kikkas
07-11-2010, 07:53
buongiorno a tutti
stavo cercando in qualche modo di aumentare la sicurezza di windows (xp, vista seven) che gira su alcuni computer.
Ho scoperto da poco che in xp, se il computer è formattato in ntfs, si possono dare dei permessi alle cartelle, limitando così ulteriormente un utente non amministratore.
La mia idea era quella di rendere il sistema "simile" (dal punto di vista dei permessi) a quelli unix, cioè dare i permessi di scrittura soltanto nella propria home.
Per gestire i permessi ora da windows xp home devo entrare in modalità provvisoria con un account amministratore e da proprietà andare su protezione, da windows 7 non c'è bisogno di entrare in modalità provvisoria.
E qui cominciano i problemi...
Non riesco a capire bene come sia strutturato infatti windows (prendo xp come esempio ma il discorso analogo vale anche per seven e vista).
Se io ho 2 utenti creati da me (quindi all'avvio normale posso scegliere con quel account entrare) superpippo (che fa da amministratore) e pippo (che è l'utente limitato) e cado sotto "C:\Documents and Settings" non trovo semplicemente 2 cartelle "superpippo", "pippo", ma di più, come faccio a capire in quali cartelle togliere i permessi di scrittura? Devo toglierli a pippo anche alla cartella "All user" ad esempio?
Per tutto il resto di C: penso che si possa tranquillamente togliere i permessi di scrittura, ovviamente per fare modifiche al sistema si dovrà entrare da amministratore (come ad esempio l'installazione dei programmi) al quale non cambierò nessun permesso.
E quindi mi metto a cambiare i permessi....e mi perdo inevocabilmente...
di nuovo non ci sono solo i due utenti che ho creato, ma ci sono più utenti...
da qualche cartella c'è anche un "utente sconosciuto" (che proprio non capisco cosa sia...), e normalmente c'è qualcosa tipo (prendi nuovo gli esmpi da una installazione di xp, ma ricordo che per windows 7 non era diversa la situazione)
Administrators (KIKKAS\Administrators)
CREATOR OWNER
Everyone
SYSTEM
Users(KIKKAS\Users)
inoltre manualmente posso aggiungere l'account dell'utente e dell'amministratore che ho creato io... (pippo e superpipp)
bene, a questo punto a chi setto quali permessi?
Chi appartiene a quale gruppo, quale gruppo serve, perchè ce ne sono così tanti?
Però mi è sembrato di capire che se metto una negazione al singolo utente che ho creato io, questa negazione prevale su tutte le eventuali affermazioni che ci sono nei gruppi al quale l'utente fa parte, quindi se voglio mettere delle negazioni mi basta cambiare le impostazioni al singolo utente.
Però....io avevo provato a togliere a pippo (sempre prendendo l'esempio di prima) i permessi di scrittura a C:....ha potuto comunque creare file nelle sue cartelle personali, credevo che se mettevo una proprietà ad una cartella in automatico anche gli elementi sotto di essa acquisissero gli stessi privilegi, come faccio a dirglielo?
Inoltre non è neanche ben chiara la differenza tra la voce "modifica", "scrittura", mi sembrano la stessa cosa, solo che se nego la modifica nego anche la "lettura e esecuzione", "visualizzazione", "lettura" e "scrittura", con "scrittura" nego solo la scrittura...
Quindi, in conclusione...dove posso mettere quali permessi?
Alla "home" vorei mettere i permessi di lettura e scrittura, togliere quelli di esecuzione
Inoltre, se ho una seconda partizione dove normalmente vengono salvati i dati (e quindi voglio lasciare i permessi di scrittura), come posso togliere i permessi di esecuzione e lasciare quelli di scrittura e lettura (in sostanza dargli li stessi permessi che avrei in home)
Il problema è che c'è solo la voce "lettura ed esecuzione", ma io non voglio toglierle entrambe, ma solo esecuzione.
All'infuori della home (ed eventuali partizioni per i dati) tolgo "scrittura" ovunque, e mi chiedevo dove posso togliere anche la esecuzione (quindi negare la modifica in sostanza).
Suppongo no alla cartella "programmi" (i programmi faccio attenzione a installarli tutti sotto c:\programmi), altrimenti il mio utente non può far partire programmi, però ad esempio in c:windows? O dove vanno a finire di solito i virus e altre schifezze, per fare in modo che non vengano eseguite o nemmeno salvate (causa i mancati permessi, sempre che non sfruttino un bug ovviamente)
Ultima domanda (e ho quasi finito il post ultralungo, scusate)
Se ho settato tutti questi permessi, per gli aggiornamenti come mi comporto?
Li lascio su automatici, ma l'utente limitato riesce ad installarli o ogni volta devo cambiare l'utente? Come posso cambiare le impostazione perchè l'utente di base possa installare gli aggiornamenti di windows (e magari anche di un altro paio di programmi come il browser, client di posta...) sopratutto quelli relativi alla sicurezza, che sono quindi da fare non appensa escono.
Scusate per il post così lungo, e se di un colpo chiedo per 3 edizioni di windows differenti, so che sulle differenti versioni ci saranno strumenti differenti a disposizione per la sicurezza del proprio sistema (come ad esempio su WinXP Prof vi era gpedit, su WinXP Home no),
però mi sembra che la struttura, di dove sono poizionati quali files, sia simile se non identica, e quindi sapendo quelli, posso districarmi meglio nel capire dove settare cosa su qualsiasi versione di windows (visto che ne ho di diverse da mettere a posto).
Ovviamente se avete programmi da consigliare che possono aiutarmi in questo lavoro sarò ben felice di usarli una volta capito come funzionano le cose.
Se conoscete anche qualche buona guida da linkarmi, ben accetta, io mi sono messo a chiedere qui perchè cercando in rete "windows struttura cartelle" o "windows permessi" non ho trovato qualcosa di esauriente e molto spesso di parla di condivisione file tra più computer, ma non è li che voglio settare i permessi.
edit:
se non ricordo male avevo letto da qualche parte che alcuni programmi avevano dei problemi a funzionare da un account limitato...si conscono programmi particolari?
Sui computer in questione non ci vanno installati molti programmi, giusto una suite d'ufficio, un browser, thunderbird, qualche gioco magari, vlc, programma per la chat e l'antivirus (magari qualche utility come 7zip, e per la stampante/scanner...) non ho la più pallida idea di quale programma possa avere dei problemi sinceramente, ma non ho appunto molta esperienza in questo campo...
stavo cercando in qualche modo di aumentare la sicurezza di windows (xp, vista seven) che gira su alcuni computer.
Ho scoperto da poco che in xp, se il computer è formattato in ntfs, si possono dare dei permessi alle cartelle, limitando così ulteriormente un utente non amministratore.
La mia idea era quella di rendere il sistema "simile" (dal punto di vista dei permessi) a quelli unix, cioè dare i permessi di scrittura soltanto nella propria home.
Per gestire i permessi ora da windows xp home devo entrare in modalità provvisoria con un account amministratore e da proprietà andare su protezione, da windows 7 non c'è bisogno di entrare in modalità provvisoria.
E qui cominciano i problemi...
Non riesco a capire bene come sia strutturato infatti windows (prendo xp come esempio ma il discorso analogo vale anche per seven e vista).
Se io ho 2 utenti creati da me (quindi all'avvio normale posso scegliere con quel account entrare) superpippo (che fa da amministratore) e pippo (che è l'utente limitato) e cado sotto "C:\Documents and Settings" non trovo semplicemente 2 cartelle "superpippo", "pippo", ma di più, come faccio a capire in quali cartelle togliere i permessi di scrittura? Devo toglierli a pippo anche alla cartella "All user" ad esempio?
Per tutto il resto di C: penso che si possa tranquillamente togliere i permessi di scrittura, ovviamente per fare modifiche al sistema si dovrà entrare da amministratore (come ad esempio l'installazione dei programmi) al quale non cambierò nessun permesso.
E quindi mi metto a cambiare i permessi....e mi perdo inevocabilmente...
di nuovo non ci sono solo i due utenti che ho creato, ma ci sono più utenti...
da qualche cartella c'è anche un "utente sconosciuto" (che proprio non capisco cosa sia...), e normalmente c'è qualcosa tipo (prendi nuovo gli esmpi da una installazione di xp, ma ricordo che per windows 7 non era diversa la situazione)
Administrators (KIKKAS\Administrators)
CREATOR OWNER
Everyone
SYSTEM
Users(KIKKAS\Users)
inoltre manualmente posso aggiungere l'account dell'utente e dell'amministratore che ho creato io... (pippo e superpipp)
bene, a questo punto a chi setto quali permessi?
Chi appartiene a quale gruppo, quale gruppo serve, perchè ce ne sono così tanti?
Però mi è sembrato di capire che se metto una negazione al singolo utente che ho creato io, questa negazione prevale su tutte le eventuali affermazioni che ci sono nei gruppi al quale l'utente fa parte, quindi se voglio mettere delle negazioni mi basta cambiare le impostazioni al singolo utente.
Però....io avevo provato a togliere a pippo (sempre prendendo l'esempio di prima) i permessi di scrittura a C:....ha potuto comunque creare file nelle sue cartelle personali, credevo che se mettevo una proprietà ad una cartella in automatico anche gli elementi sotto di essa acquisissero gli stessi privilegi, come faccio a dirglielo?
Inoltre non è neanche ben chiara la differenza tra la voce "modifica", "scrittura", mi sembrano la stessa cosa, solo che se nego la modifica nego anche la "lettura e esecuzione", "visualizzazione", "lettura" e "scrittura", con "scrittura" nego solo la scrittura...
Quindi, in conclusione...dove posso mettere quali permessi?
Alla "home" vorei mettere i permessi di lettura e scrittura, togliere quelli di esecuzione
Inoltre, se ho una seconda partizione dove normalmente vengono salvati i dati (e quindi voglio lasciare i permessi di scrittura), come posso togliere i permessi di esecuzione e lasciare quelli di scrittura e lettura (in sostanza dargli li stessi permessi che avrei in home)
Il problema è che c'è solo la voce "lettura ed esecuzione", ma io non voglio toglierle entrambe, ma solo esecuzione.
All'infuori della home (ed eventuali partizioni per i dati) tolgo "scrittura" ovunque, e mi chiedevo dove posso togliere anche la esecuzione (quindi negare la modifica in sostanza).
Suppongo no alla cartella "programmi" (i programmi faccio attenzione a installarli tutti sotto c:\programmi), altrimenti il mio utente non può far partire programmi, però ad esempio in c:windows? O dove vanno a finire di solito i virus e altre schifezze, per fare in modo che non vengano eseguite o nemmeno salvate (causa i mancati permessi, sempre che non sfruttino un bug ovviamente)
Ultima domanda (e ho quasi finito il post ultralungo, scusate)
Se ho settato tutti questi permessi, per gli aggiornamenti come mi comporto?
Li lascio su automatici, ma l'utente limitato riesce ad installarli o ogni volta devo cambiare l'utente? Come posso cambiare le impostazione perchè l'utente di base possa installare gli aggiornamenti di windows (e magari anche di un altro paio di programmi come il browser, client di posta...) sopratutto quelli relativi alla sicurezza, che sono quindi da fare non appensa escono.
Scusate per il post così lungo, e se di un colpo chiedo per 3 edizioni di windows differenti, so che sulle differenti versioni ci saranno strumenti differenti a disposizione per la sicurezza del proprio sistema (come ad esempio su WinXP Prof vi era gpedit, su WinXP Home no),
però mi sembra che la struttura, di dove sono poizionati quali files, sia simile se non identica, e quindi sapendo quelli, posso districarmi meglio nel capire dove settare cosa su qualsiasi versione di windows (visto che ne ho di diverse da mettere a posto).
Ovviamente se avete programmi da consigliare che possono aiutarmi in questo lavoro sarò ben felice di usarli una volta capito come funzionano le cose.
Se conoscete anche qualche buona guida da linkarmi, ben accetta, io mi sono messo a chiedere qui perchè cercando in rete "windows struttura cartelle" o "windows permessi" non ho trovato qualcosa di esauriente e molto spesso di parla di condivisione file tra più computer, ma non è li che voglio settare i permessi.
edit:
se non ricordo male avevo letto da qualche parte che alcuni programmi avevano dei problemi a funzionare da un account limitato...si conscono programmi particolari?
Sui computer in questione non ci vanno installati molti programmi, giusto una suite d'ufficio, un browser, thunderbird, qualche gioco magari, vlc, programma per la chat e l'antivirus (magari qualche utility come 7zip, e per la stampante/scanner...) non ho la più pallida idea di quale programma possa avere dei problemi sinceramente, ma non ho appunto molta esperienza in questo campo...