I permessi NTFS e le autorizzazioni di condivisione sono entrambi spesso utilizzati negli ambienti Microsoft Windows.

Mentre le condivisioni e le autorizzazioni NTFS hanno entrambi lo stesso scopo - impedire l'accesso non autorizzato - ci sono importanti differenze da comprendere prima di determinare come eseguire al meglio un'attività come la condivisione di una cartella. Ecco le principali differenze tra le autorizzazioni di condivisione e i permessi NTFS e alcuni consigli su quando e come utilizzarli.

Quali sono le autorizzazioni NTFS?

NTFS (New Technology File System) è il file system standard per Microsoft Windows NT e sistemi operativi successivi;
Le autorizzazioni NTFS vengono utilizzate per gestire l'accesso ai dati memorizzati nei file system NTFS. I principali vantaggi delle autorizzazioni di condivisione NTFS sono che interessano sia gli utenti locali che gli utenti di rete e che sono basati sulle autorizzazioni concesse al singolo utente per all'accesso a Windows, indipendentemente da dove si connette l'utente.

Sono disponibili sia autorizzazioni NTFS di base che avanzate. È possibile impostare ciascuna delle autorizzazioni su "Consenti" o "Nega" per controllare l'accesso agli oggetti NTFS. Ecco i tipi di base delle autorizzazioni di accesso:

 

  • Controllo completo - gli utenti possono aggiungere, modificare, spostare ed eliminare file e directory, nonché le relative proprietà associate. Inoltre, gli utenti possono modificare le impostazioni delle autorizzazioni per tutti i file e le sottodirectory.
  • Modifica - gli utenti possono visualizzare e modificare i file e le proprietà dei file, inclusa l'aggiunta di file o l'eliminazione di file da una directory o le proprietà dei file da o verso un file.
  • Leggi ed esegui - gli utenti possono eseguire file eseguibili, inclusi gli script.
  • Leggi - gli utenti possono visualizzare file, proprietà dei file e directory.
  • Scrivi - gli utenti possono scrivere sui file, e possono aggiungerne nella directory.

 

Cosa sono i permessi di share?

Le autorizzazioni di condivisione gestiscono l'accesso alle cartelle condivise su una rete e non si applicano agli utenti che accedono localmente. Le autorizzazioni di condivisione si applicano a tutti i file e le cartelle nella condivisione; non è possibile controllare in modo granulare l'accesso alle sottocartelle o agli oggetti su una condivisione. È possibile specificare il numero di utenti a cui è consentito accedere alla cartella condivisa. Le autorizzazioni di condivisione possono essere utilizzate con i file system NTFS, FAT e FAT32.

Esistono tre tipi di autorizzazioni di condivisione: controllo completo, modifica e lettura. È possibile impostare ciascuno di essi su "Nega" o "Consenti" per controllare l'accesso a cartelle o unità condivise:

 

  • Leggi: gli utenti possono visualizzare i nomi di file e sottocartelle, leggere i dati nei file ed eseguire programmi. Per impostazione predefinita, al gruppo "Tutti" sono assegnate le autorizzazioni "Lettura".
  • Modifica: gli utenti possono eseguire tutte le operazioni consentite dall'autorizzazione "Leggi", nonché aggiungere file e sottocartelle, modificare i dati nei file ed eliminare sottocartelle e file. Questa autorizzazione non è assegnata per impostazione predefinita.
  • Controllo completo: gli utenti possono eseguire tutte le operazioni consentite dalle autorizzazioni "Lettura" e "Modifica" e possono anche modificare le autorizzazioni solo per file e cartelle NTFS. Per impostazione predefinita, al gruppo "Amministratori" sono concesse le autorizzazioni "Controllo completo".

 


NTFS vs Permessi di condivisione

Ecco le principali differenze tra NTFS e le autorizzazioni di condivisione che è necessario conoscere:

  • Le autorizzazioni di condivisione sono facili da applicare e gestire, ma le autorizzazioni NTFS consentono un controllo più granulare di una cartella condivisa e del suo contenuto.
  • Quando le autorizzazioni di share e quelle NTFS vengono utilizzate contemporaneamente, l'autorizzazione più restrittiva vince sempre. Ad esempio, quando l'autorizzazione della cartella condivisa è impostata su "Everyone Read Allow" e l'autorizzazione NTFS è impostata su "Everyone Modify Allow", viene applicata l'autorizzazione di share perché è la più restrittiva; l'utente non è autorizzato a modificare i file sull'unità condivisa.
  • Le autorizzazioni di share possono essere utilizzate quando si condividono cartelle nei file system FAT e FAT32; Le NTFS non possono.
  • Le autorizzazioni NTFS si applicano agli utenti che sono connessi al server localmente; le autorizzazioni di share non lo fanno.
  • A differenza delle autorizzazioni NTFS, le autorizzazioni di share consentono di limitare il numero di connessioni simultanee a una cartella condivisa.
  • Le autorizzazioni di share sono configurate nelle proprietà "Condivisione avanzata" nelle impostazioni "Autorizzazioni". Le autorizzazioni NTFS sono configurate nella scheda Sicurezza nelle proprietà del file o della cartella.

Come modificare le autorizzazioni NTFS

Per modificare le autorizzazioni NTFS:

  1. Apri la scheda "Sicurezza".
  2. Nella finestra di dialogo "Proprietà" della cartella, fare clic su "Modifica".
  3. Fare clic sul nome dell'oggetto per cui si desidera modificare le autorizzazioni.
  4. Seleziona "Permetti" o "Nega" per ciascuna delle impostazioni.
  5. Fai clic su "Applica" per applicare le autorizzazioni.

In alternativa, è possibile modificare le autorizzazioni NTFS mediante PowerShell.

Come modificare i permessi di condivisione

Per modificare le autorizzazioni di condivisione:

  1. Fare clic con il tasto destro sulla cartella condivisa.
  2. Fai clic su "Proprietà".
  3. Apri la scheda "Condivisione".
  4. Fai clic su "Condivisione avanzata".
  5. Fai clic su "Autorizzazioni".
  6. Seleziona un utente o un gruppo dall'elenco.
  7. Seleziona "Permetti" o "Nega" per ciascuna delle impostazioni.


Best practice dei permessi

 

  • Assegnare le autorizzazioni ai gruppi, non agli account utente - l'assegnazione delle autorizzazioni ai gruppi semplifica la gestione delle risorse condivise. Se il ruolo di un utente cambia, devi semplicemente aggiungerlo al nuovo gruppo appropriato e rimuoverlo da tutti i gruppi che non sono più rilevanti.
  • Applicare il principio del privilegio minimo - concedere agli utenti le autorizzazioni di cui hanno bisogno e nient'altro. Ad esempio, se un utente ha bisogno di leggere le informazioni in una cartella ma non avrà mai un motivo legittimo per eliminare, creare o modificare i file, è necessario assicurarsi di avere configurato solo l'autorizzazione "Lettura".
  • Utilizzare solo le autorizzazioni NTFS per gli utenti locali - le autorizzazioni di share si applicano solo agli utenti che accedono alle risorse condivise sulla rete; non si applicano agli utenti che accedono localmente.
  • Metti gli oggetti con gli stessi requisiti di sicurezza nella stessa cartella - Ad esempio, se gli utenti richiedono l'autorizzazione "Lettura" per più cartelle utilizzate da un reparto, memorizza quelle cartelle nella stessa cartella principale e condividi quella cartella principale, anziché condividerle ogni cartella singolarmente.
  • Non impostare le autorizzazioni per il gruppo "Tutti" su "Nega" - il gruppo "Tutti" include chiunque abbia accesso alle cartelle condivise, incluso l'account "Ospite", ad eccezione del gruppo "Accesso anonimo".
  • Evitare di negare esplicitamente le autorizzazioni a una risorsa condivisa - Normalmente, è necessario negare esplicitamente le autorizzazioni solo quando si desidera sovrascrivere autorizzazioni specifiche già assegnate.
  • Concedere al gruppo "Amministratori" l'autorizzazione "Controllo completo" per la cartella condivisa principale - questa strategia consente agli amministratori di gestire le autorizzazioni, esportare gli elenchi di accesso e tenere traccia delle modifiche a tutte le autorizzazioni, file e cartelle.
  • Tieni d'occhio l'appartenenza al gruppo "Amministratori" - gli utenti di questo gruppo hanno le autorizzazioni "Accesso completo" a tutti i tuoi file e cartelle condivise. Pertanto, è necessario modificare attentamente l’appartenenza a questo gruppo, utilizzando la politica di controllo e il registro degli eventi di sicurezza o altre soluzioni software di terze parti in grado di notificare eventuali modifiche a questo gruppo in tempo reale, nonché facilitare l'attestazione regolare per tutti permessi degli utenti.

 

Utilizzo di un solo set di autorizzazioni

Se ritieni che lavorare con due set separati di permessi sia troppo complicato, puoi utilizzare solo le autorizzazioni di condivisione NTFS. È sufficiente modificare le autorizzazioni di condivisione per la cartella in "Controllo completo" e quindi apportare le modifiche desiderate alle autorizzazioni NTFS senza doversi preoccupare delle autorizzazioni di share dei file che interferiscono con esse.

 

Sommario

Comprendere le differenze tra le autorizzazioni Condividi e NTFS consente di utilizzarle insieme per proteggere l'accesso alle risorse locali e condivise.
Seguendo le linee guida e le best practice dettagliate qui rafforzeremo ulteriormente la sicurezza del tuo ambiente IT.

 

Scopri come Netwrix può aiutarti a tenere sotto controllo i permessi impostati per gli utenti della tua rete;
Ricevi una notifica ogni volta che vengono modificati i permessi di gruppi o utenti: