Les autorisations NTFS (New Technology File System) déterminent le niveau d'accès des utilisateurs aux fichiers et aux dossiers, ce qui influe directement sur l'exposition de l'utilisateur aux fichiers non sollicités. Cependant, des privilèges excessifs, accordés accidentellement ou délibérément, peuvent octroyer aux utilisateurs un accès non sollicité à des fichiers importants de l’organisation, ce qui peut même entraîner une fuite de données. Mettez en œuvre ces meilleures pratiques en autorisations de fichiers NTFS pour éviter les failles de sécurité qui pourraient être causées par des autorisations incohérentes ou excessives.
Limitez au strict minimum les autorisations affectées aux utilisateurs, en n'accordant que les privilèges nécessaires pour qu'ils remplissent leurs rôles. Pour les fichiers sensibles, assurez-vous que seuls les administrateurs accordent des accès aux utilisateurs et vérifiez que les fichiers ne sont pas accessibles au public.
Limitez les autorisations accordées aux utilisateurs du domaine dans le dossier racine. Accordez aux équipes et aux individus des autorisations granulaires dans la structure des dossiers.
Créez des groupes basés sur des rôles organisationnels spécifiques et affectez des autorisations à ces groupes plutôt qu'à des utilisateurs individuels. Ajoutez ou retirez des utilisateurs de ces groupes pour affecter ou révoquer facilement des autorisations.
Définissez des intervalles réguliers pour l'examen systématique des autorisations affectées aux utilisateurs.
Laissez l'héritage s'appliquer depuis la racine vers tous les dossiers enfants. Gardez une trace des autorisations incohérentes qui contournent l'héritage et corrigez-les.
Gardez un œil sur toutes les modifications de la liste d'autorisation et de contrôle d'accès au système (SACL, system access-control list) sur les fichiers cruciaux. Surveillez les actions injustifiées de la part du personnel non autorisé.
Recherchez les fichiers en libre accès et définissez les autorisations appropriées pour n'autoriser que les activités autorisées sur les fichiers. Empêchez l'utilisation abusive des privilèges des utilisateurs en limitant l'accès ouvert aux fichiers et aux dossiers.
Localisez et évaluez les dossiers appartenant à d'anciens employés. Révoquez les autorisations des fichiers orphelins et retirez les comptes d'utilisateur des groupes de sécurité respectifs afin que les utilisateurs malveillants ne puissent pas accéder aux ressources en réseau.
Prévoyez des situations qui nécessitent des autorisations inhabituelles. Définissez des directives lorsque les autorisations standard ne répondent pas aux exigences des utilisateurs ou des rôles.
Créez un groupe distinct pour les administrateurs afin de contrôler les autorisations. N’attribuez un contrôle total de la gestion des autorisations des fichiers et des dossiers uniquement à ce groupe.