Différences entre les autorisations de partage et NTFS

Les autorisations NTFS et de partage sont toutes deux souvent utilisées dans les environnements Microsoft Windows. Si les autorisations de partage et NTFS ont toutes deux le même objectif – empêcher les accès non autorisés – il existe des différences importantes à comprendre avant de déterminer la meilleure façon d’effectuer une tâche comme le partage d’un dossier. Voici les principales différences entre les autorisations de partage et les autorisations NTFS, ainsi que quelques recommandations pour savoir quand et comment utiliser chacune d’entre elles.

Qu’est-ce que les autorisations NTFS ?

NTFS (New Technology File System) est le système de fichiers standard des systèmes d’exploitation Microsoft Windows NT et ultérieurs ; les autorisations NTFS sont utilisées pour gérer l’accès aux données stockées dans les systèmes de fichiers NTFS. Les principaux avantages des permissions de partage NTFS sont qu’elles affectent à la fois les utilisateurs locaux et les utilisateurs du réseau et qu’elles sont basées sur les permissions accordées à un utilisateur individuel lors de la connexion à Windows, quel que soit l’endroit d’où l’utilisateur se connecte.

Il existe des permissions NTFS de base et avancées. Vous pouvez définir chacune des permissions sur « Autoriser » ou « Refuser » pour contrôler l’accès aux objets NTFS. Voici les types de base de permissions d’accès :

• Contrôle total – Les utilisateurs peuvent ajouter, modifier, déplacer et supprimer des fichiers et des répertoires, ainsi que leurs propriétés associées. En outre, les utilisateurs peuvent modifier les paramètres de permissions pour tous les fichiers et sous-répertoires.
• Modifier – Les utilisateurs peuvent voir et modifier les fichiers et les propriétés des fichiers, y compris ajouter des fichiers à un répertoire ou les supprimer, ou les propriétés d’un fichier à un fichier.
• Lire & Exécuter – Les utilisateurs peuvent exécuter des fichiers exécutables, y compris des scripts.
• Lire – Les utilisateurs peuvent visualiser les fichiers, les propriétés des fichiers et les répertoires.
• Écrire – Les utilisateurs peuvent écrire dans un fichier et ajouter des fichiers aux répertoires.

Qu’est-ce que les autorisations de partage ?

Les autorisations de partage gèrent l’accès aux dossiers partagés sur un réseau ; elles ne s’appliquent pas aux utilisateurs qui se connectent localement. Les autorisations de partage s’appliquent à tous les fichiers et dossiers du partage ; vous ne pouvez pas contrôler de manière granulaire l’accès aux sous-dossiers ou aux objets d’un partage. Vous pouvez spécifier le nombre d’utilisateurs autorisés à accéder au dossier partagé. Les autorisations de partage peuvent être utilisées avec les systèmes de fichiers NTFS, FAT et FAT32.

Il existe trois types d’autorisations de partage : Contrôle total, Modification et Lecture. Vous pouvez définir chacun d’eux sur « Refuser » ou « Autoriser » pour contrôler l’accès aux dossiers ou lecteurs partagés :

• Lecture – Les utilisateurs peuvent voir les noms de fichiers et de sous-dossiers, lire les données dans les fichiers et exécuter des programmes. Par défaut, le groupe « Everyone » se voit attribuer les autorisations « Read ».
• Change – Les utilisateurs peuvent faire tout ce qui est autorisé par l’autorisation « Read », ainsi qu’ajouter des fichiers et des sous-dossiers, modifier les données dans les fichiers et supprimer des sous-dossiers et des fichiers. Cette autorisation n’est pas attribuée par défaut.
• Contrôle total – Les utilisateurs peuvent faire tout ce qui est autorisé par les autorisations « Lire » et « Modifier », et ils peuvent également modifier les autorisations pour les fichiers et dossiers NTFS uniquement. Par défaut, le groupe « Administrateurs » se voit accorder les autorisations « Contrôle total ».

Les autorisations NTFS par rapport aux autorisations de partage

Voici les principales différences entre les autorisations NTFS et les autorisations de partage que vous devez connaître :

• Les autorisations de partage sont faciles à appliquer et à gérer, mais les autorisations NTFS permettent un contrôle plus granulaire d’un dossier partagé et de son contenu.
• Lorsque les autorisations de partage et NTFS sont utilisées simultanément, l’autorisation la plus restrictive l’emporte toujours. Par exemple, lorsque l’autorisation de dossier partagé est définie sur « Tout le monde lit autorisé » et que l’autorisation NTFS est définie sur « Tout le monde modifie autorisé », l’autorisation de partage s’applique car elle est la plus restrictive ; l’utilisateur n’est pas autorisé à modifier les fichiers sur le lecteur partagé.
• Les autorisations de partage peuvent être utilisées lors du partage de dossiers dans les systèmes de fichiers FAT et FAT32 ; les autorisations NTFS ne le peuvent pas.
• Les autorisations NTFS s’appliquent aux utilisateurs qui sont connectés au serveur localement ; les autorisations de partage ne le font pas.
• Contrairement aux autorisations NTFS, les autorisations de partage vous permettent de limiter le nombre de connexions simultanées à un dossier partagé.
• Les autorisations de partage sont configurées dans les propriétés « Partage avancé » dans les paramètres « Autorisations ». Les permissions NTFS sont configurées dans l’onglet « Sécurité » dans les propriétés du fichier ou du dossier.

Comment modifier les permissions NTFS

Pour modifier les permissions NTFS :

1. Ouvrir l’onglet « Sécurité ».
2. Dans la boîte de dialogue « Propriétés » du dossier, cliquez sur « Modifier ».
3. Cliquez sur le nom de l’objet dont vous voulez modifier les permissions.
4. Sélectionnez « Autoriser » ou « Refuser » pour chacun des paramètres.
5. Cliquez sur « Appliquer » pour appliquer les permissions.

Alternativement, vous pouvez modifier les permissions NTFS en utilisant PowerShell.

Comment modifier les autorisations de partage

Pour modifier les autorisations de partage :

1. Cliquez avec le bouton droit de la souris sur le dossier partagé.
2. Cliquez sur « Propriétés ».
3. Ouvrez l’onglet « Partage ».
4. Cliquez sur « Partage avancé ».
5. Cliquez sur « Autorisations ».
6. Sélectionnez un utilisateur ou un groupe dans la liste.
7. Sélectionnez « Autoriser » ou « Refuser » pour chacun des paramètres.

Bonnes pratiques en matière de permissions

• Attribuez des permissions à des groupes, et non à des comptes d’utilisateur – L’attribution de permissions à des groupes simplifie la gestion des ressources partagées. Si le rôle d’un utilisateur change, il suffit de l’ajouter aux nouveaux groupes appropriés et de le supprimer des groupes qui ne sont plus pertinents.
• Appliquer le principe du moindre privilège – Accordez aux utilisateurs les autorisations dont ils ont besoin et rien de plus. Par exemple, si un utilisateur a besoin de lire les informations contenues dans un dossier, mais qu’il n’a jamais de raison légitime de supprimer, de créer ou de modifier des fichiers, assurez-vous qu’il ne dispose que de l’autorisation  » Lire « .
• N’utilisez que les autorisations NTFS pour les utilisateurs locaux – Les autorisations de partage s’appliquent uniquement aux utilisateurs qui accèdent aux ressources partagées sur le réseau ; elles ne s’appliquent pas aux utilisateurs qui se connectent localement.
• Mettez les objets ayant les mêmes exigences de sécurité dans le même dossier – Par exemple, si les utilisateurs ont besoin de l’autorisation « Read » pour plusieurs dossiers qui sont utilisés par un département, stockez ces dossiers dans le même dossier parent et partagez ce dossier parent, plutôt que de partager chaque dossier individuellement.
• Ne définissez pas les autorisations du groupe « Tout le monde » sur « Refuser » – Le groupe « Tout le monde » inclut toute personne ayant accès aux dossiers partagés, y compris le compte « Invité », à l’exception du groupe « Connexion anonyme ».
• Évitez de refuser explicitement les autorisations à une ressource partagée – Normalement, vous devez refuser explicitement les autorisations uniquement lorsque vous voulez remplacer des autorisations spécifiques déjà attribuées.
• Accordez au groupe « Administrateurs » l’autorisation « Contrôle total » du dossier partagé parent – Cette stratégie permet aux administrateurs de gérer les autorisations, d’exporter les listes d’accès et de suivre les modifications apportées à toutes les autorisations, à tous les fichiers et à tous les dossiers.
• Surveillez de près la composition du groupe « Administrateurs » – Les utilisateurs de ce groupe ont des autorisations « Accès total » à tous vos fichiers et dossiers partagés. Par conséquent, vous devez auditer soigneusement les modifications apportées à son appartenance, en utilisant soit la politique d’audit et le journal des événements de sécurité, soit des solutions logicielles tierces qui peuvent vous notifier toute modification de ce puissant groupe en temps réel, ainsi que faciliter l’attestation régulière de toutes les permissions des utilisateurs.

Pour plus d’informations, lisez les meilleures pratiques de gestion des autorisations NTFS.

Utilisation d’un seul ensemble d’autorisations

Si vous pensez que travailler avec deux ensembles d’autorisations distincts est trop compliqué, vous pouvez utiliser uniquement les autorisations de partage NTFS. Il suffit de changer les autorisations de partage pour le dossier en « contrôle total », puis vous pouvez apporter les modifications que vous voulez aux autorisations NTFS sans avoir à vous soucier des autorisations de partage de fichiers qui interfèrent avec elles.

Résumé

Comprendre les différences entre les autorisations de partage et NTFS vous permet de les utiliser ensemble pour sécuriser l’accès aux ressources locales et partagées. Le respect des directives et des meilleures pratiques détaillées ici renforcera encore la sécurité de votre environnement informatique.

Jeff est directeur de l’ingénierie des solutions mondiales chez Netwrix. Il est un blogueur, conférencier et présentateur de longue date de Netwrix. Dans le blog de Netwrix, Jeff partage des lifehacks, des conseils et des astuces qui peuvent améliorer considérablement votre expérience d’administration système.