par Randy Franklin-Smith
La question la plus importante concernant la sécurité au sein du réseau interne
d'une entreprise consiste à se demander qui a accès et à quoi. Dans de nombreuses
entreprises, il manque une méthode cohérente pour contrôler l'accès à certains
fichiers. Des domaines contenant des dizaines de milliers de fichiers et de répertoires
peuvent avoir des dizaines de milliers d'utilisateurs.
Certains outils produisent un énorme rapport indiquant chaque fichier auquel un
utilisateur peut accéder, mais les administrateurs ont souvent du mal à faire
le tri dans des rapports aussi détaillés, qui, d'ailleurs, mettent habituellement
l'accent sur un serveur au lieu de prendre en compte la totalité d'un réseau.
Les rapports n'indiquent pas si des niveaux d'accès variés sont appropriés pour
les utilisateurs.
Windows 2000 et NT contrôlent l'accès au niveau des fichiers. Mais pour que le
contrôle d'accès soit efficace et contrôlable, les administrateurs système doivent
gérer l'accès à des niveaux plus élevés, tels que les applications, les bases
de données et les zones de partages de fichiers de départements ou de groupes
de travail. Le contrôle d'accès peut se gérer facilement dans Windows 2000 et
NT avec des outils shareware et une structure de groupes à deux niveaux. Cette
méthode crée un système de contrôle facile à maintenir, à vérifier et à apprendre.
On peut également mettre en oeuvre la nouvelle structure de contrôle d'accès parallèlement
à celle qui existe sur un système, puis supprimer cette dernière.
Pour un contrôle d’accès efficace à Windows 2000 et NT
Pour utiliser cette méthode de contrôle d’accès à deux niveaux, il faut commencer
par identifier les ressources d’informations que vous êtes chargé d’administrer.
Les ressources d’informations sont des groupes d’objets dont vous contrôlez l’accès
de la même manière. Il peut s’agir, par exemple, d’une application Microsoft Access
ou d’un référentiel de rapports, pouvant exister sur plusieurs serveurs ou plates-formes.
Chaque ressource se compose de fichiers et de répertoires, qui doivent être identifiés,
et a obligatoirement un propriétaire, généralement un responsable chargé d’en
approuver l’accès. Il est préférable, dans la mesure du possible, d’identifier
le propriétaire par son rôle ou son poste, plutôt que par son nom, pour éviter
de mettre à jour les descriptions des groupes de ressources lorsque le propriétaire
titulaire change de poste.
Pour utiliser la méthode de contrôle d’accès à deux niveaux, commencez
par identifier les ressources que vous êtes chargé d’administrer
Reste à décider comment le propriétaire supervisera l’accès. Il existe, pour cela,
deux possibilités : soit, le désigner comme propriétaire des objets constituant
les ressources d’informations, puis lui déléguer directement le contrôle d’accès.
Soit, déléguer la propriété des objets à un membre du personnel qui exécutera
les permissions selon les instructions du propriétaire. Le transfert de la propriété
des objets est un processus en deux étapes.
Etape 1. Accorder la permission spéciale Prendre la propriété
au futur propriétaire de l’objet. Pour cela, ouvrez Windows Explorer, puis Propriétés
pour le fichier ou le répertoire des objets, sélectionnez l’onglet Sécurité et
cliquez sur Permissions. Avec le bouton Ajouter, ajoutez une entrée pour le futur
propriétaire dans l’ACL. Puis, dans la liste Type d’accès, sélectionnez Accès
spécial et cochez la case Prendre la propriété. Dans Windows 2000, les étapes
sont similaires, mais il faut cliquer sur Avancées après avoir ajouté une entrée
pour le futur propriétaire.
Etape 2. Pour prendre la propriété de l’objet, le futur propriétaire
ouvre Windows Explorer, sélectionne l’objet, ouvre Propriétés pour l’objet et
sélectionne l’onglet Sécurité. Le futur propriétaire clique sur Propriété, puis
sur Prendre la propriété. Dans Windows 2000, le futur propriétaire ouvre Propriétés
pour l’objet, sélectionne l’onglet Sécurité et clique sur Avancées. Puis il sélectionne
l’onglet Propriétaire, sélectionne un compte dans la liste Changer le propriétaire
de et clique sur Appliquer.
Habituellement, on s’arrange pour conserver le contrôle direct des objets, en
impliquant dans une certaine mesure le propriétaire dans le contrôle d’accès.
On peut, par exemple, décider d’utiliser le courrier électronique pour lui envoyer
toutes les demandes d’accès et les soumettre à son approbation. Ou bien, on peut
traiter immédiatement les demandes d’accès et en informer ultérieurement le propriétaire.
Enfin, pour des ressources plus sécurisées, on peut aussi envisager d’adresser
au propriétaire des rapports réguliers avec la liste des utilisateurs ayant accès
aux ressources.
Il faut aussi déterminer le nombre de niveaux d’accès nécessaires à une ressource.
Par exemple, pour un référentiel de rapports il faut probablement deux niveaux
: l’accès lecture pour les utilisateurs qui consultent les rapports et l’accès
modification pour l’utilisateur ou le processus qui met à jour les rapports. Le
Tableau 1 montre les informations à collecter au départ pour une hypothétique
ressource d’informations, à savoir un référentiel de rapports de bons de commande,
dans laquelle l’administrateur systèmes est propriétaire des objets. S’il s’agit
d’une procédure de contrôle d’accès dans laquelle le propriétaire des objets qui
gère la ressource n’est pas l’administrateur systèmes, il faut également collecter
des informations sur le propriétaire de l’objet, mais ne pas les stocker dans
un document, puisque la méthode à deux niveaux s’auto-documente et met à jour
automatiquement les informations.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
