Voici comment, dans mes cours, j’enseigne aux administrateurs juniors à résoudre les problèmes de sécurité des dossiers. Un peu d’histoire pour commencer. La notion de partage (en tout cas du point de vue de Microsoft) a commencé en 1987 avec LAN Manager, qui permet aux utilisateurs de se connecter à
Confusion entre les permissions de partage et NTFS
un disque dur sur un serveur.
Les administrateurs attribuent ensuite au partage des permissions telles que Full Control, Change ou Read. Le concept semble simple aujourd’hui et les partages fonctionnent de la même manière qu’à l’époque. Avec Windows NT 3.0, Microsoft a introduit NTFS. Contrairement à FAT, dépourvu de fonctions de sécurité, NTFS permet de sécuriser les dossiers et les fichiers par une structure granulaire.
Ainsi, plusieurs utilisateurs peuvent se connecter à la même machine mais ont des zones de travail sécurisées, séparées, inaccessibles aux autres utilisateurs. Donc, maintenant que nous savons que les partages et NTFS ont tous deux des permissions de sécurité qui peuvent être attribuées à un dossier (même si leurs usages originels étaient différents), quelle est la meilleure manière de procéder ? La première idée est de simplement ouvrir le partage à Everyone avec Full Control, puis de verrouiller la sécurité au moyen des permissions NTFS. Autre possibilité : utiliser ensemble les permissions partage et NTFS.
Dans les deux cas, il faut pouvoir déterminer l’accès aux données propres à un utilisateur particulier. L’exemple de la figure 6 montre comment choisir la meilleure sécurité pour un utilisateur donné. Dans le dossier D:\Data de la figure 6, Bob a les permissions NTFS suivantes : Full Control, Modify, Read & Execute et Read. Full Control est la moins restrictive d’entre elles. Bob a aussi la permission Read sur le partage de données.
Comme c’est la seule permission de Bob, c’est la moins restrictive qu’il a sur le partage. (Si Bob avait des permissions Read & Change sur le partage, Change serait la moins restrictive.) Maintenant que nous connaissons les permissions NTFS et partage les moins restrictives de Bob, nous devons trouver sa permission résultante en trouvant la permission la plus restrictive entre les permissions NTFS et partage les moins restrictives. Si Bob essaie d’accéder à ce partage à partir du réseau, il aura la permission Read.
Il ne pourra pas changer, supprimer ou ajouter de nouveaux fichiers. Lorsque les permissions de sécurité NTFS et partage sont mélangées, il n’est pas facile d’intervenir en cas de difficulté. C’est pourquoi beaucoup d’entreprises se contentent de configurer le partage en donnant Full Control à Everyone puis verrouillent les fichiers et les dossiers au moyen des permissions NTFS.
Téléchargez cette ressource
Guide de Cyber-résilience pour Microsoft 365
La violation de votre tenant M365 va au-delà d’un simple incident de cybersécurité. Elle peut entraîner une interruption opérationnelle généralisée, des perturbations commerciales et une exposition de vos données sensibles. Découvrez les méthodes et technologies pour évaluer, comparer et renforcer votre posture de sécurité Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- DSI en assurance : gardien du temple ou moteur de la transformation ?
- Ransomware : persistance des cyberattaques à l’échelle mondiale
- Cybersécurité : l’IA générative rebat les cartes du cybercrime
- Le World Cyber Ranking, 1er classement mondial de la cybersécurité des entreprises
- Comment le Quarter Plan permet d’aligner IT et Métiers pour délivrer
