Analisi della condivisione semplificata ed avanzata in Windows XP

di Michele Nasi
La condivisione semplificata
Windows XP un sistema operativo che, sebbene sia ormai ampiamente utilizzato anche a livello "consumer", ha in s aspetti che in passato hanno
caratterizzato versioni dedicate all'utenza professionale. In Windows XP l'accesso al sistema richiede l'identificazione dell'utente: ogni persona autorizzata
ad utilizzare il personal computer dovrebbe disporre di un proprio account. Ad ogni account possono essere associati privilegi che consentano di
effettuare o meno determinate operazioni. L'amministratore della macchina pu decidere anche a quali risorse sar consentito l'accesso per ciascun
account presente.
Per ciascun account utente, inoltre, Windows XP memorizza un profilo differente all'interno del quale, per esempio, viene memorizzata la lista personale
dei siti web preferiti, l'aspetto ed il contenuto del desktop e cos via.
Quanto illustrato nel corso di questo articolo, applicabile su dischi e partizioni formattati con il file system NTFS che fornisce enormi vantaggi in termini
di protezione di file e cartelle (oltre ad una maggiore efficienza ed affidabilit rispetto al file system FAT).
Windows si basa sulle Access Control List (ACL) per stabilire quali utenti e quali gruppi di essi siano autorizzati ad avere accesso ad una risorsa (una
cartella, un file ma anche un dispositivo hardware come una stampante). Ogni singola voce memorizzata all'interno della Access Control List indica, per
ciascun utente, quali autorizzazioni gli sono concesse (sola lettura, lettura/scrittura, e cos via). Per riferirsi ad account utente e gruppi di utenti,
Windows utilizza il SID ("Security Identifier"), uno speciale codice che consente di identificare i singoli account.
All'atto dell'installazione di Windows XP, il primo utente che viene creato l'amministratore della macchina: egli avr accesso completo alla
configurazione ad alle risorse del sistema. Gli account creati successivamente apparterranno invece, di default, al gruppo Users: si tratta di un gruppo
d'utenza con privilegi pi ridotti (possono eseguire programmi, utilizzare solo dati propri o quelli condivisi da altri utenti).
Gli account utente possono essere gestiti attraverso l'interfaccia facilitata accessibile dal Pannello di controllo, cliccando su Account utente. Da qui
semplice creare, modificare ed eliminare account utente ed eventualmente modificare password e suggerimenti per il recupero della stessa nel caso in
cui questa dovesse venire dimenticata (tenere presente che il suggerimento viene visualizzato a tutti gli utenti del sistema).
Cominciamo ad analizzare le differenze tra la Condivisione semplificata e quella classica. Si tratta di un aspetto cruciale che permette di proteggere
l'accesso a file e cartelle da parte di utenti non autorizzati.
Poich Windows XP si propone come un sistema rivolto sia all'utenza consumer (proveniente, ad esempio, da Windows 9x/ME), sia a quella pi evoluta
(Windows NT/2000), si deciso di impostare le funzionalit per la condivisione di file e cartelle in due differenti forme: la prima, decisamente
semplificata, per non causare mal di testa agli utenti provenienti da sistemi come Windows 95, Windows 98 o Windows ME, la seconda - pi completa e
complessa - per i pi smaliziati.
Windows XP Home fornisce unicamente la condivisione semplice mentre Windows XP Professional mette a disposizione entrambe le versioni (sebbene
esista un espediente non ufficiale per introdurre anche in XP Home la condivisione classica: esso si basa sull'installazione del tool "Security Configuration
Manager" di Microsoft cos come riportato a questo indirizzo).
Provate a fare clic con il tasto destro del mouse su una qualsiasi cartella memorizzata sul disco fisso quindi scegliete la voce Propriet e la scheda
Condivisione.
Se state utilizzando la condivisione semplificata, troverete solo due riquadri: Condivisione locale e protezione e Condivisione di rete e
protezione.
La prassi da seguire, in questo caso, elementare: se si desidera condividere una cartella locale con altri utenti, sufficiente trascinarla nella cartella
Documenti condivisi (accessibile semplicemente facendo doppio clic su Risorse del computer). Per rendere una cartella inaccessibile agli altri utenti,
sufficiente cliccare su Rendi cartella privata (l'opzione chiaramente inutile se per l'account non stata scelta una password - prassi sconsigliata -:
chiunque pu in questo caso eseguire il logon al suo posto).
In alternativa, senza spostare cartelle, per condividere una directory si pu cliccare sul link Se pur comprendendo... ed optare o per la procedura guidata
oppure per quella manuale (si dovr specificare se condividere la cartella in rete, attribuire un nome per la risorsa messa in condivisione e decidere se
permettere agli altri utenti di modificare i file memorizzati nella cartella).
Ogniqualvolta un qualsiasi utente crea un file od una cartella ne diventa automaticamente il "proprietario" avendo cos massima libert d'azione su quella
specifica risorsa. Oltre che dal proprietario, una cartella, un file od una qualunque altra risorsa, accessibile dall'account SYSTEM e dagli amministratori.
L'account SYSTEM non rappresenta una persona fisica ma il sistema operativo. Per quanto riguarda gli amministratori, il proprietario di un file o di una
cartella pu impedire loro la visualizzazione, ad esempio, di un documento privato spuntando la caella Rendi cartella privata. Va detto che un
amministratore determinato a "spiare" dati privati pu assumere la propriet della cartella in cui essi sono memorizzati: trattasi per di un'operazione
delicata che potrebbe creare problemi in molti contesti.
Se si desidera condividere una cartella con gli utenti in rete, basta spuntare la casella Condivi cartella in rete ed attivare anche Consenti agli utenti di
modificare i file per garantire un controllo completo. Nella modalit semplificata non possibile condividere singoli file.
Nella condivisione semplificata, inoltre, non si pu limitare l'accesso ad una cartella ad utenti specifici. Inoltre, gli utenti che vi accedono dalla rete
vengono sempre identificati come appartenenti al gruppo "Guest".
Differenze tra i vari tipi di account
Chiariamo ora le differenze tra i vari tipi di account utente. In primo luogo, precisiamo come i privilegi assegnati ai vari gruppi d'utenza rivestano un
ruolo di fondamentale importanza anche nella fase di installazione di nuovi programmi.
Gli utenti del gruppo Users, ad esempio, possono installare solamente un insieme ristretto di applicazioni ovvero esclusivamente quelle che modificano
chiavi della sezione HKEY_CURRENT_USER del registro di sistema. Tutte quelle applicazioni che necessitano di privilegi amministrativi non possono essere
installate perch influenzerebbero le impostazioni dell'intero sistema. Windows blocca le procedure di setup che non sono eseguibili da parte di utenti del
gruppo Users.
Gli utenti di questo gruppo possono eseguire solo applicazioni certificate per Windows XP (non sono autorizzati quindi n installare n utilizzare
programmi sviluppati per precedenti versioni del sistema operativo), non possono operare modifiche alla configurazione del sistema operativo, n metter
mano ai file chiave di Windows.
Un account Administrator, invece, offre piena libert d'azione all'utente: egli pu apportare qualunque tipo di modifica alla configurazione del sistema.
Abbiamo comunque pi volte rimarcato, nelle pagine de IlSoftware.it, come utilizzare account di tipo amministrativo per le normali operazioni
(soprattutto navigazione in Rete) sia generalmente sconsigliabile. Nel caso in cui il sistema operativo non sia aggiornato e non siano installate tutte le
necessarie patch di sicurezza, infatti, semplicemente navigando in Rete si potrebbe facilitare l'installazione di componenti malware (ved. questa pagina
per approfondire la tematica).
Un account Administrator dovrebbe quindi essere impiegato di solito solo per installare aggiornamenti, gestire la configurazione del sistema, privilegi di
accesso, account degli utenti e cos via. Spesso per si utilizza questo tipo di account per installare su Windows XP programmi sviluppati per versioni
precedenti.
Ecco allora come in questi casi potrebbe essere interessante assegnare a qualche utente i diritti del gruppo Power users. I privilegi che
contraddistinguono gli account appartenenti a questo gruppo sono decisamente pi estesi rispetto a quelli degli Users e pi ridotti rispetto agli
Administrators.
I Power users possono eseguire applicazioni sviluppate anche per precedenti versioni di Windows, installare applicazioni che non modificano file di
sistema, personalizzare risorse di sistema accedendo al Pannello di controllo, gestire i servizi di sistema. Di default Windows XP propone solo account
User ed Administrator: due estremi scelti per non complicare troppo la vita a chi arriva da sistemi Windows 9x/ME.
L'elenco di account e gruppo d'utenza visionabile accedendo al Pannello di controllo, cliccando su Strumenti di amministrazione, Gestione computer
infine su Utenti e gruppi locali.
Cliccando sulla cartella Users, si ottiene - nel pannello di destra - l'elenco degli utenti creati sul sistema in uso. Facendo clic su ciascuno di essi col tasto
destro del mouse, scegliendo la voce Propriet, infine cliccando su Membro di, possibile verificare il gruppo d'appartenenza ed effettuare eventuali
variazioni.
Tra i vari gruppi di utenti vi anche Guests destinato all'utilizzo di utenti ospiti od occasionali. Si tratta di un account con privilegi ancor pi ristretti
rispetto al gruppo Users.
Come gi evidenziato, qualora si utilizzi la "condivisione semplificata" (abilitata di default su sistemi Windows XP Professional; unica disponibile in
Windows XP Home), non si pu limitare l'accesso ad una cartella ad utenti specifici. Inoltre, gli utenti che accedono alla cartella condivisa dalla rete,
vengono sempre identificati come apparententi al gruppo Guests. Da pi parti (ved. anche il documento Microsoft pubblicato a questo indirizzo) si
consiglia di disabilitare l'account Guest se si desidera proteggere il pi possibile i dati contenuti nelle cartelle condivise da accessi non autorizzati
assicurandosi di aver attivato la Condivisione avanzata.
L'account Guest disattivabile accedendo ad Utenti e gruppi locali (Gestione computer), cliccando su Users, facendo doppio clic su Guest infine
spuntando l'opzione Account disabilitato (scheda Generale).
Vediamo ora le prerogative della Condivisione avanzata detta anche "classica" perch trattasi di quella adottata in Windows NT e Windows 2000.
Innanzi tutto per disattivare la condivisione semplificata bisogna essere loggati necessariamente come amministratori. Per disattivare la "condivisione
semplice" sufficiente accedere a Risorse del computer, cliccare sul men Strumenti, Opzioni cartella... quindi disattivare la casella Utilizza
condivisione file semplice.
Condivisione avanzata: impostare le autorizzazioni
Dopo aver attivato la Condivisione avanzata, facendo clic con il tasto destro del mouse su una cartella memorizzata su uno dei dischi fissi/partizioni
locali quindi scegliendo Propriet infine Condivisione, possibile scegliere - in primo luogo - se condividere la cartella selezionata (Condividi cartella). A
questo punto si pu introdurre un nome da assegnare alla risorsa condivisa (nel caso delle cartelle, di default, viene proposto il nome della cartella
stessa) e specificare parametri accessori come il numero di utenti che possono accedervi.
Cliccando sul pulsante Autorizzazioni, verr proposta la finestra che mostra la finestra delle autorizzazioni associate alla risorsa in fase di condivisione. Le
impostazioni predefinite permettono la lettura da parte di tutti gli utenti (Everyone) del contenuto della cartella condivisa.
Per fare in modo che il contenuto della cartella sia visibile solo da utenti specifici, sufficiente eliminare la voce Everyone cliccando su Rimuovi. Facendo
riferimento alla finestra che comparir cliccando su Aggiungi..., possibile a questo punto decidere quali gruppi di utenti e quali utenti specifici sono
autorizzati a visionare il contenuto della cartella condivisa. Se si vuole fare in modo, ad esempio, che solo agli amministratori sia concesso l'accesso alla
cartella condivisa, sufficiente digitare Administrators nella casella Immettere i nomi degli oggetti da selezionare. E' bene quindi cliccare su Controlla
nomi per verificare che nomi di utenti e gruppi di utenti siano stati digitati in modo corretto. A questo punto, gli account amministratore avranno la
possibilit di leggere il contenuto della cartella condivisa.
Qualora si desiderasse accordare permessi pi ampi, sufficiente attivare - oltre alla casella Lettura -, ad esempio, anche Modifica o Controllo completo.
Cliccando sul pulsante Nuova condivisione (appare una volta che stata creata almeno una condivisione), possibile crearne una nuova accordando
accesso, ad esempio, ad altri utenti con privilegi differenti.
www.ilsoftware.it
2001-2006 Michele Nasi - Tutti i diritti riservati.