Les permissions NTFS
Transcription
Les permissions NTFS
01/01/2014 Les permissions NTFS Système de gestion des autorisations de fichiers NTFS (New Technology File System) Anthony MAESTRE CFA ROBERT SCHUMAN Le système de fichiers NTFS Le système de fichiers NTFS (New Technology File System) utilise un système basé sur une structure appelée « table de fichiers maître », ou MFT (Master File Table), permettant de contenir des informations détaillées sur les fichiers. Ce système permet ainsi l'utilisation de noms longs, mais, contrairement au système FAT32, il est sensible à la casse, c'est-à-dire qu'il est capable de différencier des noms en majuscules de noms en minuscules. Pour ce qui est des performances, l'accès aux fichiers sur une partition NTFS est plus rapide que sur une partition de type FAT car il utilise un arbre binaire performant pour localiser les fichiers. La limite théorique de la taille d'une partition est de 16 exaoctets (17 milliards de To). Mais actuellement la limite physique d’un disque est 2 To. Mais c'est au niveau de la sécurité que NTFS prend toute son importance, car il permet de définir des attributs pour chaque fichier. Les permissions NTFS Les autorisations NTFS ne sont disponibles que sur les partitions NTFS. Pour sécuriser des fichiers et des dossiers sur des partitions NTFS, nous octroyons des autorisations NTFS à chaque utilisateur au moyen des comptes individuels ou des groupes. Il est recommandé d'utiliser les groupes de domaine local pour concéder l'accès à une ressource au moyen de la stratégie A G DL P. La stratégie A G DL P se présente comme suit : nous plaçons les comptes d'utilisateur (A) dans les groupes globaux (G), les groupes globaux dans les groupes de domaine local, puis nous octroyons des autorisations (P) au groupe de domaine local. Pour sécuriser des fichiers et des dossiers sur des partitions NTFS, nous accordons des autorisations NTFS pour chaque compte d'utilisateur ou groupe d'utilisateurs qui doit accéder à la ressource. Les utilisateurs doivent bénéficier d'une autorisation explicite pour pouvoir accéder aux ressources. Si aucune autorisation n'est accordée, le compte d'utilisateur ne peut pas accéder au fichier ou au dossier. La sécurité NTFS s'applique, que l'utilisateur accède à un dossier ou à un fichier sur l'ordinateur ou par le biais du réseau. Elles permettent de spécifier les utilisateurs, les groupes et les ordinateurs pouvant accéder aux fichiers et aux dossiers. Elles indiquent également comment les utilisateurs, les groupes et les ordinateurs peuvent exploiter le contenu du fichier ou du dossier. Page 1 Liste de contrôle d’accès (ACL) Le système NTFS stocke une liste de contrôle d'accès (ACL, Access Control List) associée à chaque fichier et dossier contenus dans une partition NTFS. La liste ACL contient tous les comptes d'utilisateur, groupes d'utilisateurs et ordinateurs bénéficiant de l'accès au fichier ou au dossier, ainsi que le type d'accès qui leur est accordé. Pour qu'un utilisateur puisse accéder à un fichier ou à un dossier, la liste ACL doit contenir une entrée, appelée entrée de contrôle d'accès (ACE, Access Control Entry), pour le compte d'utilisateur, le groupe d'utilisateurs ou l'ordinateur auquel l'utilisateur est associé. L'entrée doit précisément autoriser le type d'accès demandé par l'utilisateur afin que celui-ci puisse accéder au fichier ou au dossier. Si aucune entrée ACE n'existe dans la liste ACL, Windows ne permet pas à l'utilisateur d'accéder à la ressource. Autorisation partage et NTFS Attention à ne pas confondre, les autorisations de partage servent à définir les droits d'accès à un dossier via le réseau. Les autorisations NTFS servent à définir les droits d'accès tout courts à un dossier ou fichier, qu'il soit partagé ou pas, par le réseau ou directement sur la machine. Les droits NTFS sont donc plus efficaces puisqu'ils marchent aussi en local, et permettent également des options plus poussées que le partage. Autorisation NTFS sur les dossiers Nous accordons des autorisations sur des dossiers pour contrôler l'accès à ces dossiers ainsi qu'aux fichiers et sous-dossiers qu'ils contiennent. Le tableau suivant Enumère les autorisations NTFS standard que nous pouvons accorder sur les dossiers et le type d'accès offert par chaque autorisation : Page 2 Autorisations NTFS sur les fichiers Nous accordons des autorisations sur les fichiers pour contrôler l'accès aux fichiers. Le tableau suivant Enumère les autorisations NTFS standard que nous pouvons accorder sur les fichiers et le type d'accès offert par chaque autorisation : Autorisations NTFS multiples Page 3 Si nous accordons des autorisations NTFS à un compte d'utilisateur individuel et à un groupe auquel l'utilisateur appartient, ce dernier dispose de plusieurs autorisations. Certaines règles régissent la façon dont le système NTFS combine ces différentes autorisations afin de générer l'autorisation effectivement accordée à l'utilisateur. Les autorisations NTFS peuvent être cumulées Les autorisations effectivement accordées à un utilisateur sur une ressource résultent de la combinaison des autorisations NTFS que nous accordons au compte d'utilisateur individuel et aux groupes auxquels l'utilisateur appartient. Par exemple, si un utilisateur dispose de l'autorisation Lecture sur un dossier et qu'il est membre d'un groupe disposant de l'autorisation Ecriture sur le même dossier, l'utilisateur possède alors les deux autorisations pour le dossier concerné. Les autorisations sur les fichiers sont différentes des Autorisations sur les dossiers Les autorisations NTFS sur les fichiers sont prioritaires sur les autorisations NTFS sur les dossiers. Par exemple, un utilisateur qui dispose de l'autorisation Modifier sur un fichier peut apporter des modifications au fichier même s'il ne dispose que de l'autorisation Lecture sur le dossier contenant le fichier. L'autorisation Refuser est prioritaire sur les autres Autorisations Nous pouvons refuser l'accès à un fichier ou à un dossier particulier en appliquant l'autorisation Refuser au compte d'utilisateur ou au groupe d'utilisateurs. Même si un utilisateur est autorisé à accéder au fichier ou au dossier en tant que membre d'un groupe, le refus d'autorisation à son encontre annule toute autre autorisation dont il bénéficie. Par conséquent, l'autorisation Refus est une exception à la règle du cumul. Nous devons donc éviter d'appliquer l'autorisation Refuser, car il est plus facile d'accorder un accès aux utilisateurs et aux groupes d'utilisateurs que de le refuser au cas par cas. Il est préférable de structurer les groupes et d'organiser les ressources dans les dossiers de sorte que l'octroi d'autorisations suffise. Page 4 Héritage des autorisations NTFS Par défaut, les autorisations que nous accordons à un dossier parent sont héritées et propagées aux sous-dossiers et fichiers contenus dans le dossier parent. Toutefois, nous pouvons bloquer l'héritage des autorisations pour que certains dossiers ou fichiers disposent d'autorisations différentes de celles de leur dossier parent. Toutes les autorisations que nous accordons sur un dossier parent s'appliquent aux sous-dossiers et fichiers qu'il contient. Lorsque nous accordons des autorisations NTFS d'accès à un dossier, nous accordons des autorisations sur ce dossier, sur tous les fichiers et sous-dossiers qu'il contient et sur tous les nouveaux fichiers et sous-dossiers créés dans ce dossier. Nous pouvons bloquer l'héritage des autorisations. Ainsi, les sous-dossiers et les fichiers ne peuvent pas hériter des autorisations de leur dossier parent. Pour bloquer l'héritage des autorisations, supprimez les autorisations héritées et conservez uniquement les autorisations accordées explicitement. Lorsque nous bloquons l'héritage, nous pouvons choisir de copier les autorisations précédemment héritées. Le sous-dossier privé de l'héritage des autorisations de son dossier parent devient le nouveau dossier parent. Les sous-dossiers et les fichiers contenus dans le nouveau dossier parent héritent des autorisations accordées sur ce dernier. Copie et déplacement de fichiers et de dossiers Page 5 Lorsque nous copions ou déplaçons un fichier ou un dossier, les autorisations peuvent changer selon l'emplacement de destination. Il est important de comprendre les modifications subies par les autorisations lors de la copie ou du déplacement. Copie de fichiers et dossiers : Lorsque nous copions des fichiers ou des dossiers d'un dossier vers un autre, ou d'une partition vers une autre, les autorisations associées aux fichiers ou dossiers peuvent changer. La copie d'un fichier ou d'un dossier a les conséquences sur les autorisations NTFS décrites ci-dessous : - Lorsque nous copions un dossier ou un fichier dans une même partition NTFS, la copie du dossier ou du fichier hérite des autorisations du dossier de destination. - Lorsque nous copions un dossier ou un fichier d'une partition NTFS vers une autre, la copie du dossier ou du fichier hérite des autorisations du dossier de destination. - Lorsque nous copions des fichiers ou des dossiers sur des partitions non NTFS, telles qu'une table d'allocation des fichiers (FAT, File Allocation Table), les dossiers et les fichiers perdent leurs autorisations NTFS, car les partitions non NTFS ne prennent pas en charge les autorisations NTFS. Pour copier des fichiers et des dossiers dans une même partition NTFS ou d'une partition NTFS vers une autre, nous devons disposer de l'autorisation Lecture sur le dossier source et de l'autorisation Ecriture sur le dossier de destination. Déplacement de fichiers et dossiers : Lorsque nous déplacons un fichier ou un dossier, les autorisations peuvent changer selon l'autorisation accordée sur le dossier de destination. Le déplacement d'un fichier ou d'un dossier a les conséquences sur les autorisations NTFS décrites ci-dessous. - Lorsque nous déplacons un dossier ou un fichier dans une même partition NTFS, le dossier ou le fichier conserve ses autorisations d'origine. - Lorsque nous déplacons un dossier ou un fichier d'une partition NTFS vers une autre, le dossier ou le fichier hérite des autorisations du dossier de destination. Le déplacement d'un dossier ou d'un fichier d'une partition vers une autre consiste en réalité à copier le dossier ou le fichier dans son nouvel emplacement, puis à le supprimer de son emplacement source. - Lorsque nous déplacons des fichiers ou des dossiers vers des partitions non NTFS, les dossiers et les fichiers perdent leurs autorisations NTFS, car les partitions non NTFS ne prennent pas en charge les autorisations NTFS. Page 6 Pour déplacer des fichiers et des dossiers dans une même partition NTFS ou d'une partition NTFS vers une autre, nous devons disposer de l'autorisation Ecriture sur le dossier de destination et de l'autorisation Modifier sur le fichier ou le dossier source. L'autorisation Modifier est requise pour déplacer un dossier ou un fichier, car Windows supprime le dossier ou le fichier du dossier source après l'avoir copié dans le dossier de destination. Déroulement du TP Ce TP a été effectué dans le cadre scolaire en autonomie. Pour les besoin de celui-ci, nous avons virtualisé le système Windows Server 2008 via Virtual Box, sur lequel nous avons créé un deuxième disque dur pour le stockage de données et installé Active Directory et créé plusieurs utilisateur et groupe d’utilisateur afin d’appliquer les permissions NTFS. Nous avons également créé plusieurs machines client Windows 7 pour vérifier les règles appliquées. Page 7 Nous avons créé 3 dossiers sur le deuxième disque correspondant aux différents groupes créés pour la permission de stockage de données par groupe Ensuite, au sein de l’Active Directory nous avons créé dans le dossier « groupe », les 3 groupes correspondant aux dossiers créés précédemment, autrement dit les groupes « artistes, auteurs et direction » Dans ses groupes, nous y avons ajouté les utilisateurs correspondant, les utilisateurs « artistes » dans le groupe « artiste », les utilisateurs « auteurs » dans le groupe « auteur » etc.. Page 8 Le but de tout cela est de simplifier les autorisations NTFS en les appliquant par groupe d’utilisateur Il suffit ensuite de nous rendre dans les propriétés de chaque dossier créé dans le deuxième disque puis dans l’onglet sécurité, nous y ajoutons le groupe crée au préalable dans l’Active Directory, et d’y modifier les permissions en fonction de ce que l’on souhaite (autoriser/refuser la lecture, l’écriture ou bien la modification de ce dossier ou bien des fichiers au sein de ce dossier). Page 9 N’oublions pas de désactiver ou bien d’activer l’héritage des permissions en fonction des droits que nous souhaitons accorder. Ici, nous avons autorisé les utilisateurs du groupe « artiste » à afficher le contenu du dossier « artiste » ainsi qu’à lire et écrire dans celui-ci. Nous avons également modifié les droits du dossier « auteur » de la même manière que le dossier du groupe « artiste » mais en interdisant les utilisateurs du groupe « artiste » à accéder au dossier « auteur » Nous nous connectons maintenant via la machine cliente sur le compte d’utilisateur « artiste » pour vérifier les autorisations appliquées. Page 10 Nous pouvons constater que l’utilisateur « artiste » a bien accès au dossier « artiste » qui lui est dédié mais qu’il n’a pas accès au dossier « auteur » .