Windows ServerWindows Server 2019

Windows Server : l’énumération basée sur l’accès

Hey ! Bonjour à toutes et tous !

Nous nous retrouvons cette fois-ci pour échanger autour de l’environnement Windows Server. Et plus particulièrement de l’énumération basée sur l’accès (EBA).

Introduction

L’énumération basée sur l’accès, également EBA, concerne les partages réseau. Cette fonctionnalité de Windows Serveur permet d’afficher au sein d’un partage réseau, seulement les dossiers et fichiers dont l’utilisateur possède au minimum les droits de lectures. Les autres dossiers et fichiers présents dans ce même partage et où l’utilisateur ne possède pas les droits seront cachés.

La question première est : pourquoi caché certains dossiers ou fichiers à des utilisateurs dans un partage réseau ? La réponse est relativement simple, il s’agit avant tout d’une question de sécurité.

Effectivement, un utilisateur qui ne voit pas les données qui ne le concernent pas n’aura pas la tentation d’aller voir ces données.

Ou si une attaque de type Ransomware a lieu sur le serveur de fichiers et que l’attaquant utilise la session d’un utilisateur qui ne possède pas les droits sur l’ensemble des dossiers, il ne pourra pas réaliser le chiffrement des données entièrement.

Passons maintenant au vif du sujet, comment mettre en place l’EBA !

Énumération Basée sur l’Accès

Comportement de l’EBA

Nous allons prendre le cas suivant : nous avons un utilisateur du service technique qui utilise une session TSE sur laquelle il a accès à un lecteur réseau où est présent le dossier Documents de la société.

Dans ce dossier partagé Documents, notre technicien peut voir l’arborescence suivante et avoir l’accès aux différents contenus des dossiers également.

Nous venons de voir ce qui se passe lorsque l’EBA n’est pas actif sur le serveur où le dossier partagé est présent.

Maintenant, voici la vue qu’aura le même utilisateur technicien une fois l’énumération basée sur l’accès d’active.

Il est impératif pour que l’énumération basée sur l’accès fonctionne correctement, les droits NTFS doivent correctement être configurés sur le dossier partagé. Il sera nécessaire de faire la désactivation de l’héritage et de faire également la suppression du groupe DOMAINE\Utilisateurs dans les droits du dossier.

Activation de l’EBA

Bien maintenant que nous venons de voir le comportement de l’EBA, nous allons voir comment le mettre en place sur notre serveur de fichiers.

Il faut se rendre sur le serveur où le dossier partagé est présent. Puis depuis le gestionnaire de serveur se rendre dans : Services de fichiers et de stockage :

Une fois dans ce menu, faites un clic droit sur le dossier partagé sur lequel vous souhaitez mettre l’EBA en place et sélectionnez Propriétés :

Dans la nouvelle fenêtre qui s’ouvre, il faut se rendre dans Paramètres puis cocher la case Activer l’énumération basée sur l’accès :

Il vous suffira de valider par le bouton OK.

Félicitations ! L’énumération basée sur l’accès est maintenant active sur votre dossier partagé ! Il vous faudra maintenant faire la configuration de vos droits sur les différents dossiers.

Les droits NTFS

Je ne vais pas vous expliquer comment faire la gestion des droits NTFS sur le dossier partagé et les sous-dossiers, car il ne s’agit pas de ce sujet dans cet article.

Néanmoins, voici un aperçu des droits en place sur mon environnement où l’EBA est active :

Conclusion

Nous voici à la fin de cet article concernant l’activation de l’énumération basée sur l’accès sous un environnement Windows Server 2019 (ou antérieur).

J’espère que cet article vous a plu et je vous retrouve prochainement ! Alors, pour ne rien louper, n’hésitez pas à vous inscrire à la newsletter de Tech2Tech.


D’ici là, si vous avez des questions, des remarques ou autres, l’espace commentaires est disponible juste en dessous !

Puisque vous êtes encore là...

...Si cet article vous a aidé ou informé, laissez-moi vous demander une petite faveur. Nombreux d'entre vous utilise AdBlock sur tech2tech. Alors n'hésitez pas à désactiver AdBlock sur ce site ou bien à faire un don pour m'aider à couvrir les frais autour du site.

Si chacun de ceux qui ont lu et apprécié cet article participe, le futur de tech2tech ne pourra être que meilleur. Merci à vous !.

FAIRE UN DON

Kevin ENGEL

Administrateur Système et Réseau de formation. Technicien de support SI durant cinq années au service de nombreux clients de tout type (TPE, PME, artisan, etc.) au sein d'une SSII. En 2020, j'ai fait la création de mon entreprise CYBER-IT qui repose sur le modèle MSP en proposant des offres de services managés. J'apprécie également partager mes connaissances ainsi que porter assistance quand je le peux sur des problématiques techniques, mais aussi apprendre de nouvelles choses au quotidien.

Articles similaires

Bouton retour en haut de la page