Les permissions NTFS

01/01/2014
Les permissions
NTFS
Système de gestion des autorisations de
fichiers NTFS (New Technology File
System)
Anthony MAESTRE
CFA ROBERT SCHUMAN
Le système de fichiers NTFS
Le système de fichiers NTFS (New Technology File System) utilise un système basé sur une structure
appelée « table de fichiers maître », ou MFT (Master File Table), permettant de contenir des
informations détaillées sur les fichiers. Ce système permet ainsi l'utilisation de noms longs, mais,
contrairement au système FAT32, il est sensible à la casse, c'est-à-dire qu'il est capable de
différencier des noms en majuscules de noms en minuscules.
Pour ce qui est des performances, l'accès aux fichiers sur une partition NTFS est plus rapide que sur
une partition de type FAT car il utilise un arbre binaire performant pour localiser les fichiers.
La limite théorique de la taille d'une partition est de 16 exaoctets (17 milliards de To). Mais
actuellement la limite physique d’un disque est 2 To.
Mais c'est au niveau de la sécurité que NTFS prend toute son importance, car il permet de définir des
attributs pour chaque fichier.
Les permissions NTFS
Les autorisations NTFS ne sont disponibles que sur les partitions NTFS. Pour sécuriser des fichiers et
des dossiers sur des partitions NTFS, nous octroyons des autorisations NTFS à chaque utilisateur au
moyen des comptes individuels ou des groupes. Il est recommandé d'utiliser les groupes de domaine
local pour concéder l'accès à une ressource au moyen de la stratégie A G DL P. La stratégie A G DL P
se présente comme suit : nous plaçons les comptes d'utilisateur (A) dans les groupes globaux (G), les
groupes globaux dans les groupes de domaine local, puis nous octroyons des autorisations (P) au
groupe de domaine local. Pour sécuriser des fichiers et des dossiers sur des partitions NTFS, nous
accordons des autorisations NTFS pour chaque compte d'utilisateur ou groupe d'utilisateurs qui doit
accéder à la ressource. Les utilisateurs doivent bénéficier d'une autorisation explicite pour pouvoir
accéder aux ressources. Si aucune autorisation n'est accordée, le compte d'utilisateur ne peut pas
accéder au fichier ou au dossier. La sécurité NTFS s'applique, que l'utilisateur accède à un dossier ou
à un fichier sur l'ordinateur ou par le biais du réseau.
Elles permettent de spécifier les utilisateurs, les groupes et les ordinateurs pouvant accéder aux
fichiers et aux dossiers. Elles indiquent également comment les utilisateurs, les groupes et les
ordinateurs peuvent exploiter le contenu du fichier ou du dossier.
Page
1
Liste de contrôle d’accès (ACL)
Le système NTFS stocke une liste de contrôle d'accès (ACL, Access Control List) associée à chaque
fichier et dossier contenus dans une partition NTFS. La liste ACL contient tous les comptes
d'utilisateur, groupes d'utilisateurs et ordinateurs bénéficiant de l'accès au fichier ou au dossier, ainsi
que le type d'accès qui leur est accordé. Pour qu'un utilisateur puisse accéder à un fichier ou à un
dossier, la liste ACL doit contenir une entrée, appelée entrée de contrôle d'accès (ACE, Access Control
Entry), pour le compte d'utilisateur, le groupe d'utilisateurs ou l'ordinateur auquel l'utilisateur est
associé. L'entrée doit précisément autoriser le type d'accès demandé par l'utilisateur afin que celui-ci
puisse accéder au fichier ou au dossier. Si aucune entrée ACE n'existe dans la liste ACL, Windows ne
permet pas à l'utilisateur d'accéder à la ressource.
Autorisation partage et NTFS
Attention à ne pas confondre, les autorisations de partage servent à définir les droits d'accès à un
dossier via le réseau. Les autorisations NTFS servent à définir les droits d'accès tout courts à un
dossier ou fichier, qu'il soit partagé ou pas, par le réseau ou directement sur la machine.
Les droits NTFS sont donc plus efficaces puisqu'ils marchent aussi en local, et permettent également
des options plus poussées que le partage.
Autorisation NTFS sur les dossiers
Nous accordons des autorisations sur des dossiers pour contrôler l'accès à ces dossiers ainsi qu'aux
fichiers et sous-dossiers qu'ils contiennent. Le tableau suivant Enumère les autorisations NTFS
standard que nous pouvons accorder sur les dossiers et le type d'accès offert par chaque autorisation
:
Page
2
Autorisations NTFS sur les fichiers
Nous accordons des autorisations sur les fichiers pour contrôler l'accès aux fichiers. Le tableau
suivant Enumère les autorisations NTFS standard que nous pouvons accorder sur les fichiers et le
type d'accès offert par chaque autorisation :
Autorisations NTFS multiples
Page
3
Si nous accordons des autorisations NTFS à un compte d'utilisateur individuel et à un groupe auquel
l'utilisateur appartient, ce dernier dispose de plusieurs autorisations. Certaines règles régissent la
façon dont le système NTFS combine ces différentes autorisations afin de générer l'autorisation
effectivement accordée à l'utilisateur.
Les autorisations NTFS peuvent être cumulées
Les autorisations effectivement accordées à un utilisateur sur une ressource résultent de la
combinaison des autorisations NTFS que nous accordons au compte d'utilisateur individuel et aux
groupes auxquels l'utilisateur appartient. Par exemple, si un utilisateur dispose de l'autorisation
Lecture sur un dossier et qu'il est membre d'un groupe disposant de l'autorisation Ecriture sur le
même dossier, l'utilisateur possède alors les deux autorisations pour le dossier concerné.
Les autorisations sur les fichiers sont différentes des
Autorisations sur les dossiers
Les autorisations NTFS sur les fichiers sont prioritaires sur les autorisations NTFS sur les dossiers. Par
exemple, un utilisateur qui dispose de l'autorisation Modifier sur un fichier peut apporter des
modifications au fichier même s'il ne dispose que de l'autorisation Lecture sur le dossier contenant le
fichier.
L'autorisation Refuser est prioritaire sur les autres
Autorisations
Nous pouvons refuser l'accès à un fichier ou à un dossier particulier en appliquant l'autorisation
Refuser au compte d'utilisateur ou au groupe d'utilisateurs. Même si un utilisateur est autorisé à
accéder au fichier ou au dossier en tant que membre d'un groupe, le refus d'autorisation à son
encontre annule toute autre autorisation dont il bénéficie. Par conséquent, l'autorisation Refus est
une exception à la règle du cumul. Nous devons donc éviter d'appliquer l'autorisation Refuser, car il
est plus facile d'accorder un accès aux utilisateurs et aux groupes d'utilisateurs que de le refuser au
cas par cas. Il est préférable de structurer les groupes et d'organiser les ressources dans les dossiers
de sorte que l'octroi d'autorisations suffise.
Page
4
Héritage des autorisations NTFS
Par défaut, les autorisations que nous accordons à un dossier parent sont héritées et propagées aux
sous-dossiers et fichiers contenus dans le dossier parent. Toutefois, nous pouvons bloquer l'héritage
des autorisations pour que certains dossiers ou fichiers disposent d'autorisations différentes de celles
de leur dossier parent.
Toutes les autorisations que nous accordons sur un dossier parent s'appliquent aux sous-dossiers et
fichiers qu'il contient. Lorsque nous accordons des autorisations NTFS d'accès à un dossier, nous
accordons des autorisations sur ce dossier, sur tous les fichiers et sous-dossiers qu'il contient et sur
tous les nouveaux fichiers et sous-dossiers créés dans ce dossier.
Nous pouvons bloquer l'héritage des autorisations. Ainsi, les sous-dossiers et les fichiers ne peuvent
pas hériter des autorisations de leur dossier parent. Pour bloquer l'héritage des autorisations,
supprimez les autorisations héritées et conservez uniquement les autorisations accordées
explicitement. Lorsque nous bloquons l'héritage, nous pouvons choisir de copier les autorisations
précédemment héritées. Le sous-dossier privé de l'héritage des autorisations de son dossier parent
devient le nouveau dossier parent. Les sous-dossiers et les fichiers contenus dans le nouveau dossier
parent héritent des autorisations accordées sur ce dernier.
Copie et déplacement de fichiers et de dossiers
Page
5
Lorsque nous copions ou déplaçons un fichier ou un dossier, les autorisations peuvent changer selon
l'emplacement de destination. Il est important de comprendre les modifications subies par les
autorisations lors de la copie ou du déplacement.
Copie de fichiers et dossiers :
Lorsque nous copions des fichiers ou des dossiers d'un dossier vers un autre, ou d'une partition vers
une autre, les autorisations associées aux fichiers ou dossiers peuvent changer. La copie d'un fichier
ou d'un dossier a les conséquences sur les autorisations NTFS décrites ci-dessous :
-
Lorsque nous copions un dossier ou un fichier dans une même partition NTFS, la copie du
dossier ou du fichier hérite des autorisations du dossier de destination.
-
Lorsque nous copions un dossier ou un fichier d'une partition NTFS vers une autre, la copie
du dossier ou du fichier hérite des autorisations du dossier de destination.
-
Lorsque nous copions des fichiers ou des dossiers sur des partitions non NTFS, telles qu'une
table d'allocation des fichiers (FAT, File Allocation Table), les dossiers et les fichiers perdent
leurs autorisations NTFS, car les partitions non NTFS ne prennent pas en charge les
autorisations NTFS.
Pour copier des fichiers et des dossiers dans une même partition NTFS ou d'une partition NTFS vers
une autre, nous devons disposer de l'autorisation Lecture sur le dossier source et de l'autorisation
Ecriture sur le dossier de destination.
Déplacement de fichiers et dossiers :
Lorsque nous déplacons un fichier ou un dossier, les autorisations peuvent changer selon
l'autorisation accordée sur le dossier de destination. Le déplacement d'un fichier ou d'un dossier a
les conséquences sur les autorisations NTFS décrites ci-dessous.
-
Lorsque nous déplacons un dossier ou un fichier dans une même partition NTFS, le dossier ou
le fichier conserve ses autorisations d'origine.
-
Lorsque nous déplacons un dossier ou un fichier d'une partition NTFS vers une autre, le
dossier ou le fichier hérite des autorisations du dossier de destination. Le déplacement d'un
dossier ou d'un fichier d'une partition vers une autre consiste en réalité à copier le dossier ou
le fichier dans son nouvel emplacement, puis à le supprimer de son emplacement source.
-
Lorsque nous déplacons des fichiers ou des dossiers vers des partitions non NTFS, les dossiers
et les fichiers perdent leurs autorisations NTFS, car les partitions non NTFS ne prennent pas
en charge les autorisations NTFS.
Page
6
Pour déplacer des fichiers et des dossiers dans une même partition NTFS ou d'une partition NTFS
vers une autre, nous devons disposer de l'autorisation Ecriture sur le dossier de destination et de
l'autorisation Modifier sur le fichier ou le dossier source. L'autorisation Modifier est requise pour
déplacer un dossier ou un fichier, car Windows supprime le dossier ou le fichier du dossier source
après l'avoir copié dans le dossier de destination.
Déroulement du TP
Ce TP a été effectué dans le cadre scolaire en autonomie. Pour les besoin de celui-ci, nous avons
virtualisé le système Windows Server 2008 via Virtual Box, sur lequel nous avons créé un deuxième
disque dur pour le stockage de données et installé Active Directory et créé plusieurs utilisateur et
groupe d’utilisateur afin d’appliquer les permissions NTFS.
Nous avons également créé plusieurs machines client Windows 7 pour vérifier les règles appliquées.
Page
7
Nous avons créé 3 dossiers sur le deuxième disque correspondant aux différents groupes créés pour
la permission de stockage de données par groupe
Ensuite, au sein de l’Active Directory nous avons créé dans le dossier « groupe », les 3 groupes
correspondant aux dossiers créés précédemment, autrement dit les groupes « artistes, auteurs et
direction »
Dans ses groupes, nous y avons ajouté les utilisateurs correspondant, les utilisateurs « artistes » dans
le groupe « artiste », les utilisateurs « auteurs » dans le groupe « auteur » etc..
Page
8
Le but de tout cela est de simplifier les autorisations NTFS en les appliquant par groupe d’utilisateur
Il suffit ensuite de nous rendre dans les propriétés de chaque dossier créé dans le deuxième disque
puis dans l’onglet sécurité, nous y ajoutons le groupe crée au préalable dans l’Active Directory, et d’y
modifier les permissions en fonction de ce que l’on souhaite (autoriser/refuser la lecture, l’écriture
ou bien la modification de ce dossier ou bien des fichiers au sein de ce dossier).
Page
9
N’oublions pas de désactiver ou bien d’activer l’héritage des permissions en fonction des droits que
nous souhaitons accorder.
Ici, nous avons autorisé les utilisateurs du groupe « artiste » à afficher le contenu du dossier
« artiste » ainsi qu’à lire et écrire dans celui-ci.
Nous avons également modifié les droits du dossier « auteur » de la même manière que le dossier du
groupe « artiste » mais en interdisant les utilisateurs du groupe « artiste » à accéder au dossier
« auteur »
Nous nous connectons maintenant via la machine cliente sur le compte d’utilisateur « artiste » pour
vérifier les autorisations appliquées.
Page
10
Nous pouvons constater que l’utilisateur « artiste » a bien accès au dossier « artiste » qui lui est
dédié mais qu’il n’a pas accès au dossier « auteur » .