Les niveaux d'autorisation sont configurés pour limiter l'accès d'un utilisateur ou d'un groupe d'utilisateurs à des données particulières. Les systèmes de fichiers FAT32 et NTFS permettent le partage de dossiers et les autorisations au niveau des dossiers pour les utilisateurs bénéficiant d'un accès réseau. Les autorisations sur les dossiers sont illustrées à la figure 1. Le système NTFS propose une sécurité supplémentaire grâce à des autorisations au niveau des fichiers. Celles-ci sont présentées à la figure 2.
Pour configurer les autorisations au niveau des fichiers ou des dossiers, procédez comme suit :
Cliquez avec le bouton droit sur le fichier ou le dossier de votre choix et sélectionnez Propriétés > Sécurité > Modifier.
Lors de la configuration des autorisations de partage réseau pour un ordinateur au format NTFS, vous devez créer un partage réseau et attribuer des autorisations partagées aux utilisateurs ou aux groupes. Seuls les utilisateurs et les groupes dotés d'autorisations NTFS et d'autorisations partagées peuvent accéder à un partage réseau.
Pour configurer les autorisations de partage de dossiers sous Windows 7, procédez comme suit :
Cliquez avec le bouton droit de la souris sur le dossier et sélectionnez Partager avec.
Il existe quatre options de partage :
- Ne pas partager : le dossier n'est pas partagé.
- Le groupe résidentiel (Lecture) : le dossier n'est partagé qu'avec les membres du groupe résidentiel. Ceux-ci peuvent uniquement lire le contenu du dossier.
- Le groupe résidentiel (Lecture/écriture) : le dossier n'est partagé qu'avec les membres du groupe résidentiel. Ceux-ci peuvent lire le contenu du dossier et créer des fichiers et des sous-dossiers.
- Des personnes spécifiques : ouvre la boîte de dialogue Partage de fichiers. Choisissez alors les groupes et utilisateurs avec lesquels le contenu du dossier doit être partagé, ainsi que les niveaux d'autorisation.
Pour configurer les autorisations de partage de dossiers sous Windows Vista, procédez comme suit :
Cliquez avec le bouton droit de la souris sur le dossier et sélectionnez Partager.
Pour configurer les autorisations de partage de dossiers sous Windows XP, procédez comme suit :
Cliquez avec le bouton droit sur un dossier et sélectionnez Partage et sécurité.
Tous les systèmes de fichiers gardent une trace des ressources, mais seuls ceux dotés de journaux (fichiers spéciaux où les changements effectués sur les fichiers sont inscrits avant d'être effectués) peuvent consigner les accès par utilisateur, date et heure. Le système de fichiers FAT32 ne dispose pas de toutes les possibilités de journalisation ni de chiffrement. Par conséquent, pour un niveau de sécurité élevé, on déploie généralement le système NTFS. Si une sécurité supplémentaire est nécessaire, il est possible d'exécuter certains utilitaires, tels que CONVERT, pour convertir un système de fichiers FAT32 en système de fichiers NTFS. Toutefois, cette opération est irréversible. Il est donc important de définir clairement vos objectifs avant d'effectuer cette transition. Ces deux systèmes de fichiers sont comparés à la figure 3.
Principe du privilège minimum
Les utilisateurs ne doivent avoir accès qu'aux ressources dont ils ont besoin, que ce soit sur un ordinateur ou sur un réseau. Par exemple, ils ne doivent pas pouvoir accéder à tous les fichiers d'un serveur s'ils n'ont besoin que d'un seul dossier. Il peut être plus facile d'autoriser l'accès à un lecteur complet, mais il est plus sûr de restreindre l'accès aux seules ressources nécessaires. Cette théorie est appelée « principe des privilèges minimum ». Limiter l'accès aux ressources permet également de bloquer l'accès aux programmes malveillants, au cas où un ordinateur serait contaminé.
Restriction des autorisations attribuées aux utilisateurs
Les autorisations de partage réseau et de partage des fichiers peuvent être accordées à des utilisateurs individuels ou aux membres d'un groupe. Lorsqu'un utilisateur ou un groupe n'est pas autorisé à accéder à un partage réseau, cela remplace toute autre autorisation concédée. Par exemple, si vous refusez d'accorder une autorisation d'accès à un partage réseau, l'utilisateur ne peut pas accéder à ce partage, même s'il est l'administrateur ou membre du groupe des administrateurs. La stratégie de sécurité doit indiquer quelles ressources et quels types d'accès choisir pour chaque utilisateur et chaque groupe.
Lorsque les autorisations d'un dossier sont modifiées, vous pouvez les appliquer aussi à tous les sous-dossiers. Ce procédé s'appelle la propagation des autorisations. Il permet d'appliquer les mêmes autorisations à plusieurs fichiers et dossiers rapidement et facilement. Une fois les autorisations paramétrées pour un dossier, les dossiers et fichiers créés à l'intérieur de ce dossier héritent des autorisations du dossier parent.