I permessi NTFS e di condivisione sono entrambi spesso usati in ambienti Microsoft Windows. Mentre i permessi di condivisione e NTFS servono entrambi allo stesso scopo – prevenire l’accesso non autorizzato – ci sono importanti differenze da capire prima di determinare come eseguire al meglio un compito come la condivisione di una cartella. Ecco le differenze chiave tra i permessi di condivisione e NTFS, insieme ad alcune raccomandazioni su quando e come usare ciascuno di essi.
Che cosa sono i permessi NTFS?
NTFS (New Technology File System) è il file system standard per Microsoft Windows NT e sistemi operativi successivi; i permessi NTFS sono utilizzati per gestire l’accesso ai dati memorizzati nei file system NTFS. I principali vantaggi dei permessi di condivisione NTFS sono che riguardano sia gli utenti locali che gli utenti di rete e che si basano sui permessi concessi a un singolo utente al momento dell’accesso a Windows, indipendentemente da dove l’utente si sta connettendo.
Ci sono sia permessi NTFS di base che avanzati. Puoi impostare ogni permesso su “Consenti” o “Rifiuta” per controllare l’accesso agli oggetti NTFS. Ecco i tipi base di permessi di accesso:
- Controllo completo – Gli utenti possono aggiungere, modificare, spostare ed eliminare file e directory, così come le loro proprietà associate. Inoltre, gli utenti possono cambiare le impostazioni dei permessi per tutti i file e le sottodirectory.
- Modifica – Gli utenti possono visualizzare e modificare i file e le proprietà dei file, compresa l’aggiunta di file a o l’eliminazione di file da una directory, o le proprietà dei file a o da un file.
- Leggi & Esegui – Gli utenti possono eseguire file eseguibili, compresi gli script.
- Leggi – Gli utenti possono visualizzare i file, le proprietà dei file e le directory.
- Scrivi – Gli utenti possono scrivere su un file e aggiungere file alle directory.
Che cosa sono i permessi di condivisione?
I permessi di condivisione gestiscono l’accesso alle cartelle condivise su una rete; non si applicano agli utenti che accedono localmente. I permessi di condivisione si applicano a tutti i file e le cartelle nella condivisione; non è possibile controllare in modo granulare l’accesso alle sottocartelle o agli oggetti di una condivisione. Puoi specificare il numero di utenti che sono autorizzati ad accedere alla cartella condivisa. I permessi di condivisione possono essere utilizzati con i file system NTFS, FAT e FAT32.
Ci sono tre tipi di permessi di condivisione: Controllo completo, Modifica e Lettura. Puoi impostare ciascuno di essi su “Nega” o “Consenti” per controllare l’accesso alle cartelle o alle unità condivise:
- Lettura – Gli utenti possono visualizzare i nomi di file e sottocartelle, leggere i dati nei file ed eseguire programmi. Per impostazione predefinita, al gruppo “Everyone” sono assegnati i permessi di “Read”.
- Change – Gli utenti possono fare tutto ciò che è permesso dal permesso “Read”, così come aggiungere file e sottocartelle, modificare i dati nei file ed eliminare sottocartelle e file. Questo permesso non è assegnato per default.
- Controllo completo – Gli utenti possono fare tutto ciò che è permesso dai permessi di “Lettura” e “Modifica”, e possono anche cambiare i permessi solo per file e cartelle NTFS. Per impostazione predefinita, al gruppo “Administrators” sono concessi i permessi di “Full Control”.
NTFS vs Permessi di condivisione
Ecco le differenze chiave tra NTFS e i permessi di condivisione che è necessario conoscere:
- I permessi di condivisione sono facili da applicare e gestire, ma i permessi NTFS consentono un controllo più granulare di una cartella condivisa e del suo contenuto.
- Quando i permessi di condivisione e NTFS sono usati contemporaneamente, il permesso più restrittivo vince sempre. Per esempio, quando l’autorizzazione della cartella condivisa è impostata su “Everyone Read Allow” e l’autorizzazione NTFS è impostata su “Everyone Modify Allow”, l’autorizzazione di condivisione si applica perché è più restrittiva; all’utente non è consentito modificare i file sull’unità condivisa.
- Le autorizzazioni di condivisione possono essere utilizzate quando si condividono cartelle nei file system FAT e FAT32; le autorizzazioni NTFS non possono.
- I permessi NTFS si applicano agli utenti che sono connessi al server localmente; i permessi di condivisione no.
- A differenza dei permessi NTFS, i permessi di condivisione ti permettono di limitare il numero di connessioni concorrenti a una cartella condivisa.
- I permessi di condivisione sono configurati nelle proprietà “Condivisione avanzata” nelle impostazioni “Permessi”. I permessi NTFS sono configurati nella scheda Sicurezza nelle proprietà del file o della cartella.
Come cambiare i permessi NTFS
Per cambiare i permessi NTFS:
- Apri la scheda “Sicurezza”.
- Nella finestra di dialogo “Proprietà” della cartella, clicca “Modifica”.
- Clicca sul nome dell’oggetto per cui vuoi cambiare i permessi.
- Seleziona “Consenti” o “Rifiuta” per ogni impostazione.
- Clicca “Applica” per applicare i permessi.
In alternativa, puoi cambiare i permessi NTFS usando PowerShell.
Come cambiare i permessi di condivisione
Per cambiare i permessi di condivisione:
- Clicca con il tasto destro del mouse sulla cartella condivisa.
- Clicca “Proprietà”.
- Apri la scheda “Condivisione”.
- Clicca “Condivisione avanzata”.
- Clicca “Permessi”.
- Seleziona un utente o un gruppo dalla lista.
- Seleziona “Consenti” o “Rifiuta” per ciascuna delle impostazioni.
Buone pratiche per le autorizzazioni
- Assegna le autorizzazioni ai gruppi, non agli account utente – L’assegnazione delle autorizzazioni ai gruppi semplifica la gestione delle risorse condivise. Se il ruolo di un utente cambia, è sufficiente aggiungerlo ai nuovi gruppi appropriati e rimuoverlo da qualsiasi gruppo che non è più rilevante.
- Applicare il principio del minimo privilegio – Concedere agli utenti i permessi di cui hanno bisogno e niente di più. Per esempio, se un utente ha bisogno di leggere le informazioni in una cartella, ma non ha mai un motivo legittimo per cancellare, creare o modificare i file, assicurati che abbia solo il permesso “Read”.
- Usa solo i permessi NTFS per gli utenti locali – I permessi di condivisione si applicano solo agli utenti che accedono alle risorse condivise in rete; non si applicano agli utenti che si collegano localmente.
- Metti gli oggetti con gli stessi requisiti di sicurezza nella stessa cartella – Per esempio, se gli utenti richiedono il permesso di “Lettura” per diverse cartelle che sono usate da un dipartimento, memorizza quelle cartelle nella stessa cartella madre e condividi quella cartella madre, piuttosto che condividere ogni cartella individualmente.
- Non impostare i permessi per il gruppo “Everyone” su “Deny” – Il gruppo “Everyone” include chiunque abbia accesso alle cartelle condivise, incluso l’account “Guest”, con l’eccezione del gruppo “Anonymous Logon”.
- Evita di negare esplicitamente i permessi a una risorsa condivisa – Normalmente, dovresti negare esplicitamente i permessi solo quando vuoi sovrascrivere permessi specifici che sono già assegnati.
- Concedere al gruppo “Amministratori” il permesso di “Controllo completo” alla cartella condivisa principale – Questa strategia permette agli amministratori di gestire i permessi, esportare gli elenchi di accesso e tenere traccia delle modifiche a tutti i permessi, file e cartelle.
- Tenere d’occhio l’appartenenza al gruppo “Amministratori” – Gli utenti in questo gruppo hanno il permesso di “Accesso completo” a tutti i tuoi file e cartelle condivisi. Pertanto, dovreste controllare attentamente le modifiche ai suoi membri, utilizzando la politica di controllo e il registro degli eventi di sicurezza, o soluzioni software di terze parti che possono notificare qualsiasi modifica a questo potente gruppo in tempo reale, oltre a facilitare la regolare attestazione di tutte le autorizzazioni dell’utente.
Per maggiori informazioni, leggete le migliori pratiche di gestione dei permessi NTFS.
Utilizzando solo un set di permessi
Se pensate che lavorare con due set di permessi separati sia troppo complicato, potete usare solo i permessi di condivisione NTFS. Semplicemente cambiate i permessi di condivisione per la cartella a “Controllo completo”, e poi potrete fare qualsiasi modifica vogliate ai permessi NTFS senza dovervi preoccupare che i permessi di condivisione dei file interferiscano con essi.
Sommario
Capire le differenze tra i permessi Share e NTFS vi permette di usarli insieme per proteggere l’accesso alle risorse locali e condivise. Seguendo le linee guida e le migliori pratiche qui descritte, rafforzerai ulteriormente la sicurezza del tuo ambiente IT.