Scribd Logo

Langue

Importer

Bienvenue sur Scribd !

03 - Cours Ntfs

Transféré par

Jean-Pierre Kouame
121 vues6 pages

Copyright

© Attribution Non-Commercial (BY-NC)

Formats disponibles

PDF, TXT ou lisez en ligne sur Scribd

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Signaler ce document

Droits d'auteur :

Attribution Non-Commercial (BY-NC)
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
121 vues6 pages

03 - Cours Ntfs

Transféré par

Jean-Pierre Kouame

Droits d'auteur :

Attribution Non-Commercial (BY-NC)
Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
Signaler comme contenu inapproprié
sur 6

Formation Scurit et Rseaux CNAM

Vincent BROSSARD
- page 1 - Formation Scurit et Rseaux CNAM
Vincent BROSSARD

Scurit NTFS


Ce support a pour but de dfinir le systme de gestion de fichiers NTFS
1
, les permissions
daccs aux fichiers et de manire plus gnral les droits quil est possible de grer sur les
fichiers et dossiers dune partition NTFS.


Grer les permissions NTFS ............................................................................................ 2
Droits NTFS sur les dossiers.................................................................................................................... 2
Droits NTFS sur les fichiers...................................................................................................................... 2
Les ACLs.......................................................................................................................................................... 3
Les permissions sont cumulatives......................................................................................................... 3
Les permissions sur les fichiers supplantent les permissions sur les dossiers..................... 3
Les refus daccs supplantent les autorisations daccs. ............................................................. 3
Hritage des permissions NTFS.............................................................................................................. 4
Conseil de Gestion....................................................................................................................................... 4
Dfinir les permissions avances .................................................................................. 5
Copier et Dplacer des dossiers/fichiers .................................................................... 6
Copie de donnes ........................................................................................................................................ 6
Dplacement de donnes ......................................................................................................................... 6
Bibliographie :....................................................................................................................... 6



1
NTFS : New Technology File System
Formation Scurit et Rseaux CNAM
Vincent BROSSARD
- page 2 - Formation Scurit et Rseaux CNAM
Vincent BROSSARD
Grer les permissions NTFS

Les permissions NTFS sont des rgles lies des objets qui dfinissent quels utilisateurs
peuvent accder a quels objets et avec quels permissions. Les permissions NTFS sont
uniquement disponibles sur des volumes NTFS, et ne sont pas disponible sur des volumes
formats en FAT
2
ou en FAT32. Les permissions en place sur les dossiers sont diffrentes des
permissions en place sur les fichiers.

Droits NTFS sur les dossiers

Lorsque lon met en place des droits NTFS sur un dossier, ces permissions sappliquent ce
dossier, aux sous-dossiers ainsi quaux fichiers prsent dans ce dossier. Ci-dessous la
description des droits sur les dossiers.

Permissions NTFS sur les
dossiers Permet de :

Contrle Total
Changer les permissions, prendre la proprit, supprimer des sous-
dossiers et fichiers, faire ce que permettent les autres droits NTFS
Modification
Supprimer le dossier, faire ce que permet la permission en criture et celle
de lecture et excution
Lecture et excution
Parcourir les dossiers, mme si l'utilisateur n'a pas de droits sur ce dossier,
faire ce que permet le droit en lecture et l'affichage du contenu du dossier.
Affichage du contenu du dossier Voir le nom des fichiers et des sous-dossiers
Lecture
Visualiser les fichiers et sous-dossiers, identifier le propritaire, les
permissions et les attributs (lecture seule, cach)
Ecriture
Crer des nouveaux fichiers et sous-dossiers, modifier les attributs du
dossier, voir le propritaire du dossier et les permissions.

Droits NTFS sur les fichiers

Lorsque lon met en place des droits NTFS sur un fichier, ces droits ne sappliquent que sur le
fichier en question. Ci-dessous la description des droits sur un fichier.

Permissions NTFS sur les
fichiers Permet de :

Contrle Total
Changer les permissions, prendre la proprit, faire ce que permet les
autres droits NTFS
Modification
Modifier et supprimer le fichier, faire ce que permet la permission en
criture et celle de lecture et excution
Lecture et excution Lancer des applications et faire ce que permet le droit en lecture
Lecture
Visualiser les fichiers, voir le propritaire, les permissions et les attributs
(lecture seule, cach)
Ecriture
Crer et craser un fichier, modifier les attributs voir le propritaire du
dossier et les permissions.

2
FAT : File Allocation Table
Formation Scurit et Rseaux CNAM
Vincent BROSSARD
- page 3 - Formation Scurit et Rseaux CNAM
Vincent BROSSARD
Les ACLs

Le systme NTFS enregistre un ACL
3
pour chaque fichier ou dossier dun volume NTFS.
LACL contient une liste des comptes utilisateurs et des groupes avec lautorisation daccs
pour le fichier ou le dossier. Lorsquun utilisateur tente daccder une ressource, lACL doit
contenir une entre (un ACE
4
) pour le compte dutilisateur ou le groupe dans lequel
lutilisateur fait parti. Lentre en question doit contenir le type daccs demand pour
autoriser la requte. Sil nexiste pas dACE spcifique pour lutilisateur en question, laccs
est refus.

Les permissions sont cumulatives

Il est possible de dfinir de multiples permissions daccs un utilisateur. En effet,
laffectation des droits ne se fait pas seulement avec les comptes dutilisateurs mais aussi avec
les groupes dutilisateurs. Au final, un utilisateur qui se trouve dans plusieurs groupes se voit
affects la somme des droits des groupes auquel il appartient. Par exemple, si un utilisateur
un accs en lecture pour un dossier et quil est membre dun groupe qui a un accs en criture
sur ce dossier, alors lutilisateur aura les droits en lecture et en criture sur ce dossier.

Les permissions sur les fichiers supplantent les permissions sur les dossiers

Dans le systme de gestion NTFS, les droits NTFS sur les fichiers sont prioritaires par rapport
aux droits NTFS sur les dossiers. Un utilisateur qui a un droit sur un fichier conservera ce
droit mme si le fichier est dans un dossier pour lequel lutilisateur na pas de droit. Dans ce
cas, lutilisateur devra accder au fichier en utilisant lUNC
5
complet de ce fichier. En
dautres termes, si vous navez pas accs au contenu dun dossier mais accs un fichier qui
se trouve lintrieur de ce dossier, alors vous devrez connatre le chemin complet du fichier
pour pouvoir y accder.
Pour palier ce problme, il est possible de simplement attribuer les droits de Affichage du
contenu du dossier , ce qui permet lutilisateur de naviguer travers les diffrents dossiers.

Les refus daccs supplantent les autorisations daccs.

Il est possible de dfinir des refus daccs un compte dutilisateur ou un groupe, cependant
cette mthode nest pas la mthode recommande pour contrler les accs aux ressources.
Lorsque lon dfinit des refus daccs, ces refus daccs sont prioritaires par rapport aux
possibles autorisations daccs, qui pourraient concourir pour laccs une ressource.







3
ACL : Access Control List
4
ACE : Access Control Entry
5
UNC : Universal Naming Convention
Formation Scurit et Rseaux CNAM
Vincent BROSSARD
- page 4 - Formation Scurit et Rseaux CNAM
Vincent BROSSARD
Au final, il faut retenir les 3 rgles suivantes :
Les permissions NTFS sont cumulatives
Les permissions sur les fichiers sont prioritaires sur les permissions sur les dossiers
Un refus daccs est prioritaire sur une autorisation daccs


Hritage des permissions NTFS

Par dfaut, les permissions dfinies sur un rpertoire se propagent sur lensemble des sous-
dossiers et fichiers contenu dans ce dossier. Quelque soit les permissions que vous dfinissez
sur un dossier, ces permissions se retrouveront hrites sur les sous-dossiers existants ou crer
par la suite, ainsi que sur les fichiers. Cependant, il est possible de casser lhritage, de sorte
que la propagation des droits NTFS nait plus lieu.

Si vous dcidez de casser lhritage dans votre arborescence de dossiers, alors le lien sera
perdu entre les permissions des dossiers parents et le dossier sur lequel vous avez dfini
lhritage. Le dossier sur lequel vous avez cass lhritage devient alors top parent folder .
Ainsi, tous les sous dossiers et fichiers du dossier top parent folder vont se retrouver
hriter leurs permissions de ce top parent folder , et non plus de la racine des dossiers..

Si vous dcidez de casser lhritage, le systme vous propose deux options : Les droits NTFS
sont dupliqus sur la base de droits hrits. Dans ce cas lon repart depuis les droits hrits, et
lon peut ensuite les modifier comme on lentend. La seconde option consiste repartir de 0,,
avec des permissions vierge, sans aucune permission.

Conseil de Gestion

Pour simplifier ladministration, regrouper les donnes entre donnes applicatives,
donnes de travail et rpertoires personnels. Cela permettra de dfinir les permissions
sur des dossiers et non pas sur des fichiers. La sauvegarde na pas besoin de sattarder
sur les donnes applicatives, sauvegards par ailleurs.
Il ne faut permettre aux utilisateurs laccs aux donnes que lorsquils doivent y
accder. Si un utilisateur na quun besoin en lecture sur un fichier, il ne faut lui
permettre que laccs en lecture. Cela rduit le risque de modifications ou de
suppressions accidentelles.
Il est prfrable de travailler avec des groupes dutilisateurs quavec des utilisateurs,
pour laffectation des permissions. Cela permet de ne pas modifier les ACL et de ne
modifier que lappartenance un groupe. Ainsi, on ne donne daccs directement un
utilisateur que si la gestion par groupe est trop problmatique
Il est recommand de ne permettre que laccs en Lecture et excution au groupe
des Utilisateurs et au group des Administrateurs .
Il est recommand de casser lhritage ds le premier rpertoire lintrieur du lecteur
(ex : F:\Local\)
Ninscrire des refus daccs quen cas de ncessit, cest mthode porte trs
frquemment confusion.

Formation Scurit et Rseaux CNAM
Vincent BROSSARD
- page 5 - Formation Scurit et Rseaux CNAM
Vincent BROSSARD
Avec Windows 2000, un utilisateur qui ne dispose pas dun compte valide se retrouve avec
les droits dinvit. De ce fait, il a les droits du groupe Everyone , quil faut galement
viter dutiliser (pour cette raison mme). (Le groupe Everyone comprend le compte
guest , si ce dernier est autoris sur le serveur qui hberge la ressource NTFS)
Dfinir les permissions avances

Les permissions avances permettent de rpondre aux besoins de droits spcifiques, lorsque
les droits standards ne sont pas suffisamment prcis. Ces droits sont prciss ci-dessous.

Special Permission Function
Traverse Folder/Execute
File
Traverse Folder allows or denies moving through folders that the user does not have
permission to access, to reach files or folders that the user does have permission to
access (applies to folders only). Traverse Folder takes effect only when the group or
user is not granted the Bypass Traverse Checking user right in group policy. (By
default, the Everyone group is given the Bypass Traverse Checking user right.)
Setting the Traverse Folder permission on a folder does not automatically set the
Execute File permission on all files within that folder. Execute File allows or denies
running program files (applies to files only).
List Folder/Read Data List Folder allows or denies viewing file names and subfolder names within the folder
(applies to folders only). Read Data allows or denies viewing data in files (applies to
files only).
Read Attributes Allows or denies viewing the attributes of a file or folder, such as read-only and
hidden. Attributes are defined by NTFS.
Read Extended Attributes Allows or denies viewing the extended attributes of a file or folder. Extended attributes
are defined by programs and may vary.
Create Files/Write Data Create Files allows or denies creating files within the folder (applies to folders only).
Write Data allows or denies making changes to the file and overwriting existing
content (applies to files only).
Create Folders/Append
Data
Create Folders allows or denies creating folders within a folder (applies to folders
only). Append Data allows or denies making changes to the end of the file but not
changing, deleting, or overwriting existing data (applies to files only).
Write Attributes Allows or denies changing the attributes of a file or folder, such as read-only or
hidden. Attributes are defined by NTFS.
Write Extended Attributes Allows or denies changing the extended attributes of a file or folder. Extended
attributes are defined by programs and may vary.
Delete Subfolders and Files Allows or denies deleting subfolders and files, even if the Delete permission has not
been granted on the subfolder or file.
Delete Allows or denies deleting the file or folder. If you don't have Delete permission on a file
or folder, you can still delete it if you have been granted the Delete Subfolders and
Files permission on the parent folder.
Read Permissions Allows or denies reading permissions for the file or folder, such as Full Control, Read,
and Write.
Change Permissions Allows or denies changing permissions for the file or folder, such as Full Control,
Read, and Write.
Take Ownership Allows or denies taking ownership of the file or folder. The owner of a file or folder can
always change permissions on it, regardless of any existing permissions that protect
the file or folder.
Synchronize Allows or denies different threads to wait on the handle for the file or folder and
synchronize with another thread that may signal it. This permission applies only to
multithreaded, multiprocess programs.

Formation Scurit et Rseaux CNAM
Vincent BROSSARD
- page 6 - Formation Scurit et Rseaux CNAM
Vincent BROSSARD
Le droit Change Permissions est particulirement intressant pour la chose suivante : il
permet de donner les droits un administrateur de modifier des droits, sans lui donner le
contrle sur les dossiers et fichiers. La gestionnaire des droits ne peut alors pas supprimer ou
craser par erreur un fichier.

Copier et Dplacer des dossiers/fichiers

Lorsque lon copie ou dplace des fichiers ou des dossiers, les permissions en place sur ces
donnes peuvent changer.
Copie de donnes

Lorsque lon copie des donnes entre des dossiers ou des volumes :
Windows considre quil sagit de nouveaux fichiers, les droits reprennent donc ceux
du rpertoire de destination.
Vous devez avoir des droits dcriture dans le dossier destination
Vous devenez le Creator Owner










Dplacement de donnes

Lorsque lon dplace des donnes au sein du mme volume NTFS :
Les donnes conservent les droits originaux
Vous devez avoir le droit en criture
dans le dossier destination
Vous devez avoir les droits de
modification sur les donnes sources.
Vous devenez le Creator Owner






Bibliographie :

MCSE Training Kit MS Windows 2000 Active Directory Services - Chapitre 9

Vous aimerez peut-être aussi