Una delle caratteristiche fondamentali che differenzia i sistemi operativi della famiglia NT (2000/XP/2003) dalle precedenti versioni 9x (95/98/Me) è la possibilità di proteggere e limitare l'accesso a tutte le principali risorse di sistema.
Il meccanismo su cui si basa questo modello di protezione è realizzato attraverso il concetto di utente e di gruppi di utenti. Prima di concedere l'utilizzo di un oggetto (un file, un programma, una stampante, un componente software, una chiave di registro etc...) il sistema controlla che l'utente o il gruppo a cui appartiene possieda le necessarie autorizzazioni. Se la verifica ha esito negativo l'accesso richiesto è vietato e la risorsa viene protetta.
In questo articolo familiarizzeremo con questi concetti focalizzando la nostra attenzione sulle opzioni di protezione specifiche del filesystem. Si illustrerà quindi come limitare o impedire ad alcuni utenti l'accesso a determinati file o cartelle presenti sul disco fisso del nostro computer.
A tal proposito è essenziale far notare che la protezione di questo genere di oggetti è disponibile unicamente se si utilizza un filesystem NTFS. Su eventuali partizioni FAT32 la protezione dei file non è disponibile. Per verificare se la vostra partizione è NTFS o FAT32 basta cliccare sull'icona "Risorse del computer" presente sul Desktop ed evidenziare la partizione (C: o D: o altre) che si desidera proteggere. Nella finestra dettagli che comparirà a sinistra sarà evidenziato la tipologia di file system.
Le considerazioni che seguono prendono come riferimento il sistema operativo Windows XP ma possono essere estese con poche differenze anche a Windows 2000.
Gruppi e Utenti
Prima di cominciare a parlare di autorizzazioni è necessario spendere qualche parola sulla gestione degli utenti.
Le autorizzazioni di accesso alle risorse possono essere concesse a livello di singolo utente e a livello di gruppo. Tutti gli utenti appartenenti ad uno stesso gruppo ereditano automaticamente da questo gli stessi diritti. Ogni utente deve sempre far parte di almeno un gruppo. Nel caso un utente appartenga a più gruppi aventi diritti diversi vengono imposte le autorizzazioni più restrittive.
Selezionando la voce Account Utente presente nel Pannello di controllo è possibile creare una nuova utenza usufruendo di una semplice procedura guidata. La cosa importante da notare è la possibilità di scegliere se l'account creato sarà di tipo amministrativo o se sarà limitato. Come vedremo queste due voci permettono l'inserimento automatico dell'utente in gruppi aventi diritti diversi.
Per una migliore gestione di gruppi e utenti è possibile accedere alla voce Gestione computer presente tra gli Strumenti di amministrazione del Pannello di controllo. Espandendo la voce Utenti e gruppi locali troveremo due cartelle, una contenente tutti gli utenti definiti sul sistema e l'altra contenente tutti i gruppi.
Si noterà che gli utenti sono più numerosi di quelli da noi direttamente creati. Molti di questi sono account che il sistema usa automaticamente in particolari contesti come ad esempio l'Help a distanza attraverso il Desktop Remoto o, se abbiamo installato il server IIS, l'accesso alle nostre pagine web da parte di visitatori internet.
Gli account utente contraddistinti da una crocetta bianca in campo rosso sono stati definiti sul sistema ma attualmente risultano disabilitati e quindi non attivi.
Nella cartella relativa ai gruppi sono presenti numerose voci. Quelle che più ci interessano sono:
- Administrators
gli utenti di questo gruppo possiedono un controllo elevato sul sistema.
Possono accedere a tutti i file, possono configurare parametri fondamentali
del sistema operativo, installare qualsiasi tipo di software e hardware.
Account appartenenti a questo gruppo dovrebbero essere usati solo
saltuariamente per la manutenzione del sistema. L'utente predefinito
Administrator fa parte di questo gruppo. - Users
corrisponde all'account di tipo limitato discusso in precedenza. Non permette
la modifica del sistema operativo né di installare programmi che compiano
tali modifiche. Ad un utente appartenente al gruppo Users non è concesso
accedere ai file e alle cartelle personali di altri utenti. In generale questo
gruppo fornisce un ambiente protetto nel quale risulta difficile compromettere
l'integrità del sistema e nel quale eventuali virus o file dannosi vedono
ridotte le loro potenzialità distruttive. - Power Users
dispone di autorizzazioni maggiori rispetto al gruppo Users ma minori
rispetto al gruppo Administrators. Può essere utile promuovere un
utente del gruppo Users a Power User nel caso questo non riesca ad eseguire
alcuni programmi concepiti per versioni precedenti di windows che non
supportano il modello di protezione. Gli utenti Power Users dispongono inoltre
di una maggiore possibilità di personalizzazione del sistema rispetto agli account
limitati.
Tramite un doppio click sui nomi si accede ad una finestra in cui è possibile
visualizzare, aggiungere o eliminare utenti nello specifico gruppo.
La protezione del filesystem
In un sistema operativo multi utente è importante che solo alcuni account possano accedere a determinati file e cartelle. Questo tipo di controllo è realizzato tramite le autorizzazioni.
Per poter accedere alle impostazioni di protezione è necessario abilitarne la visualizzazione dato che Windows XP normalmente le nasconde:
si apra Risorse del computer e dal menu Strumenti si scelga Opzioni cartella. Nella scheda Visualizzazione si disabiliti la voce Utilizza condivisione file semplice.
In questo modo ogni volta che cliccando col tasto destro del mouse su un file o una cartella sceglieremo di visualizzarne le proprietà sarà presente una nuova scheda Protezione.
Nella parte superiore troviamo l'elenco dei gruppi (icona con due persone) e
degli utenti (icona con una sola persona) per i quali sono stati definite delle
regole di accesso al file o alla cartella selezionata. È possibile eliminare o
aggiungere nuove voci tramite gli appositi pulsanti. Il gruppo SYSTEM è usato dal sistema operativo e le sue impostazioni non
dovrebbero mai essere modificate.
Selezionando un gruppo o un utente verranno visualizzate le relative
autorizzazioni nella parte inferiore della scheda.
È importante precisare che:
- Le autorizzazioni vengono assegnate selezionando la relativa voce Consenti.
- Con Controllo completo si assegnano automaticamente tutti i diritti di
accesso. - I gruppi o utenti che possiedono il Controllo completo su una cartella possono eliminare
qualunque file contenuto nella cartella indipendentemente dalle autorizzazioni impostate per
il file. - La voce Nega deve essere usata per escludere un sottoinsieme di un gruppo
che possiede autorizzazioni Consenti. Per esempio: si vuole negare l'accesso in
scrittura ad un utente appartenente ad un gruppo che possiede tale accesso. - Se le caselle Consenti risultano "grigie" e non selezionabili significa che
le autorizzazioni sono ereditate (si veda più avanti nell'articolo). In una tale situazione
le autorizzazioni possono comunque essere negate.
Descrizione delle autorizzazioni.
Le autorizzazioni visualizzate nella Figura 1 raggruppano in
realtà insiemi di diritti più semplici chiamati Autorizzazioni speciali. Poiché
raramente è necessario agire sui singoli diritti Windows ci permette una
gestione più agevole raggruppando tali voci in pochi insiemi di autorizzazioni:
Controllo completo, Modifica, Lettura (per i file)/Esecuzione (per i programmi),
Visualizza contenuto cartella (solo per le cartelle), Lettura e Scrittura.
Nella tabella che segue è indicata la corrispondenza tra autorizzazioni e autorizzazioni speciali.
Autorizzazioni di accesso a file e cartelle |
|||||||
Autorizzazioni speciali | Controllo completo |
Modifica | Lettura/ esecuzione |
Visualizza contenuto cartella |
Lettura | Scrittura | |
Attraversa cartelle/Esecuzione file | x | x | x | x | |||
Visualizzazione contenuto cartella/Lettura dati | x | x | x | x | x | ||
Lettura attributi | x | x | x | x | x | ||
Lettura attributi estesi | x | x | x | x | x | ||
Creazione file/Scrittura dati | x | x | x | ||||
Creazione cartelle/Aggiunta dati | x | x | x | ||||
Scrittura attributi | x | x | x | ||||
Scrittura attributi estesi | x | x | x | ||||
Eliminazione sottocartelle e file | x | ||||||
Eliminazione | x | x | |||||
Autorizzazioni di lettura | x | x | x | x | x | x | |
Cambia autorizzazioni | x | ||||||
Diventa proprietario | x | ||||||
Sincronizza | x | x | x | x | x | x |
Quando la voce Autorizzazioni Speciali nella scheda di protezione possiede la
voce Consenti selezionata significa che diritti specifici sono stati impostati
manualmente.
Per accedere alle autorizzazioni speciali è necessario selezionale il pulsante
Avanzate.
Selezionando l'utente o il gruppo e premendo il pulsante Modifica si accede alla
finestra di impostazione dei singoli diritti.
Ereditarietà
L'ereditarietà permette di impostare i diritti di protezione su un solo
oggetto padre, che di solito è una cartella o una partizione, e far si
che gli oggetti figlio, cioè tutti i file e cartelle contenuti nel padre,
acquisiscano le stesse autorizzazioni.
Se le impostazioni del padre vengono modificate queste si ripercuoteranno
automaticamente su tutti gli oggetti figlio che abbiano l'opzione di ereditarietà
attivata.
Gli stessi oggetti figlio, se spostati dentro una diversa cartella padre,
vedranno modificate di conseguenza le proprie autorizzazioni.
Per impostazione predefinita windows assegna la proprietà di ereditarietà ad
ogni nuovo file o cartella creata.
È possibile stabile se un oggetto del filesystem debba ereditare o meno le
autorizzazioni agendo sulla relativa voce nella finestra Avanzate della
scheda di protezione (vedi Figura 2). Se si disabilita l'ereditarietà verrà richiesto se
cancellare completamente le autorizzazioni o se copiare nel figlio i diritti che
precedentemente venivano trasmessi dal padre.
Si noti infine che alle autorizzazioni ereditate se ne possono aggiungere
altre non ereditate. Nella Figura 2 i diritti per il gruppo Users sono impostati
manualmente, quelli per gli altri utenti e gruppi sono ereditati. Per questi ultimi viene
anche indicata la relativa cartella padre che assegna i diritti.
Proprietario di file e cartelle
L'utente che crea un file ne è anche il Proprietario (Owner). Il proprietario del file è
l'unico, oltre agli utenti del gruppo Administrators, che ha diritto di impostarne
le autorizzazioni.
Attraverso la scheda Proprietario, presente nelle impostazioni avanzate, è possible visualizzare
la proprietà del file o della cartella.
La proprietà può essere modificata in due modi:
- Un amministratore può diventare proprietario dell'oggetto in qualsiasi momento attraverso la scheda
proprietario visualizzata in Figura 4. - Il proprietario corrente può concedere l'Autorizzazione speciale Diventa proprietario al nuovo
proprietario che potrà assumerla in qualsiasi momento.
Conclusioni
L'argomento è sicuramente vasto e necessita di numerose sperimentazioni per essere compreso a fondo.
Si consiglia di analizzare le impostazioni delle cartelle e dei file già presenti nel filesystem per
capire come funziona il meccanismo. In seguito si potrà agire sulle proprie cartelle per limitarne l'accesso
ad altri utenti del sistema.