Présentation de NTFS

Présentation du système de fichier NTFS de Microsoft Windows.

 1) Gérer les Permissions NTFS

  •  Description

NTFS (Windows NT File System) est un système de fichiers propriétaire de Windows, disponible, entre autres, sur Windows 2000 et 2003. Ce système de fichiers permet de :

– définir précisément le niveau d’accès aux ressources des utilisateurs
– compresser les données (gain d’espace disque mais perte de performance)
– gérer des quotas
– crypter des données avec EFS (Encrypting File System)

Pour chaque fichier & dossier contenu sur une partition NTFS, est générée une liste de contrôle d’accès appelée ACL (Access Control List). Cette liste contient les comptes et les groupes ayant un accès ainsi que le type d’accès. Bien entendu ce type de permission n’est disponible que sur NTFS et non pas sur les systèmes de fichiers FAT ou FAT32.

Voici à quoi correspondent les permissions NTFS disponibles :

Sur un dossier

Lecture : Permet d’afficher les fichiers et sous-dossiers ainsi que leurs attributs et les autorisations associées.

Ecriture : Permet de créer des fichiers et des sous-dossiers.

Lecture & exécution : Permet de parcourir les dossiers + droits de lecture.

Modification : Permet de supprimer le dossier + droits d’écriture, de lecture et d’exécution.

Contrôle Total : Permet de modifier les permissions, de prendre possession du dossier, de supprimer des sous-dossiers et des fichiers + droits de modification.

Sur un fichier

Lecture : Permet de lire le fichier, d’afficher les attributs et les autorisations disposées sur celui-ci.

Ecriture : Permet de remplacer le fichier, de modifier les attributs (lecture seule, caché, archive et système) + droits de lecture.

Lecture & exécution : Permet d’exécuter l’application (un .exe, .bat, etc.) + droits de lecture.

Modification : Permet de modifier et supprimer le fichier + droits d’écriture, d’exécution et de lecture.

Contrôle Total : Permet de modifier les autorisations, prendre possession du fichier + droits de modification.

Il est possible d’octroyer des permissions plus précisément grâce aux autorisations spéciales (il y en a 13, ex « lire les attributs étendus », « création de dossiers / ajout de données », « modifier les autorisations », etc.). Pour accéder aux autorisations spéciales, rendez-vous dans les propriétés d’un fichier ou d’un dossier puis onglet « Sécurité », « Avancé », « Paramètres du contrôle d’accès » et « Autorisations ».

 

  • Autorisations Multiples

Compte tenu de la possibilité pour un utilisateur d’appartenir à plusieurs groupes, des cas d’autorisations multiples sur un même fichier ou dossier sont possibles.

Dans ces cas, les règles sont les suivantes :

  • les droits sur un fichier sont prioritaires sur les droits sur un répertoire
  • l’autorisation « Refuser » est prioritaire sur toutes les autres
  • pour le reste, les permissions se combinent entre elles (par ex: si un utilisateur a un droit de lecture sur un fichier mais fait également partie d’un groupe ayant un droit d’exécution, l’utilisateur aura en réalité un droit de lecture & exécution).

 

  • Héritage

Par défaut, lorsque vous accordez des droits sur un dossier à un utilisateur / groupe, il a automatiquement les mêmes droits sur l’ensemble des fichiers et des sous-dossiers contenus dans ledit dossier.
Il est toutefois possible de supprimer l’héritage du répertoire parent (ou de la partition).
Dans ce cas, le répertoire qui n’hérite plus des permissions de son parent devient lui même parent de l’ensemble des fichiers et répertoires qu’il contient.
Lorsque vous bloquez l’héritage, vous avez la possibilité de copier les permissions précédemment héritées ou de les supprimer pour ne conserver que celles explicitement accordées.

 

  • Copie et déplacement

La copie et le déplacement de fichier/répertoire ont une incidence sur les permissions ; les règles sont les suivantes :

  • En cas de copie, le fichier/répertoire hérite des permissions du répertoire cible.
  • En cas de déplacement dans une même partition NTFS, les permissions sont conservées.
  • En cas de déplacement d’une partition NTFS vers une autres, le fichier/répertoire hérite des permissions du répertoire cible.

 

2) La Compression

Compresser des fichiers ou des répertoires n’est plus forcément utile compte tenu de l’augmentation des volumétries disques.

Si vous êtes tout de même amené à utiliser cette fonctionnalité, notez que NTFS alloue l’espace disque en fonction de taille du fichier non compressé, il est donc, par exemple, impossible de copier un fichier compressé sur une partition si l’espace pour le fichier non compressé n’est pas disponible.

Concernant la compression de fichiers censés être utilisés par une application, ce n’est vraiment par recommandé car dans ce cas, Windows décompresse le fichier lorsque le fichier doit être utilisé et le recompresse une fois qu’il est libéré ; il peut en résulter une perte notable de performance.

  • Copie et déplacement

La copie et le déplacement de fichier/répertoire ont une incidence sur la compression ; les règles sont les suivantes :
En cas de copie, le fichier/répertoire hérite de l’état de compression du répertoire cible.
En cas de déplacement dans une même partition NTFS, l’état de compression est conservé.
En cas de déplacement ou de copie d’une partition NTFS vers une autre, le fichier/répertoire hérite de l’état de compression du répertoire cible.

 

3) Les Quotas

Dans certains cas, il peut être utile d’activer les quotas, en cas de serveur de fichiers par exemple.
Il faut tout d’abord noter que l’utilisation prise en compte est celle des données non compressées, qu’elle est fonction du propriétaire des fichiers et des répertoires et que les quotas sont indépendants par partition.

Pour activer/configurer les Quotas, rendez vous dans les propriétés de la partition puis dans l’onglet Quota.

Pour définir un quota à tous les utilisateurs, il vous faut renseigner les champs « limiter l’espace disque à », « définir le niveau d’avertissement » puis cocher la case « Refuser de l’espace disque aux utilisateurs qui dépassent leur limite de quota ».

Pour définir un quota à un utilisateur, rendez vous les propriétés du disque puis « entrées de quota ». Créez une entrée  de quota dans le menu quota en sélectionnant un utilisateur ; ici indiquez la limite ainsi que le niveau d’avertissement.

4) Crypter ses données avec EFS

EFS (Encrypting File System) permet de sécuriser ses données en les cryptant à l’aide d’une clé privée. Lorsqu’un fichier ou un dossier a été crypté, seul l’utilisateur peut y accéder ; toutefois, l’administrateur reste capable de le décrypter (utile si la clé privée est perdue).
Lors du cryptage, EFS génère automatiquement des clés de récupération et a une besoin d’au moins un agent de récupérationde défini.
Pour Crypter un dossier, il suffit de se rendre dans ses propriétés, dans l’onglet « général », puis « avancés » et enfin « crypter le contenu pour sécuriser les données ».

En cas de perte de la clé privée du propriétaire, l’agent de récupération peut accéder au fichier en utilisant sa propre clé privée. Par exemple, l’utilisateur toto a crypté un répertoire et a quitté l’entreprise ; son compte a été supprimé. Dès lors, pour accéder au répertoire crypté, un administrateur doit réimporter le certificat préalablement exporté (via mmc, ajouter/supprimer un composant logiciel enfichable & Certificats) ; l’importation, elle, s’effectue via Outils d’administration et Certificats.