Forum Clubic

Autorisation sécurité Vista pro

bonjour

j’ai un souci ubuesque sur Vista pro

Je veux limiter l’accès à un dossier à mon seul compte, appelons le TOTO

Toto est mon compte administrateur, répertorié ainsi sous les comptes utilisateurs. Je suis donc sur ma session TOTO.

Je veux interdire l’accès à mon dossier pour tout le monde sauf TOTO

Quand je définis les limites d’accès pour tout le monde sans modifier les autorisations de TOTO qui reste en contrôle total, et bien…même avec mon compte TOTO , je suis en accès refusé.

Est ce que c’est parce que TOTO est défini comme appartenant en même temps à “tout le monde” ?

Je ne comprends pas.

Je crois qu’il s’agit d’un problème “en poupée russe”… Tu vas comprendre de quoi je veux parler.

Tu dis avoir viré les droits pour tous les utilisateurs, sauf le tien. Oui, mais voilà : Windows NT ne fonctionne pas qu’avec des utillisateurs, mais aussi avec des groupes d’utilisateurs (administrateurs, utilisateurs avec pouvoir ou limités, invités, sans oublier les comptes du système).

Du coup, si tu as viré les droits pour tout le monde, y compris pour le groupe “administrateurs”, dans la mesure où “Toto” est vraisemblablement dans ce groupe (et donc hérite des droits de ce dernier), tu lui as aussi viré ses droits, mais en amont.

Ça doit être un truc comme ça qui t’arrive… :neutre:
Edité le 30/01/2010 à 17:52

Il faut savoir que pour la securité des données NTFS les “Refus” sont prioritaires sur les “autorisations”

donc si à un moment où un autre tu mets un refus à un groupe ou membre qui a pourtant une autorisation, alors il n’accedera pas.

Tu peux empecher des utilisateurs “non administrateurs” d’aller dans le dossier
Tu peux aussi empecher les administrateurs mais il te demandera quand meme une autorisation pour y accèder.
Par contre tu ne peux pas empecher un autre administrateur de modifier les parametres de securité et de reprendre les droits dessus.


En fait le plus simple c'est d'enlever des autorisations aux groupes etc Et ne mettre des refus que sur certains point particuliers (par ex refuser l'accès au compte invité, ou aux non administrateurs. En general c'est suffisant

merci

je pense qu’effectivement le refus à “tout le monde” surpasse mon compte TOTO qui est pourtant admin. je croyais que le fait de se connecter avec un compte admin était prioritaire pourtant, en tout cas que ce n’était pas “tout le monde”.

Le_poilu > quand j’enlève les autorisations de groupe, il me considère comme membre du groupe et ne me donne plus accès :@

… je sais pas si c’est clair :wink:

OK

bon j’ai regardé le truc un peu plus en detail (Win7 mais c’est pareil pour vista)

Le truc c’est que tu as surement des autorisations hérités du dossier parents. Par defaut les autorisation des dossiers sont héritées des autorisations du lecteur.
Il faut que tu modifie ça, afin que ton dossier ne tienne pas compte de l’heritage (apparement il faut faire une modif au niveau du parents, la lettre de partition pour que les autorisation ne se repliquent pas).

Une fois cela fait tu auras un “controle” total sur les autorisation/refus de ton dossier. Et là il suffit de virer tout les autres groupes/utilisateurs de la liste… et de ne laisser que ton utilisateur que tu ajoutes manuellement.
Ainsi tu n’auras qu’une seule autorisation et ce ne concerne que ton compte utilisateur et non plus les groupes.

Je viens de le faire, ça marche tres bien (sous Win7 tu as meme un cadena qui apparait sur le dossier, je ne crois pas que Vista ai ça).

Malheureusement là je n’ai pas trouvé de moyen d’empecher un autre admin de s’approprier le dossier. Malgré un refus d’appropriation sur le groupe Admin ou meme “Tout le monde”. Mais il doit y avoir un moyen. A moins que ce ne soit tout simplement pas possible pour des raisons qui veulent qu’un Admin n’a pas plus de pouvoir qu’un autre admin.
Il faut faire des essais et creuser dans cette voie.

en tous cas tu peux faire ce que tu veux en faisant ce que je t’ai dit (il y a aussi le groupe “Proprietaire” qui peut etre utilisé. Mais tant que tu auras d’autres utilisateurs Admin ils pourront toujours défaire ce que tu as fait…

bien vu.!

ça se joue au niveau des autorisations de ma partition

j’ai laissé mon TOTO admin seul en contrôle total sur ma partition et viré “tout le monde”

Tout autre compte est interdit d’accès sur la partition :slight_smile:

Question : est ce que le fait de définir cette limite de sécurité protège le lecteur d’une “attaque extérieure” ? bon je travaille pas pour la CIA :wink: mais certains fichiers sont confidentiels , et mon but était d’en limiter au mieux l’accès.

Oui et non

Oui dans une certaine mesure
Non parce que la plupart des “attaques” comme tu dis se font via des elevations de privilèges (en exploitant des failles) qui permettent de bypasser les sécurités. Quand c’est le cas, le “gars de l’autre coté” se retrouve avec un controle total de ton PC, soit via ton propre compte, soit via le compte Administrateur ou System de l’OS. Donc contre ça il ne vaut mieux pas se fier à la securité NTFS qui n’est pas prévue pour cela.
Si vraiment tu as des données à proteger:
Firewall
Antivirus
et eventuellement cryptage des données
Et bien sur le meilleur rempart ça reste l’utilisateur qui ne doit pas faire n’importe quoi de sa machine, parce que le plus souvent c’est quand meme une action de l’utilisateur qui permet à une tiers personne de placer son code malicieux. Les attaques frontales et directes sont extremement rares et tres compliquées :wink:

Bonjour .

Il n y’ a rien de plus simple , il suffit de ne garder que votre nom (User) et celui

du système dans l’onglet Sécurité ainsi que l’ onglet propriétaire. , et de supprimer

tous les autres , même les administrateurs. Sinon utiliser GPEDIT.EXE pour de plus grandes précisions .
Edité le 31/01/2010 à 14:50