Autorisations Windows
sur les fichiers et les répertoires

RETOUR

1. Introduction

Fonction de base du système d'exploitation: Contrôle discrétionnaire des activités des utilisateurs.

Action ou ressource refusée ou accordée en fonction de l'utilisateur.

Autorisation (Permission) : Autorisation d'accès à une ressource accordée par un administrateur à un utilisateur ou un groupe d'utilisateurs.

 - Accès sécurisé pour les fichiers et répertoires créés dans une partition NTFS.
 - Accès sécurisé pour les imprimantes.
 - Accès sécurisé aux ressources partagées sur le réseau (répertoires, imprimantes, ...).
 - Accés sécurisé à tous les objets du système d'exploitation soumis à l'attribution d'ACLs.

Contrôle d'accès organisé par l'administrateur (effectué au niveau utilisateur ou plus globalement au niveau groupe d'utilisateurs).

Propriétaire : Utilisateur qui a créé ou qui s'est approprié un fichier, un répertoire ou tout autre type d'objet du système d'exploitation (il possède généralement tous les droits sur cet objet).

Accès au nom du propriétaire et appropriation

2. Autorisations pouvant être attribuées

Deux niveaux :
 - Bas niveau : Autorisations élémentaires
 - Haut niveau :
   - Autorisation spéciale (construite à partir d'un jeu quelconque d'autorisations élémentaires)
   - Méta-autorisation (autorisation composée à un jeu particulier d'autorisations élémentaires) correspondant à des cas d'application classiques

Si possible, n'utiliser que les méta-autorisations. Sinon, se "risquer" à jouer des autorisations spéciales.

2.1. Autorisations spéciales (fichiers et rétertoires)

 - Contrôle total
 - Parcours du dossier/exécuter le fichier
 - Liste du dossier/lecture de données
 - Attributs de lecture
 - Lecture des attributs étendus
 - Création de fichier/écriture de données
 - Création de dossier/ajout de données
 - Attributs d'écriture
 - Ecriture d'attributs étendus
 - Suppression
 - Autorisations de lecture
 - Modification des autorisations
 - Appropriation

Liste des autorisations élémentaires
(configurables en autorisation ou refus)

2.2. Méta-autorisations pour les répertoires

On fixe les autorisations pour le répertoire lui-même et pour les fichiers et/ou répertoires qu'il contient ou qu'il contiendra lors de leur création :
 - Contrôle total
 - Modification
 - Lecture et exécution
 - Affichage du contenu du dossier
 - Lecture
 - Ecriture
 - Autorisations spéciales...

Méta-autorisations de répertoire
(configurables en autorisation ou refus)
(en grisé: autorisation héritée)

Exemple : La méta-autorisation "Affichage du contenu du dossier" correspond à la composition des 5 autorisations élémentaires suivantes en autorisation avec aucune autorisation élémentaire en refus :
 - Parcours du dossier/exécuter le fichier
 - Liste du dossier/lecture de données
 - Attributs de lecture
 - Lecture des attributs étendus
 - Autorisations de lecture

2.3. Méta-autorisations pour les fichiers

 - Contrôle total
 - Modification
 - Lecture et exécution
 - Lecture
 - Ecriture
 - Autorisations spéciales...

Méta-autorisations de fichier
(configurables en autorisation ou refus)
(en grisé: autorisation héritée)

Exemple: La méta-autorisation "Lecture et exécution" valide la méta-autorisation "Lecture" (qui est un de ses sous-ensembles) et correspond à la composition des 5 autorisations élémentaires suivantes en autorisation avec aucune autorisation élémentaire en refus :
 - Parcours du dossier/exécuter le fichier
 - Liste du dossier/lecture de données
 - Attributs de lecture
 - Lecture des attributs étendus
 - Autorisations de lecture

Si seul "Lecture" est validé, l'autorisation élémentaire "Parcours du dossier/exécuter le fichier" disparait pour ne conserver que :
 - Liste du dossier/lecture de données
 - Attributs de lecture
 - Lecture des attributs étendus
 - Autorisations de lecture

2.4. Cible d'application des autorisations

Pour un dossier, action de configuration des autorisations réalisable sur :
 - Ce dossier seulement
 - Ce dossier, les sous-dossiers et les fichiers
 - Ce dossier et les sous-dossiers
 - Ce dossier et les fichiers
 - Les sous-dossiers et les fichiers seulement
 - Les sous-dossiers seulement
 - Les fichiers seulement

Cibles possibles pour une configuration d'autorisation

NTFS 5 autorise l'héritage des autorisations pour un sous-répertoire depuis son répertoire parent. Il permet d'ajouter des autorisations spécifiques aux autorisations héritées.
NTFS 5 permet aussi à un répertoire de laisser ou non ses sous-répertoires hériter de ses propres autorisations.

A l'installation du système, permissions par défaut attribuées aux fichiers et répertoires du système d'exploitation aux groupes et utilisateurs intégrés
-> Sécurité minimale.

Droit de l'administrateur : Prendre possession et changer les autorisations de l'intégralité des objets.

Lors de la création d'un fichier ou d'un répertoire, attribution à cet objet des autorisations du répertoire dans lequel il est placé (le créateur en est le propriétaire).
Lors du déplacement d'un fichier ou d'un répertoire sur une même unité, conservation des informations de sécurité.

3. Principes d'attribution et conséquences induites

Les autorisations peuvent être attribuées sur un fichier ou un répertoire aux utilisateurs et aux groupes d'utilisateurs. On parle alors d'ACL (Access Control List) attribuée soit à un utilisateur soit à un groupe d'utilisateurs. On peut créer autant d'ACL que souhaité sur un fichier ou un répertoire.
Lorsqu'un utilisateur est référencé plusieurs fois dans les ACL posées sur un fichier ou un répertoire, soit parce qu'il est directement référencé soit parce qu'il appartient à un ou plusieurs groupes référencés, la détermination de ce que peut faire cet utilisateur est réalisée par le système d'exploitation en déterminant si au moins une des ACLs autorise la manipulation tentée. Si c'est le cas, la manipulation est autorisée.
Exemple : Si un utilisateur alpha fait partie des groupes G1 et G2, si le groupe G1 est en contrôle total sur un fichier et si le groupe G2 est en lecture seule sur ce fichier, alors alpha dispose du contrôle total sur ce fichier.
Windows propose un onglet "Autorisations effectives" dans les propriétés des fichiers et des répertoires pour déterminer les autorisations véritablement placées.

4. Consulter/configurer les autorisations en ligne de commande

 - takeown : Changement du propriétaire
 - cacls et icacls : Consulter/modifier les autorisations
 - dir : Lister le contenu d'un répertoire