Windows 7 NTFS NTFS en quelques rgles l

NTFS en quelques règles… l l NTFS = NT File Système de fichiers sécurisée

Quelques règles - Généralité l l l Un dossier est un fichier qui a

Règle d’héritage 1. Quand un objet est créé, il hérite des permissions du dossier

Abandon d’héritage 3. Sur un objet on peut supprimer l’héritage. Attention, on risque de

Règle de cumul des autorisations 5 Un Utilisateur appartenant à plusieurs groupes cumule les

Permission de refus 1. 2. 3. On peut donner une permission de refus à

Copie et déplacement d’un fichier NTFS, l l l Si copie => Création d’objet

Propriétaire de l’objet l l Chaque objet possède un propriétaire. Le propriétaire est souvent

Comment donner les permissions l l l Account ( prendre le compte ) Global

Comment ne pas les donner correctement l l l Je donne les permissions directement

Partages SMB+ NTFS l l l Sur un partage on peut placer des permissions.

l l l Net share Net session Partages administratifs : – – – C$

Slides: 13

Download presentation

Windows 7 NTFS

NTFS en quelques règles… l l NTFS = NT File Système de fichiers sécurisée créé par MS pour son OS serveur Système par défaut pour les OS Microsoft La « table des matières » est nommé la MFT © Partouche David / 2010 version 0. 1 2

Quelques règles - Généralité l l l Un dossier est un fichier qui a un attribut spécifique On peut placer des permissions sur un objet du lecteur NTFS ( un fichier ou un dossier ) Pour qu’un compte possède une autorisation d’accès sur un objet il faut que lui ou qu’un groupe auquel il appartient possède une autorisation à la ressource. Si on a aucune autorisation défini sur un objet, on n’a pas d’accès dessus. Les objets ayant des SID sont : les comptes users, les groupes de sécurité et les comptes machines. © Partouche David / 2010 version 0. 1 3

Règle d’héritage 1. Quand un objet est créé, il hérite des permissions du dossier parent. – 2. Eventuellement il peut hériter des permissions du lecteur racine si l’objet est crée à la racine du disque. L'on peut ajouter ou compléter des entrées de permissions ntfs sur un objet, tout en conservant les permissions héritées. – Exemple on peut ajouter un groupe qui n’a pas déjà de permissions sur le dossier et lui donner un contrôle total. © Partouche David / 2010 version 0. 1 4

Abandon d’héritage 3. Sur un objet on peut supprimer l’héritage. Attention, on risque de créer un objet sans aucune entrée de permission défini dessus personne ne pourra y accéder. ( Encore que…) On peut copier les permissions actuelles de l’objet pour en faire un point de départ qui à les modifier par la suite. 4. On évite de modifier les permissions sur les files… © Partouche David / 2010 version 0. 1 5

Règle de cumul des autorisations 5 Un Utilisateur appartenant à plusieurs groupes cumule les permissions…des groupes auquel il appartient © Partouche David / 2010 version 0. 1 6

Permission de refus 1. 2. 3. On peut donner une permission de refus à un sid sur un objet… Si user. A est membre du groupe GLcompta 1 qui a un CT sur le dossier Compta alors que User. A a un refus d’écriture… le refus est toujours prioritaire On éviter de donner des permissions de refus. © Partouche David / 2010 version 0. 1 7

Copie et déplacement d’un fichier NTFS, l l l Si copie => Création d’objet permission du dossier cible parent Si déplacement sur un lecteur différent Création d’objet permission du dossier cible parent Si déplacement sur le même lecteur On garde les permissions de la source. ( Attention danger !!!) © Partouche David / 2010 version 0. 1 8

Propriétaire de l’objet l l Chaque objet possède un propriétaire. Le propriétaire est souvent celui qui a crée le document ( la première fois) Le propriétaire d’un objet peut modifier les autorisations de l’objet ! Un admin connecté localement sur un pdt/serveur peut s’approprier tous les objets de la machine © Partouche David / 2010 version 0. 1 9

Comment donner les permissions l l l Account ( prendre le compte ) Global ( mettre les users dans un global) (Universel je place le global dans l’universel ) DL (je crée un groupe local machine ex: GL_Read. Write. Folder 1) Permission ( je donne les permissions au groupes local GL_Read. Write. Folder 1) © Partouche David / 2010 version 0. 1 10

Comment ne pas les donner correctement l l l Je donne les permissions directement au User Je met Contrôle Total à tout le monde Je mets au contraire plein de permissions subtile partout sans documenter et éventuellement sur des fichiers unitaires. . Je déplace des dossiers dans tous les sens… Je crée une arborescence de travers… – – Dossiers sensibles à la racine et des dossiers enfants « ouverts » Je crée mal mon arborescence © Partouche David / 2010 version 0. 1 11

Partages SMB+ NTFS l l l Sur un partage on peut placer des permissions. Attention désormais par défaut « Tout le monde » Lecteur seul On cumule les restrictions du partage et celle des permissions ntfs Pour simplifier la lecture et l’affectation des droits on donne un accès Contrôle total aux Utilisateurs concernés sur le Share. Et on gère les permissions via NTFS © Partouche David / 2010 version 0. 1 12

l l l Net share Net session Partages administratifs : – – – C$ d$ etc… Admins$ IPC$ © Partouche David / 2010 version 0. 1 13