DROITS DU SYSTEME DE FICHIER
NTFS
Modification du registre : N'oubliez pas de sauvegarder
votre registre avant de le modifier manuellement.
Quand votre système de fichier est en FAT, un utilisateur qui a un accès à votre
machine peut voir et modifier des fichiers même s'ils ne sont pas partagés.
C'est là qu'interviennent les avantages liés au format de fichier
NTFS. Les autorisations grâce au système de fichiers NTFS permettent
de donner des droits d'accès aux utilisateurs en local ou à distance.
Ces droits s'appliquent à la racine d'un disque, d'un dossier ou d'un
fichier. Ce système de gestion de droits devient assez vite complexe.
Créer des
sessions Utilisateurs
Une fois les sessions créées, chaque utilisateur aura un dossier
Mes Documents partagé par défaut.
Il faut donc supprimer ce partage simple en passant
votre système de fichier
en NTFS.
Si vous avez XP Home (uniquement), il faut ajouter
l'onglet de sécurité
Pour accéder à l'onglet "Sécurité" :
Par l'explorer, clic droit sur votre dossier ->Propriétés -> onglet
Sécurité
- Fenêtre du haut : Noms d'utilisateur ou de groupe.
Permet d'ajouter ou de supprimer des utilisateurs ou des groupes de
travail sur le dossier ou fichier
Pour ajouter un utilisateur, cliquez sur Ajouter
- Entrer les noms des objets à sélectionner, cliquez sur
avancé
- Séléctionner un utilisateur ou
groupe, cliquez sur rechercher
- La suite de la fenêtre
va s'ouvrir sur les Noms, sélectionnez
le nom que vous souhaitez rajouter
- Cliquez sur ok pour
ajouter le nouvel utilisateur
ou groupe, fermez toutes les fenêtres, et votre nouvel
utilisateur sera inscrit dans l'onglet Sécurité.
- Fenêtre du bas : Autorisations pour l'utilisateur séléctionné
en haut.
Permet de donner des droits ou de les refuser à chaque utilisateur
ou groupe.
Activer les cases autoriser ou refuser
, le détail sera vu plus loin dans cet article.
Les
utilisateurs et les groupes
Pour connaître les
utilisateurs et les groupes définis, Allez dans le Menu Démarrer
-> Exécuter et saisissez : lusrmgr.msc
Utilisateurs :
En cliquant sur les propriétés de l'utilisateur, avec les options,
vous pouvez l'incorporer dans divers groupes, interdire
ou suspendre un utilisateur, comme Invité par exemple.
Pour Windows 2000 et XP Pro le nombre maximal de comptes utilisateurs que
l'on peut créer est de 10
Pour Windows XP Home le nombre maximal de comptes utilisateurs que
l'on peut créer est de 5
Pour les versions Serveur, c'est en fonction du nombre de licences acquises
Groupes :
Vous pouvez ajouter des groupes particuliers et inscrire des
utilisateurs dans ces groupes, l'intérêt peut être
de ne mettre qu'un seul nom de groupe à la place de
plusieurs utilisateurs ayant besoin des mêmes droits.
Vous pouvez ègalement supprimer un utilisateur d'un groupe ayant
des privilèges, afin d'optimiser les restrictions sur cet utilisateur.
Le groupe Administrateurs représente tous les utilisateurs
de la machine qui ont les privilèges d'administrateurs et
qui ont tous les pouvoirs sur le système.
Si vous souhaitez interdire des dossiers ou fichiers à un utilisateur
qui a les privilèges d'administrateur, il est préférable
de ne pas mettre ce groupe Administrateurs dans l'onglet de
sécurité, mais simplement votre nom d'utilisateur ayant
les privilèges d'administrateur, ou bien supprimer l'utilisateur
en question du groupe Administrateurs.
Il existe d'autres groupes Tout
le monde Système ou Reseau qui ne
figurent pas ici, car il font partie intégrante du système
d'exploitation.
Ces groupes n'ont pas lieu d'être dans l'onglet de Sécurité de
vos dossiers ou fichiers personnels, il est préférable de
les supprimer pour des raisons de sécurité.
Attention, le groupe Tout le monde inclut l'utilisateur Invité.
Autorisations
sur les fichiers
- Propriété des objets :
Windows attribue un propriétaire à un
objet au moment de sa création. Par défaut, le propriétaire
est le créateur de l'objet.
- Autorisations attachées aux
objets :
Les principaux moyens mis en oeuvre dans le contrôle d'accès
sont les autorisations, ou droits d'accès.
Dans les systèmes
Windows, des autorisations peuvent être définies pour les
fichiers, les dossiers et d'autres objets du système. Les autorisations
permettent ou interdisent aux utilisateurs et aux groupes des actions
particulières. Les
autorisations sont principalement mises en oeuvre au moyen de descripteurs
de sécurité, qui définissent aussi les fonctions
d'audit et de propriété.(l'onglet de sécurité et
l'outil gpedit)
Chacune de ces autorisations consiste en un groupe logique d'autorisations
spéciales. Le tableau suivant présente l'autorisation NTFS
sur les fichiers et il spécifie les autorisations spéciales
qui sont associées à cette autorisation.
| Autorisations
sur les fichiers |
| Autorisation spéciale |
Contrôle
total |
Modif. |
Lecture et
Exécution |
Lecture |
Ecriture |
| Parcourir le dossier/Executer le fichier |
X |
X |
X |
|
|
| Liste du dossier/lecture écriture des données |
X |
X |
X |
X |
|
| Attribut de lecture |
X |
X |
X |
X |
|
| Lire les attributs étendus |
X |
X |
X |
X |
|
| Création de fichiers/Ecriture de données |
X |
X |
|
|
X |
| Création de fichiers/Ajout de données |
X |
X |
|
|
X |
| Attribut d'écriture |
X |
X |
|
|
X |
| Ecriture d'attributs étendus |
X |
X |
|
|
X |
| Parcourir le dossier/Executer le fichier |
X |
X |
|
|
|
| Suppression de sous-dossiers et fichiers |
X |
|
|
|
|
| Supprimer |
X |
X |
|
|
|
| Autorisation de lecture |
X |
X |
X |
X |
X |
| Modifier les autorisations |
X |
|
|
|
|
| Appropriation |
X |
|
|
|
|
| Synchroniser |
X |
X |
X |
X |
X |
Attention: Les groupes et les utilisateurs qui disposent de l'autorisation "contrôle
total" sur un dossier peuvent supprimer tous les fichiers de ce dossier
indépendamment des autorisations protégeant les fichiers.
Chaque fichier peut avoir des autorisations différentes pour tel ou
tel utilisateur.
- Principe du privilège minimal :
Le principe du privilège minimal établit
que tous les utilisateurs doivent avoir le moins d'accès possible
aux systèmes, ce minimum leur permettant d'effectuer les tâches
liées à leur travail. Ainsi, si un utilisateur doit
seulement pouvoir visualiser un fichier spécifique, cet utilisateur
doit avoir un accès en lecture seule au fichier ; l'utilisateur
ne doit pas pouvoir écrire dans ce fichier.
Autorisations
sur les dossiers
Les autorisations sur les dossiers
ont un élément suplémentaire Afficher le
contenu du dossier
| Autorisations
sur les dossiers |
| Autorisation spéciale |
Contrôle
total |
Modif. |
Lecture et
Exécution |
Afficher
le contenu |
Lecture |
Ecriture |
| Parcourir le dossier/Executer le fichier |
X |
X |
X |
X |
|
|
| Liste du dossier/lecture écriture
des données |
X |
X |
X |
X |
X |
|
| Attribut de lecture |
X |
X |
X |
X |
X |
|
| Lire les attributs étendus |
X |
X |
X |
X |
X |
|
| Création de fichiers/Ecriture de
données |
X |
X |
|
|
|
X |
| Création de fichiers/Ajout de données |
X |
X |
|
|
|
X |
| Attribut d'écriture |
X |
X |
|
|
|
X |
| Ecriture d'attributs étendus |
X |
X |
|
|
|
X |
| Parcourir le dossier/Executer le fichier |
X |
X |
|
|
|
|
| Suppression de sous-dossiers et fichiers |
X |
|
|
|
|
|
| Supprimer |
X |
X |
|
|
|
|
| Autorisation de lecture |
X |
X |
X |
X |
X |
X |
| Modifier les autorisations |
X |
|
|
|
|
|
| Appropriation |
X |
|
|
|
|
|
| Synchroniser |
X |
X |
X |
X |
X |
X |
Bien que Afficher le contenu du dossier et Lecture et exécution aient
les mêmes autorisations spéciales, ces autorisations sont héritées
différement:
Afficher le contenu du dossier : est héritée par les dossiers
mais non par les fichiers, et elle doit apparaître seulement lors de
le visualisation des autorisations des dossiers.
Lecture et exécution : est héritée à la
fois par les fichiers et les dossiers et se trouve toujours présente
lors de la visualisation des autorisations des fichiers et des dossiers.
Si vous avez un jeu qui ne fonctionne pas avec un utilisateur, vérifiez
l'attribution de ses droits sur le dossier afin que l'utilisateur puisse l'exécuter.
Refuser
les accès
Les entrées Refuser sont prioritaires sur les entrées Autoriser,
ce qui signifie que si un utilisateur est membre de 2 groupes, l'un avec Autoriser,
l'autre avec Refuser, l'autorisation de l'utilisateur sera refusée.
C'est le cas par exemple avec le groupe Administrateurs, Administrateurs fait
aussi
partie du groupe Tout le monde.
Ceci peut être pratique dans le cas où vous avez un autre système
d'exploitation sur ce disque dur , ce qui évite de mauvaises manipulations.
La meilleure solution serait de supprimer le groupe "Tout le monde" et
de n'accorder les droits qu'à un seul "Administrateur".
Si Autoriser ou Refuser ne sont pas sélectionnés pour une
autorisation, le groupe ou l'utilisateur peut avoir obtenu l'autorisation via
l'appartenance à un
groupe (héritage).
Si le groupe ou l'utilsateur n'a pas obtenu l'autorisation
via
l'appartenance à un
groupe, l'autorisation est implicitement refusée au groupe ou à l'utilisateur.
Copie
ou déplacement d'un dossier ou fichier
Lors de l'utilisation des autorisations NTFS pour sécuriser les accès à des
fichiers ou à des dossiers spécifiques, il est très
important d'être très attentif à ce qui se passe si l'objet
est déplacé ou copié à un autre emplacement du
système.
- Quand un objet est copié dans un autre répertoire,
il hérite des privilèges d'accès qui sont ceux du dossier
de destination.
- Quand un objet fichier ou dossier est déplacé d'un
répertoire vers un autre répertoire, les autorisations NTFS
qui étaient appliquées au fichier le suivent dans son déplacement.
Modifier
les héritages ou les propriétaires
- Héritage des autorisations :
Windows offre une fonction
permettant aux administrateurs d'attribuer et
de gérer
facilement les autorisations. Connue sous le nom d'héritage, cette fonction
fait que les objets d'un conteneur héritent automatiquement des autorisations
de ce conteneur. Par exemple, les fichiers d'un dossier héritent des autorisations
du dossier quand ils sont créés dans le dossier.
- Gestionnaires d'objets :
S'il est nécessaire de changer les autorisations
sur un objet spécifique, l'outil approprié doit être
utilisé pour changer les propriétés de cet objet.
Pour accéder à la boîte de dialogue pour les héritages
, cliquez sur la case Avancé de votre onglet de sécurité ->Modifier
Dans la fenêtre
qui s'affiche cliquez sur Supprimer pour supprimer la liste
complète
des autorisations.
La fonction Supprimer peut servir principalement dans le
cas d'un formatage pour redevenir propriétaire des dossiers ou
fichier de l'ex-utilisateur.
Il suffira ensuite de réattribuer
les droits de propriété du dossier/fichier au nouvel utilisateur.
En décochant la case Hérite de l'objet parent ->
Modifier puis
dans la fenêtre qui s'affiche sur Copier,
vous obtiendrez la fenêtre Entrée
d'autorisation afin de choisir les diverses options d'héritages.
La boîte de dialogue Entrée
d'autorisation apparaît quand des autorisations sont
définies sur des fichiers ou des dossiers.
Voici les autorisations qui sont appliquées comme suit quand la
case est décochée en fonction de Appliquer à :
| Appliquer
ces autorisations désactivées |
| Appliquer à |
Applique les autorisations au dossier en cours |
Applique les autorisations aux sous-dossiers
en cours |
Applique les autorisations aux fichiers du dossier
en cours |
Applique les autorisations à tous les sous-dossiers
suivants |
Applique les autorisations aux fichiers de tous
les sous-dossiers suivants |
| Ce dossier seulement |
X |
|
|
|
|
| Ce dossier, les sous-dossiers et les fichiers |
X |
X |
X |
X |
X |
| Ce dossier et les sous-dossiers |
X |
X |
|
X |
|
| Ce dossier et les fichiers |
X |
|
X |
|
X |
| Les sous-dossiers et les fichiers seulement |
|
X |
X |
X |
X |
| Les sous-dossiers seulement |
|
X |
|
X |
|
| Fichiers seulement |
|
|
X |
|
X |
Voici les autorisations qui sont appliquées quand
la case est cochée en fonction de Appliquer à :
| Appliquer
ces autorisations activées |
| Appliquer à |
Applique les autorisations au dossier en cours |
Applique les autorisations aux sous-dossiers
en cours |
Applique les autorisations aux fichiers du dossier
en cours |
Applique les autorisations à tous les
sous-dossiers suivants |
Applique les autorisations aux fichiers de tous
les sous-dossiers suivants |
| Ce dossier seulement |
X |
|
|
|
|
| Ce dossier, les sous-dossiers et les fichiers |
X |
X |
X |
|
|
| Ce dossier et les sous-dossiers |
X |
X |
|
|
|
| Ce dossier et les fichiers |
X |
|
X |
|
|
| Les sous-dossiers et les fichiers seulement |
|
X |
X |
|
|
| Les sous-dossiers seulement |
|
X |
|
|
|
| Fichiers seulement |
|
|
X |
|
|
Comme vous pouvez le constater, les possibilités sont nombreuses
d'ou l'intérêt d'avoir le moins d'utilisateurs ou groupes à gérer
sur votre dossier personnel afin de vous y retrouver.
Une solution simple consiste à la création de dossier spécifique à des
partages de documents entre les différents utilisateurs, et mettre
les autorisations en conséquence. Les dossiers principaux de chaque
utilisateur auront leurs droits personnels et le refus de tout les autres
utilisateurs
Les audits des
dossiers et fichiers
Windows permet à l'administrateur d'auditer les accès
des utilisateurs aux objets. Ces événements liés à la
sécurité peuvent être visualisés dans le journal de
sécurité avec l'Observateur d'événements. Cette option
sert principalement sur un réseau, l'utilisation est basée sur
le même principe que les héritages.
Les stratégies d'audit fonctionnent de paire avec l'outil Gpedit
Modifier
les propriétaires des dossiers et fichiers
Cette fonction permet de s'approprier un dossier ou un fichier, c'est le cas
par exemple après une réinstallation complète du système
où vous retrouvez le propriétaire de vos anciens dossiers qui ressemble à ceci
: S-453-2156-0876456-2354S
Afin de devenir Propriétaire de l'objet, vous devez d'abord supprimer
tous les héritages, (voir plus haut)
Pour modifier les options il faut passer à l'onglet Autorisations
effectives afin de définir les droits et autorisations pour le nouveau
propriétaire.
Nous avons vu quelques bonnes notions de l'onglet sécurité, l'optimisation
de la sécurité de votre OS passe par l'utilisation régulière
de ces outils à votre disposition, l'important est de se familiariser
avec, et dès la création d'un nouveau dossier sur votre OS, posez-vous
la question : A qui j'attribue des droits sur ce dossier ?