Nessun risultato. Prova con un altro termine.
Guide
Notizie
Software
Tutorial

Proteggere i file in Windows

Come gestire le autorizzazioni per l'accesso ai file in Windows XP. Dalla creazione di utenti e di gruppi utente alla protezione delle risorse del file system.
Come gestire le autorizzazioni per l'accesso ai file in Windows XP. Dalla creazione di utenti e di gruppi utente alla protezione delle risorse del file system.
Link copiato negli appunti

Una delle caratteristiche fondamentali che differenzia i sistemi operativi della famiglia NT (2000/XP/2003) dalle precedenti versioni 9x (95/98/Me) è la possibilità di proteggere e limitare l'accesso a tutte le principali risorse di sistema.

Il meccanismo su cui si basa questo modello di protezione è realizzato attraverso il concetto di utente e di gruppi di utenti. Prima di concedere l'utilizzo di un oggetto (un file, un programma, una stampante, un componente software, una chiave di registro etc...) il sistema controlla che l'utente o il gruppo a cui appartiene possieda le necessarie autorizzazioni. Se la verifica ha esito negativo l'accesso richiesto è vietato e la risorsa viene protetta.

In questo articolo familiarizzeremo con questi concetti focalizzando la nostra attenzione sulle opzioni di protezione specifiche del filesystem. Si illustrerà quindi come limitare o impedire ad alcuni utenti l'accesso a determinati file o cartelle presenti sul disco fisso del nostro computer.

A tal proposito è essenziale far notare che la protezione di questo genere di oggetti è disponibile unicamente se si utilizza un filesystem NTFS. Su eventuali partizioni FAT32 la protezione dei file non è disponibile. Per verificare se la vostra partizione è NTFS o FAT32 basta cliccare sull'icona "Risorse del computer" presente sul Desktop ed evidenziare la partizione (C: o D: o altre) che si desidera proteggere. Nella finestra dettagli che comparirà a sinistra sarà evidenziato la tipologia di file system.

Le considerazioni che seguono prendono come riferimento il sistema operativo Windows XP ma possono essere estese con poche differenze anche a Windows 2000.

Gruppi e Utenti

Prima di cominciare a parlare di autorizzazioni è necessario spendere qualche parola sulla gestione degli utenti.

Le autorizzazioni di accesso alle risorse possono essere concesse a livello di singolo utente e a livello di gruppo. Tutti gli utenti appartenenti ad uno stesso gruppo ereditano automaticamente da questo gli stessi diritti. Ogni utente deve sempre far parte di almeno un gruppo. Nel caso un utente appartenga a più gruppi aventi diritti diversi vengono imposte le autorizzazioni più restrittive.

Selezionando la voce Account Utente presente nel Pannello di controllo è possibile creare una nuova utenza usufruendo di una semplice procedura guidata. La cosa importante da notare è la possibilità di scegliere se l'account creato sarà di tipo amministrativo o se sarà limitato. Come vedremo queste due voci permettono l'inserimento automatico dell'utente in gruppi aventi diritti diversi.

Per una migliore gestione di gruppi e utenti è possibile accedere alla voce Gestione computer presente tra gli Strumenti di amministrazione del Pannello di controllo. Espandendo la voce Utenti e gruppi locali troveremo due cartelle, una contenente tutti gli utenti definiti sul sistema e l'altra contenente tutti i gruppi.

Si noterà che gli utenti sono più numerosi di quelli da noi direttamente creati. Molti di questi sono account che il sistema usa automaticamente in particolari contesti come ad esempio l'Help a distanza attraverso il Desktop Remoto o, se abbiamo installato il server IIS, l'accesso alle nostre pagine web da parte di visitatori internet.

Gli account utente contraddistinti da una crocetta bianca in campo rosso sono stati definiti sul sistema ma attualmente risultano disabilitati e quindi non attivi.

Nella cartella relativa ai gruppi sono presenti numerose voci. Quelle che più ci interessano sono:

  • Administrators
    gli utenti di questo gruppo possiedono un controllo elevato sul sistema.
    Possono accedere a tutti i file, possono configurare parametri fondamentali
    del sistema operativo, installare qualsiasi tipo di software e hardware.
    Account appartenenti a questo gruppo dovrebbero essere usati solo
    saltuariamente per la manutenzione del sistema. L'utente predefinito
    Administrator
  • Users
    corrisponde all'account di tipo limitato discusso in precedenza. Non permette
    la modifica del sistema operativo né di installare programmi che compiano
    tali modifiche. Ad un utente appartenente al gruppo Users non è concesso
    accedere ai file e alle cartelle personali di altri utenti. In generale questo
    gruppo fornisce un ambiente protetto nel quale risulta difficile compromettere
    l'integrità del sistema e nel quale eventuali virus o file dannosi vedono
    ridotte le loro potenzialità distruttive.
  • Power Users
    dispone di autorizzazioni maggiori rispetto al gruppo Users ma minori
    rispetto al gruppo Administrators. Può essere utile promuovere un
    utente del gruppo Users a Power User nel caso questo non riesca ad eseguire
    alcuni programmi concepiti per versioni precedenti di windows che non
    supportano il modello di protezione. Gli utenti Power Users dispongono inoltre
    di una maggiore possibilità di personalizzazione del sistema rispetto agli account
    limitati.
  • Tramite un doppio click sui nomi si accede ad una finestra in cui è possibile
    visualizzare, aggiungere o eliminare utenti nello specifico gruppo.

    La protezione del filesystem

    In un sistema operativo multi utente è importante che solo alcuni account possano accedere a determinati file e cartelle. Questo tipo di controllo è realizzato tramite le autorizzazioni.

    Per poter accedere alle impostazioni di protezione è necessario abilitarne la visualizzazione dato che Windows XP normalmente le nasconde:
    si apra Risorse del computer e dal menu Strumenti si scelga Opzioni cartella. Nella scheda Visualizzazione si disabiliti la voce Utilizza condivisione file semplice.

    In questo modo ogni volta che cliccando col tasto destro del mouse su un file o una cartella sceglieremo di visualizzarne le proprietà sarà presente una nuova scheda Protezione.

    Figura 1
    Proprietà della cartella

    Nella parte superiore troviamo l'elenco dei gruppi (icona con due persone) e
    degli utenti (icona con una sola persona) per i quali sono stati definite delle
    regole di accesso al file o alla cartella selezionata. È possibile eliminare o
    aggiungere nuove voci tramite gli appositi pulsanti. Il gruppo SYSTEM è usato dal sistema operativo e le sue impostazioni non
    dovrebbero mai essere modificate.

    Selezionando un gruppo o un utente verranno visualizzate le relative
    autorizzazioni nella parte inferiore della scheda.

    È importante precisare che:

    • Le autorizzazioni vengono assegnate selezionando la relativa voce Consenti
    • Con Controllo completo
      accesso.
    • I gruppi o utenti che possiedono il Controllo completo
      qualunque file contenuto nella cartella indipendentemente dalle autorizzazioni impostate per
      il file.
    • La voce Nega
      che possiede autorizzazioni Consenti
      scrittura ad un utente appartenente ad un gruppo che possiede tale accesso.
    • Se le caselle Consenti
      le autorizzazioni sono ereditate (si veda più avanti nell'articolo). In una tale situazione
      le autorizzazioni possono comunque essere negate.
    • Descrizione delle autorizzazioni.

      Le autorizzazioni visualizzate nella Figura 1 raggruppano in
      realtà insiemi di diritti più semplici chiamati Autorizzazioni speciali. Poiché
      raramente è necessario agire sui singoli diritti Windows ci permette una
      gestione più agevole raggruppando tali voci in pochi insiemi di autorizzazioni:
      Controllo completo, Modifica, Lettura (per i file)/Esecuzione (per i programmi),
      Visualizza contenuto cartella (solo per le cartelle), Lettura e Scrittura.

      Nella tabella che segue è indicata la corrispondenza tra autorizzazioni e autorizzazioni speciali.

      Autorizzazioni di accesso a file e cartelle

      Autorizzazioni speciali Controllo
      completo
      Modifica Lettura/
      esecuzione
      Visualizza
      contenuto
      cartella
      Lettura Scrittura
      Attraversa cartelle/Esecuzione file x x x x    
      Visualizzazione contenuto cartella/Lettura dati x x x x x  
      Lettura attributi x x x x x  
      Lettura attributi estesi x x x x x
      Creazione file/Scrittura dati x x       x
      Creazione cartelle/Aggiunta dati x x       x
      Scrittura attributi x x       x
      Scrittura attributi estesi x x       x
      Eliminazione sottocartelle e file x          
      Eliminazione x x        
      Autorizzazioni di lettura x x x x x x
      Cambia autorizzazioni x          
      Diventa proprietario x          
      Sincronizza x x x x x x

      Quando la voce Autorizzazioni Speciali nella scheda di protezione possiede la
      voce Consenti selezionata significa che diritti specifici sono stati impostati
      manualmente.

      Per accedere alle autorizzazioni speciali è necessario selezionale il pulsante
      Avanzate.

      Figura 2
      Impostazioni avanzate di protezione per la cartella

      Selezionando l'utente o il gruppo e premendo il pulsante Modifica si accede alla
      finestra di impostazione dei singoli diritti.

      Figura 3
      Voci di autorizzazione per la cartella

      Ereditarietà

      L'ereditarietà permette di impostare i diritti di protezione su un solo
      oggetto padre, che di solito è una cartella o una partizione, e far si
      che gli oggetti figlio, cioè tutti i file e cartelle contenuti nel padre,
      acquisiscano le stesse autorizzazioni.

      Se le impostazioni del padre vengono modificate queste si ripercuoteranno
      automaticamente su tutti gli oggetti figlio che abbiano l'opzione di ereditarietà
      attivata.
      Gli stessi oggetti figlio, se spostati dentro una diversa cartella padre,
      vedranno modificate di conseguenza le proprie autorizzazioni.

      Per impostazione predefinita windows assegna la proprietà di ereditarietà ad
      ogni nuovo file o cartella creata.

      È possibile stabile se un oggetto del filesystem debba ereditare o meno le
      autorizzazioni agendo sulla relativa voce nella finestra Avanzate della
      scheda di protezione (vedi Figura 2). Se si disabilita l'ereditarietà verrà richiesto se
      cancellare completamente le autorizzazioni o se copiare nel figlio i diritti che
      precedentemente venivano trasmessi dal padre.

      Si noti infine che alle autorizzazioni ereditate se ne possono aggiungere
      altre non ereditate. Nella Figura 2 i diritti per il gruppo Users sono impostati
      manualmente, quelli per gli altri utenti e gruppi sono ereditati. Per questi ultimi viene
      anche indicata la relativa cartella padre che assegna i diritti.

      Proprietario di file e cartelle

      L'utente che crea un file ne è anche il Proprietario (Owner). Il proprietario del file è
      l'unico, oltre agli utenti del gruppo Administrators, che ha diritto di impostarne
      le autorizzazioni.

      Attraverso la scheda Proprietario, presente nelle impostazioni avanzate, è possible visualizzare
      la proprietà del file o della cartella.

      La proprietà può essere modificata in due modi:

      • Un amministratore può diventare proprietario dell'oggetto in qualsiasi momento attraverso la scheda
        proprietario visualizzata in Figura 4.
      • Il proprietario corrente può concedere l'Autorizzazione speciale Diventa proprietario
        proprietario che potrà assumerla in qualsiasi momento.

      Figura 4
      Impostazioni avanzate di protezione

      Conclusioni

      L'argomento è sicuramente vasto e necessita di numerose sperimentazioni per essere compreso a fondo.
      Si consiglia di analizzare le impostazioni delle cartelle e dei file già presenti nel filesystem per
      capire come funziona il meccanismo. In seguito si potrà agire sulle proprie cartelle per limitarne l'accesso
      ad altri utenti del sistema.

Ti consigliamo anche