Voici comment, dans mes cours, j’enseigne aux administrateurs juniors à résoudre les problèmes de sécurité des dossiers. Un peu d’histoire pour commencer. La notion de partage (en tout cas du point de vue de Microsoft) a commencé en 1987 avec LAN Manager, qui permet aux utilisateurs de se connecter à
Confusion entre les permissions de partage et NTFS
un disque dur sur un serveur.
Les administrateurs attribuent ensuite au partage des permissions telles que Full Control, Change ou Read. Le concept semble simple aujourd’hui et les partages fonctionnent de la même manière qu’à l’époque. Avec Windows NT 3.0, Microsoft a introduit NTFS. Contrairement à FAT, dépourvu de fonctions de sécurité, NTFS permet de sécuriser les dossiers et les fichiers par une structure granulaire.
Ainsi, plusieurs utilisateurs peuvent se connecter à la même machine mais ont des zones de travail sécurisées, séparées, inaccessibles aux autres utilisateurs. Donc, maintenant que nous savons que les partages et NTFS ont tous deux des permissions de sécurité qui peuvent être attribuées à un dossier (même si leurs usages originels étaient différents), quelle est la meilleure manière de procéder ? La première idée est de simplement ouvrir le partage à Everyone avec Full Control, puis de verrouiller la sécurité au moyen des permissions NTFS. Autre possibilité : utiliser ensemble les permissions partage et NTFS.
Dans les deux cas, il faut pouvoir déterminer l’accès aux données propres à un utilisateur particulier. L’exemple de la figure 6 montre comment choisir la meilleure sécurité pour un utilisateur donné. Dans le dossier D:\Data de la figure 6, Bob a les permissions NTFS suivantes : Full Control, Modify, Read & Execute et Read. Full Control est la moins restrictive d’entre elles. Bob a aussi la permission Read sur le partage de données.
Comme c’est la seule permission de Bob, c’est la moins restrictive qu’il a sur le partage. (Si Bob avait des permissions Read & Change sur le partage, Change serait la moins restrictive.) Maintenant que nous connaissons les permissions NTFS et partage les moins restrictives de Bob, nous devons trouver sa permission résultante en trouvant la permission la plus restrictive entre les permissions NTFS et partage les moins restrictives. Si Bob essaie d’accéder à ce partage à partir du réseau, il aura la permission Read.
Il ne pourra pas changer, supprimer ou ajouter de nouveaux fichiers. Lorsque les permissions de sécurité NTFS et partage sont mélangées, il n’est pas facile d’intervenir en cas de difficulté. C’est pourquoi beaucoup d’entreprises se contentent de configurer le partage en donnant Full Control à Everyone puis verrouillent les fichiers et les dossiers au moyen des permissions NTFS.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Pourquoi est-il temps de repenser la gestion des vulnérabilités ?
- Reporting RSE : un levier d’innovation !
- De la 5G à la 6G : la France se positionne pour dominer les réseaux du futur
- Datanexions, acteur clé de la transformation numérique data-centric
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
