Intégrateur et expert
en sécurité du système d’information

Comprendre pourquoi la gestion des droits NTFS est source de problème

28 octobre 2013
Comprendre pourquoi la gestion des droits NTFS est (...)

Les sociétés gèrent au quotidien des problèmes sur des ACLs positionnées sur les répertoires et fichiers.
Parfois, les répertoires enfants héritent, parfois ce n’est pas le cas alors que ça devrait... Souvent, les applications positionnent des droits pendant leur installation pour bien fonctionner mais ne les rétablissent pas.
Cet article va présenter la nature des problèmes rencontrés ainsi que leur origine, et montrer la visibilité au sein de l’interface Varonis DatAdvantage.

Contexte

Dans la capture d’écran qui suit, vous pouvez voir un répertoire avec de nombreux sous-dossiers ayant chacun des permissions différentes ou uniques.
Les outils d’administration Microsoft ne disposent pas d’une visibilité suffisamment claire pour permettre aux administrateurs de voir les différents niveaux d’attribution des droits, héritages ou unicité de ces derniers. Ce manque est la cause principale d’attribution de droits à des utilisateurs qui ne devraient jamais avoir accès à certaines données.


Varonis DatAdvantage apporte toute cette visibilité avec les différents niveaux de permissions, unicités, héritages et ACLs cassées, le tout dans une interface graphique simple.


Cet article va couvrir cinq situations spécifiques. Dans chaque cas, la capture ci-dessus va permettre de positionner le contexte, chaque cas traité étant illustré par un répertoire enfant de "zzTest".

Premier cas : ACLs cassées (broken ACLs)

Les ACLs cassées est un cas très difficile à gérer dans la mesure où dès lors que l’héritage est actif, il n’est pas possible de changer les droits avec les outils classiques d’administration. Toutefois, il existe des applications qui peuvent modifier des droits directement sans les outils d’administration habituels. De même certains outils de lignes de commande peuvent éditer les ACLs comme xcacls.exe.

Les ACLs sont cassées dès lors que l’héritage est actif et que les répertoires enfants se retrouvent avec moins de droits que le répertoire parent.


Dans les captures ci-dessus, l’icône en forme d’homme sur les répertoires enfants indiquent qu’il y a des permissions uniques sur chaque répertoire enfant.
Quoiqu’il en soit, lorsque l’on regarde les droits positionnés sur les répertoires enfant, on constate que ceux-ci sont bien différents du répertoire parent.
En outre, les permissions sont moins ouvertes que le répertoire parent. Il y a des conditions pour lesquelles un répertoire enfant peut avoir plus de droits que le répertoire parent. On parle dans ce cas de droit "unique".

Deuxième cas : héritage

Les répertoires enfants qui héritent du parent sont les plus simples à administrer. Lorsque l’on fait une modification sur le parent, celle-ci est répercutée automatiquement sur les répertoires qui héritent.
Lors de ce processus, les répertoires enfant ne sont pas modifiés.


Les deux captures d’écran ci-dessus montrent l’interface de Varonis DatAdvantage lorsque l’héritage est activé. Il n’y a pas de symbole, uniquement des répertoires identiques indiquant la présence de droits analogues.

Troisième cas : casser l’héritage

Généralement, lorsque un utilisateur veut empêcher certains utilisateurs d’accéder un répertoire spécifique, il va généralement casser l’héritage et appliquer de nouveaux droits à ce niveau. Voici comment cela devient visible dans la gui Varonis.


Le répertoire parent, appelé "stop inheriting", a une clé dessinée dessus, ce qui indique que ce répertoire n’hérite pas des droits du serveur parent.
Il faut toutefois faire attention à ce cas car l’administrateur va généralement casser l’héritage, copier les droits du parent sur le répertoire enfant, puis faire les modifications. Dans beaucoup de cas, on se retrouve avec les mêmes droits effectifs mais une variation des groupes/utilisateurs positionnés.

Quatrième cas : unicité des droits

Des répertoires uniques sont des répertoires ayant des droits différents du parent tout en ayant l’héritage activé. Varons DatAdvantage décrit ce cas non pas avec une clé mais avec un symbole d’homme. Les répertoires uniques ont au minimum les mêmes droits que leur parent, mais ont généralement aussi plus de droits.
L’origine d’obtention de droits supplémentaires peut être très confuse.


Les deux captures ci-dessus montre une vue de répertoires uniques. On constate pourtant sur la partie de droite que les droits positionnés semblent les mêmes. Pour comprendre ce qu’il se passe, passons à la vue native beaucoup moins graphique.


On remarque ici que les droits du parent sont bien hérités, mais aussi qu’il y a un autre droit positionné spécifiquement à ce niveau pour les administrateurs au niveau de répertoire. Voilà d’où vient l’unicité.

Cinquième cas : très complexe

Dans la situation ci-dessous, les répertoires enfant semblent hériter certains droits du parent et ont des droits uniques appliqués. C’est aussi assez complexe dans la mesure où arrêter l’héritage ne stoppera pas les droits attribués à chaque niveau, et casser l’héritage risque d’entrainer un incident critique des systèmes de production et applications.


Dans les captures ci-dessus, des utilisateurs et groupes sont appliqués en plus de l’héritage à plusieurs répertoires. Dans la capture ci-dessous, la vue native montre que des droits sont positionnés du fait de l’héritage ainsi que des droits uniques et ce à chaque niveau de répertoire.
Cela devient de fait très complexe pour vérifier et rétablir les droits légitimes.

Solution

Varonis DatAdvantage au travers de sa gui et de ses rapports va permettre de manière très rapide de rétablir et de réparer les droits attribués quelle qu’en soit la raison au travers d’un process industrialisable.

En savoir plus sur DatAdvantage.

N’hésitez pas à nous contacter si vous souhaitez une présentation de cette solution ou pour avoir des conseils sur la gestion des droits d’accès à vos serveurs de données non structurées.

Suivez-nous