Geek School: Learning Windows 7 - Accès aux ressources

2024 Auteur: Geoffrey Carr | [email protected]. Dernière modifié: 2023-12-17 11:01

Dans cette installation de Geek School, nous examinons la virtualisation de dossiers, les SID et les autorisations, ainsi que le système de fichiers crypté.

Assurez-vous de consulter les articles précédents de cette série Geek School sur Windows 7:

Présentation de l'école de geek
Mises à niveau et migrations
Configuration des périphériques
Gestion des disques
Gérer les applications
Gérer Internet Explorer
Principes fondamentaux d'adressage IP
La mise en réseau
Réseau sans fil
fenêtre pare-feu
Administration à distance
Accès à distance
Surveillance, performances et mise à jour de Windows

Et restez à l’écoute pour le reste de la série toute cette semaine.

Virtualisation de dossiers

Windows 7 a introduit la notion de bibliothèque qui vous permet d’avoir un emplacement centralisé à partir duquel vous pouvez voir les ressources situées ailleurs sur votre ordinateur. Plus spécifiquement, la fonction de bibliothèque vous a permis d’ajouter des dossiers de n’importe où sur votre ordinateur à l’une des quatre bibliothèques par défaut, Documents, Musique, Vidéos et Images, qui sont facilement accessibles depuis le volet de navigation de l’explorateur Windows.

Il y a deux choses importantes à noter à propos de la fonctionnalité de bibliothèque:

Lorsque vous ajoutez un dossier à une bibliothèque, le dossier ne se déplace pas, un lien est créé avec l'emplacement du dossier.
Pour ajouter un partage réseau à vos bibliothèques, celui-ci doit être disponible hors connexion, mais vous pouvez également utiliser une méthode de contournement utilisant des liens symboliques.

Pour ajouter un dossier à une bibliothèque, rendez-vous simplement dans la bibliothèque et cliquez sur le lien des emplacements.

Maintenant, localisez le dossier que vous souhaitez inclure dans la bibliothèque et cliquez sur le bouton Inclure le dossier.

L'identifiant de sécurité

Le système d'exploitation Windows utilise les SID pour représenter tous les principes de sécurité. Les SID ne sont que des chaînes de caractères alphanumériques de longueur variable représentant des machines, des utilisateurs et des groupes. Les SID sont ajoutés aux ACL (listes de contrôle d'accès) chaque fois que vous accordez à un utilisateur ou à un groupe une autorisation sur un fichier ou un dossier. En arrière-plan, les SID sont stockés de la même manière que tous les autres objets de données: en binaire. Toutefois, lorsque vous voyez un SID dans Windows, il s'affiche avec une syntaxe plus lisible. Ce n'est pas souvent que vous verrez n'importe quelle forme de SID dans Windows; Le scénario le plus courant est lorsque vous accordez une autorisation à une ressource, puis que vous supprimez son compte d'utilisateur. Le SID apparaîtra alors dans la liste de contrôle d'accès. Voyons maintenant le format typique dans lequel vous verrez les SID dans Windows.

La notation que vous allez voir prend une certaine syntaxe. Vous trouverez ci-dessous les différentes parties d’un SID.

Un préfixe «S»
Numéro de révision de la structure
Une valeur d'autorité d'identifiant de 48 bits
Nombre variable de valeurs de sous-autorité 32 bits ou d'identifiant relatif (RID)

En utilisant mon SID dans l'image ci-dessous, nous allons diviser les différentes sections pour mieux comprendre.


The SID Structure:
‘S’ – The first component of a SID is always an ‘S’. This is prefixed to all SIDs and is there to inform Windows that what follows is a SID. ’1′ – The second component of a SID is the revision number of the SID specification. If the SID specification was to change it would provide backwards compatibility. As of Windows 7 and Server 2008 R2, the SID specification is still in the first revision. ’5′ – The third section of a SID is called the Identifier Authority. This defines in what scope the SID was generated. Possible values for this sections of the SID can be:








0 – Null Authority
1 – World Authority
2 – Local Authority
3 – Creator Authority
4 – Non-unique Authority
5 – NT Authority

’21′ – The fourth component is sub-authority 1. The value ’21′ is used in the fourth field to specify that the sub-authorities that follow identify the Local Machine or the Domain. ’1206375286-251249764-2214032401′ – These are called sub-authority 2,3 and 4 respectively. In our example this is used to identify the local machine, but could also be the the identifier for a Domain. ’1000′ – Sub-authority 5 is the last component in our SID and is called the RID (Relative Identifier). The RID is relative to each security principle: please note that any user defined objects, the ones that are not shipped by Microsoft, will have a RID of 1000 or greater.

Principes de sécurité

Un principe de sécurité est tout ce qui a un SID attaché. Ceux-ci peuvent être des utilisateurs, des ordinateurs et même des groupes. Les principes de sécurité peuvent être locaux ou se situer dans le contexte du domaine. Vous gérez les principes de sécurité locaux via le composant logiciel enfichable Utilisateurs et groupes locaux, sous Gestion de l'ordinateur. Pour y arriver, faites un clic droit sur le raccourci de l’ordinateur dans le menu Démarrer et choisissez gérer.

Pour ajouter un nouveau principe de sécurité utilisateur, vous pouvez accéder au dossier Utilisateurs, cliquer avec le bouton droit de la souris et choisir Nouvel utilisateur.

Si vous double-cliquez sur un utilisateur, vous pouvez l'ajouter à un groupe de sécurité dans l'onglet Membre de.

Pour créer un nouveau groupe de sécurité, accédez au dossier Groupes sur le côté droit. Faites un clic droit sur l'espace blanc et sélectionnez Nouveau groupe.

Autorisations de partage et autorisation NTFS

Sous Windows, il existe deux types d'autorisations de fichiers et de dossiers. Premièrement, il y a les autorisations de partage. Deuxièmement, il existe des autorisations NTFS, également appelées autorisations de sécurité. La sécurisation des dossiers partagés est généralement réalisée à l'aide d'une combinaison d'autorisations de partage et NTFS. Puisque c'est le cas, il est essentiel de se rappeler que l'autorisation la plus restrictive s'applique toujours. Par exemple, si l'autorisation de partage donne l'autorisation de lecture au principe de sécurité Tout le monde, mais que l'autorisation NTFS autorise les utilisateurs à modifier le fichier, l'autorisation de partage est prioritaire et les utilisateurs ne sont pas autorisés à effectuer des modifications. Lorsque vous définissez les autorisations, l'autorité de sécurité locale (LSASS) contrôle l'accès à la ressource. Lorsque vous vous connectez, vous recevez un jeton d'accès avec votre SID. Lorsque vous allez accéder à la ressource, le LSASS compare le SID que vous avez ajouté à la liste de contrôle d'accès (ACL). Si le SID est sur la liste de contrôle d'accès, il détermine s'il faut autoriser ou refuser l'accès. Quelles que soient les autorisations que vous utilisez, il existe des différences, nous allons donc jeter un coup d'œil pour mieux comprendre quand nous devrions utiliser quoi.

Autorisations de partage:

S'applique uniquement aux utilisateurs qui accèdent à la ressource via le réseau. Ils ne s'appliquent pas si vous vous connectez localement, par exemple via des services de terminal.
Cela s'applique à tous les fichiers et dossiers de la ressource partagée. Si vous souhaitez fournir un type de schéma de restriction plus granulaire, vous devez utiliser l'autorisation NTFS en plus des autorisations partagées.
Si vous avez des volumes au format FAT ou FAT32, ce sera la seule forme de restriction à votre disposition, car les autorisations NTFS ne sont pas disponibles sur ces systèmes de fichiers.

Autorisations NTFS:

La seule restriction imposée aux autorisations NTFS est qu'elles ne peuvent être définies que sur un volume formaté pour le système de fichiers NTFS.
N'oubliez pas que les autorisations NTFS sont cumulatives.Cela signifie que les autorisations effectives d'un utilisateur résultent de la combinaison des autorisations attribuées à l'utilisateur et des autorisations de tous les groupes auxquels l'utilisateur appartient.

Les nouvelles autorisations de partage

Windows 7 a acheté une nouvelle technique de partage «facile». Les options de Lecture, Modification et Contrôle total ont été modifiées en Lecture et Lecture / Écriture. L'idée faisait partie de la mentalité de Homegroup dans son ensemble et facilite le partage d'un dossier pour les non initiés à l'informatique. Cela se fait via le menu contextuel et partage facilement avec votre groupe résidentiel.

Si vous souhaitez partager avec quelqu'un qui ne fait pas partie du groupe de base, vous pouvez toujours choisir l'option «Personnes spécifiques…». Ce qui ouvrirait une boîte de dialogue plus «élaborée» dans laquelle vous pourriez spécifier un utilisateur ou un groupe.

Comme indiqué précédemment, il n'y a que deux autorisations. Ensemble, ils offrent un système de protection tout ou rien pour vos dossiers et fichiers.



Read permission is the “look, don’t touch” option. Recipients can open, but not modify or delete a file.
Read/Write is the “do anything” option. Recipients can open, modify, or delete a file.

La permission de la vieille école

L'ancienne boîte de dialogue de partage comportait plusieurs options, telles que celle de partager le dossier sous un autre alias. Cela nous a permis de limiter le nombre de connexions simultanées et de configurer la mise en cache. Aucune de ces fonctionnalités n'est perdue dans Windows 7, mais cachée sous une option appelée "Partage avancé". Si vous cliquez avec le bouton droit sur un dossier et accédez à ses propriétés, vous pouvez trouver ces paramètres de «Partage avancé» sous l'onglet Partage.

Si vous cliquez sur le bouton «Partage avancé», qui requiert les informations d'identification de l'administrateur local, vous pouvez configurer tous les paramètres que vous connaissiez dans les versions précédentes de Windows.

Si vous cliquez sur le bouton des autorisations, les 3 paramètres que nous connaissons tous vous seront présentés.

Lis permission vous permet d'afficher et d'ouvrir des fichiers et des sous-répertoires, ainsi que d'exécuter des applications. Cependant, il ne permet aucune modification.
Modifier la permission vous permet de faire tout ce qui Lis permission le permet, et ajoute également la possibilité d'ajouter des fichiers et des sous-répertoires, de supprimer des sous-dossiers et de modifier des données dans les fichiers.
Controle total est le «tout faire» des autorisations classiques, car il vous permet de faire toutes les autorisations précédentes. De plus, il vous donne l’autorisation avancée de modification NTFS, mais cela ne s’applique qu’aux dossiers NTFS.

Autorisations NTFS

Les autorisations NTFS permettent un contrôle très granulaire de vos fichiers et dossiers. Cela dit, la granularité peut être décourageante pour un nouveau venu. Vous pouvez également définir une autorisation NTFS par fichier ainsi que par dossier. Pour définir l’autorisation NTFS sur un fichier, vous devez cliquer avec le bouton droit de la souris et aller sur les propriétés du fichier, puis sur l’onglet Sécurité.

Comme vous pouvez le constater, il existe de nombreuses autorisations NTFS, par conséquent, décomposez-les. Dans un premier temps, nous examinerons les autorisations NTFS que vous pouvez définir sur un fichier.



Full Control allows you to read, write, modify, execute, change attributes, permissions, and take ownership of the file.
Modify allows you to read, write, modify, execute, and change the file’s attributes.
Read & Execute will allow you to display the file’s data, attributes, owner, and permissions, and run the file if it’s a program.
Read will allow you to open the file, view its attributes, owner, and permissions.
Write will allow you to write data to the file, append to the file, and read or change its attributes.

Les autorisations NTFS pour les dossiers ont des options légèrement différentes, alors jetons-y un coup d'oeil.



Full Control will allow you to read, write, modify, and execute files in the folder, change attributes, permissions, and take ownership of the folder or files within.
Modify will allow you to read, write, modify, and execute files in the folder, and change attributes of the folder or files within.
Read & Execute will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder.
List Folder Contents will allow you to display the folder’s contents and display the data, attributes, owner, and permissions for files within the folder, and run files within the folder
Read will allow you to display the file’s data, attributes, owner, and permissions.
Write will allow you to write data to the file, append to the file, and read or change its attributes.

Résumé

En résumé, les noms d'utilisateur et les groupes sont des représentations d'une chaîne alphanumérique appelée SID (Security Identifier). Les autorisations de partage et NTFS sont liées à ces identificateurs de sécurité. Les autorisations de partage sont vérifiées par le LSSAS uniquement lors de l'accès au réseau, tandis que les autorisations NTFS sont combinées aux autorisations de partage pour permettre un niveau de sécurité plus granulaire des ressources accessibles via le réseau et localement.

Accéder à une ressource partagée

Alors, maintenant que nous avons appris les deux méthodes que nous pouvons utiliser pour partager du contenu sur nos PC, comment allez-vous réellement y accéder via le réseau? C'est très simple. Il suffit de taper ce qui suit dans la barre de navigation.


computernamesharename

Remarque: Évidemment, vous devrez remplacer nom_ordinateur par le nom du PC hébergeant le partage et nom-partage par le nom du partage.

C'est parfait pour des connexions uniques, mais qu'en est-il dans un environnement d'entreprise plus vaste? Vous n’avez sûrement pas à apprendre à vos utilisateurs comment se connecter à une ressource réseau à l’aide de cette méthode. Pour résoudre ce problème, vous souhaiterez mapper un lecteur réseau pour chaque utilisateur. Vous pourrez ainsi lui conseiller de stocker ses documents sur le lecteur «H», plutôt que d'essayer d'expliquer comment se connecter à un partage. Pour mapper un lecteur, ouvrez Ordinateur et cliquez sur le bouton «Connecter un lecteur réseau».

Ensuite, tapez simplement le chemin UNC du partage.

Vous vous demandez probablement si vous devez le faire sur chaque PC, et heureusement, la réponse est non. Vous pouvez plutôt écrire un script de traitement par lots pour mapper automatiquement les lecteurs de vos utilisateurs lors de la connexion et le déployer via une stratégie de groupe.

Nous utilisons le utilisation nette commande pour mapper le lecteur.
Nous utilisons le * pour indiquer que nous voulons utiliser la prochaine lettre de lecteur disponible.
Enfin nous spécifier le partage nous voulons mapper le lecteur à. Notez que nous avons utilisé des guillemets car le chemin UNC contient des espaces.

Cryptage de fichiers à l'aide du système de fichiers crypté

Windows inclut la possibilité de chiffrer des fichiers sur un volume NTFS. Cela signifie que vous seul pourrez décrypter les fichiers et les afficher. Pour chiffrer un fichier, cliquez dessus avec le bouton droit de la souris et sélectionnez Propriétés dans le menu contextuel.

Cochez maintenant la case Crypter le contenu pour sécuriser les données, puis cliquez sur OK.

Maintenant, allez-y et appliquez les paramètres.

Nous avons seulement besoin de chiffrer le fichier, mais vous avez également la possibilité de chiffrer le dossier parent.

Prenez note qu'une fois le fichier crypté, il devient vert.

Vous remarquerez maintenant que vous seul pourrez ouvrir le fichier et que les autres utilisateurs du même PC ne le pourront pas.Le processus de chiffrement utilise le chiffrement à clé publique. Par conséquent, protégez vos clés de chiffrement. Si vous les perdez, votre fichier est parti et il n’ya aucun moyen de le récupérer.

Devoirs

En savoir plus sur l'héritage des autorisations et les autorisations effectives.
Lisez ce document Microsoft.
Découvrez pourquoi vous souhaitez utiliser BranchCache.
Apprenez à partager des imprimantes et pourquoi vous le souhaiteriez.