Proteggere i file in Windows

Una delle caratteristiche fondamentali che differenzia i sistemi operativi della famiglia NT (2000/XP/2003) dalle precedenti versioni 9x (95/98/Me) è la possibilità di proteggere e limitare l’accesso a tutte le principali risorse di sistema.

Il meccanismo su cui si basa questo modello di protezione è realizzato attraverso il concetto di utente e di gruppi di utenti. Prima di concedere l’utilizzo di un oggetto (un file, un programma, una stampante, un componente software, una chiave di registro etc…) il sistema controlla che l’utente o il gruppo a cui appartiene possieda le necessarie autorizzazioni. Se la verifica ha esito negativo l’accesso richiesto è vietato e la risorsa viene protetta.

In questo articolo familiarizzeremo con questi concetti focalizzando la nostra attenzione sulle opzioni di protezione specifiche del filesystem. Si illustrerà quindi come limitare o impedire ad alcuni utenti l’accesso a determinati file o cartelle presenti sul disco fisso del nostro computer.

A tal proposito è essenziale far notare che la protezione di questo genere di oggetti è disponibile unicamente se si utilizza un filesystem NTFS. Su eventuali partizioni FAT32 la protezione dei file non è disponibile. Per verificare se la vostra partizione è NTFS o FAT32 basta cliccare sull’icona “Risorse del computer” presente sul Desktop ed evidenziare la partizione (C: o D: o altre) che si desidera proteggere. Nella finestra dettagli che comparirà a sinistra sarà evidenziato la tipologia di file system.

Le considerazioni che seguono prendono come riferimento il sistema operativo Windows XP ma possono essere estese con poche differenze anche a Windows 2000.

Gruppi e Utenti

Prima di cominciare a parlare di autorizzazioni è necessario spendere qualche parola sulla gestione degli utenti.

Le autorizzazioni di accesso alle risorse possono essere concesse a livello di singolo utente e a livello di gruppo. Tutti gli utenti appartenenti ad uno stesso gruppo ereditano automaticamente da questo gli stessi diritti. Ogni utente deve sempre far parte di almeno un gruppo. Nel caso un utente appartenga a più gruppi aventi diritti diversi vengono imposte le autorizzazioni più restrittive.

Selezionando la voce Account Utente presente nel Pannello di controllo è possibile creare una nuova utenza usufruendo di una semplice procedura guidata. La cosa importante da notare è la possibilità di scegliere se l’account creato sarà di tipo amministrativo o se sarà limitato. Come vedremo queste due voci permettono l’inserimento automatico dell’utente in gruppi aventi diritti diversi.

Per una migliore gestione di gruppi e utenti è possibile accedere alla voce Gestione computer presente tra gli Strumenti di amministrazione del Pannello di controllo. Espandendo la voce Utenti e gruppi locali troveremo due cartelle, una contenente tutti gli utenti definiti sul sistema e l’altra contenente tutti i gruppi.

Si noterà che gli utenti sono più numerosi di quelli da noi direttamente creati. Molti di questi sono account che il sistema usa automaticamente in particolari contesti come ad esempio l’Help a distanza attraverso il Desktop Remoto o, se abbiamo installato il server IIS, l’accesso alle nostre pagine web da parte di visitatori internet.

Gli account utente contraddistinti da una crocetta bianca in campo rosso sono stati definiti sul sistema ma attualmente risultano disabilitati e quindi non attivi.

Nella cartella relativa ai gruppi sono presenti numerose voci. Quelle che più ci interessano sono:

• Administrators
  gli utenti di questo gruppo possiedono un controllo elevato sul sistema. Possono accedere a tutti i file, possono configurare parametri fondamentali del sistema operativo, installare qualsiasi tipo di software e hardware. Account appartenenti a questo gruppo dovrebbero essere usati solo saltuariamente per la manutenzione del sistema. L’utente predefinito Administrator fa parte di questo gruppo.
• Users
  corrisponde all’account di tipo limitato discusso in precedenza. Non permette la modifica del sistema operativo né di installare programmi che compiano tali modifiche. Ad un utente appartenente al gruppo Users non è concesso accedere ai file e alle cartelle personali di altri utenti. In generale questo gruppo fornisce un ambiente protetto nel quale risulta difficile compromettere l’integrità del sistema e nel quale eventuali virus o file dannosi vedono ridotte le loro potenzialità distruttive.
• Power Users
  dispone di autorizzazioni maggiori rispetto al gruppo Users ma minori rispetto al gruppo Administrators. Può essere utile promuovere un utente del gruppo Users a Power User nel caso questo non riesca ad eseguire alcuni programmi concepiti per versioni precedenti di windows che non supportano il modello di protezione. Gli utenti Power Users dispongono inoltre di una maggiore possibilità di personalizzazione del sistema rispetto agli account limitati.

Tramite un doppio click sui nomi si accede ad una finestra in cui è possibile visualizzare, aggiungere o eliminare utenti nello specifico gruppo.

La protezione del filesystem

In un sistema operativo multi utente è importante che solo alcuni account possano accedere a determinati file e cartelle. Questo tipo di controllo è realizzato tramite le autorizzazioni.

Per poter accedere alle impostazioni di protezione è necessario abilitarne la visualizzazione dato che Windows XP normalmente le nasconde:
si apra Risorse del computer e dal menu Strumenti si scelga Opzioni cartella. Nella scheda Visualizzazione si disabiliti la voce Utilizza condivisione file semplice.

In questo modo ogni volta che cliccando col tasto destro del mouse su un file o una cartella sceglieremo di visualizzarne le proprietà sarà presente una nuova scheda Protezione.

Nella parte superiore troviamo l’elenco dei gruppi (icona con due persone) e degli utenti (icona con una sola persona) per i quali sono stati definite delle regole di accesso al file o alla cartella selezionata. È possibile eliminare o aggiungere nuove voci tramite gli appositi pulsanti. Il gruppo SYSTEM è usato dal sistema operativo e le sue impostazioni non dovrebbero mai essere modificate.

Selezionando un gruppo o un utente verranno visualizzate le relative autorizzazioni nella parte inferiore della scheda.

È importante precisare che:

• Le autorizzazioni vengono assegnate selezionando la relativa voce Consenti.
• Con Controllo completo si assegnano automaticamente tutti i diritti di accesso.
• I gruppi o utenti che possiedono il Controllo completo su una cartella possono eliminare qualunque file contenuto nella cartella indipendentemente dalle autorizzazioni impostate per il file.
• La voce Nega deve essere usata per escludere un sottoinsieme di un gruppo che possiede autorizzazioni Consenti. Per esempio: si vuole negare l’accesso in scrittura ad un utente appartenente ad un gruppo che possiede tale accesso.
• Se le caselle Consenti risultano “grigie” e non selezionabili significa che le autorizzazioni sono ereditate (si veda più avanti nell’articolo). In una tale situazione le autorizzazioni possono comunque essere negate.

Descrizione delle autorizzazioni.

Le autorizzazioni visualizzate nella Figura 1 raggruppano in realtà insiemi di diritti più semplici chiamati Autorizzazioni speciali. Poiché raramente è necessario agire sui singoli diritti Windows ci permette una gestione più agevole raggruppando tali voci in pochi insiemi di autorizzazioni: Controllo completo, Modifica, Lettura (per i file)/Esecuzione (per i programmi), Visualizza contenuto cartella (solo per le cartelle), Lettura e Scrittura.

Nella tabella che segue è indicata la corrispondenza tra autorizzazioni e autorizzazioni speciali.

Autorizzazioni di accesso a file e cartelle
Autorizzazioni speciali	Controllo completo	Modifica	Lettura/ esecuzione	Visualizza contenuto cartella	Lettura	Scrittura
Attraversa cartelle/Esecuzione file	x	x	x	x
Visualizzazione contenuto cartella/Lettura dati	x	x	x	x	x
Lettura attributi	x	x	x	x	x
Lettura attributi estesi	x	x	x	x	x
Creazione file/Scrittura dati	x	x				x
Creazione cartelle/Aggiunta dati	x	x				x
Scrittura attributi	x	x				x
Scrittura attributi estesi	x	x				x
Eliminazione sottocartelle e file	x
Eliminazione	x	x
Autorizzazioni di lettura	x	x	x	x	x	x
Cambia autorizzazioni	x
Diventa proprietario	x
Sincronizza	x	x	x	x	x	x

Quando la voce Autorizzazioni Speciali nella scheda di protezione possiede la voce Consenti selezionata significa che diritti specifici sono stati impostati manualmente.

Per accedere alle autorizzazioni speciali è necessario selezionale il pulsante Avanzate.

Selezionando l’utente o il gruppo e premendo il pulsante Modifica si accede alla finestra di impostazione dei singoli diritti.

Ereditarietà

L’ereditarietà permette di impostare i diritti di protezione su un solo oggetto padre, che di solito è una cartella o una partizione, e far si che gli oggetti figlio, cioè tutti i file e cartelle contenuti nel padre, acquisiscano le stesse autorizzazioni.

Se le impostazioni del padre vengono modificate queste si ripercuoteranno automaticamente su tutti gli oggetti figlio che abbiano l’opzione di ereditarietà attivata.
Gli stessi oggetti figlio, se spostati dentro una diversa cartella padre, vedranno modificate di conseguenza le proprie autorizzazioni.

Per impostazione predefinita windows assegna la proprietà di ereditarietà ad ogni nuovo file o cartella creata.

È possibile stabile se un oggetto del filesystem debba ereditare o meno le autorizzazioni agendo sulla relativa voce nella finestra Avanzate della scheda di protezione (vedi Figura 2). Se si disabilita l’ereditarietà verrà richiesto se cancellare completamente le autorizzazioni o se copiare nel figlio i diritti che precedentemente venivano trasmessi dal padre.

Si noti infine che alle autorizzazioni ereditate se ne possono aggiungere altre non ereditate. Nella Figura 2 i diritti per il gruppo Users sono impostati manualmente, quelli per gli altri utenti e gruppi sono ereditati. Per questi ultimi viene anche indicata la relativa cartella padre che assegna i diritti.

Proprietario di file e cartelle

L’utente che crea un file ne è anche il Proprietario (Owner). Il proprietario del file è l’unico, oltre agli utenti del gruppo Administrators, che ha diritto di impostarne le autorizzazioni.

Attraverso la scheda Proprietario, presente nelle impostazioni avanzate, è possible visualizzare la proprietà del file o della cartella.

La proprietà può essere modificata in due modi:

• Un amministratore può diventare proprietario dell’oggetto in qualsiasi momento attraverso la scheda proprietario visualizzata in Figura 4.
• Il proprietario corrente può concedere l’Autorizzazione speciale Diventa proprietario al nuovo proprietario che potrà assumerla in qualsiasi momento.

Conclusioni

L’argomento è sicuramente vasto e necessita di numerose sperimentazioni per essere compreso a fondo. Si consiglia di analizzare le impostazioni delle cartelle e dei file già presenti nel filesystem per capire come funziona il meccanismo. In seguito si potrà agire sulle proprie cartelle per limitarne l’accesso ad altri utenti del sistema.