in

Comment comprendre ces autorisations de fichier / partage Windows 7 déroutantes

Avez-vous déjà essayé de comprendre toutes les autorisations dans Windows? Il existe des autorisations de partage, des autorisations NTFS, des listes de contrôle d’accès, etc. Voici comment ils fonctionnent tous ensemble.

L’identifiant de sécurité

Les systèmes d’exploitation Windows utilisent des SID pour représenter tous les principaux de sécurité. Les SID ne sont que des chaînes de longueur variable de caractères alphanumériques qui représentent des machines, des utilisateurs et des groupes. Les SID sont ajoutés aux ACL (listes de contrôle d’accès) chaque fois que vous accordez à un utilisateur ou à un groupe une autorisation sur un fichier ou un dossier. Derrière la scène, les SID sont stockés de la même manière que tous les autres objets de données, en binaire. Cependant, lorsque vous voyez un SID dans Windows, il sera affiché en utilisant une syntaxe plus lisible. Il n’est pas fréquent que vous voyiez une forme de SID dans Windows, le scénario le plus courant est lorsque vous accordez à quelqu’un l’autorisation sur une ressource, puis son compte d’utilisateur est supprimé, il apparaîtra alors comme un SID dans l’ACL. Jetons donc un coup d’œil au format typique dans lequel vous verrez les SID dans Windows.

La notation que vous verrez prend une certaine syntaxe, voici les différentes parties d’un SID dans cette notation.

  1. Un préfixe «S»
  2. Numéro de révision de la structure
  3. Une valeur d’autorité d’identifiant de 48 bits
  4. Un nombre variable de valeurs de sous-autorité ou d’identificateur relatif (RID) 32 bits

En utilisant mon SID dans l’image ci-dessous, nous allons diviser les différentes sections pour obtenir une meilleure compréhension.

La structure SID:

«S» – Le premier composant d’un SID est toujours un «S». Ceci est préfixé à tous les SID et est là pour informer Windows que ce qui suit est un SID.
‘1’ – Le deuxième composant d’un SID est le numéro de révision de la spécification SID, si la spécification SID devait changer, il fournirait une compatibilité ascendante. Depuis Windows 7 et Server 2008 R2, la spécification SID est toujours dans la première révision.
«5» – La troisième section d’un SID est appelée autorité d’identification. Cela définit dans quelle portée le SID a été généré. Les valeurs possibles pour ces sections du SID peuvent être:

  1. 0 – Autorité nulle
  2. 1 – Autorité mondiale
  3. 2 – Autorité locale
  4. 3 – Autorité créatrice
  5. 4 – Autorité non unique
  6. 5 – Autorité NT

«21» – Le quatrième composant est la sous-autorité 1, la valeur «21» est utilisée dans le quatrième champ pour spécifier que les sous-autorités qui suivent identifient la machine locale ou le domaine.
«1206375286-251249764-2214032401» – Celles-ci sont appelées respectivement sous-autorité 2,3 et 4. Dans notre exemple, cela est utilisé pour identifier la machine locale, mais pourrait également être l’identifiant d’un domaine.
«1000» – La sous-autorité 5 est le dernier composant de notre SID et s’appelle le RID (Relative Identifier), le RID est relatif à chaque principal de sécurité, veuillez noter que tous les objets définis par l’utilisateur, ceux qui ne sont pas expédiés par Microsoft auront un RID de 1000 ou plus.

Responsables de la sécurité

Un principal de sécurité est tout ce qui a un SID attaché, il peut s’agir d’utilisateurs, d’ordinateurs et même de groupes. Les principaux de sécurité peuvent être locaux ou se trouver dans le contexte du domaine. Vous gérez les principaux de sécurité locaux via le composant logiciel enfichable Utilisateurs et groupes locaux, sous gestion de l’ordinateur. Pour y accéder, faites un clic droit sur le raccourci de l’ordinateur dans le menu Démarrer et choisissez Gérer.

Pour ajouter un nouveau principal de sécurité utilisateur, vous pouvez aller dans le dossier des utilisateurs et faire un clic droit et choisir un nouvel utilisateur.

Si vous double-cliquez sur un utilisateur, vous pouvez l’ajouter à un groupe de sécurité dans l’onglet Membre de.

Pour créer un nouveau groupe de sécurité, accédez au dossier Groupes sur le côté droit. Cliquez avec le bouton droit sur l’espace blanc et sélectionnez un nouveau groupe.

Autorisations de partage et autorisations NTFS

Dans Windows, il existe deux types d’autorisations de fichiers et de dossiers, d’une part les autorisations de partage et d’autre part, les autorisations NTFS également appelées autorisations de sécurité. Notez que lorsque vous partagez un dossier par défaut, le groupe «Tout le monde» reçoit l’autorisation de lecture. La sécurité sur les dossiers est généralement effectuée avec une combinaison de partage et d’autorisation NTFS si tel est le cas, il est essentiel de se rappeler que le plus restrictif s’applique toujours, par exemple si l’autorisation de partage est définie sur Tout le monde = Lire (qui est la valeur par défaut), mais l’autorisation NTFS permet aux utilisateurs d’apporter des modifications au fichier, l’autorisation de partage aura la préférence et les utilisateurs ne seront pas autorisés à apporter des modifications. Lorsque vous définissez les autorisations, le LSASS (Local Security Authority) contrôle l’accès à la ressource. Lorsque vous vous connectez, vous recevez un jeton d’accès avec votre SID, lorsque vous accédez à la ressource, le LSASS compare le SID que vous avez ajouté à l’ACL (Access Control List) et si le SID est sur l’ACL, il détermine s’il faut autoriser ou refuser l’accès. Quelles que soient les autorisations que vous utilisez, il existe des différences, alors jetons un œil pour mieux comprendre quand nous devrions utiliser quoi.

Partager les autorisations:

  1. S’applique uniquement aux utilisateurs qui accèdent à la ressource via le réseau. Ils ne s’appliquent pas si vous vous connectez localement, par exemple via les services terminaux.
  2. Il s’applique à tous les fichiers et dossiers de la ressource partagée. Si vous souhaitez fournir une sorte de schéma de restriction plus granulaire, vous devez utiliser l’autorisation NTFS en plus des autorisations partagées.
  3. Si vous avez des volumes au format FAT ou FAT32, ce sera la seule forme de restriction à votre disposition, car les autorisations NTFS ne sont pas disponibles sur ces systèmes de fichiers.

Autorisations NTFS:

  1. La seule restriction sur les autorisations NTFS est qu’elles ne peuvent être définies que sur un volume formaté pour le système de fichiers NTFS
  2. N’oubliez pas que NTFS est cumulatif, ce qui signifie que les autorisations effectives d’un utilisateur résultent de la combinaison des autorisations attribuées à l’utilisateur et des autorisations de tous les groupes auxquels l’utilisateur appartient.

Les nouvelles autorisations de partage

Windows 7 a acheté une nouvelle technique de partage «facile». Les options sont passées de Lire, Modifier et Contrôle total à. Lire et lire / écrire. L’idée faisait partie de la mentalité du groupe d’accueil et permet de partager facilement un dossier pour les personnes non informatisées. Cela se fait via le menu contextuel et partage facilement avec votre groupe d’appartenance.

Si vous souhaitez partager avec quelqu’un qui ne fait pas partie du groupe d’appartenance, vous pouvez toujours choisir l’option «Personnes spécifiques…». Ce qui amènerait un dialogue plus «élaboré». Où vous pouvez spécifier un utilisateur ou un groupe spécifique.

Comme mentionné précédemment, il n’y a que deux autorisations, ensemble, elles offrent un système de protection tout ou rien pour vos dossiers et fichiers.

  1. Lire l’autorisation est l’option «regarder, ne pas toucher». Les destinataires peuvent ouvrir, mais pas modifier ou supprimer un fichier.
  2. Lire écrire est l’option «faire n’importe quoi». Les destinataires peuvent ouvrir, modifier ou supprimer un fichier.

La vieille école

L’ancienne boîte de dialogue de partage avait plus d’options et nous donnait la possibilité de partager le dossier sous un alias différent, elle nous permettait de limiter le nombre de connexions simultanées ainsi que de configurer la mise en cache. Aucune de ces fonctionnalités n’est perdue dans Windows 7 mais est plutôt cachée sous une option appelée «Partage avancé». Si vous faites un clic droit sur un dossier et accédez à ses propriétés, vous pouvez trouver ces paramètres «Partage avancé» sous l’onglet de partage.

Si vous cliquez sur le bouton «Partage avancé», qui nécessite des informations d’identification d’administrateur local, vous pouvez configurer tous les paramètres que vous connaissiez dans les versions précédentes de Windows.

Si vous cliquez sur le bouton des autorisations, les 3 paramètres que nous connaissons tous vous seront présentés.

  1. Lire l’autorisation vous permet d’afficher et d’ouvrir des fichiers et des sous-répertoires ainsi que d’exécuter des applications. Cependant, il ne permet aucune modification.
  2. Modifier la permission vous permet de faire tout ce qui Lire l’autorisation le permet, il ajoute également la possibilité d’ajouter des fichiers et des sous-répertoires, de supprimer des sous-dossiers et de modifier les données dans les fichiers.
  3. Controle total est le «faire n’importe quoi» des autorisations classiques, car il vous permet de faire toutes les autorisations précédentes. En outre, il vous donne l’autorisation NTFS de modification avancée, cela ne s’applique qu’aux dossiers NTFS

Autorisations NTFS

L’autorisation NTFS permet un contrôle très granulaire sur vos fichiers et dossiers. Cela dit, la quantité de granularité peut être décourageante pour un nouveau venu. Vous pouvez également définir l’autorisation NTFS sur une base par fichier ainsi que par dossier. Pour définir l’autorisation NTFS sur un fichier, vous devez cliquer avec le bouton droit de la souris et accéder aux propriétés des fichiers où vous devrez accéder à l’onglet de sécurité.

Pour modifier les autorisations NTFS d’un utilisateur ou d’un groupe, cliquez sur le bouton Modifier.

Comme vous pouvez le voir, il existe de nombreuses autorisations NTFS, alors décomposons-les. Nous allons d’abord examiner les autorisations NTFS que vous pouvez définir sur un fichier.

  1. Controle total vous permet de lire, d’écrire, de modifier, d’exécuter, de changer les attributs, les autorisations et de prendre possession du fichier.
  2. Modifier vous permet de lire, écrire, modifier, exécuter et changer les attributs du fichier.
  3. Lire et exécuter vous permettra d’afficher les données, les attributs, le propriétaire et les autorisations du fichier et d’exécuter le fichier s’il s’agit d’un programme.
  4. Lire vous permettra d’ouvrir le fichier, d’afficher ses attributs, son propriétaire et ses autorisations.
  5. Écrivez vous permettra d’écrire des données dans le fichier, de les ajouter au fichier et de lire ou de modifier ses attributs.

Les autorisations NTFS pour les dossiers ont des options légèrement différentes, alors jetons-y un coup d’œil.

  1. Controle total vous permet de lire, d’écrire, de modifier et d’exécuter des fichiers dans le dossier, de modifier les attributs, les autorisations et de prendre possession du dossier ou des fichiers qu’il contient.
  2. Modifier vous permet de lire, d’écrire, de modifier et d’exécuter des fichiers dans le dossier et de changer les attributs du dossier ou des fichiers qu’il contient.
  3. Lire et exécuter vous permettra d’afficher le contenu du dossier et d’afficher les données, les attributs, le propriétaire et les autorisations pour les fichiers dans le dossier, et d’exécuter les fichiers dans le dossier.
  4. Liste du contenu du dossier vous permettra d’afficher le contenu du dossier et d’afficher les données, les attributs, le propriétaire et les autorisations pour les fichiers dans le dossier.
  5. Lire vous permettra d’afficher les données, les attributs, le propriétaire et les autorisations du fichier.
  6. Écrivez vous permettra d’écrire des données dans le fichier, de les ajouter au fichier et de lire ou de modifier ses attributs.

Documentation de Microsoft indique également que «List Folder Contents» vous permettra d’exécuter des fichiers dans le dossier, mais vous devrez toujours activer «Read & Execute» pour ce faire. C’est une autorisation documentée de manière très confuse.

Résumé

En résumé, les noms d’utilisateur et les groupes sont des représentations d’une chaîne alphanumérique appelée SID (Security Identifier), les autorisations de partage et NTFS sont liées à ces SID. Les autorisations de partage sont vérifiées par le LSSAS uniquement lors d’un accès via le réseau, tandis que les autorisations NTFS ne sont valides que sur les machines locales. J’espère que vous avez tous une bonne compréhension de la mise en œuvre de la sécurité des fichiers et des dossiers dans Windows 7. Si vous avez des questions, n’hésitez pas à les entendre dans les commentaires.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Comment prendre des captures d’écran Android sur votre PC avec le SDK Android

Comment supprimer plusieurs contacts à la fois sur iPhone