par Steve Seguis - Mis en ligne le 30/06/2004 - Publié en Septembre 2003
Utilisez un script pour effectuer un audit de sécurité
Beaucoup d'administrateurs de réseaux
construisent une structure de
permissions très organisée fondée sur
les groupes d'utilisateurs, pour leurs
systèmes de fichiers NTFS. Au fil du
temps, les permissions sur les fichiers
et dossiers partagés peuvent devenir
ingérables...Particulièrement si les utilisateurs
demandent fréquemment l'accès
temporaire à des dossiers différents
dans la structure de dossiers
partagée. De guerre lasse, l'administrateur
finit souvent par octroyer des permissions
individuelles sur tel ou tel fichier,
parce qu'aucun des groupes
existants ne correspond aux restrictions
des utilisateurs.
Au début, de telles permissions ne
posent pas de problème dans la mesure
où les administrateurs les appliquent
strictement et gardent intactes la
sécurité et l'intégrité des dossiers. Mais
tout peut se gâter des mois ou des années
après, quand une restructuration
de l'entreprise oblige l'administrateur
à auditer et à nettoyer les groupes et
les droits de sécurité pour ces dossiers
partagés.
Par où commencer si, dans le cadre
d'un audit de sécurité, on vous demande
d'indiquer les fichiers et les
dossiers auxquels chaque utilisateur et
groupe peut accéder ? Si seulement
vous pouviez obtenir cette information
instantanément par un simple claquement
de doigts ! Malheureusement ce
n'est pas aussi simple mais vous pouvez
écrire un script pour effectuer un
audit de sécurité. Pour écrire un tel
script, vous utiliserez showacls.exe et
net.exe.
Auditer automatiquement l’accès aux fichiers et aux dossiers
Showacls.exe est un utilitaire ligne de
commande utile mais souvent ignoré
dans le Microsoft Windows 2000 Server
Resource Kit et Microsoft Windows NT
Server 4.0 Resource Kit. Cet utilitaire
permet d’afficher les droits d’accès
pour les fichiers et les dossiers de partition
NTFS, y compris les permissions
d’accès pour les utilisateurs. Vous suivez
simplement la syntaxe de commande
showacls.exe path [/s]
où path est le chemin d’accès vers le fichier
ou le dossier pour lequel vous
voulez afficher les droits d’accès
(F:\myshare\data, par exemple). Si
vous utilisez le commutateur /s facultatif,
l’utilitaire affiche les permissions
d’accès pour le répertoire spécifié et
tous ses sous-répertoires.
A première vue, il semble que vous
pouvez utiliser cette commande seule
pour l’audit. Pourtant, vous devez
connaître tous les groupes auxquels
chaque utilisateur appartient parce
que showacls.exe n’est pas au courant
de l’appartenance aux groupes d’un
compte et pourrait ne pas signaler les
fichiers et les dossiers auxquels ces
groupes ont accès. Il vous faudrait
alors rechercher manuellement
chaque fichier ou dossier pour déterminer
si cet utilisateur et le groupe auquel
il appartient y ont accès. Bien que
showacls.exe soit utile, l’audit reste essentiellement
une tâche manuelle.
Toutefois, vous pouvez utiliser créativement
cet utilitaire pour obtenir des
informations utiles programmatiquement,
comme nous le verrons plus
loin.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez les dernières tendances et solutions IT autour des univers de Poste de travail, Affichage et Collaboration, Impression et Infrastructure, et notre dossier Green IT sur les actions engagés par inmac wstore pour réduire son impact environnemental