Windows 7 NTFS

NTFS en quelques règles… NTFS = NT File Système Système de fichiers sécurisée créé par MS pour son OS serveur Système par défaut pour les OS Microsoft La « table des matières » est nommé la MFT

Quelques règles - Généralité Un dossier est un fichier qui a un attribut spécifique On peut placer des permissions sur un objet du lecteur NTFS ( un fichier ou un dossier ) Pour qu’un compte possède une autorisation d’accès sur un objet il faut que lui ou qu’un groupe auquel il appartient possède une autorisation à la ressource. Si on a aucune autorisation défini sur un objet, on n’a pas d’accès dessus. Les objets ayant des SID sont : les comptes users, les groupes de sécurité et les comptes machines.

Quand un objet est créé, il hérite des permissions du dossier parent. Règle d’héritage Quand un objet est créé, il hérite des permissions du dossier parent. Eventuellement il peut hériter des permissions du lecteur racine si l’objet est crée à la racine du disque. L'on peut ajouter ou compléter des entrées de permissions ntfs sur un objet, tout en conservant les permissions héritées. Exemple on peut ajouter un groupe qui n’a pas déjà de permissions sur le dossier et lui donner un contrôle total.

Abandon d’héritage 3. Sur un objet on peut supprimer l’héritage. Attention, on risque de créer un objet sans aucune entrée de permission défini dessus  personne ne pourra y accéder. ( Encore que…) On peut copier les permissions actuelles de l’objet pour en faire un point de départ qui à les modifier par la suite. 4. On évite de modifier les permissions sur les files…

Règle de cumul des autorisations 5 Un Utilisateur appartenant à plusieurs groupes cumule les permissions…des groupes auquel il appartient

Permission de refus On peut donner une permission de refus à un sid sur un objet… Si userA est membre du groupe GLcompta1 qui a un CT sur le dossier Compta alors que UserA a un refus d’écriture… le refus est toujours prioritaire On éviter de donner des permissions de refus.

Copie et déplacement d’un fichier NTFS, Si copie => Création d’objet  permission du dossier cible parent Si déplacement sur un lecteur différent  Création d’objet  permission du dossier cible parent Si déplacement sur le même lecteur  On garde les permissions de la source. ( Attention danger !!!)

Propriétaire de l’objet Chaque objet possède un propriétaire. Le propriétaire est souvent celui qui a crée le document ( la première fois) Le propriétaire d’un objet peut modifier les autorisations de l’objet ! Un admin connecté localement sur un pdt/serveur peut s’approprier tous les objets de la machine

Comment donner les permissions Account ( prendre le compte ) Global ( mettre les users dans un global) (Universel je place le global dans l’universel ) DL (je crée un groupe local machine ex: GL_ReadWriteFolder1) Permission ( je donne les permissions au groupes local GL_ReadWriteFolder1)

Comment ne pas les donner correctement Je donne les permissions directement au User Je met Contrôle Total à tout le monde Je mets au contraire plein de permissions subtile partout sans documenter et éventuellement sur des fichiers unitaires.. Je déplace des dossiers dans tous les sens… Je crée une arborescence de travers… Dossiers sensibles à la racine et des dossiers enfants « ouverts » Je crée mal mon arborescence

Partages SMB+ NTFS Sur un partage on peut placer des permissions. Attention désormais par défaut « Tout le monde » Lecteur seul On cumule les restrictions du partage et celle des permissions ntfs Pour simplifier la lecture et l’affectation des droits on donne un accès Contrôle total aux Utilisateurs concernés sur le Share. Et on gère les permissions via NTFS

Partages administratifs : Net share Net session Partages administratifs : C$ d$ etc… Admins$ IPC$