Limitare accesso al disco ad una sola applicazione

[robertogl]

Ciao a tutti.

Sto usando un hard disk esterno (brutalmente connesso via usb, per ora) come archivio per il backup di tutti i dati sul mio pc. Mi è sorto un dubbio: è possibile limitare l'accesso al disco solo a Windows (da amministratore) e al programma che si occupa del backup (nel mio caso Genie Timeline)?

Supponendo il caso disastroso di un mega virus che formatta tutto quello che può (non mi è mai successo nulla, però i backup devono essere sicuri) vorrei evitare di trovarmi anche senza backup.

È possibile senza strane complicazioni?

Windows 10 Pro.

[Nicodemo Timoteo Taddeo]

L'unico modo sicuro per porre riparo è staccare il cavetto USB dal computer o se il disco esterno è autoalimentato, spegnerlo.

Lato sistema operativo puoi provare ad operare, ed informati, su:

Impostazioni, Aggiornamento e sicurezza, Windows defender, Apri Windows defender security center, clicca su protezione da virus e minacce, clicca su impostazione di protezione da virus e minacce, Accesso alle cartelle controllato.


Occhio che è una funzionalità implementata con l'ultima versione di 10 (1709), per cui se sei ancora a versioni precedenti non la trovi.


In ogni caso, stacca l'USB o spegni l'alimentatore e non sbagli.

[pps]

Quote:

Originariamente inviato da robertogl

Ciao a tutti.

Sto usando un hard disk esterno (brutalmente connesso via usb, per ora) come archivio per il backup di tutti i dati sul mio pc. Mi è sorto un dubbio: è possibile limitare l'accesso al disco solo a Windows (da amministratore) e al programma che si occupa del backup (nel mio caso Genie Timeline)?

Supponendo il caso disastroso di un mega virus che formatta tutto quello che può (non mi è mai successo nulla, però i backup devono essere sicuri) vorrei evitare di trovarmi anche senza backup.

È possibile senza strane complicazioni?

Windows 10 Pro.

Si si può fare...
l'unico vincolo che il file system deve essere NTFS e non FAT32.
segui questa guida, si parla di windows 7, ma il concetto è quello.
inoltre l'esempio viene fatto su una cartella, ma se all'inizio selezioni la partizione il risultato non cambia.
Ovviamente dopo aver selezionato l'utente, sotto la voce permessi, devi selezionare tutte le voci della colonna "NEGA".
se sei in difficoltà... scrivi.

[robertogl]

Quote:

Originariamente inviato da Nicodemo Timoteo Taddeo

L'unico modo sicuro per porre riparo è staccare il cavetto USB dal computer o se il disco esterno è autoalimentato, spegnerlo.

Lato sistema operativo puoi provare ad operare, ed informati, su:

Impostazioni, Aggiornamento e sicurezza, Windows defender, Apri Windows defender security center, clicca su protezione da virus e minacce, clicca su impostazione di protezione da virus e minacce, Accesso alle cartelle controllato.


Occhio che è una funzionalità implementata con l'ultima versione di 10 (1709), per cui se sei ancora a versioni precedenti non la trovi.


In ogni caso, stacca l'USB o spegni l'alimentatore e non sbagli.

Intanto grazie per la risposta.

Ora, chiaro che il metodo più sicuro è staccarlo fisicamente, ma vorrei avere un sistema il più trasparente possibile*, ovvero dove lasciar fare tutto al pc stesso. Infatti Genie Timeline più che un software di backup si occupa di tenere una copia di tutti i miei file nel disco, e di fare il versioning di questi: per fare questo, è sempre attivo. Rimuovere a mano il disco si può fare ma vorrebbe dire non avere la protezione che ho con il disco attaccato.
La mia idea era di avere un funzionamento tipo quello delle cartelle di sistema, dove per modificare i file devi essere amministratore, ma avere una white list di software che possano farlo sempre.

*Perché so già che se mi dico 'ogni domenica collega il disco e aggiorna il backup' poi non lo farò mai.

Quote:

Originariamente inviato da pps

Si si può fare...
l'unico vincolo che il file system deve essere NTFS e non FAT32.
segui questa guida, si parla di windows 7, ma il concetto è quello.
inoltre l'esempio viene fatto su una cartella, ma se all'inizio selezioni la partizione il risultato non cambia.
Ovviamente dopo aver selezionato l'utente, sotto la voce permessi, devi selezionare tutte le voci della colonna "NEGA".
se sei in difficoltà... scrivi.

Beh ma quelle cose le so fare, ma valgono per gli utenti, non per i programmi.

[robertogl]

Quote:

Originariamente inviato da Phoenix2005

Il suggerimento (corretto) ti è stato già dato da Nicodemo: se vuoi continuare ad utilizzare Genie Timeline mantenendo la periferica di backup sempre collegata/attiva e, allo stesso tempo, proteggere la cartella di destinazione degli stessi backup, allora puoi provare ad attivare la nuova protezione anti-ransomware recentemente implementata in W10 (Fall Creators Update):

https://www.ilsoftware.it/articoli.a...ndows-10_16310

Non si tratta della soluzione “perfetta” (certo è da migliorare) ma tra le varie alternative possibili è quella più semplice.

Ah ecco, grazie mille!

Non avevo capito che funzionava così, ho provato ad attivarla e mi diceva 'se vuoi aggiungere app aggiungile, ma Defender ha un suo database per decidere gli accessi' e non sapevo del messaggio d'allerta che mostra.

Grazie ad entrambi, proverò!

[pps]

Quote:

Originariamente inviato da robertogl

Intanto grazie per la risposta.

Ora, chiaro che il metodo più sicuro è staccarlo fisicamente, ma vorrei avere un sistema il più trasparente possibile*, ovvero dove lasciar fare tutto al pc stesso. Infatti Genie Timeline più che un software di backup si occupa di tenere una copia di tutti i miei file nel disco, e di fare il versioning di questi: per fare questo, è sempre attivo. Rimuovere a mano il disco si può fare ma vorrebbe dire non avere la protezione che ho con il disco attaccato.
La mia idea era di avere un funzionamento tipo quello delle cartelle di sistema, dove per modificare i file devi essere amministratore, ma avere una white list di software che possano farlo sempre.

*Perché so già che se mi dico 'ogni domenica collega il disco e aggiorna il backup' poi non lo farò mai.


Beh ma quelle cose le so fare, ma valgono per gli utenti, non per i programmi.

-non sono riuscito a quotare solo la parte di mia pertinenza-
Dipende...
se nel disco USB precludi l'accesso all'utente "PIPPO" e fai girare un programma con i privilegi di "PIPPO" col c***o che quel programma riuscirà a
leggere/scrivere su quella partizione !!
Invece se lancerai il programma di backup con privilegi amministrativi, potrai andare a leggere tutto quello che è di pertinenza degli utenti "NON AMMINISTRATORI"e fare il tuo bel backup.

[robertogl]

Quote:

Originariamente inviato da pps

-non sono riuscito a quotare solo la parte di mia pertinenza-
Dipende...
se nel disco USB precludi l'accesso all'utente "PIPPO" e fai girare un programma con i privilegi di "PIPPO" col c***o che quel programma riuscirà a
leggere/scrivere su quella partizione !!

Credo sia una soluzione un po' contorta. Dovrei creare un utente (che non mi serve) e far partire Genie sempre come utente 'che non mi serve'. Senza contare che vorrei evitare di modificare i file del backup, cambiando le proprietà di quei file non so al ripristino che danni potrebbero succedere.
Tra l'altro credo che Genie già giri come amministratore, avendo un servizio suo.

Grazie comunque!

[pps]

Quote:

Originariamente inviato da robertogl

Credo sia una soluzione un po' contorta. Dovrei creare un utente (che non mi serve) e far partire Genie sempre come utente 'che non mi serve'. Senza contare che vorrei evitare di modificare i file del backup, cambiando le proprietà di quei file non so al ripristino che danni potrebbero succedere.
Tra l'altro credo che Genie già giri come amministratore, avendo un servizio suo.

Grazie comunque!

Da "utilità di pianificazione" fai partire il programma con privilegi si "SYSTEM" all'accesso di qualsiasi utente...
Più facile di così.

[robertogl]

Quote:

Originariamente inviato da pps

Da "utilità di pianificazione" fai partire il programma con privilegi si "SYSTEM" all'accesso di qualsiasi utente...
Più facile di così.

Sì ma devo cambiare le proprietà a tutti i file. Nel caso dovessi ripristinarli, sarebbero tutti con le proprietà 'sbagliate'. Un po' scomodo.

Poi come detto Genie ha un suo servizio, quindi ha già i diritti di amministratore. Può già fare quello che vuole, devo fare in modo che sia l'unico che può, ovvero escludere tutti gli utenti non amministratori. Toccare i file per farlo mi sembra eccessivo, preferisco vedere come si comporta Windows Defender con quell'opzione.

[pps]

Quote:

Originariamente inviato da robertogl

Sì ma devo cambiare le proprietà a tutti i file. Nel caso dovessi ripristinarli, sarebbero tutti con le proprietà 'sbagliate'. Un po' scomodo.

Poi come detto Genie ha un suo servizio, quindi ha già i diritti di amministratore. Può già fare quello che vuole, devo fare in modo che sia l'unico che può, ovvero escludere tutti gli utenti non amministratori. Toccare i file per farlo mi sembra eccessivo, preferisco vedere come si comporta Windows Defender con quell'opzione.

Stiamo parlando di cose diverse.
Il mio suggerimento era quello di precludere la lettura/scrittura della partizione
agli utenti non "ADMIN", non di andare a modificare i permessi dei file in essa contenuti.
Per quanto riguarda il prog. di backup se gira già con privilegi amministrativi, come dicevi, avrà "libero accesso" ovunque.

[robertogl]

Quote:

Originariamente inviato da pps

Stiamo parlando di cose diverse.
Il mio suggerimento era quello di precludere la lettura/scrittura della partizione
agli utenti non "ADMIN", non di andare a modificare i permessi dei file in essa contenuti.
Per quanto riguarda il prog. di backup se gira già con privilegi amministrativi, come dicevi, avrà "libero accesso" ovunque.

Sono abbastanza incerto su questo.
Quello che viene fatto nella guida da te linkata, è appunto cambiare i permessi della cartella principale. Ho fatto una prova e, giustamente, i permessi che si settano nella cartella principale vengono ereditati dalle sottocartelle e dai file presenti nelle sottocartelle. Quindi se vieto al mio utente di entrare in quella cartella, tutti i file contenuti non saranno più accessibili dal mio utente.

[pps]

Quote:

Originariamente inviato da robertogl

Sono abbastanza incerto su questo.
Quello che viene fatto nella guida da te linkata, è appunto cambiare i permessi della cartella principale. Ho fatto una prova e, giustamente, i permessi che si settano nella cartella principale vengono ereditati dalle sottocartelle e dai file presenti nelle sottocartelle. Quindi se vieto al mio utente di entrare in quella cartella, tutti i file contenuti non saranno più accessibili dal mio utente.

Si ai ragione,nell'ultima parte della guida viene applicata l'ereditarità dei permessi
ma se saltiamo questo passaggio non avrai problemi.
Uso questo principio sulla mia macchina, anche se nella mia configurazione le cose sono più complesse, e nella fase di ripristino non ho mai avuto problemi.

[robertogl]

Quote:

Originariamente inviato da pps

Si ai ragione,nell'ultima parte della guida viene applicata l'ereditarità dei permessi
ma se saltiamo questo passaggio non avrai problemi.
Uso questo principio sulla mia macchina, anche se nella mia configurazione le cose sono più complesse, e nella fase di ripristino non ho mai avuto problemi.

Ma funziona? Io ho cambiato il proprietario della cartella, senza cambiare quello dei file dentro a questo.
In questo modo però posso cancellare la cartella anche se non sono il proprietario.

Allora in aggiunta ho rimosso al mio utente anche i diritti di lettura\scrittura, ma questi sono sempre ereditari. Vedi qui: https://www.wikihow.it/Cambiare-i-Pe...s-7-Step-8.jpg

[pps]

Quote:

Originariamente inviato da robertogl

Ma funziona? Io ho cambiato il proprietario della cartella, senza cambiare quello dei file dentro a questo.
In questo modo però posso cancellare la cartella anche se non sono il proprietario.

Allora in aggiunta ho rimosso al mio utente anche i diritti di lettura\scrittura, ma questi sono sempre ereditari. Vedi qui: https://www.wikihow.it/Cambiare-i-Pe...s-7-Step-8.jpg

Allora questa è la mia situazione
https://imgur.com/a/KyXik

Clik DX sulla partizione>proprieta>modifica>aggiungi>nome utente>OK>OK>clik su controllo completo dal lato NEGA>applica.
Fine, quando fai il ripristino in un'altra posizione, i permessi saranno quelli di default relativi agli utenti USER.