Guide: passo per passo

Condividi:        

Protezione di file e cartelle

Utilità
PREMESSA: se non conoscete il significato di qualche parola consultate il nostro Glossario.
1. Introduzione

Da sempre l’uomo cerca di tenere segrete alcune informazioni (ordini di guerra, lettere ad amanti…) La segretezza delle informazioni ancora oggi è importante, soprattutto con l’avvento del computer e con l’avvento di internet. Questa guida non si propone di insegnare come criptare il numero della carta di credito usata online, ma si propone di spiegare come si può fare per impedire l’accesso ai dati presenti sul proprio hard disk.

CHE SISTEMA OPERATIVO UTILIZZIAMO?

Una domanda principale che ci dobbiamo fare è appunto questa, o meglio, “Che FileSystem utilizziamo”? E’ molto importante sapere questo, in quanto se il nostro sistema operativo è stato installato utilizzando il Filesystem NTFS, allora abbiamo già gli strumenti per proteggere i nostri dati. Se invece il sistema operativo è stato installato utilizzando il FAT32 allora abbiamo bisogno di un aiuto esterno. Per informazioni su come installare un sistema operativo e su come scegliere il FileSystem da utilizzare, vedere le seguenti guide:
Installare un sistema operativo Windows2000/XP
Gestione delle partizioni NTFS e FAT32

IL CASO PIU’ FORTUNATO: NTFS

Se fortunatamente utilizziamo un sistema operativo WindowsNT/2000/XP formattato in NTFS abbiamo, come già detto, tutti gli strumenti necessari a disposizione; questi strumenti li possiamo chiamare strumenti di protezione. Generalmente si applicano a intere cartelle, in quanto le cartelle hanno una gestibilità maggiore rispetto ai file, ma nulla ci vieta di applicarle anche a singoli file.

Come funziona la protezione file/cartelle
La protezione file e cartelle funziona semplicemente impostando dei diritti di protezione per i vari utenti che accedono al sistema. Questi diritti vanno impostati nelle proprietà della cartella/file e impediscono o garantiscono l’accesso solamente agli utenti specificati. E’ possibile impostare vari diritti di accesso: l’accesso in sola lettura, l'accesso in lettura ed esecuzione, l’accesso in modifica, l’accesso in scrittura, l’accesso completo. Logicamente i vari diritti possono essere combinati tra loro per creare delle “regole” di accesso personalizzate per ogni utente o gruppo di utenti, è quindi possibile garantire un accesso totale, parziale oppure negare completamente l’accesso alla cartella. Questo sistema (progettato e utilizzato largamente nelle reti aziendali) offre un buon grado di sicurezza senza dover ricorrere a stratagemmi vari e senza perdere troppo tempo.

Come impostare i diritti a una cartella

Per impostare i diritti a una cartella non dobbiamo far altro che cliccarci sopra con il tasto destro del mouse, selezionare “Proprietà” e successivamente la scheda “Protezione”.

Nota: Se in Windowx XP Professional questa voce non fosse presente bisogna abilitarla seguendo questa semplice procedura (infatti di default questa opzione è nascosta):
Aprire una cartella qualsiasi, dal menu a tendina selezionare la voce “Strumenti” e successivamente “Opzioni cartella”. Dalla finestr di proprietà che compare selezionare la scheda “Visualizzazione” e nel campo “Impostazioni avanzate” trovare la voce “Utilizza condivisione file semplice (scelta consigliata) e accertarsi che sia deselezionata. A questo punto anche in Windows XP Pro appare la scheda protezione tra le proprietà di una cartella. Per quanto riguarda Windows XP Home la procedura è un po’ più complicata e verrà spiegata in un paragrafo a parte.

Una volta che accediamo alla scheda “Protezione” delle proprietà della cartella possiamo iniziare a impostare i vari diritti:
In utenti e gruppi compare la lista degli utenti che hanno i vari diritti di accesso alla cartella; di default Windows imposta “Everyone” come utente predefinito, il che vuol dire che tutti gli utenti hanno accesso alla cartella. Se si intende impostare dei diritti per la cartella è bene eliminare l’utente “Everyone”. Successivamente bisogna aggiungere i vari utenti e impostare i vari diritti. Ma facciamo un esempio pratico:
Supponiamo che nel nostro computer ci siano due utenti: Utente1(U1) e Utente2(U2). Una volta avuto accesso alle impostazioni di protezione, eliminiamo l’account “Everyone” (se presente), clicchiamo sul tasto “Aggiungi”, inseriamo i nomi degli utenti separati da “;” e confermiamo. Nel campo utenti e gruppi ora compaiono gli utenti selezionati.
In “Autorizzazioni per nomeutente” possiamo impostare le autorizzazioni di accesso per l’utente selezionato. Supponiamo ad esempio di voler assegnare a U1 il permesso di accesso in lettura, mentre per U2 vogliamo completamente negare l’accesso. Selezioniamo quindi U1 e impostiamo come diritti (selezionando la colonna consenti):
Visualizzazione contenuto cartella (l’utente in questo modo riesce ad aprire la cartella per vederne il contenuto e basta)
Lettura (l’utente in questo modo riesce ad aprire i documenti contenuti all’interno della cartella in sola lettura)
Potremmo abilitare anche altri diritti volendo, come l’esecuzione nel caso la cartella contenga programmi che l’utente può eseguire, oppure la modifica che consente di aprire scrivere sui file esistenti ma non di crearne di nuovi.
Ora impostiamo i diritti per U2: selezioniamo l’utente e selezioniamo “Controllo completo” sulla colonna nega, in modo di impedire qualsiasi controllo da parte dell’utente. Queste operazioni si possono fare per singoli utenti o per gruppi di appartenenza (nel caso di una rete o nel caso che nel computer siano presenti molti utenti). Una volta confermato ci compare un messaggio che ci avverte che le autorizzazioni negate hanno la priorità su quelle concesse, quindi se un utente ipoteticamente appartiene a più gruppi e uno di questi gruppi non ha l’autorizzazione su un diritto, questa negazione prevarrà su qualsiasi autorizzazione di altri gruppi (in pratica se U1 è un membro di PowerUser e di User e come PowerUser ha accesso in lettura mentre come User non ha accesso, l’utente U1 non avrà accesso alla cartella in quanto le autorizzazioni negate prevalgono su quelle concesse).

Se ora proviamo ad accedere come U1 riusciamo a leggere i file contenuti nella cartella, mentre se accediamo come U2 non riusciamo nemmeno ad aprire la cartella.
Questa procedura è molto utile, soprattutto nelle reti, in quanto sulla cartella server possiamo avere le varie aree (Amministrativo, Commerciale, Magazzino, Produzione ecc…), ciascuna delle quali accessibile solamente dagli addetti all’area (quindi un responsabile di magazzino non potrà accedere all’amministrativo, ma magari alla produzione per la lettura dei file).
Questo metodo funziona anche in locale e ha senso se sul computer esistono più di un utente.
Ricordo inoltre che un utente amministratore ha accesso alle impostazioni di protezione, anche se non ha accesso alla cartella (se ad esempio U2 fosse un amministratore e gli fosse negato l’accesso a una cartella, non può accedervi ma può modificare le impostazioni di accesso a tale cartella e ridefinire i diritti di accesso).

Come abilitare la protezione file/cartelle in Windows XP Home
E’ noto che Windows XP Home ha funzionalità più ristrette rispetto al fratello maggiore, Windows XP Professional. Nonostante questa anche in questa versione del SO è possibile abilitare la protezione dei file e delle cartelle, anche se la procedura non è così immediata come nella versione Pro. Per abilitare quest’opzione bisogna procedere come segue:
Avviare il sistema in modalità provvisoria con supporto di rete, a questo punto tra le proprietà della cartella compare la famigerata voce “Protezione”. Impostare i diritti e riavviare. Una volta entrati normalmente la cartella ha acquisito i diritti per gli utenti. Ma siccome risulta scomodo ogni volta avviare in modalità provvisoria per impostare i diritti, Windows ci mette a disposizione un comando utilizzabile dal prompt dei comandi: cacls.exe.

Una volta aperto il prompt dei comandi (Start, Esegui, Cmd), diamo un occhio alle condivisioni esistenti, tramite il comando NET SHARE; ci apparirà la lista delle cartelle condivise. Se vogliamo condividere una cartella dobbiamo digitare il comando

NET SHARE "Nomecartella"

dove "Nomecartella" è il percorso completo della cartella da condividere.
Una volta che la cartella è condivisa utilizziamo il comando CACLS per impostare i diritti di accesso, ad esempio:
cacls "Nomecartella" /G "Nomeutente":R /E/T

In questo caso abbiamo impostato per la cartella "Nomecartella" i diritti di accesso per "Nomeutente", in particolare R (accesso in sola lettura), /E (negazione del diritto di cancellazione dei file) e /T (possibilità di sfogliare le sottodirectory).
Per una lista completa dei parametri del comando cacls basta digitare
help cacls

dal prompt dei comandi, oppure consultare la guida di Windows digitando "Cacls" come parametro di ricerca.
In caso di problemi con le condivisioni bisogna accedere al sistema come amministratore in modalità provvisoria e impostare da li le impostazioni. In ogni caso, se dopo le varie prove riscontriamo dei problemi possiamo annullare la condivisione con il comando
NET SHARE "Nomecartella"/DELETE


IL CASO MENO FORTUNATO: FAT32
Nel caso abbiamo installato il sistema operativo con il FileSystem FAT32, non possiamo contare sull'aiuto fornito da Windows con la protezione delle cartelle tramite i diritti utente, ma dobbiamo affidarci a programmi esterni. Una cosa da sfatare è questa: il sistema operativo non da la possibilità di impostare password per accedere alle cartelle.

Utilizzare un programma di compressione
Un buon metodo per impedire l'accesso ai dati a persone estranee è quello di inserire tali dati in un archivio compresso (utilizzando ad esempio WinZip, WinRar, WinAce ecc...). Tutti questi compressori danno la possibilità di proteggere l'archivio con password, in modo che chi non la conosce non possa aprire l'archivio. Quindi i nostri file saranno contenuti in archivi visibili da tutti ma accessibili solo da chi conosce la password.

Utilizzare un programma di gestione apposito
Una seconda soluzione è quella di utilizzare un programma che si occupi di gestire la cifratura/decifratura dei file. Un programma (consigliato da Frengo78) è PowerCrypt2000, che appunto si occupa di cifrare i file e le cartelle, cifrando inoltre il nome del file/cartella.
Un altro programma segnalato da Dylan666 è PGP. Questo programma è considerato il più efficace tra i prodotti Freeware ed è possibile scaricarlo da qui. In rete si trovano inoltre molti manuali anche in italiano per imparare ad usare questo strumento.


Un fattore determinante: la password
Logicamente un fattore determinante per la protezione dei file/cartelle è la password che si sceglie. Se noi mettiamo come password il nostro nome, il nome del gruppo preferito o comunque dati "scontati", la password sarà di facile individuazione. Non è questa la sede adatta per discutere sulle password, ma ricordiamo una regola basilare:
una buona password è lunga almeno 6 caratteri ed è composta di caratteri alfanumerici tra cui lettere (maiuscole e minuscole), numeri e simboli.
Un altro metodo per creare una buona password è utilizzare WinHash, che permette tra l'altro di creare la password utilizzando diversi standard.

Considerazioni su questo metodo
Il Webmaster a questo proposito ha espresso delle considerazioni che è bene riportare:
winzip e powercrypt usano un algoritmo di criptazione che non viene considerato tra i migliori (powercrypt addirittura usa un algoritmo segreto che in termini scientifici equivale a un metodo poco utile)
questo non vuol dire che non siano sufficienti. infatti a meno che non siate un esperto di criptografia con qualche decina di pc a vostra disposizione questi algoritmi sono più che sufficienti.
meglio però sarebbe usare winrar a questo punto (usando il formato zip) che usa lo standard accettato (aes)
fare hashing per allungare una password è corretto solo se:
- non si sa quante volte e con quale algoritmo si è fatto hashing
- si fa hashing un elevato numero di volte: diciamo 10,000 volte

l'hashing infatti serve a creare una password più lunga (evitando alcuni possibili attacchi). facendolo una volta però si aggiunge un solo passo in più al cracker. costringendo il cracker a fare 10,000 md5 per ogni tentativo di pass invece è un problema serio.

ricordate che nessun algoritmo è impenetrabile. si dice indecifrabile un algoritmo che con i mezzi attuali non permette di arrivare ad una chiave in tempi "ottimali" (con la tecnologia attuale ci vorrebbero varie vite dell'universo per decifrare l'aes, ma tra qualche anno la chiave a 256bit sarà roba da home pc), quindi rallentare un cracker costringendolo a fare 10,000 volte un hash è un buon metodo.

CONCLUSIONI
Come abbiamo visto esistono varie possibilità per proteggere file e cartelle, ci sono protezioni tramite password e protezioni tramite utente. La cosa importante, come già detto, è che non è possibile mettere la password a una cartella se non utilizzando un programma apposito.
Quindi:
se avete la possibilità di installare un sistema operativo sotto NTFS fatelo, è sicuramente più conveniente e immediato avere libero accesso alla cartella una volta entrati come utente abilitato e accesso negato se non si è abilitati che digitare ogni volta la password;
nessuno ci vieta di inserire i file in un archivio e mettere l'archivio in una cartella protetta dai diritti utente;
le password non sono indecifrabili ma molto probabilmente i tecnici della CIA non verranno a sequestrarci il computer, quindi un livello di protezione medio basta e avanza;
come sempre se avete dubbi vi aspettiamo sul forum.


Utilità: hydra [551.077 visite dal 29 Marzo 05 @ 00:01 am]