• Taylor Gibb

  @taybgibb

• Aggiornato il 28 ottobre 2019, 8:49am EDT

Hai mai provato a capire tutte le autorizzazioni in Windows? Ci sono i permessi di condivisione, i permessi NTFS, le liste di controllo degli accessi e altro ancora. Ecco come funzionano tutti insieme.

L’identificatore di sicurezza

I sistemi operativi Windows usano i SID per rappresentare tutti i principi di sicurezza. I SID sono solo stringhe di lunghezza variabile di caratteri alfanumerici che rappresentano macchine, utenti e gruppi. I SID sono aggiunti alle ACL (Access Control Lists) ogni volta che si concede a un utente o gruppo il permesso di un file o una cartella. Dietro le quinte i SID sono memorizzati nello stesso modo di tutti gli altri oggetti di dati, in binario. Tuttavia quando vedrete un SID in Windows sarà visualizzato usando una sintassi più leggibile. Non capita spesso di vedere una qualsiasi forma di SID in Windows, lo scenario più comune è quando si concede a qualcuno il permesso di una risorsa, poi il suo account utente viene cancellato, allora apparirà come un SID nell’ACL. Quindi diamo un’occhiata al tipico formato in cui vedrete i SID in Windows.

La notazione che vedrete prende una certa sintassi, sotto ci sono le diverse parti di un SID in questa notazione.

1. Un prefisso ‘S’
2. Numero di revisione della struttura
3. Un valore di autorità dell’identificatore a 48 bit
4. Un numero variabile di valori di sub-autorità o identificatore relativo (RID) a 32 bit

Utilizzando il mio SID nell’immagine qui sotto spezzeremo le diverse sezioni per capire meglio.

La struttura SID:

‘S’ – Il primo componente di un SID è sempre una ‘S’. Questo è il prefisso di tutti i SID ed è lì per informare Windows che ciò che segue è un SID.
‘1’ – Il secondo componente di un SID è il numero di revisione della specifica SID, se la specifica SID dovesse cambiare fornirebbe compatibilità all’indietro. A partire da Windows 7 e Server 2008 R2 la specifica SID è ancora nella prima revisione.
‘5’ – La terza sezione di un SID è chiamata Identifier Authority. Questo definisce in quale ambito il SID è stato generato. I valori possibili per questa sezione del SID possono essere:

1. 0 – Null Authority
2. 1 – World Authority
3. 2 – Local Authority
4. 3 – Creator Authority
5. 4 – Non-unique Authority
6. 5 – NT Authority

’21’ – Il quarto componente è la sub-autorità 1, il valore ’21’ è usato nel quarto campo per specificare che le sotto-autorità che seguono identificano la macchina locale o il dominio.
‘1206375286-251249764-2214032401’ – Questi sono chiamati rispettivamente sub-autorità 2, 3 e 4. Nel nostro esempio questo è usato per identificare la macchina locale, ma potrebbe anche essere l’identificatore per un dominio.
‘1000’ – La sub-autorità 5 è l’ultimo componente del nostro SID ed è chiamato RID (Relative Identifier), il RID è relativo ad ogni security principal, si prega di notare che qualsiasi oggetto definito dall’utente, quelli che non sono spediti da Microsoft avranno un RID di 1000 o superiore.

Principali di sicurezza

Un principale di sicurezza è qualsiasi cosa che ha un SID collegato ad esso, questi possono essere utenti, computer e anche gruppi. I presidi di sicurezza possono essere locali o nel contesto del dominio. Si gestiscono i presidi di sicurezza locali attraverso lo snap-in Utenti e gruppi locali, sotto la gestione del computer. Per arrivarci cliccate con il tasto destro del mouse sulla scorciatoia del computer nel menu start e scegliete manage.

Per aggiungere un nuovo principal di sicurezza utente potete andare nella cartella users e cliccare con il tasto destro del mouse e scegliere new user.

Se fai doppio clic su un utente puoi aggiungerlo a un gruppo di sicurezza nella scheda Membro di.

Per creare un nuovo gruppo di sicurezza, vai alla cartella Gruppi sul lato destro. Clicca con il tasto destro sullo spazio bianco e seleziona nuovo gruppo.

Permessi di condivisione e permessi NTFS

In Windows ci sono due tipi di permessi per file e cartelle, prima ci sono i permessi di condivisione e poi ci sono i permessi NTFS chiamati anche permessi di sicurezza. Si noti che quando si condivide una cartella per impostazione predefinita al gruppo “Tutti” viene dato il permesso di lettura. La sicurezza sulle cartelle è di solito fatta con una combinazione di Share e NTFS Permissions, in questo caso è essenziale ricordare che si applica sempre la più restrittiva, per esempio se il permesso di condivisione è impostato su Everyone = Read (che è l’impostazione predefinita), ma il permesso NTFS consente agli utenti di apportare una modifica al file, il permesso Share avrà la preferenza e gli utenti non saranno autorizzati a fare modifiche. Quando si impostano i permessi, il LSASS (Local Security Authority) controlla l’accesso alla risorsa. Quando ti connetti ti viene dato un token di accesso con il tuo SID, quando vai ad accedere alla risorsa l’LSASS confronta il SID che hai aggiunto alla ACL (Access Control List) e se il SID è nella ACL determina se permettere o negare l’accesso. Non importa quali permessi usi, ci sono delle differenze, quindi diamo un’occhiata per capire meglio quando dovremmo usare cosa.

Permessi di condivisione:

1. Si applicano solo agli utenti che accedono alla risorsa in rete. Non si applicano se si accede localmente, per esempio attraverso i servizi terminal.
2. Si applica a tutti i file e le cartelle nella risorsa condivisa. Se vuoi fornire un tipo di schema di restrizione più granulare dovresti usare NTFS Permission in aggiunta ai permessi condivisi
3. Se hai dei volumi formattati FAT o FAT32, questa sarà l’unica forma di restrizione disponibile per te, poiché NTFS Permissions non è disponibile su quei file system.

Permessi NTFS:

1. L’unica restrizione sui permessi NTFS è che possono essere impostati solo su un volume formattato per il file system NTFS
2. Ricorda che NTFS è cumulativo, il che significa che i permessi effettivi di un utente sono il risultato della combinazione dei permessi assegnati all’utente e i permessi di qualsiasi gruppo a cui l’utente appartiene.

I nuovi permessi di condivisione

Windows 7 ha acquistato una nuova tecnica di condivisione “facile”. Le opzioni sono cambiate da Lettura, Modifica e Controllo completo a. Lettura e Lettura/Scrittura. L’idea era parte della mentalità dell’intero gruppo Home e rende facile la condivisione di una cartella per le persone non alfabetizzate al computer. Questo viene fatto tramite il menu contestuale e condivide con il tuo gruppo di casa facilmente.

Se vuoi condividere con qualcuno che non è nel gruppo di casa puoi sempre scegliere l’opzione “Persone specifiche…”. Il che farebbe apparire una finestra di dialogo più “elaborata”. Dove puoi specificare un utente o un gruppo specifico.

Ci sono solo due permessi come precedentemente menzionato, insieme offrono uno schema di protezione tutto o niente per le tue cartelle e file.

1. Il permesso di lettura è l’opzione “guardare, non toccare”. I destinatari possono aprire, ma non modificare o cancellare un file.
2. Lettura/Scrittura è l’opzione “fai tutto”. I destinatari possono aprire, modificare o eliminare un file.

La vecchia scuola

Il vecchio dialogo di condivisione aveva più opzioni e ci dava la possibilità di condividere la cartella sotto un alias diverso, ci permetteva di limitare il numero di connessioni simultanee e di configurare il caching. Nessuna di queste funzionalità è persa in Windows 7, ma piuttosto è nascosta sotto un’opzione chiamata “Condivisione avanzata”. Se clicchi con il tasto destro del mouse su una cartella e vai alle sue proprietà, puoi trovare queste impostazioni di “Condivisione avanzata” sotto la scheda di condivisione.

Se clicchi sul pulsante “Condivisione avanzata”, che richiede credenziali di amministratore locale, puoi configurare tutte le impostazioni che ti erano familiari nelle versioni precedenti di Windows.

Se cliccate sul pulsante dei permessi vi verranno presentate le 3 impostazioni che ci sono familiari.

1. Il permesso di lettura vi permette di visualizzare e aprire file e sottodirectory e di eseguire applicazioni. Tuttavia non permette di apportare alcuna modifica.
2. L’autorizzazione di modifica permette di fare tutto ciò che permette l’autorizzazione di lettura, ma aggiunge anche la possibilità di aggiungere file e sottodirectory, eliminare sottocartelle e modificare i dati nei file.
3. Il controllo completo è il “fai tutto” delle autorizzazioni classiche, poiché permette di fare qualsiasi e tutte le autorizzazioni precedenti. Inoltre ti dà l’avanzata modifica dei permessi NTFS, che si applica solo alle cartelle NTFS

Permessi NTFS

I permessi NTFS permettono un controllo molto granulare sui tuoi file e cartelle. Detto questo, la quantità di granularità può essere scoraggiante per un nuovo arrivato. Potete anche impostare i permessi NTFS sia per file che per cartella. Per impostare i permessi NTFS su un file si dovrebbe fare clic con il tasto destro del mouse e andare alle proprietà del file dove è necessario andare alla scheda sicurezza.

Per modificare i permessi NTFS per un utente o un gruppo fare clic sul pulsante di modifica.

Come potete vedere ci sono un bel po’ di permessi NTFS così dividiamoli. Per prima cosa daremo un’occhiata ai permessi NTFS che puoi impostare su un file.

1. Il controllo completo ti permette di leggere, scrivere, modificare, eseguire, cambiare attributi, permessi, e prendere la proprietà del file.
2. Modifica permette di leggere, scrivere, modificare, eseguire e cambiare gli attributi del file.
3. Leggi & Esegui ti permetterà di visualizzare i dati del file, gli attributi, il proprietario e i permessi, ed eseguire il file se è un programma.
4. Read vi permetterà di aprire il file, visualizzare i suoi attributi, il proprietario e i permessi.
5. Write vi permetterà di scrivere dati sul file, aggiungere dati al file e leggere o cambiare i suoi attributi.

NTFS I permessi per le cartelle hanno opzioni leggermente diverse, quindi diamogli un’occhiata.

1. Controllo completo ti permette di leggere, scrivere, modificare ed eseguire i file nella cartella, cambiare gli attributi, i permessi e prendere la proprietà della cartella o dei file al suo interno.
2. Modifica permette di leggere, scrivere, modificare ed eseguire i file nella cartella, e cambiare gli attributi della cartella o dei file al suo interno.
3. Leggi & Esegui ti permetterà di visualizzare il contenuto della cartella e di visualizzare i dati, gli attributi, il proprietario e i permessi per i file all’interno della cartella, ed eseguire i file all’interno della cartella.
4. Elenco contenuto cartella ti permetterà di visualizzare il contenuto della cartella e di visualizzare i dati, gli attributi, il proprietario e i permessi per i file all’interno della cartella.
5. Leggi ti permetterà di visualizzare i dati, gli attributi, il proprietario e i permessi del file.
6. Scrivi ti permetterà di scrivere dati sul file, aggiungere al file e leggere o cambiare i suoi attributi.

La documentazione di Microsoft afferma anche che “List Folder Contents” vi permetterà di eseguire i file all’interno della cartella, ma sarà comunque necessario abilitare “Read & Execute” per farlo. È un permesso documentato in modo molto confuso.

Sommario

In sintesi, i nomi utente e i gruppi sono rappresentazioni di una stringa alfanumerica chiamata SID (Security Identifier), le autorizzazioni Share e NTFS sono legate a questi SID. I permessi di condivisione sono controllati dall’LSSAS solo quando si accede alla rete, mentre i permessi NTFS sono validi solo sulle macchine locali. Spero che tutti voi abbiate una buona comprensione di come è implementata la sicurezza di file e cartelle in Windows 7. Se avete domande, sentitevi liberi di rispondere nei commenti.