Meilleures pratiques de gestion des autorisations NTFS

Configuration des autorisations NTFS

• Créez une politique de permissions pour le serveur de fichiers qui définit clairement votre processus de gestion des permissions.
• Utilisez les Active Directory groups partout. N'attribuez pas de permissions NTFS aux individus, même si vous devez créer des centaines de groupes. Il est bien plus facile de gérer 200 groupes que 2 000 permissions uniques.
• Configurez les permissions NTFS pour les actifs, attribuez des rôles à ces permissions et assignez des personnes aux rôles. Par exemple, supposons que vous avez un partage nommé HR sur fileserver1. Faites ce qui suit :

1. Pour ce partage, créez les groupes locaux de domaine suivants dans votre AD avec les permissions indiquées :
   • fileserver1_HR_read (Lecture seule)
   • fileserver1_HR_modify (Lire et modifier)
   • fileserver1_HR_fullcontrol (Contrôle total)
2. Utilisez ces groupes pour définir les permissions NTFS aux droits d'utilisateur appropriés.
3. Créez un groupe global dans AD nommé HR pour votre personnel RH. Ajoutez ce groupe global au groupe local de domaine fileserver1_HR_read, puis ajoutez des comptes d'utilisateurs au groupe global HR. Ce que vous avez maintenant fait, c'est lier un actif à une permission, et les permissions à un rôle. À mesure que vous développez votre réseau et ajoutez différents actifs et zones d'accès au rôle, vous pourrez facilement voir quels actifs un rôle peut accéder.

Personnes (comptes utilisateurs) -> Rôle (groupe global AD) -> Permissions (groupe local de domaine AD) -> Actif (fichier ou dossier sur un serveur de fichiers)

• Évitez de donner aux utilisateurs la permission de Contrôle total. Le Contrôle total permet aux utilisateurs de modifier les permissions NTFS, ce que les utilisateurs moyens ne devraient pas avoir besoin de faire. Les droits de modification devraient être tout ce qui est nécessaire pour la plupart des utilisateurs.
• Attribuez les autorisations les plus restrictives qui permettent encore aux utilisateurs d'effectuer leur travail. Par exemple, si les utilisateurs ont seulement besoin de lire les informations dans un dossier et non de modifier, supprimer ou créer des fichiers, attribuez uniquement l'autorisation de lecture.
• Supprimez l'autorisation Everyone de toutes les ressources sauf du dossier global désigné pour les échanges de fichiers.
• Créez un groupe Global Deny afin que, lorsque les employés quittent l'entreprise, vous puissiez rapidement supprimer tous leurs accès aux serveurs de fichiers en les rendant membres de ce groupe.
• Évitez autant que possible de rompre l'héritage des permissions. Il y aura quelques dossiers où cela peut être nécessaire, mais en général, évitez-le. Si quelque chose devait rompre l'héritage, alors il doit soit être déplacé d'un niveau, soit vous devez réévaluer qui a quelles permissions sur le dossier parent. Par exemple, si vous devez donner à quelqu'un des permissions de lecture/écriture pour tout le dossier \Finance mais pas pour \Finance\Budget, vous allez rencontrer des problèmes plus tard.
• Faites en sorte que les utilisateurs se connectent en utilisant des comptes d'utilisateur de domaine plutôt que des comptes locaux. Cette approche centralise l'administration des permissions de partage.
• Toutes les modifications des permissions doivent être auditées au fur et à mesure qu'elles se produisent, et la hiérarchie des permissions doit être auditée au moins une fois par an.

Configuration des partages de fichiers

• Create a top-level folder that will serve as the root storage folder for all user-created data (for example, C:\Data). Create sub-folders in it to segregate and organize data according to job roles and security requirements.
• Assurez-vous que seuls les services informatiques puissent créer des dossiers de niveau racine. Ne laissez même pas les managers ou les cadres créer des dossiers aux 1 ou 2 premiers niveaux. Si vous ne verrouillez pas la hiérarchie de niveau racine, votre structure de dossiers ordonnée sera rapidement détruite. Les départements peuvent organiser leurs dossiers comme ils le souhaitent, mais ne permettez pas la création de dossiers inutiles.
• Organisez vos ressources de manière à ce que les objets ayant les mêmes exigences de sécurité soient situés dans le même dossier. Par exemple, si les utilisateurs nécessitent la permission de lecture pour plusieurs dossiers d'applications, stockez ces dossiers dans le même dossier parent. Ensuite, accordez les permissions de lecture au dossier parent, plutôt que de partager chaque dossier d'application individuellement.
• Assurez-vous que l'énumération basée sur l'accès est activée. L'énumération basée sur l'accès n'affiche que les fichiers et dossiers auxquels un utilisateur a le droit d'accéder. Si un utilisateur n'a pas les permissions de lecture (ou équivalent) pour un dossier, Windows le cache de la vue de l'utilisateur.
• Configurez les autorisations de partage de fichiers Windows de manière assez large — accordez à Tout le monde, aux Utilisateurs authentifiés ou aux Utilisateurs du domaine les autorisations de Contrôle total ou de Modification — et reposez-vous sur NTFS pour la véritable gestion des autorisations.
• Évitez d'avoir des partages imbriqués dans vos structures de fichiers car ils peuvent créer des comportements contradictoires pour les mêmes ressources réseau si elles sont accédées via différents partages. Cela peut être source de problèmes, surtout lorsque les permissions de partage sont différentes. Un partage imbriqué est un dossier partagé qui se trouve dans un autre dossier partagé. Il y a, bien sûr, les partages cachés par défaut (C$, D$, etc.), qui rendent tous les partages en dessous d'eux imbriqués, et ils sont par défaut. Cependant, si vos utilisateurs utilisent deux partages non cachés et imbriqués séparément, il peut y avoir des permissions de partage contradictoires.
• Sachez quand copier et quand déplacer. Les opérations de copie et de déplacement standard fournissent des résultats par défaut qui peuvent conserver vos permissions NTFS configurées — ou les rompre. Les opérations de copie créeront les permissions du conteneur de destination, et les opérations de déplacement conserveront celles du conteneur parent. Pour bien retenir cela, souvenez-vous simplement de CC/MM — Les Copies Créent, les Déplacements Maintiennent.

Top 5 des outils de permissions NTFS

• Outil de rapport de permissions effectives de Netwrix
• NTFS Permissions Reporter de Cjwdev
• Enumération des accès (utilitaire Microsoft)
• Permissions Reporter de Key Metric Software
• Permissions Analyzer de SolarWinds

Exportation des autorisations NTFS via Powershell

• Exportation des autorisations de dossier à l'aide de PowerShell
• Exportation des autorisations utilisateur à l'aide de PowerShell
  

Quelles sont les autorisations NTFS

NTFS (New Technology File System) est le système de fichiers standard pour Windows NT et tous les systèmes d'exploitation Windows ultérieurs. Avec NTFS, vous utilisez des dossiers partagés pour fournir aux utilisateurs du réseau un accès aux ressources de fichiers et ainsi gérer les autorisations pour les lecteurs et les dossiers. Les autorisations NTFS sont disponibles pour tous les lecteurs formatés avec ce système de fichiers. Chaque utilisateur peut choisir de partager des lecteurs entiers ou des dossiers individuels avec le réseau.

Les principaux avantages des autorisations NTFS sont qu'elles affectent les utilisateurs locaux ainsi que les utilisateurs réseau et qu'elles sont basées sur les autorisations accordées à chaque utilisateur individuel lors de la connexion à Windows, indépendamment de l'endroit où l'utilisateur se connecte. Les administrateurs peuvent utiliser l'utilitaire NTFS pour contrôler l'accès aux fichiers et dossiers, conteneurs et objets sur le réseau dans le cadre de la sécurité du système.