Partage de ressources đ€
Introductionâ
Le partage de ressources sous Windows permet de rendre accessibles certains Ă©lĂ©ments du systĂšme (dossiers, fichiers, imprimantes) Ă d'autres utilisateurs du rĂ©seau. Cela est rĂ©alisĂ© grĂące au protocole SMB (Server Message Block). Les ressources partagĂ©es sont consultables via lâExplorateur de fichiers, Ă lâaide dâun chemin UNC (Universal Naming Convention) :
\\MONSERVEUR\Monpartage
Le protocole SMBâ
Le protocole SMB est un protocole réseau de type client/serveur utilisé principalement dans les systÚmes Windows. Il est rétrocompatible avec ses versions antérieures.
SMB vs CIFS vs Samba đâ
- SMB : Protocole original.
- CIFS (Common Internet File System) : Extension du protocole SMB. Terme souvent utilisé de maniÚre interchangeable avec SMB.
- Samba : ImplĂ©mentation libre et open source du protocole SMB/CIFS, utilisĂ©e pour permettre lâinteropĂ©rabilitĂ© entre systĂšmes UNIX/Linux et Windows.
RĂ©trocompatibilitĂ© et nĂ©gociation de versionâ
Windows nĂ©gocie automatiquement la version du protocole SMB Ă utiliser lors de lâĂ©tablissement dâune connexion. Cela permet une compatibilitĂ© entre diffĂ©rentes versions de Windows, tant que les versions du protocole sont activĂ©es sur les machines.
Version SMB négociée entre deux systÚmes Windows.
đŽ SMBv1 = non sĂ©curisĂ©e, â ïž SMBv2 = correcte, đą SMBv3 = recommandĂ©e.
| Windows XP | Windows Vista | Windows 7 | Windows 8 | Windows 8.1 | Windows 10 | Windows 11 | Windows Server 2022 | |
|---|---|---|---|---|---|---|---|---|
| Windows XP | 1.0 | 1.0 | 1.0 | 1.0 | 1.0 | 1.0 | 1.0 | 1.0 |
| Windows Vista | 1.0 | 2.0 | 2.0 | 2.0 | 2.0 | 2.0 | 2.0 | 2.0 |
| Windows 7 | 1.0 | 2.0 | 2.1 | 2.1 | 2.1 | 2.1 | 2.1 | 2.1 |
| Windows 8 | 1.0 | 2.0 | 2.1 | 3.0 | 3.0 | 3.0 | 3.0 | 3.0 |
| Windows 8.1 | 1.0 | 2.0 | 2.1 | 3.0 | 3.0 | 3.0 | 3.0 | 3.0 |
| Windows 10 | 1.0 | 2.0 | 2.1 | 3.0 | 3.0 | 3.1.1 | 3.1.1 | 3.1.1 |
| Windows 11 | 1.0 | 2.0 | 2.1 | 3.0 | 3.0 | 3.1.1 | 3.1.1 | 3.1.1 |
| Windows Server 2022 | 1.0 | 2.0 | 2.1 | 3.0 | 3.0 | 3.1.1 | 3.1.1 | 3.1.1 |
đĄ La version nĂ©gociĂ©e est toujours la plus rĂ©cente compatible entre les deux systĂšmes.
SMBv1 et la faille EternalBlue đ”â
La version 1 de SMB contenait une faille de sĂ©curitĂ© critique connue sous le nom de EternalBlue (CVE-2017-0144). Cette faille a Ă©tĂ© utilisĂ©e notamment lors de la cyberattaque WannaCry đ.
Lâattaque WannaCry a paralysĂ© des hĂŽpitaux, des entreprises et mĂȘme des gouvernements... en quelques heures seulement. En mai 2017, le monde entier a dĂ©couvert la brutalitĂ© dâun ransomware basĂ© sur une faille Windows : WannaCry. Cette attaque sâappuyait sur une vulnĂ©rabilitĂ© du protocole SMBv1 exploitĂ©e par lâoutil EternalBlue, dĂ©veloppĂ© Ă lâorigine par la NSA et ensuite leakĂ© par un groupe de hackers.
đ WannaCry se propageait automatiquement dâun ordinateur Ă lâautre Ă travers les rĂ©seaux, sans mĂȘme nĂ©cessiter d'interaction humaine (pas besoin de cliquer sur un lien ou un fichier). En quelques heures, plus de 230âŻ000 systĂšmes dans 150 pays ont Ă©tĂ© chiffrĂ©s.
Parmi les victimes :
Le NHS (systÚme de santé britannique),
Renault, TelefĂłnica, FedEx, et des milliers d'autres...
đ° Les utilisateurs devaient payer une rançon en Bitcoin pour rĂ©cupĂ©rer leurs fichiers. Mais souvent⊠mĂȘme en payant, ils ne rĂ©cupĂ©raient rien.
Depuis Windows 10 version 1709 et Windows Server 1709, SMBv1 est désactivé par défaut pour des raisons de sécurité. Il est fortement déconseillé de le réactiver.
Partages visibles et cachĂ©s dans lâExplorateurâ
Vous pouvez explorer les ressources partagĂ©es dâun serveur en saisissant simplement son nom UNC :
\\MONSERVEUR
Les partages dont le nom se termine par un $ sont cachĂ©s : ils nâapparaissent pas lors de la navigation. Il faut connaĂźtre leur nom exact pour y accĂ©der.
Console de gestion des partagesâ
Windows permet de gérer les partages via la console de gestion des dossiers partagés :
fsmgmt.msc
Depuis cette console, vous pouvez :
- Créer de nouveaux partages
- Modifier ou supprimer des partages existants
- Visualiser les connexions actives et les fichiers ouverts
Partages administratifsâ
Par défaut, Windows crée automatiquement des partages administratifs à des fins de gestion. Exemples :
C$: Racine du disque CADMIN$: RĂ©pertoire WindowsIPC$: Canal de communication pour les services Windows
Ces partages sont accessibles uniquement aux administrateurs du systĂšme.
Permissions : NTFS vs Partageâ
| ĂlĂ©ment | Permissions de partage | Permissions NTFS (locales) |
|---|---|---|
| Application | Réseau (en entrée) | AccÚs local ou distant |
| Portée | Globale sur tout le partage | Spécifique à chaque fichier |
| Ăvaluation | Par le service de partage | Par le systĂšme de fichiers |
| DisponibilitĂ© | Uniquement via un partage | En tout temps (mĂȘme localement) |
Important : Pour accéder à un fichier partagé, l'utilisateur doit avoir les permissions suffisantes dans les deux systÚmes.
Regardons quelques exemples pratiques avec un utilisateur fictif nommé Bob:
Exemple 1: Bob tente d'accéder à un dossier à distance sans droit de partage ni permissions locales:
Exemple 2: Bob tente d'accéder à un dossier localement sans droit de partage ni permissions locales:
Exemple 3: Bob tente d'accéder à un dossier à distance sans droit de partage mais avec des permissions locales:
Exemple 4: Bob tente d'accéder à un dossier à localement sans droit de partage mais avec des permissions locales:
Exemple 5: Bob tente d'accéder à un dossier à distance avec des droits de partage mais sans permissions locales:
Exemple 6: Bob tente d'accéder à un dossier localement avec des droits de partage mais sans permissions locales:
Exemple 7: Bob tente d'accéder à un dossier à distance avec des droits de partage et des permissions locales:
Permissions effectivesâ
Lorsquâun utilisateur tente dâaccĂ©der Ă une ressource partagĂ©e, les permissions effectives correspondent Ă lâintersection la plus restrictive des permissions NTFS et de partage.
| Utilisateur | Permission de partage | Permission NTFS | RĂ©sultat (permission effective) |
|---|---|---|---|
| Alice | Lecture | Lecture | â Lecture autorisĂ©e |
| Bob | Lecture | ContrĂŽle total | â Lecture autorisĂ©e |
| Charlie | ContrĂŽle total | Lecture | â Lecture autorisĂ©e |
| Denise | ContrĂŽle total | ContrĂŽle total | â ContrĂŽle total autorisĂ© |
| Ătienne | Aucune | Lecture | â AccĂšs refusĂ© |
| Fatima | Lecture | Aucune | â AccĂšs refusĂ© |
đĄ La permission effective est toujours la plus restrictive entre les deux types de permissions.
MĂȘme si une permission de partage est gĂ©nĂ©reuse, lâutilisateur doit aussi avoir les permissions NTFS correspondantes !
Groupes de permissions (ensembles)â
Windows propose des ensembles de permissions prédéfinies. Ces ensembles regroupent plusieurs permissions granulaires :
| Ensemble | Contenu (exemples) |
|---|---|
| Lecture | Lire les fichiers et les dossiers |
| Modification | Lecture + Ă©criture + suppression |
| ContrĂŽle total | Tous les droits, y compris la gestion ACL |
Plus dâinfos : Permissions Windows (carte interactive)
Bonnes pratiquesâ
- Utilisez les permissions NTFS pour définir la sécurité fine.
- Les permissions de partage devraient ĂȘtre les plus larges possibles (ex. : ContrĂŽle total) et la restriction se fait au niveau NTFS.
- DĂ©sactivez SMBv1 pour Ă©viter les failles connues.
- Documentez les partages invisibles (
$) et limitez leur usage aux besoins spécifiques. - Utilisez des groupes d'utilisateurs pour simplifier la gestion des permissions.