Comment comprendre ceux qui confondent les autorisations de fichiers / partage Windows 7

2024 Auteur: Geoffrey Carr | [email protected]. Dernière modifié: 2023-12-17 11:01

L'identifiant de sécurité

Les systèmes d'exploitation Windows utilisent des identificateurs de sécurité pour représenter tous les principes de sécurité. Les SID ne sont que des chaînes de caractères alphanumériques de longueur variable représentant des machines, des utilisateurs et des groupes. Les SID sont ajoutés aux ACL (listes de contrôle d'accès) chaque fois que vous accordez à un utilisateur ou à un groupe une autorisation sur un fichier ou un dossier. Derrière la scène, les SID sont stockés de la même manière que tous les autres objets de données, en binaire. Cependant, lorsque vous voyez un SID dans Windows, il sera affiché en utilisant une syntaxe plus lisible. Il n'est pas fréquent que vous voyiez une forme d'identificateur de sécurité sous Windows. Le scénario le plus courant consiste à accorder l'autorisation à une personne, puis son compte d'utilisateur est supprimé, il sera ensuite affiché en tant qu'identificateur de sécurité dans la liste de contrôle d'accès. Voyons maintenant le format typique dans lequel vous verrez les SID dans Windows.

1. Un préfixe «S»
2. Numéro de révision de la structure
3. Une valeur d'autorité d'identifiant de 48 bits
4. Nombre variable de valeurs de sous-autorité 32 bits ou d'identifiant relatif (RID)

En utilisant mon SID dans l'image ci-dessous, nous allons diviser les différentes sections pour mieux comprendre.

The SID Structure:

‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ‘1’ – The second component of a SID is the revision number of the SID specification, if the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2 the SID specification is still in the first revision. ‘5’ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – The forth component is sub-authority 1, the value ’21’ is used in the forth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ‘1206375286-251249764-2214032401’ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ‘1000’ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier), the RID is relative to each security principle, please note that any user defined objects, the ones that are not shipped by Microsoft will have a RID of 1000 or greater.

Principes de sécurité

Un principe de sécurité est tout ce qui a un SID attaché, il peut s'agir d'utilisateurs, d'ordinateurs et même de groupes. Les principes de sécurité peuvent être locaux ou se situer dans le contexte du domaine. Vous gérez les principes de sécurité locaux via le composant logiciel enfichable Utilisateurs et groupes locaux, sous Gestion de l'ordinateur. Pour y arriver, cliquez avec le bouton droit de la souris sur le raccourci informatique dans le menu Démarrer et choisissez gérer.

Autorisations de partage et autorisation NTFS

Dans Windows, il existe deux types d'autorisations de fichiers et de dossiers: les autorisations de partage et les autorisations NTFS, également appelées autorisations de sécurité. Notez que lorsque vous partagez un dossier par défaut, le groupe «Tout le monde» reçoit l'autorisation de lecture. La sécurité des dossiers est généralement réalisée avec une combinaison d’autorisations de partage et NTFS. Dans ce cas, il est essentiel de noter que la règle la plus restrictive s’applique toujours, par exemple si l’autorisation de partage est définie sur Tout le monde = Lire (valeur par défaut), mais l'autorisation NTFS autorise les utilisateurs à modifier le fichier. L'autorisation de partage est prioritaire et les utilisateurs ne sont pas autorisés à effectuer des modifications. Lorsque vous définissez les autorisations, le LSASS (autorité de sécurité locale) contrôle l'accès à la ressource. Lorsque vous vous connectez, vous recevez un jeton d'accès avec votre SID. Lorsque vous allez accéder à la ressource, le LSASS compare le SID que vous avez ajouté à la liste de contrôle d'accès (ACL) et si ce dernier se trouve sur la liste de contrôle d'accès, il détermine si autoriser ou refuser l'accès. Quelles que soient les autorisations que vous utilisez, il existe des différences, nous allons donc jeter un coup d'œil pour mieux comprendre quand nous devrions utiliser quoi.

Autorisations de partage:

1. S'applique uniquement aux utilisateurs qui accèdent à la ressource via le réseau. Ils ne s'appliquent pas si vous vous connectez localement, par exemple via des services de terminal.
2. Cela s'applique à tous les fichiers et dossiers de la ressource partagée. Si vous souhaitez fournir un type de schéma de restriction plus granulaire, vous devez utiliser l'autorisation NTFS en plus des autorisations partagées.
3. Si vous avez des volumes au format FAT ou FAT32, ce sera la seule forme de restriction à votre disposition, car les autorisations NTFS ne sont pas disponibles sur ces systèmes de fichiers.

Autorisations NTFS:

1. La seule restriction imposée aux autorisations NTFS est qu'elles ne peuvent être définies que sur un volume formaté pour le système de fichiers NTFS.
2. N'oubliez pas que les systèmes NTFS sont cumulatifs, ce qui signifie que les autorisations effectives des utilisateurs résultent de la combinaison des autorisations attribuées à l'utilisateur et des autorisations de tous les groupes auxquels l'utilisateur appartient.

Les nouvelles autorisations de partage

Windows 7 a acheté une nouvelle technique de partage «facile». Les options sont passées de Lecture, Modification et Contrôle total à. Lire et lire / écrire. L'idée faisait partie de la mentalité de l'ensemble du groupe de base et facilite le partage d'un dossier pour les personnes non initiées à l'informatique. Cela se fait via le menu contextuel et partage facilement avec votre groupe de maison.

1. Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
2. Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

Le chemin de la vieille école

L'ancienne boîte de dialogue de partage comportait plus d'options et nous permettait de partager le dossier sous un autre alias, ce qui nous permettait de limiter le nombre de connexions simultanées et de configurer la mise en cache. Aucune de ces fonctionnalités n'est perdue dans Windows 7 mais cachée sous une option appelée "Partage avancé". Si vous cliquez avec le bouton droit sur un dossier et accédez à ses propriétés, vous pouvez trouver ces paramètres de «Partage avancé» sous l'onglet Partage.

1. Read permission allows you to view and open files and subdirectories as well as execute applications. However it doesn’t allow any changes to be made.
2. Modify permission allows you to do anything that Read permission allows, it also add the ability to add files and subdirectories, delete subfolders and change data in the files.
3. Full Control is the “do anything” of the classic permissions, as it allows for you to do any and all of the previous permissions. In addition it gives you the advanced changing NTFS Permission, this only applies on NTFS Folders

Autorisations NTFS

Les autorisations NTFS permettent un contrôle très granulaire de vos fichiers et dossiers. Cela dit, la granularité peut être décourageante pour un nouveau venu. Vous pouvez également définir une autorisation NTFS par fichier ainsi que par dossier. Pour définir l’autorisation NTFS sur un fichier, vous devez cliquer avec le bouton droit de la souris et aller sur les propriétés du fichier où vous devrez aller sur l’onglet Sécurité.

1. Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
2. Modify allows you to read, write, modify, execute, and change the file’s attributes.
3. Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if its a program.
4. Read will allow you to open the file, view its attributes, owner, and permissions.
5. Write will allow you to write data to the file, append to the file, and read or change its attributes.

Les autorisations NTFS pour les dossiers ont des options légèrement différentes, alors jetons-y un coup d'œil.

1. Full Control allows you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
2. Modify allows you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
3. Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
4. List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder.
5. Read will allow you to display the file’s data, attributes, owner, and permissions.
6. Write will allow you to write data to the file, append to the file, and read or change its attributes.

La documentation de Microsoft indique également que «Lister le contenu du dossier» vous permettra d’exécuter des fichiers dans le dossier, mais vous devrez quand même activer «Lecture et exécution» pour pouvoir le faire. C’est une autorisation très documentée qui prête à confusion.

Résumé

En résumé, les noms d'utilisateur et les groupes sont des représentations d'une chaîne alphanumérique appelée identificateur de sécurité (SID), les autorisations de partage et NTFS sont liées à ces identificateurs de sécurité. Les autorisations de partage sont vérifiées par le LSSAS uniquement lors d'un accès via le réseau, tandis que les autorisations NTFS ne sont valides que sur les ordinateurs locaux. J'espère que vous avez tous une bonne compréhension de la mise en œuvre de la sécurité des fichiers et des dossiers dans Windows 7. Si vous avez des questions, n'hésitez pas à faire entendre vos commentaires.