Page d'accueil Microsoft Page d'accueil Microsoft
Logo du kit de ressources des extensions serveur Microsoft FrontPage Kit de ressources des extensions serveur Microsoft FrontPage 2000

Sécurité sous Windows NT

 1 sur 9     Le modèle de sécurité Windows NT

Sous Microsoft® Windows NT®, un administrateur ou un programme peut accorder aux utilisateurs et aux groupes des niveaux d'accès variables aux ressources système. Les utilisateurs disposant de comptes d'utilisateur sous Windows NT doivent présenter leurs informations d'identification (nom d'utilisateur et mot de passe) avant de pouvoir accéder à une ressource de Windows NT. Il existe aussi des comptes de groupe sous Windows NT. Ils n'ont pas de mots de passe mais sont pratiques pour accorder des privilèges à plusieurs comptes d'utilisateur en même temps.

Windows NT exécute des applications spéciales appelées services. Ces services sont des programmes démarrés en même temps que le système d'exploitation qui s'exécutent en arrière-plan, sans interface utilisateur. (Le serveur Web IIS est un service.) Les services, comme toutes les applications exploitées sous Windows NT, doivent s'exécuter dans le contexte d'un compte d'utilisateur, représenté par un jeton.

Jetons et identificateurs de sécurité

Un jeton identifie un utilisateur et les groupes Windows NT auxquels l'utilisateur appartient. Il contient également l'identificateur de sécurité (SID) de l'utilisateur et les SID de tous les groupes auxquels l'utilisateur appartient. Un SID identifie sans équivoque chaque utilisateur et chaque groupe dans Windows NT. Les programmes sous Windows NT s'exécutent dans le contexte d'un jeton. Quand un programme en démarre un autre, il transmet son jeton au nouveau programme.

Listes de contrôle d'accès

Une liste de contrôle d'accès (ACL) est la liste des entrées associées à un fichier ou à un dossier qui spécifie quels utilisateurs et groupes ont accès à ce dossier ou fichier. Chaque entrée d'une ACL assigne à un utilisateur ou à un groupe un ou plusieurs des niveaux d'accès suivants aux fichiers :

  • Aucun n'accorde à l'utilisateur aucun accès aux fichiers.
  • Lire (Lire les données sous Windows NT 5.0) autorise un utilisateur à afficher les données d'un fichier
  • Écrire (Écrire des données sous Windows NT 5.0) autorise un utilisateur à modifier les données d'un fichier
  • Exécuter (Exécuter le fichier sous Windows NT 5.0) autorise un utilisateur à exécuter un fichier programme.
  • Supprimer autorise un utilisateur à supprimer un fichier.
  • Modifier les autorisationsautorise un utilisateur à changer les autorisations sur un fichier.
  • Appropriation autorise un utilisateur à s'approprier un fichier.
  • Un jeu de privilèges similaire est défini sur les dossiers :
  • Aucun n'accorde à l'utilisateur aucun accès aux dossiers
  • Lire (Lister le dossiersous Windows NT 5.0) autorise un utilisateur à afficher des noms de fichier et de sous-dossier
  • Écrire (Créer des fichiers sous Windows NT 5.0) autorise un utilisateur à ajouter des fichiers et des sous-dossiers
  • Exécuter (Passer sur le dossier sous Windows NT 5.0) autorise un utilisateur à modifier des sous-dossiers
  • <Supprimer (Suppression de sous-dossiers et de fichiers sous Windows NT 5.0) autorise un utilisateur à supprimer un sous-dossier
  • Modifier les autorisations autorise un utilisateur à changer les autorisations sur un dossier.
  • Appropriation autorise un utilisateur à s'approprier un dossier

 

Windows NT prend en charge deux types de partitions de fichiers, les partitions NTFS et FAT. Seules les partitions NTFS prennent en charge les ACL. La sécurité des extensions serveur Microsoft® FrontPage® étant fondée sur les ACL, vous devez utiliser NTFS sur un système sur lequel vous hébergez des services du World Wide Web avec IIS et FrontPage

Emprunt de l'identité d'utilisateur

Quand une application s'exécute, elle « emprunte l'identité » de l'utilisateur authentifié pour utiliser cette application. Lorsque cette dernière essaie d'appeler une autre application ou d'utiliser une ressource système comme le système de fichiers, l'accès à l'application ou à la ressource est accordé ou refusé en fonction des autorisations de l'utilisateur dont l'identité est empruntée. En forçant les applications à s'exécuter au nom d'un utilisateur, Windows NT garantit que celles-ci n'ont accès qu'aux ressources système auxquelles l'utilisateur qui exécute ces applications a accès. En outre, grâce à l'emprunt d'identité, l'utilisateur n'est pas obligé de fournir son mot de passe trop fréquemment ; en effet, un grand nombre d'applications et de services système peuvent être appelés dès lors que l'utilisateur a été authentifié.

L'emprunt d'identité fonctionne également à distance. Si un utilisateur dispose des privilèges appropriés sur un ordinateur distant, il y sera représenté par l'application qu'il appelle à distance. Par exemple, quand un utilisateur disposant des privilèges d'opérations d'auteur sur un serveur Windows NT distant essaie de créer du contenu sur ce serveur, la bibliothèque de liens dynamiques des opérations d'auteur de FrontPage s'exécutera au nom de l'utilisateur représenté, garantissant que cet utilisateur n'aura accès qu'aux fichiers associés à son compte.

 Image de la section Sécurité
Présentation         
Sécurité                
  Introduction
  Sécurité sous
  Windows NT
  Sécurité sous UNIX
Installation           
Administration      
Annexes                
Index                    

   1 sur 9      HAUT
 
  Dernière mise à jour : novembre 1998
©1998 Microsoft Corporation. Tous droits réservés. Informations légales.
Capturé par MemoWeb à partir de http://www.dwam.net/docs/fpserk/version4.0/scwin_1.htm le 19/11/01 var sc_project=3430444; var sc_invisible=0; var sc_partition=38; var sc_security="e6f6356c";