Comment comprendre ces autorisations de fichiers/partage confuses de Windows 7

, Author

  • Taylor Gibb

    @taybgibb

  • Mise à jour le 28 octobre 2019, 8:49am EDT

Avez-vous déjà essayé de comprendre toutes les autorisations de Windows ? Il y a les permissions de partage, les permissions NTFS, les listes de contrôle d’accès, et plus encore. Voici comment ils fonctionnent tous ensemble.

L’identifiant de sécurité

Les systèmes d’exploitation Windows utilisent des SID pour représenter tous les principes de sécurité. Les SID sont juste des chaînes de caractères alphanumériques de longueur variable qui représentent des machines, des utilisateurs et des groupes. Les SID sont ajoutés aux ACL (Access Control Lists) chaque fois que vous accordez à un utilisateur ou à un groupe la permission d’accéder à un fichier ou à un dossier. Derrière la scène, les SID sont stockés de la même manière que tous les autres objets de données, en binaire. Cependant, lorsque vous voyez un SID dans Windows, il est affiché en utilisant une syntaxe plus lisible. Il n’est pas fréquent de voir une forme quelconque de SID dans Windows, le scénario le plus courant étant celui où vous accordez à quelqu’un la permission d’accéder à une ressource, puis où son compte d’utilisateur est supprimé, ce qui se traduit par un SID dans l’ACL. Voyons donc le format typique dans lequel vous verrez les SID dans Windows.

La notation que vous verrez prend une certaine syntaxe, ci-dessous sont les différentes parties d’un SID dans cette notation.

  1. Un préfixe ‘S’
  2. Un numéro de révision de la structure
  3. Une valeur d’autorité d’identification de 48 bits
  4. Un nombre variable de valeurs de sous-autorité ou d’identifiant relatif (RID) de 32 bits
Publicité

En utilisant mon SID dans l’image ci-dessous, nous allons décomposer les différentes sections pour avoir une meilleure compréhension.

La structure du SID:

‘S’ – Le premier composant d’un SID est toujours un ‘S’. Il est préfixé à tous les SID et est là pour informer Windows que ce qui suit est un SID.
‘1’ – Le deuxième composant d’un SID est le numéro de révision de la spécification du SID, si la spécification du SID devait changer, cela fournirait une compatibilité ascendante. A partir de Windows 7 et Server 2008 R2, la spécification SID est toujours dans la première révision.
‘5’ – La troisième section d’un SID est appelée l’autorité d’identification. Elle définit dans quelle portée le SID a été généré. Les valeurs possibles pour cette section du SID peuvent être :

  1. 0 – Autorité nulle
  2. 1 – Autorité mondiale
  3. 2 – Autorité locale
  4. 3 – Autorité créatrice
  5. 4 – Autorité non unique
  6. 5 – Autorité NT

’21’ – Le quatrième composant est la sous-autorité 1, la valeur ’21’ est utilisée dans le quatrième champ pour spécifier que les sous-autorités qui suivent identifient la machine locale ou le domaine.
‘1206375286-251249764-2214032401’ – Ces éléments sont appelés respectivement sous-autorité 2,3 et 4. Dans notre exemple, cela est utilisé pour identifier la machine locale, mais pourrait également être l’identifiant d’un Domaine.
‘1000’ – La sous-autorité 5 est le dernier composant de notre SID et est appelé le RID (Relative Identifier), le RID est relatif à chaque principal de sécurité, veuillez noter que tous les objets définis par l’utilisateur, ceux qui ne sont pas livrés par Microsoft auront un RID de 1000 ou plus.

Principaux de sécurité

Un principal de sécurité est tout ce qui a un SID qui lui est attaché, cela peut être des utilisateurs, des ordinateurs et même des groupes. Les principaux de sécurité peuvent être locaux ou être dans le contexte du domaine. Vous gérez les principaux de sécurité locaux par le biais du snap-in Utilisateurs et groupes locaux, sous la gestion des ordinateurs. Pour y accéder, faites un clic droit sur le raccourci de l’ordinateur dans le menu démarrer et choisissez gérer.

Pour ajouter un nouveau principal de sécurité utilisateur, vous pouvez aller dans le dossier des utilisateurs et faire un clic droit et choisir nouvel utilisateur.

Si vous double-cliquez sur un utilisateur, vous pouvez l’ajouter à un groupe de sécurité dans l’onglet Membre de.

Publicité

Pour créer un nouveau groupe de sécurité, allez dans le dossier Groupes sur le côté droit. Faites un clic droit sur l’espace blanc et sélectionnez nouveau groupe.

Les autorisations de partage et les autorisations NTFS

Dans Windows, il existe deux types d’autorisations de fichiers et de dossiers, il y a d’abord les autorisations de partage et ensuite les autorisations NTFS également appelées autorisations de sécurité. Prenez note que lorsque vous partagez un dossier, par défaut, le groupe « Tout le monde » reçoit l’autorisation de lecture. La sécurité des dossiers est généralement assurée par une combinaison d’autorisations de partage et d’autorisations NTFS ; dans ce cas, il est essentiel de se rappeler que la plus restrictive s’applique toujours. Par exemple, si l’autorisation de partage est définie sur Tout le monde = Lecture (ce qui est la valeur par défaut), mais que l’autorisation NTFS permet aux utilisateurs d’apporter des modifications au fichier, l’autorisation de partage aura la priorité et les utilisateurs ne seront pas autorisés à apporter des modifications. Lorsque vous définissez les permissions, le LSASS (Local Security Authority) contrôle l’accès à la ressource. Lorsque vous vous connectez, vous recevez un jeton d’accès sur lequel figure votre SID. Lorsque vous accédez à la ressource, le LSASS compare le SID que vous avez ajouté à la liste de contrôle d’accès (ACL) et si le SID figure dans la liste, il détermine s’il faut autoriser ou refuser l’accès. Peu importe les permissions que vous utilisez, il y a des différences, alors regardons pour mieux comprendre quand nous devons utiliser quoi.

Permissions de partage:

  1. S’appliquent uniquement aux utilisateurs qui accèdent à la ressource sur le réseau. Elles ne s’appliquent pas si vous vous connectez localement, par exemple via des services de terminal.
  2. Elles s’appliquent à tous les fichiers et dossiers de la ressource partagée. Si vous voulez fournir une sorte de schéma de restriction plus granulaire, vous devez utiliser la permission NTFS en plus des permissions partagées
  3. Si vous avez des volumes formatés FAT ou FAT32, ce sera la seule forme de restriction disponible pour vous, car les permissions NTFS ne sont pas disponibles sur ces systèmes de fichiers.

Les permissions NTFS:

  1. La seule restriction sur les permissions NTFS est qu’elles ne peuvent être définies que sur un volume qui est formaté au système de fichiers NTFS
  2. N’oubliez pas que les NTFS sont cumulatifs ce qui signifie que les permissions effectives d’un utilisateur sont le résultat de la combinaison des permissions attribuées à l’utilisateur et des permissions de tout groupe auquel l’utilisateur appartient.

Les nouvelles permissions de partage

Windows 7 a apporté avec lui une nouvelle technique de partage « facile ». Les options sont passées de lecture, modification et contrôle total à. Lecture et Lecture/Écriture. L’idée faisait partie de la mentalité de tout le groupe d’accueil et rend facile le partage d’un dossier pour les personnes non informaticiennes. Cela se fait via le menu contextuel et partage avec votre groupe d’appartenance facilement.

Si vous voulez partager avec quelqu’un qui n’est pas dans le groupe d’appartenance, vous pouvez toujours choisir l’option « Personnes spécifiques… ». Ce qui ferait apparaître un dialogue plus « élaboré ». Où vous pourriez spécifier un utilisateur ou un groupe spécifique.

Publicité

Il n’y a que deux permissions comme mentionné précédemment, ensemble elles offrent un schéma de protection tout ou rien pour vos dossiers et fichiers.

  1. La permission de lecture est l’option « regarder, ne pas toucher ». Les destinataires peuvent ouvrir, mais pas modifier ou supprimer un fichier.
  2. Lire/écrire est l’option « tout faire ». Les destinataires peuvent ouvrir, modifier ou supprimer un fichier.

The Old School Way

L’ancienne boîte de dialogue de partage avait plus d’options et nous donnait la possibilité de partager le dossier sous un alias différent, elle nous permettait de limiter le nombre de connexions simultanées ainsi que de configurer la mise en cache. Aucune de ces fonctionnalités n’est perdue dans Windows 7, mais elles sont plutôt cachées sous une option appelée « Partage avancé ». Si vous faites un clic droit sur un dossier et que vous allez dans ses propriétés, vous pouvez trouver ces paramètres de « Partage avancé » sous l’onglet de partage.

Si vous cliquez sur le bouton « Partage avancé », qui nécessite des informations d’identification d’administrateur local, vous pouvez configurer tous les paramètres que vous connaissiez dans les versions précédentes de Windows.

Si vous cliquez sur le bouton des permissions, vous serez présenté avec les 3 paramètres que nous connaissons tous.

  1. La permission de lecture vous permet de voir et d’ouvrir des fichiers et des sous-répertoires ainsi que d’exécuter des applications. Cependant, il ne permet pas d’effectuer des modifications.
  2. L’autorisation Modifier vous permet de faire tout ce que l’autorisation Lire permet, elle ajoute également la possibilité d’ajouter des fichiers et des sous-répertoires, de supprimer des sous-dossiers et de modifier les données dans les fichiers.
  3. Le contrôle total est le « tout faire » des autorisations classiques, car il vous permet de faire tout et n’importe quoi des autorisations précédentes. En outre, il vous donne la modification avancée NTFS Permission, cela ne s’applique que sur les dossiers NTFS

NTFS Permissions

NTFS Permission permettent un contrôle très granulaire sur vos fichiers et dossiers. Cela dit, la quantité de granularité peut être décourageante pour un nouveau venu. Vous pouvez également définir la permission NTFS sur une base par fichier ainsi que sur une base par dossier. Pour définir la permission NTFS sur un fichier, vous devez faire un clic droit et aller aux propriétés des fichiers où vous devrez aller à l’onglet sécurité.

Publicité

Pour éditer les permissions NTFS pour un utilisateur ou un groupe, cliquez sur le bouton d’édition.

Comme vous pouvez le voir, il y a pas mal de permissions NTFS alors décomposons-les. Tout d’abord, nous allons regarder les permissions NTFS que vous pouvez définir sur un fichier.

  1. Le contrôle total vous permet de lire, écrire, modifier, exécuter, changer les attributs, les permissions et prendre la propriété du fichier.
  2. Modifier vous permet de lire, écrire, modifier, exécuter et changer les attributs du fichier.
  3. Lire & Exécuter vous permettra d’afficher les données du fichier, ses attributs, son propriétaire et ses permissions, et d’exécuter le fichier si c’est un programme.
  4. Lire vous permettra d’ouvrir le fichier, d’afficher ses attributs, son propriétaire et ses permissions.
  5. Écrire vous permettra d’écrire des données dans le fichier, d’ajouter au fichier et de lire ou de modifier ses attributs.

Les permissionsNTFS pour les dossiers ont des options légèrement différentes, alors jetons-y un coup d’œil.

  1. Le contrôle total vous permet de lire, d’écrire, de modifier et d’exécuter les fichiers dans le dossier, de changer les attributs, les permissions et de prendre la propriété du dossier ou des fichiers à l’intérieur.
  2. Modifier vous permet de lire, d’écrire, de modifier et d’exécuter les fichiers du dossier, et de modifier les attributs du dossier ou des fichiers qu’il contient.
  3. Lire & Exécuter vous permettra d’afficher le contenu du dossier et d’afficher les données, les attributs, le propriétaire et les autorisations des fichiers du dossier, et d’exécuter les fichiers du dossier.
  4. Lister le contenu du dossier vous permettra d’afficher le contenu du dossier et d’afficher les données, les attributs, le propriétaire et les autorisations des fichiers du dossier.
  5. Lire vous permettra d’afficher les données, les attributs, le propriétaire et les permissions du fichier.
  6. Écrire vous permettra d’écrire des données dans le fichier, d’ajouter au fichier et de lire ou de modifier ses attributs.
Publicité

La documentation de Microsoft indique également que « List Folder Contents » vous permettra d’exécuter les fichiers dans le dossier, mais il vous faudra toujours activer « Read & Execute » pour le faire. C’est une permission très confusément documentée.

Summary

En résumé, les noms d’utilisateurs et les groupes sont des représentations d’une chaîne alphanumérique appelée SID(Security Identifier), les permissions de partage et NTFS sont liées à ces SID. Les autorisations de partage sont vérifiées par le LSSAS uniquement en cas d’accès par le réseau, tandis que les autorisations NTFS ne sont valables que sur les machines locales. J’espère que vous avez tous bien compris comment la sécurité des fichiers et des dossiers est mise en œuvre dans Windows 7. Si vous avez des questions, n’hésitez pas à vous exprimer dans les commentaires.

Taylor Gibb
Taylor Gibb est un développeur de logiciels professionnel avec près d’une décennie d’expérience. Il a occupé le poste de directeur régional de Microsoft en Afrique du Sud pendant deux ans et a reçu plusieurs récompenses Microsoft MVP (Most Valued Professional). Il travaille actuellement à R&D chez Derivco International.Read Full Bio  »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.