres de ce groupe peuvent sauvegarder et restaurer des fichiers sur la machine,
indépendamment des autorisations protégeant ces fichiers. Ils peuvent également ouvrir une session
sur le PC et l'arrêter. Ils ne peuvent pas modifier les paramètres de sécurité.
•
Le groupe Tout le monde :
Il contient tous les utilisateurs authentifiés sur le réseau. Contrairement à Windows NT4 et 2000, ce
groupe ne contient pas le groupe Ouverture de session anonyme (ANONYMOUS LOGON).
•
Le groupe Invités :
Le groupe Invités est destiné à être utilisé par quelqu'un qui n'a pas de compte sur cet ordinateur.
L'utilisateur n'a pas besoin de mot de passe. Il peut lire son courrier ou naviguer sur Internet. Il peut
utiliser les programmes installés sur l'ordinateur mais ne peut ni en installer de nouveau ni bien sûr
modifier la configuration.
•
Le groupe Interactif :
Ce groupe contient les utilisateurs ayant actuellement ouvert une session sur l’ordinateur.
•
Le groupe Réseau :
Ph. De Winter
Base des réseaux EICE
Ce groupe contient tous les utilisateurs qui accèdent actuellement au système par le réseau.
•
Le groupe Utilisateur de Terminal Server :
Ce groupe contient tous les utilisateurs ayant actuellement ouvert une session sur le système à l’aide
de Terminal Server. Les autorisations par défaut attribuées au groupe ont été choisies pour autoriser
un Utilisateur de Terminal Server à exécuter la plupart des programmes anciens (NT4 ou Windows
2000).
Utiliser XP en mode Administrateur ?
Windows XP crée un compte Administrateur pendant la procédure d'installation. Il n'est expliqué
nulle part dans la procédure d'installation la différence entre ce compte et un compte avec accès
limité.
La plupart des utilisateurs se simplifient la vie, en conservant ce compte pour exploiter leur machine.
Un virus, un cheval de Troie ou une fausse manipulation peut donner le contrôle à un attaquant
extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes,
changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec
pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et
d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire
pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont
besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (En
faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de
session.
Ph. De Winter
Base des réseaux EICE
12 L’évolution : IP V6
Aperçu
Les jours du protocole IP dans sa forme actuelle (IPv4) sont comptés. Le réseau Internet était utilisé
largement par les universités, les industries de pointe, et le gouvernement dès le milieu des années
1990, mais Internet intéresse de plus en plus les entreprises et les sociétés commerciales - il sera
utilisé par un grand nombre d'individus et de systèmes exprimant les uns et les autres des besoins
différents. Par exemple : avec la convergence imminente de l'ordinateur, des réseaux, de
l'audiovisuel et de l'industrie des loisirs, chaque poste de télévision devient un équipement d'accès à
Internet permettant à des milliards d'individus de pratiquer, par exemple, la vidéo à la demande, le
télé-achat ou le commerce électronique, la participation récréative ou encore le vote. Dans ces
circonstances, le protocole IPv6 (appelé également IPng pour "IP new generation") doit offrir plus de
flexibilité et d'efficacité, résoudre toute une variété de problèmes nouveaux et ne devrait jamais être
en rupture d'adresses.
Les objectifs principaux de ce nouveau protocole furent de :
•
•
•
•
•
•
•
•
•
Supporter des milliards d'ordinateurs, en se libérant de "l'inefficacité" de l'espace des
adresses IP actuelles,
Réduire la taille des tables de routage,
Simplifier le protocole, pour permettre aux routeurs de router les datagrammes plus
rapidement,
Fournir une meilleure sécurité (authentification et confidentialité) que l'actuel protocole IP,
Accorder plus d'attention au type de service, et notamment aux services associés au trafic
temps réel,
Faciliter la diffusion multi-destinataires en permettant de spécifier l'envergure,
Donner la possibilité à un ordinateur de se déplacer sans changer son adresse,
Permettre au protocole une évolution future,
Accorder à l'ancien et au nouveau protocole une coexistence pacifique.
La nouveauté majeure d'IPv6 est l'utilisation d'adresses plus longues qu'IPv4.
Elles sont codées sur 16 octets et permettent de résoudre le problème qui mit IPv6 à l'ordre du jour :
procurer un ensemble d'adresses Internet quasi illimité.
Il est nécessaire d'être plus explicite sur cette notation d'adresses, mais il faut savoir qu'il y a un
nombre important d'adresses sur 16 octets. Précisément, il en a 2128, soit approximativement 3 x
1038.
Si la Terre entière (terre et eau confondues) était couverte d'ordinateurs, IPv6 pourrait allouer 7 x
1023 adresses IP par m² !
Ph. De Winter
Base des réseaux EICE
IPv4 permet d'adresser 232=4,29.109 adresses tandis que IPv6 permet d'en adresser 2128= 3,4 x 1038
adresses.
L'amélioration majeure d'IPv6 est la simplification de l'en-tête des datagrammes. L'en-tête du
datagramme de base IPv6 ne comprend que 7 champs (contre 14 pour IPv4). Ce changement permet
aux routeurs de traiter les datagrammes plus rapidement et améliore globalement leur débit.
La troisième amélioration consiste à offrir plus de souplesse aux options. Ce changement est
essentiel avec le nouvel en-tête, car les champs obligatoires de l'ancienne version sont maintenant
devenus optionnels.
De plus, la façon dont les options sont représentées est différente ; elle permet aux routeurs
d'ignorer plus simplement les options qui ne leur sont pas destinées. Cette fonction accélère le
temps de traitement des datagrammes.
D'autre part IPv6 apporte une plus grande sécurité:
L'authentification et la confidentialité constituent les fonctions de sécurité majeures du protocole
IPv6.
Finalement, une plus grande attention que par le passé a été accordée aux types de services. Bien
que champ Type de services du datagramme IPv4 ne soit que très rarement utilisé, la croissance
attendue du trafic multimédia dans le futur nécessite de s'y intéresser.
La notation en IPv6
Une nouvelle notation a été définie pour décrire les adresses IPv6 de 16 octets. Elle comprend 8
groupes de 4 chiffres hexadécimaux séparés avec le symbole deux-points. Par exemple :
8000:0000:0000:0000:0123:4567:89AB:CDEF
Puisque plusieurs adresses ont de nombreux zéros dans leur libellé, 3 optimisations ont été définies.
Tout d'abord, les 1° zéro d'un groupe peuvent être omis, comme par exemple 0123 qui peut s'écrire
123. Ensuite, un ou plusieurs groupes de 4 zéros consécutifs peuvent être remplacés par un double
deux-points. C'est ainsi que l'adresse ci-dessus devient :
8000::123:4567:89AB:CDEF
Particularité pour l'écriture des URL:
Etant donné que le caractère" : " est utilisé pour séparer les groupes, il apporte la confusion dans une
url car il y désigne alors la séparation adresse IP : port
Il faut donc écrire l'adresse ipV6 entre crochets [ ] pour différencier l'adresse du port:
http://[2012:400:2A41:378::34A2:36]:8080 par exemple.
Enfin, les adresses IPv4 peuvent être écrites en utilisant la représentation de l'adresse en notation
décimale pointée précédée d'un double deux-points, comme par exemple :
Ph. De Winter
Base des réseaux EICE
::192.31.254.46
Le champ Protocole est exclu parce que le champ En-tête suivant du dernier en-tête IP d'un
datagramme précise le type de protocole (par exemple, UDP ou TCP).
Tous les champs relatifs à la fragmentation ont été retirés, parce qu'IPv6 a une approche différente
de la fragmentation.
Pour commencer, tous les ordinateurs et routeurs conformes à IPv6 doivent supporter les
datagrammes de 576 octets. Cette règle place la fragmentation dans un rôle secondaire. De plus,
quand un ordinateur envoie un trop grand datagramme IPv6, contrairement à ce qu'il se passe avec
la fragmentation, le routeur qui ne peut le transmettre retourne un message d'erreur à la source. Ce
message précise à l'ordinateur source d'interrompre l'envoi de nouveaux datagrammes vers cette
destination. Avoir un ordinateur qui transmette immédiatement des datagrammes à la bonne
dimension est bien plus efficace que de voir les routeurs les fragmenter à la volée.
Règles de simplification
•
•
•
Toute suite de 0000 peut être remplacée par ::
o :0000:
::
o :0000:0000:
::
o :0000:0000:0000:
::
Ce remplacement ne peut être effectué qu'une seule fois !
Les 0 en début de section peuvent être supprimés
o :001:
:1:
o :0123:
:123:
Les 0 de fin de section ne peuvent pas être supprimés.
o :1000:
:1000:
o :1100:
:1100:
Structure réseau
En IPv6 le masque de sous-réseau des adresses unicast est fixé à 64, c'est-à-dire que 64 bits sont
réservés à la numérotation de l'hôte dans le sous réseau. Leur notation classique comme en IPV4 est
impossible avec 128 bits, c'est donc la notation CIDR, plus simplement appelée notation "slash" qui
est utilisée.
Exemple l'adresse fe80::20d:61ff:fe22:3476/64 a un masque de 64 bits , masque par défaut pour une
adresse de type lien-local.
Structure des adresses IPv6 unicast globales
Préfixe
48
Sous-réseau
16
Le préfixe /48 est assigné par le fournisseur de service Internet (dans 2000::/3).
Ph. De Winter
Base des réseaux EICE
Interface
64
Structure des adresses locales uniques
Préfixe
7
L
1
ID Globale
40
Subnet
16
Interface
64
Dans les deux cas, l'administrateur du réseau dispose de 65536 sous-réseaux qui peuvent chacun
contenir 264 soit 18×1018 hôtes.
Quelques références :
•
•
L'adresse de bouclage IPV4 (127.0.0.1) est traduite en ::1
Ce test est aussi
compatible en IPV4 !
Trois types d'adresses s'utilisent pour le trafic de monodiffusion. Les adresses globales, qui
commencent par 2 ou par 3, sont routables sur Internet IPv6. Les adresses locales de liaison,
qui commencent par FE80:: ne sont pas routables et sont assignées aléatoirement à chaque
interface. Les adresses locales uniques, qui commencent par FD sont routables à l'intérieur
d'un réseau privé mais pas sur Internet IPv6.
Ph. De Winter
Base des réseaux EICE
13 La sécurité
13.1 Les backups
Il faut distinguer dans un réseau les sauvegardes des données des utilisateurs et les sauvegardes des
données du domaine.
Ainsi, sachant que les données propres du contrôleur de domaine, sont des données reprises dans
une base de données il ne suffit pas de recopier une version en cas de restauration. C'est en effet
bien plus complexe.
La sauvegarde de contrôleurs de domaine est une obligation indispensable pour tout environnement.
Les sauvegardes protègent les systèmes d'une perte de données en cas de défaillance d'un
contrôleur de domaine ou d'une erreur de l'administrateur. Lorsqu'un tel événement se produit, il
est nécessaire de restaurer un état système du contrôleur de domaine antérieur à la panne ou à
l'erreur. Pour restaurer un état sain d'un contrôleur de domaine, la méthode prise en charge consiste
à exécuter une application de sauvegarde compatible avec Active Directory, telle que la Sauvegarde
de Windows Server, de façon à restaurer une sauvegarde de l'état du système générée depuis
l'installation actuelle du contrôleur de domaine. Pour plus d'informations sur l'utilisation de la
Sauvegarde Windows Server avec les services de domaine Active Directory, voir le Guide pas à pas de
sauvegarde et de récupération des services de domaine Active Directory (AD DS).
Avec la technologie de virtualisation, certaines conditions liées aux opérations de restauration
Active Directory changent de manière significative. Par exemple, si vous restaurez un contrôleur de
domaine à l'aide d'une copie du fichier de disque dur virtuel (VHD), vous contournez l'étape cruciale
consistant à mettre à jour la version de la base de données d'un contrôleur de domaine à l'issue de
sa restauration. La réplication continue avec des numéros de suivi erronés, produisant une base de
données incohérente entre les réplicas de contrôleurs de domaine. Dans la plupart des cas, le
système de réplication ne détecte pas ce problème et aucune erreur n'est signalée, malgré la
présence d'incohérences entre les contrôleurs de domaine.
Il existe deux méthodes prises en charge pour sauvegarder et restaurer un contrôleur de domaine
virtualité :
1. Exécutez la Sauvegarde Windows Server dans le système d'exploitation invité.
2.
Exécutez la Sauvegarde Windows Server sur l'hôte. Cette action appelle l'enregistreur du
service de cliché instantané des volumes (VSS) de l'invité, afin de garantir le bon
déroulement de la sauvegarde.
Pour être en mesure de restaurer un contrôleur de domaine défaillant, vous devez sauvegarder l'état
du système régulièrement. L'état du système inclut les données et fichiers journaux
d'Active Directory, le registre, le volume système (dossier SYSVOL), ainsi que divers éléments du
système d'exploitation. Cette nécessité s'applique aussi bien à un contrôleur de domaine exécuté sur
un ordinateur virtuel qu'à un contrôleur de domaine exécuté sur un matériel natif. Les procédures de
restauration de l'état du système que réalisent les applications de sauvegarde compatibles avec
Ph. De Winter
Base des réseaux EICE
Active Directory visent à garantir la cohérence des bases de données Active Directory locales et
répliquées à l'issue d'un processus de restauration. Elles signalent en outre aux partenaires de
réplication les réinitialisations d'ID d'invocation. Cependant, les administrateurs qui utilisent des
environnements d'hébergement virtuels et des applications d'acquisition d'images de disque ou de
système d'exploitation sont capables de contourner les contrôles et les validations qui ont
généralement lieu lorsque l'état système d'un contrôleur de domaine est restauré.
Suivez le processus de l'illustration suivante pour déterminer le meilleur moyen de restaurer le contrôleur de domaine virtualisé.
Ph. De Winter
Base des réseaux EICE
Sur les machines hardware, la fonctionnalité Sauvegarde de Windows Server dans Windows
Server 2008, qui comprend un composant logiciel enfichable MMC (Microsoft Management Console)
et des outils de ligne de commande, offre une solution complète à vos besoins quotidiens en matière
de sauvegarde et de récupération.
Quatre Assistants sont à disposition pour guider à travers les étapes de sauvegarde et de
récupération. Vous pouvez utiliser la Sauvegarde de Windows Server pour sauvegarder l’intégralité
d’un serveur (tous les volumes), des volumes spécifiques ou l’état du système. Vous pouvez
récupérer des volumes, des dossiers, des fichiers, certaines applications, ainsi que l’état du système.
En cas d’urgence, par exemple une défaillance de disque dur, vous pouvez effectuer une
récupération du système. Celle-ci récupérera l’intégralité de votre système sur le nouveau disque dur
en recourant à une sauvegarde complète du serveur et à l’environnement de récupération Windows.
Vous pouvez utiliser la Sauvegarde de Windows Server pour créer et gérer des sauvegardes de
l’ordinateur local ou d’un ordinateur distant.
Vous pouvez aussi planifier les sauvegardes pour qu’elles s’exécutent automatiquement et vous
pouvez effectuer des sauvegardes ponctuelles en complément des sauvegardes planifiées.
La Sauvegarde de Windows Server intègre les améliorations suivantes :
•
Technologie de sauvegarde plus rapide. La Sauvegarde de Windows Server exploite le
service VSS (Volume Shadow Copy) et la technologie de sauvegarde en mode bloc pour
sauvegarder et récupérer votre système d’exploitation, vos fichiers et dossiers, ainsi que vos
volumes. Une fois la première sauvegarde complète créée, vous pouvez configurer la
Sauvegarde de Windows Server de façon à exécuter automatiquement des sauvegardes
incrémentielles (seules les données qui ont été modifiées depuis la dernière sauvegarde sont
enregistrées). Même si vous choisissez d’effectuer des sauvegardes complètes, votre
opération de sauvegarde sera plus rapide que dans les versions antérieures de Windows.
•
Restauration simplifiée. Vous pouvez restaurer des éléments en choisissant une sauvegarde,
puis des éléments spécifiques de la sauvegarde à restaurer. Vous pouvez récupérer des
fichiers spécifiques d’un dossier ou le contenu entier d’un dossier. Par ailleurs, si vous deviez
autrefois recourir manuellement à plusieurs sauvegardes pour restaurer un élément stocké
sur une sauvegarde incrémentielle, tel n’est plus le cas aujourd’hui puisque vous pouvez
choisir la date de la version de la sauvegarde pour l’élément à restaurer.
•
Récupération simplifiée du système d’exploitation. La Sauvegarde de Windows Server
fonctionne avec les nouveaux outils de récupération de Windows, ce qui vous permet de
récupérer plus facilement votre système d’exploitation. Vous pouvez effectuer la
récupération sur le même serveur ou, en cas de défaillance matérielle, sur un autre serveur
avec une configuration matérielle semblable et dépourvu de système d’exploitation.
•
Possibilité de récupérer des applications. La Sauvegarde de Windows Server utilise la
fonctionnalité VSS qui est intégrée aux applications telles que Microsoft® SQL Server® pour
protéger les données des applications.
•
Planification améliorée. La Sauvegarde de Windows Server comprend un Assistant qui vous
guide tout au long du processus de création de sauvegardes quotidiennes. Les volumes
système sont automatiquement inclus dans toutes les sauvegardes planifiées, ce qui vous
permet de bénéficier d’une meilleure protection en cas d’urgence.
•
Suppression hors site des sauvegardes à des fins de protection en cas d’urgence. Vous
pouvez enregistrer des sauvegardes sur plusieurs disques en les alternant, ce qui vous
permet de transférer des disques à partir d’un emplacement hors site. Vous pouvez ajouter
Ph. De Winter
Base des réseaux EICE
chaque disque en tant qu’emplacement de sauvegarde planifiée. Si le premier disque est
transféré hors site, la Sauvegarde de Windows Server enregistre automatiquement les
sauvegardes sur le prochain disque dans la séquence.
•
Administration à distance. La Sauvegarde de Windows Server utilise un composant logiciel
enfichable MMC pour vous offrir un environnement familier et cohérent pour gérer vos
sauvegardes. Après avoir installé le composant logiciel enfichable, vous pouvez accéder à cet
outil par le biais du Gestionnaire de serveur ou en ajoutant le composant logiciel enfichable à
une nouvelle console MMC ou une console MMC existante. Ensuite, vous pouvez gérer les
sauvegardes sur d’autres serveurs en cliquant sur le menu Action dans le composant logiciel
enfichable, puis sur Se connecter à un autre ordinateur.
•
Gestion automatique de l’utilisation d’un disque. Lorsque vous configurez un disque afin
qu’il fasse l’objet d’une sauvegarde planifiée, la Sauvegarde de Windows Server gère
automatiquement l’utilisation du disque, ce qui vous évite de vous préoccuper de l’espace
disque disponible après des sauvegardes répétées. La Sauvegarde de Windows Server
réutilise automatiquement l’espace des anciennes sauvegardes lors de la création de
nouvelles sauvegardes. L’outil de gestion affiche les sauvegardes disponibles et les
informations relatives à l’utilisation du disque. Cela peut vous aider à planifier le
provisionnement de stockage supplémentaire pour répondre à vos objectifs en matière de
durée de la récupération.
•
Prise en charge étendue de la ligne de commande. La Sauvegarde de Windows Server
comprend la commande wbadmin et la documentation associée, ce qui vous permet
d’effectuer sur la ligne de commande les mêmes tâches qu’avec le composant logiciel
enfichable. Pour plus d’informations, voir le guide de référence des commandes. Vous
pouvez également automatiser les activités de sauvegarde à l’aide de scripts.
De plus, Windows Server 2008 contient une collection de commandes Windows PowerShell™
(cmdlets) pour la Sauvegarde de Windows Server que vous pouvez utiliser pour écrire des
scripts afin d’exécuter des sauvegardes. Pour plus d’informations,
•
Prise en charge des lecteurs de médias optiques et des médias amovibles. Vous pouvez
sauvegarder manuellement des volumes directement sur des lecteurs de médias optiques,
tels que des lecteurs de DVD, et sur des médias amovibles. Vous pouvez ainsi créer des
sauvegardes et les transférer facilement hors site de façon ponctuelle. Cette version de la
Sauvegarde de Windows Server conserve la prise en charge des sauvegardes manuelles vers
les dossiers et les disques durs partagés.
Comme on peut l'imaginer, les contraintes liées à la restauration du système empêchent l'emploi de
simples copies ou de logiciels ne prenant pas en compte les particularités de l'AD.
Toutefois, pour des applications propres à des Workgroups ou de petites structures, nous avons des
solutions telles que Cobian Backup. Ce type de programme ne s'occupant que des données, au moins
celles-ci peuvent être sauvées.
Dans cette solution, on s'aperçoit qu'il existe différents types de sauvegardes :
•
•
•
Complète,
Incrémentielle
Différentielle.
Ph. De Winter
Naturellement les deux dernières demandent
quelques explications ….Mais pour cela, il
faut aussi expliquer le fonctionnement de la
première !
Base des réseaux EICE
La base de copie complète est dans tous les cas indispensable, mais pour expliquer le
fonctionnement des deux autres types, il faut expliquer le fonctionnement de la sauvegarde en
général.
Pour pouvoir différencier ces différentes méthodes de sauvegarde/archivage (complète,
incrémentielle, différentielle), le mécanisme mis en place est l'utilisation d'un marqueur d'archivage.
Chaque fichier possède ce marqueur d'archivage, qui est positionné à "vrai" lorsque l'on crée ou
modifie un fichier. On peut comprendre cette position comme "Je viens d'être modifié ou créé : je
suis prêt à être archivé donc je positionne mon marqueur à vrai". Ce marqueur est appelé aussi
attribut d'archivage (ou bit d'archivage).
Sauvegarde complète :
Faisons une sauvegarde complète qui sera appelée "JOUR J".
Lors d'une sauvegarde complète, tous les fichiers sont sauvegardés, indépendamment de
la position du marqueur (vrai ou faux). Une fois le fichier archivé, celui-ci se voit attribuer la position
de son marqueur (le bit d'archive) à "faux" (ou à "0").Lors d'une sauvegarde complète, on va
remettre à "0" l'attribut du fichier pour mémoriser le fait que le fichier a été enregistré.
Sauvegarde différentielle :
La restauration faite à partir de ce type de sauvegarde nécessite la recopie sur disque de la
dernière sauvegarde complète et de la sauvegarde différentielle la plus récente.
Lors d'une sauvegarde différentielle, tous les fichiers dont le marqueur est à "vrai" sont
sauvegardés. Une fois le fichier archivé, celui-ci garde la position de son marqueur tel qu'il l'avait
avant la sauvegarde. Cela rend ce type de sauvegarde relativement lent, mais en cas de restauration,
la récupération sera plus rapide.
Sauvegarde incrémentielle :
La restauration se porte sur un disque complet qui a été sauvegardé le jour J+4, on doit alors
recopier sur disque la sauvegarde du jour J et les sauvegardes incrémentielles des jours J+1, J+2, J+3
et J+4 afin d'obtenir la dernière version de la totalité des données.
Lors d'une sauvegarde incrémentielle, tous les fichiers dont le marqueur est à "vrai" sont
sauvegardés. Une fois le fichier archivé, celui-ci se voit attribuer la position de son marqueur à
"faux". Ce type de sauvegarde est plus performant qu'une sauvegarde totale car elle permet de se
focaliser uniquement sur les fichiers modifiés avec un espace de stockage plus faible, mais nécessite
en contrepartie de posséder les sauvegardes précédentes pour reconstituer la sauvegarde complète.
Toutefois, ce ne sont que des mécanismes de sauvegarde de données, il existe aussi des problèmes
liés à l'infrastructure, et aux éléments la composant. Dans ce cas, les solutions sont de type
redondance des appareils. Ce concept génère aussi un lot de difficultés et de contraintes. Ainsi,
prenons par exemple un serveur de données hébergeant de lourdes tables, que se passe-t-il lors
d'accès en écriture dans une base de données et que (par malchance) la machine défaille alors
qu'elle a entamé l'écriture de celle-ci ? Penser à dupliquer les appareils, reviendrait à multiplier le
Ph. De Winter
Base des réseaux EICE
trafic réseau qui devrait s'effectuer pour deux serveurs…. Pensons au cas où les deux machines
présentent en même temps une défaillance …..
Ce sont des exceptions, mais qui peuvent se produire. Nous devons donc considérer des niveaux de
tolérance d'erreur (fault tolerance) , qui génèrent aussi des tolérances de faille sur le réseau. Ces
paramètres étant hors du sujet de ce cours, seule l'évocation en est faite, mais afin de générer la
réflexion indispensable pour une prise de conscience adaptée. Un domaine particulier existe pour
contrer ces problèmes : le "Fail-Over Service".
Cela ne résout pas le problème de panne machine (client). Dans ce cas, seule une restauration
d'image faite par un GHOST pourrait être efficace. Toutefois cette solution ne s'applique que si la
"nouvelle" machine est scrupuleusement identique à celle ayant servi à faire l'image. Sans cela, il
faudrait réinstaller l'ensemble des logiciels sur la machine. D'où l'importance des choix de logiciels,
de la gestion des clefs et surtout du respect des règles d'utilisation.
13.2 Les modes de stockage
Afin de rafraichir les souvenirs du cours de structure des ordinateurs, je ne reviendrai que sur les
types de regroupement de disques et leurs spécifications.
Le RAID (Redundant Arrays of Inexpensive Disks) est un système de stockage de données sur
différentes unités de disque. Selon le type de RAID, les données seront soit séparées dans les
volumes, soit reproduites sur les volumes, soit encore enregistrées avec des contrôles afin de
permettre une récupération en cas de perte. Cette dernière étape se nommant reconstruction.
Le système RAID est :
•
soit un système de redondance qui donne au stockage des données une certaine tolérance
aux pannes matérielles (ex : RAID1).
• soit un système de répartition qui améliore ses performances (ex : RAID0).
• soit les deux à la fois mais avec une moins bonne efficacité (ex : RAID5).
Le système RAID est donc capable de gérer d'une manière ou d'une autre la répartition et la
cohérence de ces données. Ce système de contrôle peut être purement logiciel ou utiliser un matériel
dédié.
Les types de RAID :
Ph. De Winter
Base des réseaux EICE
RAID 0 : volume agrégé par bandes :
Le RAID 0, également connu sous le nom d'« entrelacement de disques » ou de
« volume agrégé par bandes » (stripping en anglais), est une configuration
RAID permettant d'augmenter significativement les performances de la
grappe en faisant travailler n disques durs en parallèle (avec n≥2)
Capacité :
La capacité totale est égale à celle du plus petit élément de la grappe
multiplié par le nombre d'éléments présent dans la grappe, car le système
d'agrégation par bandes se retrouvera bloqué une fois que le plus petit disque
sera rempli (voir schéma). L'espace excédentaire des autres éléments de la
grappe restera inutilisé. Il est donc conseillé d'utiliser des disques de même
capacité.
Fiabilité :
Le défaut de cette solution est que la perte d'un seul disque entraîne la perte de toutes ses données.
Coût :
Dans un RAID 0, qui n'apporte aucune redondance, tout l'espace disque disponible est utilisé (tant
que tous les disques ont la même capacité).
Dans cette configuration, les données sont réparties par bandes (stripes en anglais) d'une taille fixe.
RAID 1 : Disques en miroir
Le RAID 1 consiste en l'utilisation de n disques redondants (avec n≥2), chaque
disque de la grappe contenant à tout moment exactement les mêmes données,
d'où l'utilisation du mot « miroir » (mirroring en anglais).
Capacité :
La capacité totale est égale à celle du plus petit élément de la grappe.
L'espace excédentaire des autres éléments de la grappe restera inutilisé. Il est
donc conseillé d'utiliser des éléments identiques.
Fiabilité :
Cette solution offre un excellent niveau de protection des données. Elle
accepte une défaillance de n-1 éléments.
Coût :
Les coûts de stockage sont élevés et directement proportionnels au nombre de miroirs utilisés alors
que la capacité utile reste inchangée. Plus le nombre de miroirs est élevé, et plus la sécurité
augmente, mais plus son coût devient prohibitif.
Ph. De Winter
Base des réseaux EICE
RAID 5 : volume agrégé par bandes à parité répartie
Le RAID 5 combine la méthode du volume agrégé par bandes (striping) à une
parité répartie. Il s'agit là d'un ensemble à redondance N+1. La
parité, qui est incluse avec chaque écriture se retrouve répartie
circulairement sur les différents disques. Chaque bande est donc
constituée de N blocs de données et d'un bloc de parité.
Avantage :
performances en lecture aussi élevées qu'en RAID 0 et sécurité
accrue surcoût minimal (capacité totale de n-1 disques sur un total
de n disques)
Inconvénients :
Pénalité en écriture du fait du calcul de la parité minimum de 3 disques.
D'autres versions existent, et il est même possible de combiner les versions entre-elles. Donc
organiser une RAID 15 qui n'est autre qu'un RAID5 de 3 RAID1.
Un RAID 51 étant lui composé d'un RAID1 de deux RAID5….
Exemples de combinaisons….
Ph. De Winter
Base des réseaux EICE
Sommaire
1
Avant-propos ........................................................................................................................................... 1-- 2 -
2
Etude de principe des réseaux ................................................................................................................ 2-- 3 2.1
Historique ........................................................................................................................................ 2-- 3 -
2.2
Evolution : le réseau maillé ............................................................................................................. 2-- 4 -
2.3
Types de communications .............................................................................................................. 2-- 5 -
Communication parallèle ......................................................................................................................... 2-- 5 Communication série ............................................................................................................................... 2-- 5 Communication non contrôlée ................................................................................................................. 2-- 7 2.4
Méthode de communication ............................................................................................................ 2-- 8 -
Aperçu de communication série ............................................................................................................... 2-- 8 2.5
Protocoles de communications ..................................................................................................... 2-- 12 -
Définition de protocole ........................................................................................................................... 2-- 12 Exemple concret .................................................................................................................................... 2-- 12 Types d'application des protocoles (dans la communication série) ....................................................... 2-- 13 Les protocoles réseau............................................................................................................................ 2-- 13 3
Le hardware ........................................................................................................................................... 3-- 14 3.1
Définition ....................................................................................................................................... 3-- 14 -
3.2
Les composants ............................................................................................................................ 3-- 14 -
Le câblage ............................................................................................................................................. 3-- 14 La connectique ...................................................................................................................................... 3-- 16 Les cartes réseau .................................................................................................................................. 3-- 16 Les hub .................................................................................................................................................. 3-- 18 Les switch .............................................................................................................................................. 3-- 18 Le routeur .............................................................................................................................................. 3-- 19 Le modem .............................................................................................................................................. 3-- 20 4
Les concepts de transmission................................................................................................................ 4-- 21 4.1
Systems Network Architecture ...................................................................................................... 4-- 21 -
Définition ................................................................................................................................................ 4-- 21 Principes et détails ................................................................................................................................. 4-- 21 4.2
Le modèle OSI .............................................................................................................................. 4-- 22 -
Principe de nécessité ............................................................................................................................. 4-- 22 Définition ................................................................................................................................................ 4-- 23 Aperçu ................................................................................................................................................... 4-- 23 Les différentes couches ......................................................................................................................... 4-- 24 Principe de fonctionnement ................................................................................................................... 4-- 27 Intérêts d'un principe en couche ............................................................................................................ 4-- 27 4.3
Le modèle TCP/IP ......................................................................................................................... 4-- 27 -
Signification ........................................................................................................................................... 4-- 27 Objectif................................................................................................................................................... 4-- 28 -
Ph. De Winter
Base des réseaux EICE
Principe .................................................................................................................................................. 4-- 28 5
6
7
Les Datagrammes ................................................................................................................................. 5-- 31 5.1
Structure ....................................................................................................................................... 5-- 31 -
5.2
Fragmentation ............................................................................................................................... 5-- 32 -
Les types de réseau............................................................................................................................... 6-- 33 6.1
Type linéaire ................................................................................................................................. 6-- 34 -
6.2
Type anneau ................................................................................................................................. 6-- 34 -
6.3
Type hiérarchique ......................................................................................................................... 6-- 35 -
6.4
Type étoile .................................................................................................................................... 6-- 35 -
L'identification ........................................................................................................................................ 7-- 36 7.1
L'adressage................................................................................................................................... 7-- 36 -
Adresse TCP/IP ..................................................................................................................................... 7-- 36 Le masque de sous-réseau ................................................................................................................... 7-- 37 Le sous réseau ...................................................................................................................................... 7-- 38 7.2
Les classes de réseau .................................................................................................................. 7-- 38 -
Les classes A, B, C ................................................................................................................................ 7-- 38 7.3
Les ports ....................................................................................................................................... 7-- 44 -
7.4
Structure de la communication ...................................................................................................... 7-- 45 -
7.5
Le routage ..................................................................................................................................... 7-- 47 -
Définition : .............................................................................................................................................. 7-- 47 Types de routage : ................................................................................................................................. 7-- 47 Exemple de routage ............................................................................................................................... 7-- 47 7.6
En pratique.................................................................................................................................... 7-- 52 -
Le protocole ARP................................................................................................................................... 7-- 53 Récapitulatif des processus ................................................................................................................... 7-- 54 Le protocole ICMP ................................................................................................................................. 7-- 57 8
Réseau : Serveur/Client ......................................................................................................................... 8-- 59 -
9
Vers l'extérieur ....................................................................................................................................... 9-- 65 -
10
Synthèse d'une connexion .............................................................................................................. 10-- 72 10.1
Couche 7..................................................................................................................................... 10-- 72 -
10.2
Couche 4..................................................................................................................................... 10-- 73 -
10.3
Couche 3..................................................................................................................................... 10-- 73 -
10.4
Couche 2..................................................................................................................................... 10-- 74 -
10.5
Sur le réseau ............................................................................................................................... 10-- 74 -
10.6
La réception ................................................................................................................................ 10-- 77 -
11
Les données .................................................................................................................................... 11-- 79 11.1
Le cryptage ................................................................................................................................. 11-- 80 -
11.2
La compression de fichiers ......................................................................................................... 11-- 81 -
11.3
Le partage de fichiers simple ...................................................................................................... 11-- 82 -
11.4
Le partage contrôlé ..................................................................................................................... 11-- 83 -
11.5
Les autorisations sur les dossiers/fichiers ................................................................................... 11-- 85 -
11.6
Problèmes rencontrés ................................................................................................................. 11-- 87 -
Ph. De Winter
Base des réseaux EICE
11.7
12
Les comptes utilisateurs.............................................................................................................. 11-- 88 L’évolution : IP V6 ........................................................................................................................... 12-- 93 -
Aperçu ................................................................................................................................................. 12-- 93 La notation en IPv6 .............................................................................................................................. 12-- 94 Règles de simplification ....................................................................................................................... 12-- 95 Structure réseau .................................................................................................................................. 12-- 95 13
La sécurité ....................................................................................................................................... 13-- 97 13.1
Les backups ................................................................................................................................ 13-- 97 -
Sauvegarde complète : ...................................................................................................................... 13-- 101 Sauvegarde différentielle : ................................................................................................................. 13-- 101 Sauvegarde incrémentielle : .............................................................................................................. 13-- 101 13.2
Les modes de stockage ............................................................................................................ 13-- 102 -
RAID 0 : volume agrégé par bandes : ................................................................................................ 13-- 103 RAID 1 : Disques en miroir ................................................................................................................ 13-- 103 RAID 5 : volume agrégé par bandes à parité répartie ........................................................................ 13-- 104 -
Ph. De Winter
Base des réseaux EICE