SRIT Lannion Jan-02 Author

Protection des ressources avec NTFS SRIT Lannion Jan-02

INTRODUCTION la protection des ressources au moyen de permissions NTFS va permettre de sécuriser l’accès aux ressources locales et réseau par le biais d’autorisation d’accès aux fichiers et répertoires.l’utilisation d’une partition NTFS (New Technology File System) est indispensable.

Présentation des autorisations NTFS les autorisations NTFS vous permettent de spécifier les utilisateurs et les groupes autorisés à accèder à certains fichiers ou dossiers et de définir les opérations qu’ils sont habilités à effectuer .ces autorisations sont disponibles uniquement sur des partitions NTFS .elles ne sont pas disponible sur les volumes comportent des systèmes de fichiers FAT ou FAT 32. le système de sécurité NTFS s’applique en toute circonstances, que l’utilisateur accède à un fichier en local ou via le réseau . les autorisations que vous attribuez au niveau des répertoires sont différentes de celles que vous attribuez au niveau des fichiers.

Autorisation au niveau des répertoires Autorisation NTFS au niveau dossier Permet à l’utilisateur Lecture De consulter les fichiers et sous-dossiers du dossier et d’afficher le propriétaire, les autorisations et les attributs du dossier Ecriture De créer de nouveaux fichiers et sous-dossiers dans le dossier,de modifier les attributs du dossier et d’afficher le propriétaire et les autorisations du dossier Afficher le contenu du dossier De consulter le nom des fichiers et sous-dossiers du dossier Lecture et exécution De se déplacer d’un dossier à l’autre pour accéder à des fichiers , même si l’utilisateur ne dispose d’aucune autorisation pour ces dossiers , et d’effectuer les opérations permises par les autorisations lecture et afficher le contenu du dossier Modifier De supprimer le dossier et d’effectuer les opérations permises par les autorisations écriture et lecture et exécution Contrôle total De modifier les autorisations,de s’approprier et de supprimer des sous-dossiers et des fichiers ,mais aussi d’effectuer les opérations permises par toutes les autorisations NTFS attribuées au niveau dossier

Autorisation au niveau des fichiers Autorisation NTFS au niveau dossier Permet à l’utilisateur Lecture De lire et d’afficher les attributs , le propriétaire et les autorisations du fichier Ecriture D’écraser le fichier, de modifier ses attributs et d’afficher son propriétaire et ses autorisations Lecture et exécution D’exécuter des applications et d’effectuer les opérations permises par l’autorisation lecture Modifier De modifier et supprimer le fichier et d’effectuer les opérations permises par les autorisations écriture et lecture et exécution Contrôle total De modifier les autorisations et s’approprier le fichier, mais aussi d’effectuer les opérations permises par toutes les autres autorisations NTFS attribuées au niveau fichier

Mise en œuvre d’autorisations NTFS les administrateurs, les propriétaires de fichiers et dossiers , ainsi que les utilisateurs bénéficiant de l’autorisation Contrôle total sont habilités à attribuer des autorisations NTFS aux utilisateurs et aux groupes afin de contrôler l’accès aux fichiers et dossiers. Liste de contrôle ACL : NTFS stocke une liste de contrôle d’accès (ACL) qui recense l’ensemble des fichiers et dossiers présents sur un volume NTFS.cette liste énumère tous les comptes utilisateurs et groupes autorisés à accéder aux différents fichiers, et décrit le type d’accès qui leur a été octroyé.lorsqu’un utilisateur tente d’accéder à une ressource, la liste ACL doit contenir une entrée , appelée entrée de contrôle d’accès , correspondant au compte utilisateur ou au groupe dont relève cette utilisateur et octroyant le type d’accès demandé.s’il n’existe pas d’entrée alors l’utilisateur ne pourra pas accéder aux ressources.

Autorisations NTFS multiples : Cumul des autorisations : les autorisations réelles d’un utilisateur pour une ressource dépendent des autorisations NTFS que vous attribuez à son compte ainsi qu’à l’ensemble des groupes dont il est membre.si un utilisateur bénéficie de l’autorisation Lecture pour un dossier et s’il est membre d’un groupe ayant l’autorisation Ecriture pour le même dossier alors il profitera à la fois de l’autorisation Lecture et Ecriture. Priorité des autorisations au niveau fichier sur les autorisations au niveau dossier Les permissions au niveau fichier sont prioritaires sur les autorisations au niveau dossier .un utilisateur bénéficiant d’un accès à un fichier pourra accéder à ce fichier même si celui-ci n’a pas accès au dossier dans lequel il se trouve. Il faut utiliser le nom UNC ou le chemin local pour accéder au fichier car si vous n’êtes pas autoriser à accéder au dossier , vous ne verrez pas le fichier. Priorité du refus sur toute autre autorisation Le refus d’une autorisation l’emporte sur tous les cas d’octroi de cette autorisation. Même si un utilisateur est autorisé à accéder à un fichier en tant que membre d’un groupe ,le refus de cette autorisation à cet utilisateur bloquera toutes les autres autorisations dont il bénéficie.

Résumé les autorisations NTFS sont cumulatives les autorisations au niveau fichier priment sur les autorisations au niveau dossier le refus l’emporte sur les autres autorisations

Héritage des permissions NTFS Par défaut les autorisations données à un dossier parent sont transmises aux sous-dossiers et fichiers qu’il contient. cependant ,vous pouvez empêcher cet héritage.

Attribution d’autorisation d’accès spéciales en générale, les autorisations NTFS fournissent toutes les autorisations nécessaires à la sécurisation des données.toutefois dans certains cas, les autorisations standard ne suffisent pas alors il faut utiliser les permissions NTFS spéciales pour avoir une granularité plus grande . par exemple, on peut donner la permission de modifier les autorisations sur un fichier sans pour autant donner les droits « Contrôle total » qui lui permet de prendre possession du fichier.

Copie et déplacement de fichiers et de dossiers la copie ou le déplacement de dossiers et fichiers va modifier les permissions NTFS associés. copie de fichiers et dossiers pour pouvoir copier un fichier sur un volume NTFS il faut que l’utilisateur est au moins la permissions « Modifier » sur le répertoire de destination.l’utilisateur devient alors le nouveau propriétaire du fichier. Lors de la copie, les autorisations NTFS peuvent être héritées ou perdues selon l’emplacement de destination de la copie .

Exemple 1 : copie d’ un fichier sur la même partition ou sur une partition différente = héritage

déplacement de fichiers et répertoires pour déplacer un fichier ou un dossier d’une partition NTFS à une autre, vous devez disposer de l’autorisation « Modifier » sur le répertoire de destination et de l’autorisation supprimer sur le dossier ou fichier source déplacement = Copie + suppression Action Résultat Déplacement au sein d’un même volume NTFS Le dossier ou le fichier conserve ses autorisations d’origine. Déplacement entre différents volumes NTFS Le dossier ou le fichier hérite des autorisations propres au dossier de destination

Exemple 2 : déplacement de fichiers et dossiers

les autorisations les plus restrictives s’appliquent en priorité Association des autorisations sur les dossiers partagés et des autorisations NTFS Le partage de dossiers permet aux utilisateurs de votre réseau d’accèder à différentes ressources. Lorsque vous associez des autorisations sur les dossiers partagés et des autorisations NTFS les autorisations les plus restrictives s’appliquent en priorité attention: les permissions au niveau du partage protége uniquement contre les accès distant (via le réseau )

Exemple 1

Exemple 2

FIN

Héritage des permissions SRIT Lannion DEC-01