Blog Sécurité des données

Réparer les Permissions Windows

par Brian Vecci Que vous soyez directeur des systèmes d’information, impliqué dans la sécurité du système ou en charge des autorisations, il vous est surement déjà arrivé de rompre les...
David Gibson
2 minute de lecture
Dernière mise à jour 29 juillet 2022

Contents

    par Brian Vecci

    Que vous soyez directeur des systèmes d’information, impliqué dans la sécurité du système ou en charge des autorisations, il vous est surement déjà arrivé de rompre les autorisations Windows. « Rompre » peut bien sure avoir diverses significations car il existe une variété de moyens pour briser une autorisation NTFS.

    Dans l’un des articles précédents nous remarquions que même dans le cas où les autorisations sont mécaniquement correctes – c’est-à-dire efficaces du point de vue de l’authentification – elles peuvent malgré tout être rompues  lorsque leur attribution n’est pas appropriée. Mais ce type d’erreur n’est pas le sujet de cet article. Parlons plutôt des autorisations mécaniquement rompues à cause d’un héritage de permissions NTFS vicié.

    De manière générale, un dossier Windows peut hériter d’autorisations de trois façons différentes. Il peut tout simplement hériter de l’ensemble des autorisations de son dossier parent et, dans ce cas, les ACLs sont exactement les mêmes. Le dossier peut également hériter de toutes les autorisations de son dossier parent tout en ayant des autorisations supplémentaires. Varonis parle de dossiers « uniques ». Dans ces deux cas, les modifications apportées au dossier parent sont répercutées sur les sous-dossiers1. Enfin le sous-dossier peut hériter d’autorisations rompues, ou inactives – Microsoft (et Varonis) parlent de dossiers « protégés ».  Les dossiers protégés n’héritent pas des autorisations de leurs dossiers parents, et les modifications apportées aux autorisations du dossier parent n’affecteront pas les ACLs. Les outils d’administration présents sous Windows fournissent peut de visibilité sur les  dossiers dont l’héritage des autorisations est inactif ou sur les dossiers avec des autorisations uniques. C’est l’une des principales raisons pour lesquelles les entreprises ne peuvent pas déterminer quelles données sont accessibles à un trop grand nombre d’utilisateurs.

    Ce qui complique les choses est que, parfois, l’héritage des permissions peut être rompu. Soit le sous-dossier n’a pas hérité des autorisations auxquelles il aurait du hériter, soit le sous-dossier a hérité de permissions n’étant pas appliquées au dossier parent. Quoi qu’il en soit le chaos se produit – le service informatique pensent que certains dossiers ont des accès restreints alors que ce n’est pas le cas, ou croit que certains dossiers sont accessibles alors qu’ils ne le sont pas. Lorsque le chaos se produit, trouver et corriger l’erreur nécessite l’analyse de tous les ACLs dans la branche concernée.

    Les ACLs rompues ont des causes diverses. Certains programmes de copies automatiques sont connus pour produire ces résultats inattendus. Les scripts locaux peuvent également engendrer des difficultés similaires. Une autre incohérence apparait lorsqu’un utilisateur déplace un fichier ou un dossier vers un autre dossier du même volume avec des autorisations différentes. Quand un fichier ou un dossier est déplacé au sein du même volume, il est seulement renommé dans la table d’attribution des fichiers sans que les autorisations ne soient modifiées. Quand un fichier ou un dossier est déplacé d’un volume à l’autre, il hérite des autorisations de son nouveau dossier parent.

    Il existe heureusement une technologie pour trouver et résoudre de tels problèmes. Varonis DatAdvantage recueille l’ensemble des autorisations à partir de l’Active Directory et peut facilement produire un rapport repérant les ACLs rompues ou les ensembles d’autorisations incohérents. DatAdvantage offre également la possibilité de valider les modifications sur le serveur (et même programmer ou annuler ces modifications), afin que les administrateurs puissent résoudre ces problèmes via l’interface. Cela permet de réparer les permissions mécaniquement brisées, cependant il faut parler des autorisations qui fonctionnement correctement mais qui donnent l’accès à trop d’utilisateurs. Restez à l’écoute.

    [1] (à moins que la configuration empêche la propagation à l’ensemble des sous-dossiers)

     

    The post Réparer les Permissions Windows appeared first on Varonis Français.

    Que dois-je faire maintenant ?

    Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

    1

    Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

    2

    Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

    3

    Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

    David Gibson
    David Gibson David Gibson a plus de 20 ans d'expérience dans les domaines de la technologie et du marketing. Il s'exprime fréquemment sur la cybersécurité et les meilleures pratiques technologiques lors de conférences sectorielles et a été cité dans le New York Times, USA Today, The Washington Post et de nombreuses sources d'information sur la sécurité.

    Essayez Varonis gratuitement.

    Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
    Se déploie en quelques minutes.
    Commencer Voir un échantillon

    Keep reading

    Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

    3 étapes-pour-sécuriser-vos-données-snowflake
    3 étapes pour sécuriser vos données Snowflake
    3 étapes-pour-sécuriser-vos-données-snowflake
    Eugene Feldman
    2 juin 2025
    Découvrez les risques de sécurité des données dans Snowflake et apprenez des tactiques spécifiques pour garantir des pratiques sûres.
    un-rapport-sur-la-sécurité-des-données-révèle-que-99-%-des-organisations-ont-des-informations-sensibles-exposées-à-l'ia
    Un rapport sur la sécurité des données révèle que 99 % des organisations ont des informations sensibles exposées à l'IA
    un-rapport-sur-la-sécurité-des-données-révèle-que-99-%-des-organisations-ont-des-informations-sensibles-exposées-à-l'ia
    Lexi Croisdale
    2 juin 2025
    Le rapport 2025 de Varonis sur l'état de la sécurité des données présente les résultats basés sur l'étude de 1 000 environnements informatiques réels, afin de révéler le côté obscur de l'essor de l'IA et les mesures proactives que les organisations peuvent mettre en œuvre pour sécuriser les informations critiques.
    qu’est-ce-que-le-contrôle-d’accès-basé-sur-les-rôles-(rbac) ?
    Qu’est-ce que le contrôle d’accès basé sur les rôles (RBAC) ?
    qu’est-ce-que-le-contrôle-d’accès-basé-sur-les-rôles-(rbac) ?
    Daniel Miller
    6 mai 2025
    Le contrôle d’accès basé sur les rôles (RBAC) est un paradigme de sécurité selon lequel les utilisateurs reçoivent des droits d’accès en fonction de leur rôle au sein de votre organisation. Dans ce guide, nous allons vous expliquer ce qu’est le RBAC et comment le mettre en œuvre.
    varonis-s’associe-à-pure storage-pour-protéger-les-données-critiques
    Varonis s’associe à Pure Storage pour protéger les données critiques
    varonis-s’associe-à-pure storage-pour-protéger-les-données-critiques
    Nolan Necoechea
    28 avril 2025
    Ensemble, Varonis et Pure Storage permettent aux clients de sécuriser de manière proactive les données sensibles, de détecter les menaces et de se conformer aux règles de confidentialité des données et de l’IA en constante évolution.