La plupart des administrateurs chevronnés savent que les permissions du système de fichiers de nouvelle technologie (NTFS) sont disponibles sur chaque fichier, dossier, clé de registre, imprimante et objet Active Directory. Introduit pour la première fois avec Windows NT pour remplacer le système de fichiers FAT (File Allocation Table), NTFS a subi plusieurs modifications au fil des ans. Windows 2000, Windows Server 2003 et Windows XP utilisent l’incarnation actuelle, NTFS v5.
Lorsqu’il s’agit de l’ancien NTFS (de Windows NT) et du NTFS actuel, il y a beaucoup de similitudes et quelques différences. Voyons cela de plus près.
Les permissions standard par rapport aux permissions avancées
Vous pouvez définir les permissions NTFS sur Autoriser ou Refuser. Voici un aperçu des permissions standard dans l’ancien NTFS:
- Contrôle total : Les utilisateurs peuvent modifier, ajouter, déplacer et supprimer des fichiers, ainsi que leurs propriétés et répertoires associés. En outre, les utilisateurs peuvent modifier les paramètres de permissions pour tous les fichiers et sous-répertoires.
- Modifier : Les utilisateurs peuvent visualiser et modifier les fichiers et les propriétés des fichiers, y compris la suppression et l’ajout de fichiers à un répertoire ou de propriétés de fichiers à un fichier.
- Lire & Exécuter : Les utilisateurs peuvent exécuter des fichiers exécutables, y compris des scripts.
- Lire : Les utilisateurs peuvent visualiser les fichiers et leurs propriétés.
- Écrire : Les utilisateurs peuvent écrire dans un fichier.
Microsoft a par la suite fait évoluer ces autorisations pour inclure les suivantes :
- Traverse de dossier/exécution de fichier : les utilisateurs peuvent naviguer dans les dossiers pour atteindre d’autres fichiers ou dossiers, même s’ils n’ont aucune autorisation pour les fichiers ou dossiers traversés. L’autorisation Traverse Folder ne prend effet que si le groupe ou l’utilisateur ne dispose pas du droit d’utilisateur Bypass Traverse Checking dans le snap-in des stratégies de groupe. (Par défaut, le groupe Everyone dispose du droit d’utilisateur Bypass Traverse Checking.)
- Lister le dossier/lire les données : Les utilisateurs peuvent afficher une liste du contenu d’un dossier et des fichiers de données.
- Lire les attributs : Les utilisateurs peuvent afficher les attributs d’un fichier ou d’un dossier, tels que lecture seule et caché. (NTFS définit ces attributs.)
- Lire les attributs étendus : Les utilisateurs peuvent visualiser les attributs étendus d’un fichier ou d’un dossier. (Définis par les programmes, les attributs étendus peuvent varier.)
- Créer des fichiers/écrire des données : L’autorisation de créer des fichiers permet aux utilisateurs de créer des fichiers dans le dossier. (Cette autorisation s’applique uniquement aux dossiers.) L’autorisation d’écriture de données permet aux utilisateurs d’apporter des modifications au fichier et d’écraser le contenu existant. (Cette autorisation s’applique uniquement aux fichiers.)
- Créer des dossiers/Ajouter des données : Cette permission Créer des dossiers permet aux utilisateurs de créer des dossiers dans un dossier. (Cela s’applique aux dossiers uniquement.) L’autorisation Ajouter des données permet aux utilisateurs d’apporter des modifications à la fin du fichier, mais ils ne peuvent pas modifier, supprimer ou écraser les données existantes. (Cela s’applique uniquement aux fichiers.)
- Écrire les attributs : Les utilisateurs peuvent modifier les attributs d’un fichier ou d’un dossier, tels que lecture seule ou caché. (NTFS définit ces attributs.)
- Write Extended Attributes : Les utilisateurs peuvent modifier les attributs étendus d’un fichier ou d’un dossier.
- Supprimer : Les utilisateurs peuvent supprimer le fichier ou le dossier. (Si les utilisateurs n’ont pas l’autorisation de supprimer sur un fichier ou un dossier, ils peuvent quand même le supprimer s’ils ont l’autorisation de supprimer les sous-dossiers et les fichiers sur le dossier parent.)
- Autorisations de lecture : Les utilisateurs ont des autorisations de lecture du fichier ou du dossier, telles que le contrôle total, la lecture et l’écriture.
- Autorisations de modification : Les utilisateurs disposent de droits de modification du fichier ou du dossier, tels que le contrôle total, la lecture et l’écriture.
- Prendre la propriété : Les utilisateurs peuvent prendre la propriété du fichier ou du dossier. Le propriétaire d’un fichier ou d’un dossier peut toujours modifier les permissions sur celui-ci, indépendamment de toutes les permissions existantes qui protègent le fichier ou le dossier.
Quelle est la grande différence ?
La grande différence entre l’ancien NTFS et le nouveau NTFS est l’établissement de la priorité des permissions héritées et explicites. Alors que vouspourriez supposer que la permission Deny a la priorité sur toute autrepermission, ce n’est pas toujours le cas.
Voici la hiérarchie des autorisations :
- Déni explicite
- Autorisation explicite
- Déni hérité
- Autorisation héritée
Alors qu’un utilisateur accède à chaque fichier, dossier, clé de registre, imprimante et objet Active Directory, le système vérifie les autorisations de haut en bas. Lorsqu’il répond à l’une de ces quatre conditions, il accorde ou refuse l’accès. Cela vous permet de définir l’héritage des permissions pour un objet et de maintenir un contrôle fin pour les exceptions à votre politique générale de permissions.
Pensées finales
Les permissions NTFS offrent un grand contrôle lorsqu’il s’agit des ressources sur vos systèmes. Si vous avez des problèmes avec les utilisateurs qui ne peuvent pas accéder aux données ou aux objets requis dans votre structure Active Directory, regardez la hiérarchie pour ces permissions, et vous trouverez le problème.
Plus de chronique ?
Consultez les archives des solutions de sécurité, et rattrapez les éditions les plus récentes de la chronique de Mike Mullins.
Préoccupé par les problèmes de sécurité ? Qui ne l’est pas ? Inscrivez-vous automatiquement à notre bulletin d’information gratuit Security Solutions, livré chaque vendredi, et obtenez des conseils pratiques pour verrouiller vos systèmes.
Mike Mullins a été administrateur réseau adjoint et administrateur de sécurité réseau pour les services secrets américains et la Defense Information Systems Agency. Il est actuellement le directeur des opérations pour le centre d’opérations et de sécurité du réseau du théâtre sud.
>