Bonnes pratiques de gestion
des autorisations NTFS
Configuration des autorisations NTFS
- Créez une politique des autorisations applicables aux serveurs de fichiers qui définisse clairement votre processus de gestion des autorisations.
- Utilisez les groupes Active Directory partout. N’attribuez pas d’autorisations NTFS à des individus, même s’il vous faut créer des centaines de groupes. Il est bien plus facile de gérer 200 groupes que 2000 autorisations individuelles.
- Configurez les autorisations NTFS pour les ressources, attribuez des rôles à ces autorisations et affectez des personnes aux rôles. Imaginons, par exemple, que vous ayez un partage appelé RH sur serveurdefichiers1. Procédez comme suit :
1. Pour ce partage, créez les groupes locaux de domaines suivants dans votre AD avec les autorisations suivantes :
- serveurdefichiers1_RH_read (Lecture seule)
- serveurdefichiers1_RH_modify (Lecture et modification)
- serveurdefichiers1_RH_fullcontrol (Contrôle total)
2. Servez-vous de ces groupes pour définir des autorisations NTFS utilisateurs.
3. Créez un groupe AD global en nommé RH pour votre personnel RH. Ajoutez ce groupe global au groupe local du domaine serveurdefichiers1_RH_read, puis ajoutez des comptes d’utilisateur au groupe global RH. Vous venez de lier une ressource à une autorisation, et les autorisations à un rôle. Au fur et à mesure que vous étendez votre réseau et ajoutez différentes ressources et zones d’accès au rôle, vous pouvez facilement voir à quelles ressources un rôle peut accéder.
Personnes (comptes d’utilisateur) -> Rôle (groupe AD global) -> Autorisations (groupe AD local) -> Ressource (fichier ou dossier sur un serveur de fichiers)
- Évitez de donner aux utilisateurs l’autorisation « Contrôle total ». Contrôle total permet aux utilisateurs de modifier les autorisations NTFS, ce que les utilisateurs lambda ne devraient pas avoir à faire. Des droits de modification devraient suffire à la plupart des utilisateurs.
- Attribuez les autorisations les plus restrictives possibles, qui permettent tout de même aux utilisateurs d’effectuer leur travail. Par exemple, si des utilisateurs doivent seulement lire des informations dans un dossier et non modifier, supprimer ou créer des fichiers, attribuez-leur l’autorisation Lecture uniquement.
- Supprimez l’autorisation Tout le monde de toutes les ressources, sauf le dossier global destiné aux échanges de fichiers.
- Créez un groupe global d’interdiction afin que, lorsque des employés quittent l’entreprise, vous puissiez rapidement supprimer tous leurs accès aux serveurs de fichiers en les faisant membres de ce groupe.
- Évitez autant que possible de rompre les héritages des autorisations. Cela pourra s’avérer nécessaire pour quelques dossiers, mais en général, il faut éviter cela. Si quelque chose venait à briser un héritage, il faudrait alors soit passer au niveau supérieur, soit réévaluer qui dispose de quelles autorisations sur le dossier parent. Si, par exemple, vous devez accorder à quelqu’un des autorisations de lecture/écriture pour tout le dossier \Finance mais pas \Finance\Budget, vous aurez des problèmes plus tard.
- Faites en sorte que les utilisateurs se connectent en utilisant des comptes d’utilisateur de domaine plutôt que des comptes locaux. Cette approche centralise l’administration des autorisations relatives aux partages.
- Toutes les modifications d’autorisations doivent être auditées au fur et à mesure qu’elles sont apportées, et l’arborescence des autorisations doit être auditée au moins une fois par an.
Configuration des partages de fichiers
- Créez un dossier de premier niveau qui servira de dossier de stockage racine pour toutes les données créées par les utilisateurs (par exemple, C:\Data). Dans ce dossier, créez des sous-dossiers pour séparer et organiser les données selon les rôles des postes et les exigences de sécurité.
- Veillez à ce que seul le service informatique puisse créer des dossiers au niveau racine. Ne laissez ni même les directeurs ni les cadres créer des dossiers aux deux premiers niveaux. Si vous ne verrouillez pas l’arborescence au niveau racine, votre structure de dossiers bien ordonnée sera rapidement détruite. Les différents services peuvent organiser leurs dossiers comme ils le souhaitent, mais n’autorisez pas les dossiers Fichiers indésirables.
- Organisez vos ressources de manière à ce que les objets ayant les mêmes exigences de sécurité se trouvent dans le même dossier. Si, par exemple, des utilisateurs ont besoin de l’autorisation Lecture pour plusieurs dossiers d’application, stockez ces dossiers dans le même dossier parent. Accordez ensuite des autorisations de lecture au dossier parent, plutôt que de partager chaque dossier d’application séparément.
- Assurez-vous que l’énumération basée sur l’accès est activée. L’énumération basée sur l’accès n’affiche que les fichiers et les dossiers auxquels un utilisateur a le droit d’accéder. Si un utilisateur ne dispose pas de l’autorisation Lecture (ou équivalente) pour un dossier, Windows masque ce dossier à l’utilisateur.
- Définissez les autorisations de partage de fichiers Windows de manière assez souple – accordez à tout le monde, aux utilisateurs authentifiés ou aux utilisateurs du domaine le contrôle total ou les autorisations de modification – et comptez sur NTFS pour gérer les autorisations.
- Évitez d’avoir des partages imbriqués dans vos structures de fichiers car ils peuvent créer des comportements conflictuels pour les mêmes ressources réseau si l’accès à celles-ci se fait via des partages différents. Cela peut poser des problèmes, surtout lorsque les autorisations de partage sont différentes. Un partage imbriqué est un dossier partagé qui réside dans un dossier partagé distinct. Les partages masqués par défaut (C$, D$, etc.) font que tous les partages en aval sont imbriqués et sont des partages par défaut. Toutefois, si vos utilisateurs utilisent deux partages séparés non masqués qui sont imbriqués, certaines autorisations de partage peuvent être conflictuelles.
- Sachez quand copier et quand déplacer. Les opérations standard de copie et de déplacement donnent des résultats par défaut qui peuvent maintenir ou casser les autorisations NTFS que vous avez configurées. Les opérations de copie créent les autorisations du conteneur de destination, et les opérations de déplacement maintiennent celles du conteneur parent. Pour ne pas se tromper, il suffit de se souvenir de CC/MM : la Copies Crée, le Mouvement Maintient.
Le Top 5 des outils de gestion des autorisations NTFS
- Effective Permissions Reporting Tool de Netwrix
- NTFS Permissions Reporter de Cjwdev
- Access Enum (utilitaire Microsoft)
- Permissions Reporter de Key Metric Software
- Permissions Analyzer de SolarWinds
Exporter des autorisations NTFS avec Powershell
Que sont les autorisations NTFS ?
NTFS (New Technology File System) est le système de fichiers standard pour Windows NT et tous les systèmes d’exploitation Windows ultérieurs. Avec le système NTFS, vous utilisez des dossiers partagés pour permettre aux utilisateurs du réseau d’accéder aux ressources de fichiers et ainsi gérer les autorisations pour les lecteurs et les dossiers. Les autorisations NTFS sont applicables à tous les lecteurs formatés avec ce système de fichiers. Chaque utilisateur peut décider de partager des disques entiers ou des dossiers individuels avec le réseau.
Les principaux avantages des autorisations NTFS sont qu’elles affectent à la fois les utilisateurs locaux et les utilisateurs du réseau, et qu’elles sont basées sur les autorisations accordées à un utilisateur individuel lors de la connexion Windows, quel que soit l’endroit depuis lequel il se connecte. Pour assurer la sécurité du système, les administrateurs peuvent se servir de l’utilitaire NTFS pour contrôler l’accès aux fichiers et aux dossiers, aux conteneurs et aux objets sur le réseau.
des données