Partage et scurit des fichiers sous Windows XP

Un petit guide pratique

1. Sommaire
Ce qui change sous Windows XP
Le partage de fichiers simple
Les listes d'autorisation de partage d'accs
Les autorisations NTFS
Conclusion provisoire
--Annexes-Les 4 problmes les plus frquents.
Le systme de gestion de fichiers de Windows XP est hrit des systmes
Windows NT et 2000. Il est donc nouveau pour la plupart des utilisateurs de
Windows 95, 98 et Me. Le but de cet article est donner quelques grands
principes pour comprendre comment partager et protger des fichiers sur un
rseau local avec des machines XP.
Je vous conseille de lire l'autre article de ce site consacr la gestion des utilisateurs
et des groupes sous Windows XP avant d'attribuer des permissions des fichiers.

Ce qui change sous Windows XP

Windows XP Home ou Windows XP Pro.
Pour connaitre la version installe, il suffit de faire sur poste de travail:
clic droit, proprits.
Le partage de fichiers simple ou les listes d'autorisation de
partage d'accs.
Le partage de fichiers simple est le seul type de partage disponible sous
Windows XP Home (dition familiale). C'est aussi le partage mis en place
par dfaut quand Windows XP Pro est configur en groupe de travail
("workshop") ou aprs une mise jour de Windows 98/Me. Dans ce cas,
part le dossier "Mes documents", il n'y a ni mot de passe, ni restriction
d'accs aux disques et aux dossiers partags sur le rseau. Tout le monde
a accs ce qui est partag sur le rseau.
Les listes d'autorisation de partage permettent de spcifier par disque ou
par dossier les utilisateurs qui ont les permissions d'accs. Ce systme est
mis en place dans Windows XP Pro en dsactivant le partage de fichiers
simple.
FAT32 ou NTFS.
FAT32 est le systme utilis par Windows 98 pour grer des disques de
taille suprieure 2 Go, la taille maximum pour un fichier restant limite
2 ou 4 Go. A l'installation, Windows XP propose le systme NTFS qui est
plus sophistiqu. Il n'y a plus de limite pratique la taille des disques ou
des fichiers, ce qui est trs utile si vous manipulez des fichiers son ou
vido. NTFS permet aussi de restreindre l'accs au contenu des fichiers en
local en fonction de l'utilisateur. L'inconvnient : les disques formats en
NTFS ne sont plus lisibles sous DOS ou Windows 98 et les performances

sont un peu moins bonnes. A vous de voir, sachant que sur la mme
machine, vous pouvez faire coexister des disques NTFS et FAT32.

Le partage de fichiers simple

C'est le seul mode disponible sous Windows XP Home (dition familiale). Pour
activer le partage de fichiers simple sous XP Pro, faire Dmarrer, paramtres,
panneau de configuration, options des dossiers, affichage et cocher la case
indique sur la figure 1 ci-aprs. Ensuite, faire clic droit sur le disque ou le
dossier partager, choisir partage et scurit.... Vous pouvez alors indiquer,
comme sur la figure 2 ci-aprs, le nom de partage et le type de partage en
lecture ou en criture. La premire fois, le systme vous propose d'utiliser
l'assistant de scurit. Ce n'est pas une bonne ide si votre machine est sur un
rseau local et si vous partagez la connexion Internet par un routeur car le
systme va installer un firewall qui empche le partage de fichiers et
d'imprimantes.

1. Options des dossiers

2.partage
Tous les dossiers partags sont visibles et accessibles par tous les utilisateurs
du rseau sauf si le nom de partage se termine par un $ (exemple DVD$). Dans
ce cas, le nom du dossier n'apparat pas dans la liste des dossiers partags.
Pour utiliser ce dossier partag, il faut soit le connecter un lecteur rseau
[Dans l'explorateur de fichiers, menu Outils, connecter un lecteur rseau...
choisir une lettre libre et indiquer le nom du dossier] soit utiliser directement le
chemin \\ordinateur\DVD$. C'est un moyen d'ajouter un peu de scurit dans le
partage des dossiers avec ce systme.

Les listes d'autorisation de partage d'accs

Cette option n'existe que sous Windows XP Pro. Il faut suivre les tapes
suivantes :
1. Supprimer le partage de fichier simple si celui-ci a t install
par dfaut en dcochant la case indique sur la figure 1 du chapitre
prcdent.
Crer des comptes utilisateurs et ventuellement des groupes. Dans le panneau de
configuration, cliquer sur comptes utilisateurs, crer un nouveau compte. Choisir un compte
"administrateur" ou "limit". Pour plus de dtails, Cet article est un complment l'article
Partage et scurit de fichiers dont la lecture est conseille.

La scurit d'un PC ne dpend pas d'un produit miracle. Elle dpend pour
l'essentiel du comportement de l'utilisateur. C'est comme pour une voiture : le
conducteur est en charge de la scurit. ABS ou airbags ne servent qu' limiter
les consquences d'un accident.
Le but de cet article est de donner quelques principes simples pour mieux
comprendre les mcanismes de scurit qui existent sous Windows XP et
comment les mettre en oeuvre. Pour des manipulations dtailles, reportezvous l'aide de Windows.
Pour simplifier le contenu de cet article, nous supposerons tre dans le cas
Windows XP professionnel avec gestion de fichiers en NTFS. Utilisez le
composant de gestion de l'ordinateur pour faire des essais en tapant
Dmarrer, Excuter.. cm
puis
compmgmt.msc /s

Quelques dfinitions

Compte utilisateur
Tout utilisateur d'un systme Windows XP possde un compte
utilisateur avec un nom et un mot de passe pour l'identifier. Il est
conseill de ne pas mettre un mot de passe vide. Pour viter d'entrer
son mot de passe chaque ouverture de session, il faut installer
TweakUI pour Windows XP
puis aller dans logon, auto logon.

Groupe
Un groupe rassemble les utilisateurs qui ont des droits et des
permissions identiques.
Pour faciliter la gestion, il est trs fortement conseill de n'attribuer
des droits et des permissions qu' des groupes puis classer les
utilisateurs dans ces groupes.
Permissions
Les permissions dterminent qui peut lire, crire, modifier des fichiers
et rpertoires partags ou non sur la machine et sur le rseau.
Droits (ou privilges)
Les droits s'appliquent l'environnement systme XP et matriel :
mise jour ou modification du systme, accs des imprimantes,
connexions rseaux, ...

Ce qui se passe l'ouverture d'une session

Il faut bien comprendre ce qui se passe l'ouverture d'une session Windows XP.
L'utilisateur fournit ses identifiants : nom et mot de passe. Si ces identifiants
correspondent ceux d'un utilisateur dfini sur la machine, Windows excute
une instance du bureau, gnralement Internet Explorer, dans le contexte de
scurit de l'utilisateur. Le contexte de scurit de l'utilisateur comporte les
droits et permissions attribus cet utilisateur. Tous les programmes dmarrs
par cet utilisateur utiliseront le mme contexte de scurit. Un grand principe
de scurit
consiste n'accorder un utilisateur que les droits justes
suffisants pour effectuer son travail. En effet si l'utilisateur fait une erreur

ou dclenche par mgarde un programme malveillant, les dgats possibles

seront limits par le contexte de scurit.

Groupes essentiels : Utilisateurs, Utilisateurs avec

Pouvoir, Administrateurs.

Les machines qui excutent Windows XP stockent dans une base de donnes
locale autonome (SAM) les informations sur les utilisateurs et les groupes
locaux. Si la machine rejoint un domaine, les utilisateurs locaux sont fusionns
avec ceux du domaine et le groupe des administrateurs du domaine est ajout
au groupe des administrateurs locaux.
Windows XP comporte trois groupes essentiels : Utilisateurs, Utilisateurs avec
pouvoir, Administrateurs. C'est un membre du groupe Administrateurs qui peut
attribuer l'appartenance d'un utilisateur un groupe. Il existe beaucoup
d'autres groupes cres par le systme ou par des applications comme vous
pouvez le voir dans l'exemple ci-dessus.
Les groupes contrls par un administrateur servent attribuer les permissions
sur les fichiers et les dossiers.

Groupe Utilisateurs
Les autorisations par dfaut du groupe Utilisateur fournissent
l'environnement le plus sr pour excuter des applications. Les
membres du groupe Utilisateurs ont le contrle complet sur la totalit
de leurs fichiers, de leurs donnes (%user profile%) et sur la partie du
registre les concernant (HKEY_CURRENT_USER). En revanche, ils ne
peuvent pas modifier les paramtres du systme d'exploitation ou les
donnes d'autres utilisateurs. Toutefois, les autorisations Utilisateur ne
permettent pas toujours d'excuter correctement certaines applications
sans accorder des droits supplmentaires adquats. Les membres du

groupe Utilisateurs sont uniquement assurs de pouvoir excuter des

programmes certifis Windows
.
Groupe Utilisateurs avec pouvoir
Le groupe Utilisateurs avec pouvoir fournit une compatibilit
ascendante pour l'excution d'applications non certifies Microsoft. Les
membres du groupe Utilisateurs avec pouvoir peuvent excuter tous
les programmes et toutes les tches du systme sauf celles rserves
au groupe Administrateurs.
Les Utilisateurs avec pouvoir peuvent :
Excuter toutes les anciennes applications, en plus des
applications certifies Microsoft,
Installer des programmes qui ne modifient pas les fichiers du
systme ou installer des services systme,
Personnaliser des ressources systme, telles que les
imprimantes, l'heure, la date, les options d'nergie et les autres
ressources du Panneau de configuration,
Crer et grer des comptes d'utilisateur et des groupes locaux
Arrter et dmarrer les services systme qui ne sont pas
dmarrs par dfaut.
Groupe Administrateurs
Les membres du groupe Administrateurs ont tous les pouvoirs sur le
poste de travail.
L'utilisation du compte Administrateur doit tre rserv :
Installer le systme d'exploitation et ses composants (pilotes,
priphriques,...),
Installer Service Packs et Windows Packs et faire la mise
niveau du systme,
Rcuprer des fichiers devenus inaccessibles,
Grer les journaux d'audit et de scurit et les stratgies
correspondantes,
Sauvegarder et restaurer le systme.

Attention, si vous ouvrez une session avec un nom de domaine, le

groupe des Administrateurs s'enrichit automatiquement des
administrateurs du domaine, du groupe des oprateurs de configuration
du rseau et de tout groupe de domaine qui existe dans n'importe lequel
des groupes administrateurs locaux. Autant dire que vous perdez le
contrle de la scurit de votre machine.

Pourquoi vous ne devez pas utiliser XP en mode

Administrateur
Windows XP cre un compte Administrateur pendant la procdure d'installation. Il
n'est expliqu nulle part dans la procdure d'installation la diffrence entre ce
compte et un compte avec accs limit. La plupart des utilisateurs se simplifient
la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus,
un cheval de Troie ou une fausse manipulation peut donner le contrle un
attaquant extrieur qui en tant qu'Administrateur aura alors tous pouvoirs pour
supprimer des comptes, changer les mots de passe, installer des logiciels,
supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits rduits, Utilisateur ou

Utilisateur avec pouvoir, les dgts possibles seront trs limits. Je vous conseille
donc de crer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de
repasser en mode Administrateur le temps ncessaire pour installer de nouveaux
logiciels ou pour faire des oprations sur le systme. Pour ceux qui ont besoin de
repasser souvent en mode Administrateur, il existe une commande Excuter
comme... (en faisant clic droit) qui permet d'excuter un programme en mode
administrateur sans changer de session.

Les groupes spciaux

Il existe beaucoup d'autres groupes dont certains ne sont pas visibles. Voici les
principaux groupes qu'il faut connatre :

Le groupe Oprateurs de sauvegarde

Les membres de ce groupe peuvent sauvegarder et restaurer des
fichiers sur la machine, indpendamment des autorisations protgeant
ces fichiers. Ils peuvent galement ouvrir une session sur le PC et
l'arrter. Ils ne peuvent pas modifier les paramtres de scurit.

Le groupe Tout le monde

Il contient tous les utilisateurs authentifis sur le rseau.
Contrairement Windows NT4 et 2000, ce groupe ne contient pas le
groupe Ouverture de session anonyme (ANONYMOUS LOGON).
Le groupe Invits
Le groupe Invits est destin tre utilis par quelqu'un qui n'a pas de
compte sur cet ordinateur. L'utilisateur n'a pas besoin de mot de passe.
Il peut lire son courrier ou naviguer sur Internet. Il peut utiliser les
programmes installs sur l'ordinateur mais ne peut ni en installer de
nouveau ni bien sr modifier la configuration.
Le groupe Interactif.
Ce groupe contient les utilisateurs ayant actuellement ouvert une
session sur lordinateur.
Le groupe Rseau.
Ce groupe contient tous les utilisateurs qui accdent actuellement au
systme par le rseau.
Le groupe Utilisateur de Terminal Server
Ce groupe contient tous les utilisateurs ayant actuellement ouvert une
session sur le systme laide de Terminal Server. Les autorisations
par dfaut attribues au groupe ont t choisies pour autoriser un
Utilisateur de Terminal Server excuter la plupart des programmes
anciens (NT4 ou Windows 2000).

Conclusion
Je n'ai pas trouv de documentation Microsoft simple et claire sur le sujet. J'ai
eu beaucoup de mal comprimer les tonnes d'informations en quelques lignes
pratiques. Si j'ai oubli des points important ou si ce n'est pas suffisant ou pas
assez clair, merci de me le signaler.
Envoyer vos remarques, suggestions ou questions

Jean-Paul Figer
Jean-Paul Figer,1995-2005
Lorsque je n'cris pas des articles sur l'informatique, je travaille Capgemini. Les opinions
exprimes dans ces articles n'engagent que moi et ne reprsentent pas forcment la position de
Capgemini.
Pour tre inform des nouveaux articles de ce site, vous pouvez vous inscrire (et vous
dsinscrire) ici.

2. . Un fois le compte cre, ajouter un mot de passe en cliquant dessus.

Vous pouvez regrouper des utilisateurs en crant des groupes qui
vous pourrez attribuer des droits de partage comme des
utilisateurs. Pour crer des groupes, clic droit sur Poste de travail,
grer utilisateurs et groupes locaux, groupes puis clic droit et
Nouveau groupe...
Pour vous simplifier la vie, je vous suggre d'utiliser sur chaque
machine de votre rseau un Compte Utilisateur avec un mot de
passe et de crer sur la ou les machines XP les comptes utilisateurs
correspondants avec le mme nom et le mme mot de passe. En
effet c'est ce nom/mot de passe qui va servir automatiquement
authentifier les utilisateurs sur le rseau. Windows XP n'aime pas les
mots de passe vides. On peut contourner mais c'est une complication
inutile. Si vous ne souhaitez pas entrer chaque boot le nom/mot de
passe, il suffit de tlcharger l'utilitaire TweakUI qui vous permet de
configurer l'ouverture d'une session avec mot de passe automatique.
Pour tlcharger TweakUI pour W95/98/Me/NT/2000
Pour tlcharger TweakUI pour Windows XP
3. Crer des dossiers partags Sur un dossier, faire clic droit et
choisir partage et scurit... Dans l'onglet partage (voir figure 3),
cliquer sur partager ce dossier, donner un nom de partage qui peut
tre diffrent du nom du dossier. Laisser le nombre limite
d'utilisateurs au nombre maximum autoris ( c'est 10). Ensuite,
cliquer sur autorisations (voir figure 4) : soit vous laissez "Tout le
monde" (par dfaut), soit vous supprimez "Tout le monde" et vous
ajoutez une liste d'utilisateurs avec leur droits.

3. Partage des dossiers

4. Autorisation du partage

Les autorisations NTFS

Tout ce que nous venons de voir s'applique pour le contrle d'accs aux dossier
et fichiers via le rseau. Un utilisateur qui a accs la machine peut voir et
modifier des fichiers mme s'ils ne sont pas partags. Les autorisations NTFS
permettent de donner des permissions d'accs aux utilisateurs en local ou
distance. Ces permissions sont gres au niveau d'un disque, d'un dossier ou
mme d'un fichier. Pour accder ces informations, clic droit sur l'objet,
proprits et onglet scurit. Cet onglet (voir figure 5) n'apparat que pour les
disques formats en NTFS. A chaque niveau de la hirarchie disque dossiers
fichier, on peut dfinir des permissions. Une bonne partie des permissions est
donc en gnral "hrite". En cliquant sur "paramtres avancs", vous pouvez
examiner et modifier cet hritage. Ce systme d'autorisations devient assez vite
trs compliqu et je vous suggre donc soit de ne pas vous en servir soit de
passer beaucoup de temps sur la documentation. En tous les cas, c'est
largement au-del des besoins d'un utilisateur normal.

5. Dfinition des autorisations en NTFS

Question : ayant dfini des partages d'accs, a-t-on besoin de se proccuper des autorisations NTFS ?

Si le dossier partag est l'intrieur du dossier "Mes documents", la rponse est peut-tre. Le
dossier hrite ses autorisations du dossier "Mes documents" qui interdit aux utilisateurs autres
d'y avoir accs en local sur la machine.

Si le dossier partag a t cre ailleurs, sans doute non puisqu'il hrite ses autorisations du
disque.

Conclusion provisoire
Je n'ai pas trouv de documentation simple et claire sur le sujet. J'ai eu beaucoup de mal comprimer
les tonnes d'informations en quelques lignes pratiques. Si j'ai oubli des points important ou si ce
n'est pas suffisant ou pas assez clair, merci de me le signaler.

Les 4 problmes les plus frquents.

En cas de problme, vrifier que les firewalls sont dsactivs pendant les essais
et ne pas hsiter passer un anti-virus jour.

Parcours du rseau impossible

Sous Windows 95/98/Me, cette erreur arrive gnralement lorsqu'il n'y a

pas d'utilisateur connect. Pour s'en convaincre, il faut regarder Dmarrer,
Dconnexion "nom d'utilisateur" : "nom d'utilisateur" est sans doute vide.
Il y a deux raisons : soit l'utilisateur a fait <annuler> sur l'cran de
connexion, soit l'cran de connexion n'est jamais apparu. Dans ce dernier
cas voir Microsoft Knowledge Base article Q141858
. La solution
consiste toujours se connecter avec un nom et un mot de passe.

Accs refus

L'utilisateur, tel que connect, n'a pas les droits d'accs. Il faut crer un
utilisateur sous la machine XP et lui donner les droits correspondants.
Le fameux mot de passe IPC$

Cela arrive lorsque vous tes authentifi mais cette authentification ne

satisfait pas la machine XP :

-votre nom d'utilisateur n'existe pas sur la machine XP. Il faut soit
changer votre nom de connexion, soit crer un compte correspondant sur
la machine XP.
-votre nom d'utilisateur est valide mais c'est le mot de passe qui n'est pas
correct. Il faut soit entrer le mot de passe qui correspond au nom
d'utilisateur sur la machine XP, soit changer le mot de passe de votre
machine pour tre identique celui de la machine XP.
Le dossier partag sous XP n'apparat pas sur des postes Windows
95, 98 ou Me
vrifier que le nom du dossier ne contient pas de caractre "espace" ou
qu'il ne comporte pas plus de 12 caractres. Ca suffit pour le rendre
invisible.