Nous mettrons à jour notre Politique de confidentialité prochainement. En voici un aperçu.

Les fondements des réseaux : Le contrôle d’accès dynamique

Comprendre les autorisations NTFS

Testez gratuitement nos 1341 formations

pendant 10 jours !

Tester maintenant Afficher tous les abonnements
Passez en revue les principes des autorisations NTFS, avec les listes de contrôle d'accès et les entrées de contrôle d'accès.
06:12

Transcription

Débutons et faisons un léger retour sur quelques concepts afin de nous assurer que nous parlerons le même langage durant toute cette formation, et également nous permettre de nous remémorer quelques concepts. Les concepts d'autorisation et le rôle du gestionnaire de serveur de fichiers Windows FSRM. Très bien, commençons par la description des autorisations, donc les autorisations avec NTFS, puisqu'on va parler du contrôle d'accès dynamique de Windows. Donc, les autorisations avec NTFS, ce sont des règles associées à des objets sur un ordinateur ou un réseau, par exemple, des fichiers ou des dossiers. Ces règles sont stockées dans une liste de contrôles d'accès, une ACL, Access Control List. Les autorisations vont déterminer si un utilisateur a accès à un objet et ce qu'il peut en faire. Par exemple, il est possible d'accéder à un document dans un dossier, et même si vous pouvez lire le document, vous n'êtes peut-être pas autorisé à le modifier. Les administrateurs système et les personnes disposant de comptes administrateur sur les ordinateurs peuvent octroyer des autorisations à des utilisateurs, soit individuelles ou à des groupes. Concrètement, comme c'est le cas sur la diapositive, le groupe utilisateur RH fait une tentative d'accès sur une ressource. La ressource va contrôler sa liste de contrôles d'accès pour vérifier la présence d'autorisations pour ce groupe. La liste ne contenant pas explicitement ce groupe utilisateur, elle refuse l'accès complet. Autre exemple, ce groupe ici tente d'accéder et faire une tentative d'accès à un autre dossier La ressource va également contrôler sa liste de contrôle d'accès et la liste contient explicitement ce groupe d'utilisateurs, elle accepte l'accès au niveau d'autorisation défini. Maintenant que l'accès est accordé, donc le groupe pourra effectuer des opérations en fonction des niveaux d'autorisation octroyés à celui-ci. Voilà pour le petit rappel rapide de NTFS et des autorisations. Donc, une ACL et une ACE, donc les ACL et les ACE, les autorisations NTFS sont donc stockées associées à a ressource sous forme de listes de contrôle d'accès, une ACL, Access Control List. Une liste de contrôle d'accès, donc une ACL est un mécanisme utilisé pour protéger des ressources telles que des fichiers et des dossiers. Une autorisation peut être de deux types, soit explicite, soit implicite. Une autorisation explicite est une autorisation explicitement définie dans la liste de contrôle d'accès pour un objet. Une autorisation implicite est une autorisation qui n'est pas explicitement définie dans la liste de contrôle d'accès. Par exemple, un utilisateur X tente d'accéder à un fichier. Celui-ci n'ayant aucune autorisation explicitement définie sur le fichier, donc implicitement il n'a aucune autorisation. Les ACL contiennent des entrées de contrôle d'accès, des ACE, Access Control Entry, qui associent une entité de sécurité, alors habituellement un compte utilisateur ou un groupe de comptes, à une règle qui détermine l'utilisation possible de la ressource. Les ACL et les ACE donc vous permettent d'accorder ou de refuser des droits aux ressources selon les autorisations que vous pouvez associer aux comptes d'utilisateurs. Par exemple, vous pouvez créer une ACE et l'appliquer à l'ACL d'un fichier pour empêcher quiconque à l'exception d'un groupe particulier de lire le fichier, tout simplement. Voilà pour le rappel ACL et ACE. Donc, on peut voir sur la diapositive, dedans on va retrouver ici ma liste de contrôle d'accès Et dans la liste de contrôle d'accès, chaque entrée est une entrée, une ACE, donc une Access Control Entry. Et associer à chaque ACE, on retrouve le contrôle d'accès objet, donc l'ACO qui est ici. Rappel donc sur NTFS, donc les autorisations NTFS et listes de contrôle d'accès fournissent un contrôle d'accès basé non pas sur le nom, même si dans l'interface graphique pour nous administrateur, on voit le nom du groupe ou de l'utilisateur, le système lui contrôle l'accès basé sur des SID, des Securities Identifiers. Donc, chaque fois que vous créez un objet dans vos annuaires, dans vos réseaux, eh bien, cet objet est systématiquement associé à un identifiant de sécurité qui est unique. Ce SID donc, disons que ça peut être un SID type utilisateur, ou le SID de l'appartenance au groupe de celui-ci. Donc, on va retrouver les SID de tous les groupes possibles auxquels je vais accorder l'autorisation. Malheureusement, les besoins en termes d'autorisation d'entreprise sont souvent beaucoup plus complexes que ce que permettent réellement la gestion des systèmes d'exploitation classiques et des autorisations comme NTFS. Donc, il est souvent fastidieux de mettre en place des autorisations qui cadrent parfaitement, notamment avec le besoin du métier, sans devoir utiliser, par exemple, des refus explicites ou même scinder les informations en utilisant des chemins d'accès différents et des partages différents. Mais cela complexifie bien sûr grandement la gestion, parce que plus j'ai de partages et plus j'ai d'autorisations différentes à gérer. Et d'autre part, NTFS, et même ses concurrents d'ailleurs, n'offrent réellement de gestion centralisée des autorisations à moins d'utiliser des outils tiers qui sont relativement coûteux, nativement, il n'y a pas d'outils de centralisation. Donc, il faut passer ressource par ressource pour affecter les autorisations sur chaque dossier partagé, sur chaque entité de sécurité, sur chaque objet à sécuriser plus exactement ici. Donc, dans les grandes structures, ça peut vite devenir fastidieux et c'est même souvent sources d'erreurs, parce que plus j'ai d'autorisations globalement à gérer partout sur mon réseau et plus à un moment donné la moindre obfuscation devient très compliquée. Voilà pour le rappel NTFS. Donc, je vous propose de passer dans la vidéo suivante à une petite démonstration de NTFS.

Les fondements des réseaux : Le contrôle d’accès dynamique

Apprenez à mettre en place le contrôle d’accès dynamique dans vos infrastructures Windows. Sécurisez ainsi l’accès à vos données avec le DAC (Dynamic Access Control).

1h39 (18 vidéos)
Aucun commentaire n´est disponible actuellement
 
Spécial abonnés
Date de parution :22 mars 2016

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !