La gestion des droits d’accès aux fichiers et dossiers est un élément fondamental de la sécurité sous Windows. Deux mécanismes clés sont utilisés pour protéger les ressources (les Permissions NTFS et les Stratégies de Sécurité sous Windows) :
- Les permissions NTFS (New Technology File System), qui contrôlent l’accès aux fichiers et dossiers sur un disque formaté en NTFS.
- Les stratégies de sécurité, qui définissent des règles globales pour la gestion des accès, des mots de passe, et des comportements utilisateur sur un domaine Active Directory ou un poste Windows.
Dans cet article, nous allons explorer ces deux concepts en détail.
1. Les Permissions NTFS
Les permissions NTFS permettent de restreindre ou d’accorder des droits d’accès à des utilisateurs ou des groupes sur des fichiers et dossiers. Elles sont stockées dans la liste de contrôle d’accès (ACL, Access Control List) et peuvent être configurées depuis l’Explorateur Windows ou via PowerShell.
1.1. Types de Permissions NTFS
Les permissions NTFS se divisent en deux niveaux :
- Permissions de base : Contrôle total, Modification, Lecture et exécution, Lecture, Écriture.
- Permissions avancées : Incluent des options plus précises comme la possibilité de lister le contenu, créer des fichiers ou modifier les permissions.
| Permission | Description |
|---|---|
| Contrôle total | Autorise toutes les actions, y compris la modification des permissions |
| Modification | Permet de lire, écrire et supprimer un fichier/dossier |
| Lecture et exécution | Permet d’ouvrir les fichiers exécutables et de lire leur contenu |
| Lecture | Autorise uniquement la visualisation du fichier/dossier |
| Écriture | Permet d’ajouter/modifier des fichiers sans les supprimer |
1.2. Héritage des Permissions
Les permissions NTFS sont héritées par défaut des dossiers parents. Cela signifie que si un utilisateur a accès à un dossier parent, il peut automatiquement accéder aux sous-dossiers et fichiers, sauf si l’héritage est désactivé.
🔹 Exemple de gestion des permissions via PowerShell :
# Ajouter une permission de lecture pour un utilisateur spécifique sur un dossier
$Acl = Get-Acl "C:\Partage"
$Ar = New-Object System.Security.AccessControl.FileSystemAccessRule("User01", "Read", "Allow")
$Acl.SetAccessRule($Ar)
Set-Acl "C:\Partage" $Acl
2. Les Stratégies de Sécurité sous Windows
Les stratégies de sécurité sont définies via l’Éditeur de stratégie de sécurité locale (secpol.msc) ou les Stratégies de Groupe (GPO, Group Policy Objects) dans un environnement Active Directory. Elles permettent d’imposer des règles sur les comptes, les mots de passe, et d’autres aspects de la sécurité.
2.1. Stratégies de Sécurité Importantes
| Stratégie | Description |
|---|---|
| Politique de mot de passe | Exige une complexité minimale et une expiration des mots de passe |
| Stratégie de verrouillage du compte | Bloque un compte après plusieurs échecs d’authentification |
| Stratégies de contrôle d’accès | Définit qui peut se connecter localement ou à distance |
| Audit de sécurité | Permet de suivre les tentatives d’accès aux fichiers et connexions utilisateurs |
🔹 Exemple : Appliquer une politique de mot de passe stricte via PowerShell
# Définir une longueur minimale de mot de passe de 12 caractères
Set-LocalUser -Name "User01" -PasswordNeverExpires $false
gpedit.msc # Modifier la stratégie locale pour appliquer des règles de complexité
3. Bonnes Pratiques de Sécurité
✅ Appliquer le principe du moindre privilège (accorder uniquement les accès nécessaires).
✅ Désactiver l’héritage NTFS si un dossier nécessite des permissions spécifiques.
✅ Mettre en place un audit des accès pour suivre les tentatives suspectes.
✅ Appliquer les GPOs pour uniformiser les règles de sécurité sur l’ensemble des machines.
En combinant efficacement les permissions NTFS et les stratégies de sécurité, il est possible de sécuriser les fichiers et d’éviter les accès non autorisés au sein d’un environnement Windows.
