Différences entre autorisations de partage et autorisations NTFS

Les autorisations NTFS et les autorisations de partage sont souvent utilisées dans les environnements Microsoft Windows. Alors qu’elles servent toutes deux le même but – empêcher les accès non autorisés –, il existe des différences importantes que vous devez comprendre avant de choisir comment exécuter au mieux une tâche telle qu’un partage de dossier. Voici les principales différences entre les autorisations de partage et les autorisations NTFS, ainsi que quelques recommandations à propos de quand et comment utiliser chacune d’entre elles.

Que sont les autorisations NTFS ?

NTFS (New Technology File System) est le système de fichiers standard de Microsoft Windows NT et des systèmes d’exploitation ultérieurs ; les autorisations NTFS sont utilisées pour gérer l’accès aux données enregistrées dans les systèmes de fichiers NTFS. Les principaux avantages des autorisations NTFS sont qu’elles affectent à la fois les utilisateurs locaux et les utilisateurs du réseau, et qu’elles sont basées sur les autorisations accordées à un utilisateur individuel lors de la connexion Windows, quel que soit l’endroit depuis lequel il se connecte.

Il existe des autorisations NTFS élémentaires et avancées. Pour chaque autorisation, vous pouvez choisir « Autoriser » ou « Refuser » pour contrôler l’accès aux objets NTFS. Voici les principaux types d’autorisation d’accès :

  • Contrôle total – les utilisateurs peuvent modifier, ajouter, déplacer et supprimer des fichiers et des répertoires, ainsi que leurs propriétés associées. De plus, les utilisateurs peuvent modifier les paramètres des autorisations pour tous les fichiers et sous-répertoires.
  • Modification – les utilisateurs peuvent afficher et modifier des fichiers et des propriétés de fichier, et supprimer ou ajouter des fichiers à un répertoire ou des propriétés de fichier à un fichier.
  • Lecture et exécution – les utilisateurs peuvent exécuter des fichiers exécutables, y compris des scripts.
  • Lecture – les utilisateurs peuvent voir les fichiers, leurs propriétés et leurs répertoires.
  • Écriture – les utilisateurs peuvent écrire dans un fichier et ajouter des fichiers dans des répertoires.

Que sont les autorisations de partage ?

Les autorisations de partage gèrent l’accès aux dossiers partagés sur un réseau ; elles ne s’appliquent pas aux utilisateurs qui se connectent localement. Les autorisations de partage s’appliquent à tous les fichiers et dossiers du partage ; vous ne pouvez pas contrôler de manière granulaire l’accès aux sous-dossiers ou aux objets d’un partage. Vous pouvez spécifier le nombre d’utilisateurs autorisés à accéder au dossier partagé. Les autorisations de partage peuvent être utilisées avec les systèmes de fichiers NTFS, FAT et FAT32.

Il existe trois types d’autorisation de partage : Contrôle total, Modification et Lecture. Vous pouvez régler chacun d’entre eux sur « Refuser » ou « Autoriser » pour contrôler l’accès aux dossiers ou lecteurs partagés :

  • Lecture – les utilisateurs peuvent afficher les noms des fichiers et des sous-dossiers, lire les données contenues dans les fichiers et exécuter des programmes. Par défaut, des autorisations « Lecture » sont attribuées au groupe « Tout le monde ».
  • Modification – les utilisateurs peuvent faire tout ce qui est permis par l’autorisation « Lecture », ainsi qu’ajouter des fichiers et des sous-dossiers, modifier des données dans des fichiers et supprimer des sous-dossiers et des fichiers. Cette autorisation n’est pas attribuée par défaut.
  • Contrôle total – les utilisateurs peuvent faire tout ce qui est permis par les autorisations « Lecture » et « Modification », et ils peuvent également modifier les autorisations pour les fichiers et dossiers NTFS uniquement. Par défaut, des autorisations « Contrôle total » sont attribuées au groupe « Administrateurs ».

Autorisations NTFS ou autorisations de partage

Voici les principales différences – que vous devez connaître – entre les autorisations NTFS et les autorisations de partage :

  • Les autorisations de partage sont faciles à appliquer et à gérer, mais les autorisations NTFS permettent un contrôle plus granulaire des dossiers partagés et de leur contenu.
  • Quand les autorisations de partage et les autorisations NTFS sont utilisées simultanément, l’autorisation la plus restrictive l’emporte toujours. Si par exemple l’autorisation pour un dossier partagé est définie comme « Lecture autorisée pour Tout le monde » et que l’autorisation NTFS est définie comme « Modification autorisée pour Tout le monde », l’autorisation de partage s’applique car elle est la plus restrictive : l’utilisateur n’est pas autorisé à modifier les fichiers du disque partagé.
  • Les autorisations de partage peuvent être utilisées lors du partage de dossiers dans les systèmes de fichiers FAT et FAT32 ; les autorisations NTFS ne le peuvent pas.
  • Les autorisations NTFS s’appliquent aux utilisateurs qui sont connectés localement au serveur ; ce n’est pas le cas des autorisations de partage.
  • À la différence des autorisations NTFS, les autorisations de partage vous permettent de limiter le nombre de connexions simultanées à un dossier partagé.
  • Les autorisations de partage se configurent dans les propriétés « Partage avancé » des paramètres « Autorisations ». Les autorisations NTFS se configurent dans l’onglet « Sécurité », dans les propriétés du fichier ou du dossier.

Comment modifier les autorisations NTFS ?

Pour modifier les autorisations NTFS :

  1. Ouvrez l’onglet « Sécurité ».
  2. Dans la boîte de dialogue du dossier « Propriétés », cliquez sur « Modifier ».
  3. Cliquez sur le nom de l’objet dont vous souhaitez modifier les autorisations.
  4. Sélectionnez « Autoriser » ou « Refuser » pour chacun des paramètres.
  5. Pour appliquer les autorisations, cliquez sur « Appliquer ».

Vous pouvez également modifier les autorisations NTFS à l’aide de PowerShell.

Comment modifier les autorisations de partage ?

Pour modifier les autorisations de partage :

  1. Cliquez avec le bouton droit sur le dossier partagé.
  2. Cliquez sur « Propriétés ».
  3. Ouvrez l’onglet « Partage ».
  4. Cliquez sur « Partage avancé ».
  5. Cliquez sur « Autorisations ».
  6. Sélectionnez un utilisateur ou un groupe dans la liste.
  7. Sélectionnez « Autoriser » ou « Refuser » pour chacun des paramètres.

Bonnes pratiques relatives aux autorisations

  • Attribuez des autorisations aux groupes et non aux comptes d’utilisateur ; l’attribution d’autorisations aux groupes simplifie la gestion des ressources partagées. Si le rôle d’un utilisateur change, il vous suffit d’ajouter cet utilisateur aux nouveaux groupes appropriés et de le supprimer de tous les groupes qui ne sont plus pertinents.
  • Appliquez le principe du moindre privilège : accordez aux utilisateurs les autorisations dont ils ont besoin et rien de plus. Si par exemple un utilisateur a besoin de lire les informations contenues dans un dossier mais n’a aucun motif légitime de supprimer, créer ou modifier des fichiers, veillez à ne lui accorder que l’autorisation « Lecture ».
  • N’utilisez les autorisations NTFS que pour les utilisateurs locaux ; les autorisations de partage s’appliquent uniquement aux utilisateurs qui accèdent aux ressources partagées par le biais du réseau, elles ne s’appliquent pas aux utilisateurs qui se connectent en local.
  • Placez les objets ayant les mêmes exigences de sécurité dans le même dossier. Si par exemple des utilisateurs ont besoin de l’autorisation « Lecture » pour plusieurs dossiers utilisés par un même service, stockez ces dossiers dans le même dossier parent et partagez ce dossier parent, plutôt que de partager chaque dossier individuellement.
  • Ne réglez pas les autorisations du groupe « Tout le monde » sur « Refuser » (le groupe « Tout le monde » inclut toute personne ayant accès aux dossiers partagés, y compris le compte « Invité », à l’exception du groupe « Connexion anonyme »).
  • Évitez de refuser explicitement des autorisations à une ressource partagée. Normalement, vous ne devriez refuser explicitement des autorisations que lorsque vous voulez remplacer des autorisations spécifiques déjà attribuées.
  • Accordez au groupe « Administrateurs » l’autorisation « Contrôle total » sur le dossier partagé parent. Cette stratégie permet aux administrateurs de gérer les autorisations, d’exporter les listes d’accès et de suivre les modifications apportées à l’ensemble des autorisations, fichiers et dossiers.
  • Surveillez de près l’appartenance au groupe « Administrateurs » ; les utilisateurs de ce groupe bénéficient des autorisations « Accès total » à tous vos fichiers et dossiers partagés. Pour cette raison, vous devez vérifier soigneusement la composition de ce groupe, en utilisant soit la politique d’audit et le journal des événements de sécurité, soit des solutions logicielles tierces qui peuvent vous informer en temps réel de toute modification apportée à ce groupe puissant, et faciliter l’attestation régulière de toutes les autorisations accordées aux utilisateurs.

Pour plus d’information, consultez les bonnes pratiques de gestion des autorisations NTFS.

Utiliser un seul ensemble d’autorisations

Si vous estimez que travailler avec deux ensembles d’autorisations distincts est trop compliqué, vous pouvez utiliser uniquement les autorisations NTFS. Passez simplement les autorisations de partage pour le dossier en « Contrôle total », et vous pourrez alors apporter les modifications que vous voulez aux autorisations NTFS, sans avoir à vous soucier des autorisations de partage de fichiers qui interfèrent avec elles.

Récapitulatif

Comprendre les différences entre les autorisations de partage et les autorisations NTFS vous permet de les utiliser conjointement pour sécuriser l’accès aux ressources locales et partagées. En suivant les directives et les bonnes pratiques que nous venons d’exposer, vous renforcerez encore davantage la sécurité de votre environnement informatique.

Qui a des autorisations pour quoi dans Active Directory