Analisi della condivisione semplificata ed avanzata in Windows XP

Windows XP è un sistema operativo che, sebbene sia ormai ampiamente utilizzato anche a livello “consumer”, ha in sé aspetti che in passato hanno caratterizzato versioni dedicate all’utenza professionale. In Windows XP l’accesso al sistema richiede l’identificazione dell’utente: ogni persona autorizzata ad utilizzare il personal computer dovrebbe disporre di un proprio account. Ad ogni account possono essere associati privilegi che consentano di effettuare o meno determinate operazioni. L’amministratore della macchina può decidere anche a quali risorse sarà consentito l’accesso per ciascun account presente.
Per ciascun account utente, inoltre, Windows XP memorizza un profilo differente all’interno del quale, per esempio, viene memorizzata la lista personale dei siti web preferiti, l’aspetto ed il contenuto del desktop e così via.

Quanto illustrato nel corso di questo articolo, è applicabile su dischi e partizioni formattati con il file system NTFS che fornisce enormi vantaggi in termini di protezione di file e cartelle (oltre ad una maggiore efficienza ed affidabilità rispetto al file system FAT).

Windows si basa sulle Access Control List (ACL) per stabilire quali utenti e quali gruppi di essi siano autorizzati ad avere accesso ad una risorsa (una cartella, un file ma anche un dispositivo hardware come una stampante). Ogni singola voce memorizzata all’interno della Access Control List indica, per ciascun utente, quali autorizzazioni gli sono concesse (sola lettura, lettura/scrittura, e così via). Per riferirsi ad account utente e gruppi di utenti, Windows utilizza il SID (“Security Identifier”), uno speciale codice che consente di identificare i singoli account.

All’atto dell’installazione di Windows XP, il primo utente che viene creato è l’amministratore della macchina: egli avrà accesso completo alla configurazione ad alle risorse del sistema. Gli account creati successivamente apparterranno invece, di default, al gruppo Users: si tratta di un gruppo d’utenza con privilegi più ridotti (possono eseguire programmi, utilizzare solo dati propri o quelli condivisi da altri utenti).

Gli account utente possono essere gestiti attraverso l’interfaccia facilitata accessibile dal Pannello di controllo, cliccando su Account utente. Da qui è semplice creare, modificare ed eliminare account utente ed eventualmente modificare password e suggerimenti per il recupero della stessa nel caso in cui questa dovesse venire dimenticata (tenere presente che il suggerimento viene visualizzato a tutti gli utenti del sistema).

Cominciamo ad analizzare le differenze tra la Condivisione semplificata e quella classica. Si tratta di un aspetto cruciale che permette di proteggere l’accesso a file e cartelle da parte di utenti non autorizzati.

Poiché Windows XP si propone come un sistema rivolto sia all’utenza consumer (proveniente, ad esempio, da Windows 9x/ME), sia a quella più evoluta (Windows NT/2000), si è deciso di impostare le funzionalità per la condivisione di file e cartelle in due differenti forme: la prima, decisamente semplificata, per non causare mal di testa agli utenti provenienti da sistemi come Windows 95, Windows 98 o Windows ME, la seconda – più completa e complessa – per i più smaliziati.

Windows XP Home fornisce unicamente la condivisione semplice mentre Windows XP Professional mette a disposizione entrambe le versioni (sebbene esista un espediente non ufficiale per introdurre anche in XP Home la condivisione classica: esso si basa sull’installazione del tool “Security Configuration Manager” di Microsoft così come riportato a questo indirizzo).

Provate a fare clic con il tasto destro del mouse su una qualsiasi cartella memorizzata sul disco fisso quindi scegliete la voce Proprietà e la scheda Condivisione.
Se state utilizzando la condivisione semplificata, troverete solo due riquadri: Condivisione locale e protezione e Condivisione di rete e protezione.

La prassi da seguire, in questo caso, è elementare: se si desidera condividere una cartella locale con altri utenti, è sufficiente trascinarla nella cartella Documenti condivisi (accessibile semplicemente facendo doppio clic su Risorse del computer). Per rendere una cartella inaccessibile agli altri utenti, è sufficiente cliccare su Rendi cartella privata (l’opzione è chiaramente inutile se per l’account non è stata scelta una password – prassi sconsigliata -: chiunque può in questo caso eseguire il logon al suo posto).
In alternativa, senza spostare cartelle, per condividere una directory si può cliccare sul link Se pur comprendendo… ed optare o per la procedura guidata oppure per quella manuale (si dovrà specificare se condividere la cartella in rete, attribuire un nome per la risorsa messa in condivisione e decidere se permettere agli altri utenti di modificare i file memorizzati nella cartella).

Ogniqualvolta un qualsiasi utente crea un file od una cartella ne diventa automaticamente il “proprietario” avendo così massima libertà d’azione su quella specifica risorsa. Oltre che dal proprietario, una cartella, un file od una qualunque altra risorsa, è accessibile dall’account SYSTEM e dagli amministratori. L’account SYSTEM non rappresenta una persona fisica ma il sistema operativo. Per quanto riguarda gli amministratori, il proprietario di un file o di una cartella può impedire loro la visualizzazione, ad esempio, di un documento privato spuntando la caella Rendi cartella privata. Va detto che un amministratore determinato a “spiare” dati privati può assumere la proprietà della cartella in cui essi sono memorizzati: trattasi però di un’operazione delicata che potrebbe creare problemi in molti contesti.

Se si desidera condividere una cartella con gli utenti in rete, basta spuntare la casella Condivi cartella in rete ed attivare anche Consenti agli utenti di modificare i file per garantire un controllo completo. Nella modalità semplificata non è possibile condividere singoli file.
Nella condivisione semplificata, inoltre, non si può limitare l’accesso ad una cartella ad utenti specifici. Inoltre, gli utenti che vi accedono dalla rete vengono sempre identificati come appartenenti al gruppo “Guest”.

Differenze tra i vari tipi di account

Chiariamo ora le differenze tra i vari tipi di account utente. In primo luogo, precisiamo come i privilegi assegnati ai vari gruppi d’utenza rivestano un ruolo di fondamentale importanza anche nella fase di installazione di nuovi programmi.

Gli utenti del gruppo Users, ad esempio, possono installare solamente un insieme ristretto di applicazioni ovvero esclusivamente quelle che modificano chiavi della sezione HKEY_CURRENT_USER del registro di sistema. Tutte quelle applicazioni che necessitano di privilegi amministrativi non possono essere installate perché influenzerebbero le impostazioni dell’intero sistema. Windows blocca le procedure di setup che non sono eseguibili da parte di utenti del gruppo Users.
Gli utenti di questo gruppo possono eseguire solo applicazioni certificate per Windows XP (non sono autorizzati quindi né installare né utilizzare programmi sviluppati per precedenti versioni del sistema operativo), non possono operare modifiche alla configurazione del sistema operativo, né metter mano ai file chiave di Windows.

Un account Administrator, invece, offre piena libertà d’azione all’utente: egli può apportare qualunque tipo di modifica alla configurazione del sistema. Abbiamo comunque più volte rimarcato, nelle pagine de IlSoftware.it, come utilizzare account di tipo amministrativo per le normali operazioni (soprattutto navigazione in Rete) sia generalmente sconsigliabile. Nel caso in cui il sistema operativo non sia aggiornato e non siano installate tutte le necessarie patch di sicurezza, infatti, semplicemente navigando in Rete si potrebbe facilitare l’installazione di componenti malware (ved. questa pagina per approfondire la tematica).
Un account Administrator dovrebbe quindi essere impiegato di solito solo per installare aggiornamenti, gestire la configurazione del sistema, privilegi di accesso, account degli utenti e così via. Spesso però si utilizza questo tipo di account per installare su Windows XP programmi sviluppati per versioni precedenti.

Ecco allora come in questi casi potrebbe essere interessante assegnare a qualche utente i diritti del gruppo Power users. I privilegi che contraddistinguono gli account appartenenti a questo gruppo sono decisamente più estesi rispetto a quelli degli Users e più ridotti rispetto agli Administrators.
I Power users possono eseguire applicazioni sviluppate anche per precedenti versioni di Windows, installare applicazioni che non modificano file di sistema, personalizzare risorse di sistema accedendo al Pannello di controllo, gestire i servizi di sistema. Di default Windows XP propone solo account User ed Administrator: due estremi scelti per non complicare troppo la vita a chi arriva da sistemi Windows 9x/ME.

L’elenco di account e gruppo d’utenza è visionabile accedendo al Pannello di controllo, cliccando su Strumenti di amministrazione, Gestione computer infine su Utenti e gruppi locali.
Cliccando sulla cartella Users, si ottiene – nel pannello di destra – l’elenco degli utenti creati sul sistema in uso. Facendo clic su ciascuno di essi col tasto destro del mouse, scegliendo la voce Proprietà, infine cliccando su Membro di, è possibile verificare il gruppo d’appartenenza ed effettuare eventuali variazioni.

Tra i vari gruppi di utenti vi è anche Guests destinato all’utilizzo di utenti ospiti od occasionali. Si tratta di un account con privilegi ancor più ristretti rispetto al gruppo Users.

Come già evidenziato, qualora si utilizzi la “condivisione semplificata” (abilitata di default su sistemi Windows XP Professional; unica disponibile in Windows XP Home), non si può limitare l’accesso ad una cartella ad utenti specifici. Inoltre, gli utenti che accedono alla cartella condivisa dalla rete, vengono sempre identificati come apparententi al gruppo Guests. Da più parti (ved. anche il documento Microsoft pubblicato a questo indirizzo) si consiglia di disabilitare l’account Guest se si desidera proteggere il più possibile i dati contenuti nelle cartelle condivise da accessi non autorizzati assicurandosi di aver attivato la Condivisione avanzata.
L’account Guest è disattivabile accedendo ad Utenti e gruppi locali (Gestione computer), cliccando su Users, facendo doppio clic su Guest infine spuntando l’opzione Account disabilitato (scheda Generale).

Vediamo ora le prerogative della Condivisione avanzata detta anche “classica” perché trattasi di quella adottata in Windows NT e Windows 2000. Innanzi tutto per disattivare la condivisione semplificata bisogna essere loggati necessariamente come amministratori. Per disattivare la “condivisione semplice” è sufficiente accedere a Risorse del computer, cliccare sul menù Strumenti, Opzioni cartella… quindi disattivare la casella Utilizza condivisione file semplice.

Condivisione avanzata: impostare le autorizzazioni

Dopo aver attivato la Condivisione avanzata, facendo clic con il tasto destro del mouse su una cartella memorizzata su uno dei dischi fissi/partizioni locali quindi scegliendo Proprietà infine Condivisione, è possibile scegliere – in primo luogo – se condividere la cartella selezionata (Condividi cartella). A questo punto si può introdurre un nome da assegnare alla risorsa condivisa (nel caso delle cartelle, di default, viene proposto il nome della cartella stessa) e specificare parametri accessori come il numero di utenti che possono accedervi.

Cliccando sul pulsante Autorizzazioni, verrà proposta la finestra che mostra la finestra delle autorizzazioni associate alla risorsa in fase di condivisione. Le impostazioni predefinite permettono la lettura da parte di tutti gli utenti (Everyone) del contenuto della cartella condivisa.

Per fare in modo che il contenuto della cartella sia visibile solo da utenti specifici, è sufficiente eliminare la voce Everyone cliccando su Rimuovi. Facendo riferimento alla finestra che comparirà cliccando su Aggiungi…, è possibile a questo punto decidere quali gruppi di utenti e quali utenti specifici sono autorizzati a visionare il contenuto della cartella condivisa. Se si vuole fare in modo, ad esempio, che solo agli amministratori sia concesso l’accesso alla cartella condivisa, è sufficiente digitare Administrators nella casella Immettere i nomi degli oggetti da selezionare. E’ bene quindi cliccare su Controlla nomi per verificare che nomi di utenti e gruppi di utenti siano stati digitati in modo corretto. A questo punto, gli account amministratore avranno la possibilità di leggere il contenuto della cartella condivisa.

Qualora si desiderasse accordare permessi più ampi, è sufficiente attivare – oltre alla casella Lettura -, ad esempio, anche Modifica o Controllo completo.

Cliccando sul pulsante Nuova condivisione (appare una volta che è stata creata almeno una condivisione), è possibile crearne una nuova accordando accesso, ad esempio, ad altri utenti con privilegi differenti.