Comment comprendre ces autorisations déroutantes sur les fichiers / partage de Windows 7

Avez-vous déjà essayé de comprendre toutes les autorisations dans Windows? Il existe des autorisations de partage, des autorisations NTFS, des listes de contrôle d'accès, etc. Voici comment ils travaillent tous ensemble.

L'identifiant de sécurité

Les systèmes d'exploitation Windows utilisent des identificateurs de sécurité pour représenter tous les principes de sécurité. Les SID ne sont que des chaînes de caractères alphanumériques de longueur variable représentant des machines, des utilisateurs et des groupes. Les SID sont ajoutés aux ACL (listes de contrôle d'accès) chaque fois que vous accordez à un utilisateur ou à un groupe une autorisation sur un fichier ou un dossier. Derrière la scène, les SID sont stockés de la même manière que tous les autres objets de données, en binaire. Cependant, lorsque vous voyez un SID dans Windows, il sera affiché en utilisant une syntaxe plus lisible. Il n'est pas fréquent que vous voyiez une forme d'identificateur de sécurité sous Windows. Le scénario le plus courant consiste à accorder l'autorisation à une personne, puis son compte d'utilisateur est supprimé, il sera ensuite affiché en tant qu'identificateur de sécurité dans la liste de contrôle d'accès. Voyons maintenant le format typique dans lequel vous verrez les SID dans Windows.

La notation que vous verrez prend une certaine syntaxe. Ci-dessous, les différentes parties d’un SID dans cette notation..

1. Un préfixe 'S'
2. Numéro de révision de la structure
3. Une valeur d'autorité d'identifiant de 48 bits
4. Nombre variable de valeurs de sous-autorité 32 bits ou d'identifiant relatif (RID)

En utilisant mon SID dans l'image ci-dessous, nous allons diviser les différentes sections pour mieux comprendre.

La structure de SID:

'S' - Le premier composant d'un SID est toujours un 'S'. Ceci est préfixé à tous les SID et sert à informer Windows que ce qui suit est un SID.
'1' - Le deuxième composant d'un SID est le numéro de révision de la spécification SID. Si la spécification SID devait être modifiée, elle offrirait une compatibilité ascendante. À partir de Windows 7 et Server 2008 R2, la spécification SID est toujours dans la première révision..
'5' - La troisième section d'un SID s'appelle l'autorité d'identification. Ceci définit dans quelle portée le SID a été généré. Les valeurs possibles pour cette section du SID peuvent être:

1. 0 - Autorité nulle
2. 1 - Autorité mondiale
3. 2 - Autorité locale
4. 3 - Autorité du créateur
5. 4 - Autorité non unique
6. 5 - Autorité NT

'21' - Le quatrième composant est la sous-autorité 1; la valeur '21' est utilisée dans le quatrième champ pour indiquer que les sous-autorités suivantes identifient la machine locale ou le domaine..
'1206375286-251249764-2214032401' - Celles-ci sont appelées sous-autorités 2,3 et 4 respectivement. Dans notre exemple, cela sert à identifier la machine locale, mais pourrait aussi être l'identifiant d'un domaine.
'1000' - La sous-autorité 5 est le dernier composant de notre SID et s'appelle le RID (identificateur relatif), le RID est relatif à chaque principe de sécurité. Veuillez noter que tous les objets définis par l'utilisateur, ceux qui ne sont pas fournis par Microsoft, auront un RID. de 1000 ou plus.

Principes de sécurité

Un principe de sécurité est tout ce qui a un SID attaché, il peut s'agir d'utilisateurs, d'ordinateurs et même de groupes. Les principes de sécurité peuvent être locaux ou se situer dans le contexte du domaine. Vous gérez les principes de sécurité locaux via le composant logiciel enfichable Utilisateurs et groupes locaux, sous Gestion de l'ordinateur. Pour y arriver, cliquez avec le bouton droit de la souris sur le raccourci de l’ordinateur dans le menu Démarrer et choisissez Gestion..

Pour ajouter un nouveau principe de sécurité utilisateur, vous pouvez accéder au dossier des utilisateurs, cliquer avec le bouton droit de la souris et choisir un nouvel utilisateur..

Si vous double-cliquez sur un utilisateur, vous pouvez l'ajouter à un groupe de sécurité dans l'onglet Membre de.

Pour créer un nouveau groupe de sécurité, accédez au dossier Groupes sur le côté droit. Faites un clic droit sur l'espace blanc et sélectionnez un nouveau groupe.

Autorisations de partage et autorisation NTFS

Dans Windows, il existe deux types d'autorisations de fichiers et de dossiers: les autorisations de partage et les autorisations NTFS, également appelées autorisations de sécurité. Notez que lorsque vous partagez un dossier par défaut, le groupe «Tout le monde» reçoit l'autorisation de lecture. La sécurité des dossiers est généralement réalisée avec une combinaison d’autorisations de partage et NTFS. Dans ce cas, il est essentiel de noter que la règle la plus restrictive s’applique toujours, par exemple si l’autorisation de partage est définie sur Tout le monde = Lecture (valeur par défaut), mais l'autorisation NTFS autorise les utilisateurs à modifier le fichier. L'autorisation de partage est prioritaire et les utilisateurs ne sont pas autorisés à effectuer des modifications. Lorsque vous définissez les autorisations, le LSASS (autorité de sécurité locale) contrôle l'accès à la ressource. Lorsque vous vous connectez, vous recevez un jeton d'accès avec votre SID. Lorsque vous allez accéder à la ressource, le LSASS compare le SID que vous avez ajouté à la liste de contrôle d'accès (ACL) et si ce dernier se trouve sur la liste de contrôle d'accès, il détermine si autoriser ou refuser l'accès. Quelles que soient les autorisations que vous utilisez, il existe des différences, nous allons donc jeter un coup d'œil pour mieux comprendre quand nous devrions utiliser quoi.

Autorisations de partage:

1. S'applique uniquement aux utilisateurs qui accèdent à la ressource via le réseau. Ils ne s'appliquent pas si vous vous connectez localement, par exemple via des services de terminal.
2. Cela s'applique à tous les fichiers et dossiers de la ressource partagée. Si vous souhaitez fournir un type de schéma de restriction plus granulaire, vous devez utiliser l'autorisation NTFS en plus des autorisations partagées.
3. Si vous avez des volumes au format FAT ou FAT32, ce sera la seule forme de restriction à votre disposition, car les autorisations NTFS ne sont pas disponibles sur ces systèmes de fichiers..

Autorisations NTFS:

1. La seule restriction concernant les autorisations NTFS est qu'elles ne peuvent être définies que sur un volume formaté pour le système de fichiers NTFS.
2. N'oubliez pas que les systèmes NTFS sont cumulatifs, ce qui signifie que les autorisations effectives des utilisateurs résultent de la combinaison des autorisations attribuées à l'utilisateur et des autorisations de tous les groupes auxquels l'utilisateur appartient..

Les nouvelles autorisations de partage

Windows 7 a acheté une nouvelle technique de partage «facile». Les options sont passées de Lecture, Modification et Contrôle total à. Lire et lire / écrire. L'idée faisait partie de la mentalité de l'ensemble du groupe de base et facilite le partage d'un dossier pour les personnes non initiées à l'informatique. Cela se fait via le menu contextuel et partage facilement avec votre groupe de maison.

Si vous souhaitez partager avec quelqu'un qui ne fait pas partie du groupe de base, vous pouvez toujours choisir l'option «Personnes spécifiques…». Ce qui ferait apparaître un dialogue plus “élaboré”. Où vous pouvez spécifier un utilisateur ou un groupe spécifique.

Comme mentionné précédemment, il n'y a que deux autorisations. Ensemble, elles offrent un système de protection tout ou rien pour vos dossiers et fichiers..

1. Lis la permission est l'option «regarde, ne touche pas». Les destinataires peuvent ouvrir, mais pas modifier ni supprimer un fichier.
2. Lire écrire est l'option "faire n'importe quoi". Les destinataires peuvent ouvrir, modifier ou supprimer un fichier.

Le chemin de la vieille école

L'ancien dialogue de partage comportait plus d'options et nous permettait de partager le dossier sous un autre alias, ce qui nous permettait de limiter le nombre de connexions simultanées et de configurer la mise en cache. Aucune de ces fonctionnalités n'est perdue dans Windows 7 mais cachée sous une option appelée «Partage avancé». Si vous cliquez avec le bouton droit sur un dossier et accédez à ses propriétés, vous pouvez trouver ces paramètres de «Partage avancé» sous l'onglet Partage..

Si vous cliquez sur le bouton «Partage avancé», qui requiert les informations d'identification de l'administrateur local, vous pouvez configurer tous les paramètres que vous connaissiez dans les versions précédentes de Windows..

Si vous cliquez sur le bouton des autorisations, les 3 paramètres que nous connaissons tous vous seront présentés..

1. Lis permission vous permet d'afficher et d'ouvrir des fichiers et des sous-répertoires, ainsi que d'exécuter des applications. Cependant, il ne permet aucune modification.
2. Modifier la permission vous permet de faire tout ce qui Lis permission permet, il ajoute également la possibilité d'ajouter des fichiers et des sous-répertoires, supprimer des sous-dossiers et modifier les données dans les fichiers.
3. Controle total est le «tout faire» des autorisations classiques, car il vous permet de faire toutes les autorisations précédentes. De plus, il vous donne l’autorisation évoluée avancée de NTFS, cela ne s’applique qu’aux dossiers NTFS.

Autorisations NTFS

Les autorisations NTFS permettent un contrôle très granulaire de vos fichiers et dossiers. Cela dit, la granularité peut être décourageante pour un nouveau venu. Vous pouvez également définir une autorisation NTFS par fichier ainsi que par dossier. Pour définir l’autorisation NTFS sur un fichier, vous devez cliquer avec le bouton droit de la souris et aller aux propriétés du fichier où vous devrez aller à l’onglet Sécurité..

Pour modifier les autorisations NTFS pour un utilisateur ou un groupe, cliquez sur le bouton Modifier..

Comme vous pouvez le constater, il y a beaucoup d'autorisations NTFS, nous allons donc les décomposer. Nous allons d’abord examiner les autorisations NTFS que vous pouvez définir sur un fichier..

1. Controle total vous permet de lire, d'écrire, de modifier, d'exécuter, de modifier les attributs, les autorisations et de prendre possession du fichier.
2. Modifier vous permet de lire, écrire, modifier, exécuter et modifier les attributs du fichier.
3. Lire et exécuter vous permettra d'afficher les données du fichier, les attributs, le propriétaire et les autorisations, et d'exécuter le fichier s'il s'agit d'un programme.
4. Lis vous permettra d'ouvrir le fichier, d'afficher ses attributs, son propriétaire et ses autorisations.
5. Écrire vous permettra d'écrire des données dans le fichier, de l'ajouter au fichier et de lire ou de modifier ses attributs.

Les autorisations NTFS pour les dossiers ont des options légèrement différentes alors jetons-y un coup d'oeil.

1. Controle total vous permet de lire, d’écrire, de modifier et d’exécuter des fichiers dans le dossier, de modifier les attributs, les autorisations et de devenir propriétaire du dossier ou des fichiers qu'il contient..
2. Modifier vous permet de lire, d’écrire, de modifier et d’exécuter des fichiers dans le dossier et de modifier les attributs du dossier ou des fichiers au sein de celui-ci..
3. Lire et exécuter vous permettra d'afficher le contenu du dossier et d'afficher les données, les attributs, le propriétaire et les droits d'accès aux fichiers du dossier, et d'exécuter des fichiers du dossier.
4. Contenu du dossier de liste vous permettra d'afficher le contenu du dossier et d'afficher les données, attributs, propriétaire et autorisations pour les fichiers du dossier.
5. Lis vous permettra d'afficher les données du fichier, les attributs, le propriétaire et les autorisations.
6. Écrire vous permettra d'écrire des données dans le fichier, de l'ajouter au fichier et de lire ou de modifier ses attributs.

La documentation de Microsoft indique également que «Lister le contenu du dossier» vous permettra d’exécuter des fichiers dans le dossier, mais vous devrez quand même activer «Lecture et exécution» pour pouvoir le faire. C'est une permission documentée très déroutante.

Résumé

En résumé, les noms d'utilisateur et les groupes sont des représentations d'une chaîne alphanumérique appelée identificateur de sécurité (SID), les autorisations de partage et NTFS sont liées à ces identificateurs de sécurité. Les autorisations de partage ne sont vérifiées par le LSSAS que lors d'un accès via le réseau, tandis que les autorisations NTFS ne sont valides que sur les ordinateurs locaux. J'espère que vous comprenez tous parfaitement la mise en œuvre de la sécurité des fichiers et des dossiers dans Windows 7. Si vous avez des questions, n'hésitez pas à écouter les commentaires..