Windows XP - Account utente e gruppi Cos è un account utente In Windows XP il controllo di accesso è essenziale per la sicurezza del computer e dipende in gran parte dalla capacità del sistema di identificare in modo univoco ogni utente. Un account utente offre un identità univoca e dovrebbe essere assegnato ad ogni persona che una un determinato PC. Innanzitutto è necessario chiarire subito cosa si intende per account: è una sorta di carta d identità (composta da un nome utente e una password) che consente l accesso a risorse quali stampanti e files. Windows XP richiede dunque un accesso obbligatorio tramite un account che può essere locale per risorse presenti sul computer locale o un account di dominio per accedere a risorse presenti sulla rete. Tipi di account utente In Windows XP esistono tre tipi di account utente: Account utente locale permette di registrarsi esclusivamente su uno specifico computer locale e di accedere alle risorse in esso contenute Account utente di dominio: permette di registrarsi in un dominio di rete e di accedere a tutte le risorse disponibili nella rete. Account utente incorporati: permette di compiere determinate operazioni di amministrazione e di accedere ad alcune specifiche risorse locali o di rete. Account utente locale Questo tipo di account si riferisce solo al computer a cui si desidera accedere e garantisce l accesso esclusivamente alle risorse presenti sul computer locale e non a quelle presenti in rete, per le quali l utente deve invece essere nuovamente autenticato con un account di dominio. Un PC autonomo o un PC che fa parte di un gruppo di lavoro usa esclusivamente account utente locali; gli altri utenti della rete possono accedere alle risorse del PC locale solo se eseguono l autenticazione usando un account utente locale presente su quel PC: in molti casi viene usato l account Guest a questo scopo. Ad esempio se il PC fa parte di un gruppo di lavoro con 5 PC che usano Windows XP, l Utente1 sul PC1 può autenticarsi solamente sul PC1 con l account utente locale Utente1. Se questo utente vuole autenticarsi con Utente1 anche sugli altri 4 PC del gruppo di lavoro deve creare un account utente locale Utente1 su ognuno degli altri 4 PC. Inoltre se decide di modificare la password per l account utente locale Utente1 è necessario modificare questa password su tutti e 5 i PC del gruppo di lavoro poiché ogni PC gestisce le informazioni esclusivamente in locale nel suo local security database. Infatti, quando viene creato un account utente locale Windows XP crea l account solo nel database di sicurezza del computer locale, denominato local security database. Windows XP usa il database di sicurezza locale per autenticare l account utente locale che consente all utente di accedere al PC. Windows XP non replica in alcun modo le informazione dell account utente locale su altri computer della rete. Noi siamo abituati ad identificare un account in base al suo nome utente (Mario, Administrator ) Windows XP invece utilizza un valore di lunghezza variabile chiamato identificativo di protezione (SID, security identifier) per tenere traccia di ogni account con i diritti e le autorizzazioni associati. Windows rappresenta gli account utente con nomi e tiene traccia in background dell identificativo di protezione per ogni account. Per vedere come sono fatti questi SID per ogni account utente è sufficiente aprire il registro di sistema e andare nella chiave HKEY_USERS. I tre valori brevi S-1-5-18, S-1-5-19, S-1-5-20 sono gli identificativi di protezione noti che identificano gli account comuni a tutte le installazioni di Windows XP. Il SID lungo rappresenta l account utente locale su questo PC.
Ogni SID viene usato una sola volta: l identificativo creato con un determinato account utente resta associato in modo univoco a tale account fino a quando quest ultimo viene eliminato. L identificativo di protezione non viene quindi usato mai più, né per quell utente né per altri. Dopo aver eliminato un account, non potete ricrearlo e recuperare le sue autorizzazioni e le altre impostazioni; se create un nuovo account, anche con lo stesso nome e la stessa password di quello eliminato, Windows XP assegna comunque un nuovo SID a tale account. Account utente di dominio Gli account utente di dominio, al contrario di quelli locali, non sono memorizzati sul PC locale, ma su un server centrale di rete denominato Controller di dominio (PDC Primary Domain Controller): generalmente questo server esegue Windows NT 4.0 Server, Windows 2000 Server o Windows 2003 Server. L account utente di dominio garantisce l accesso a tutte le risorse condivise presenti in rete, al contrario dell account utente locale che invece garantisce l accesso esclusivamente alle risorse presenti sul computer locale e non a quelle presenti in rete. Di conseguenza se il PC fa parte di un dominio solitamente si eseguirà l accesso con un account di dominio che è in grado di garantire l accesso a tutte le risorse condivise in rete, oltre che a quelle presenti sul PC locale. Quando avviene il login con nome utente e password, Windows NT 4.0 Server, Windows 2000 Server o Windows 2003 Server usano queste informazioni per autenticare l identità dell utente e crea un gettone di accesso (access token) che contiene le informazioni dell utente e le relative impostazioni di sicurezza. L access token identifica l utente sui computer del dominio che contengono le risorse alle quali l utente vuole accedere. L access token è valido per tutta la durata della sessione di lavoro. Gli account utente di dominio, ognuno con il proprio SID univoco, sono memorizzati nel database nella directory del dominio (Active directory), che è gestita dal server controller di dominio. Il controller di dominio replica le informazioni sugli account utente di dominio a tutti i controller di dominio presenti in rete che possono così autenticare l utente. L uso del dominio è molto comodo per quanto concerne l amministrazione centralizzata della rete e della sua protezione. Se, infatti, è facile gestire gli account utente locale su un gruppo di lavoro con 5 PC e creare un account utente locale corrispondente su ognuno dei 5 PC e gestire la condivisione delle risorse, quando la rete è di 150 PC è necessario usare un dominio per centralizzare l attività di amministrazione. Ogni membro del dominio, ad esempio, può accedere alla directory del dominio che contiene il database degli account di dominio, gestita dal server controller di dominio, per scopi di protezione e garantire l accesso alle risorse sul suo PC locale usando il nome di un gruppo di protezione del dominio. Quando l amministratore di rete aggiunge un nuovo utente alla rete e assegna l utente al gruppo in questione, il nuovo utente dispone automaticamente dell accesso alla risorsa condivisa senza che egli debba configurare alcunché.
Il sistema di gestione degli account di protezione del PC locale gioca un suo ruolo anche in un dominio. L accesso alle risorse sul PC locale richiede, infatti, un account utente locale o l appartenenza a un gruppo locale. Ecco perché, quando si unisce un PC ad un dominio, Windows XP aggiunge il gruppo Domain Admins al gruppo Administrators locale e aggiunge il gruppo Domain Users al gruppo Users locale. Gli account basati su un dominio sono detti anche account globali. Account utenti incorporati Ogni installazione di Windows XP genera almeno due account utente incorporati, preconfigurati con alcuni privilegi e restrizioni: Administrator Questo account dispone di diritti completi sull intero computer. In qualità di membro permanente del gruppo Administrators dispone di accesso illimitato a tutti i files ed alle chiavi del registro del PC e può creare altri account utente. In un dominio Active directory l account administrator dispone di accesso e privilegi su tutto il dominio. In un PC locale l account Administrator ha pieno accesso solo al sistema locale. Non è possibile eliminarel account Administrator, ma solo disabilitarlo o rinominarlo. Disabilitare l account Administrator Accedere al PC con un account con privilegi di amministratore Andare su Start - Pannello di Controllo Strumenti di amministrazione Gestione computer Nel pannello di sinistra doppio clic sulla voce Utilità di sistema e quindi doppio clic sulla voce Utenti e gruppi locali Fare clic sulla voce Users: nel pannello di destra appaiono tutti gli account configurati sul PC locale Clic destro sull account Administrator e poi clic sulla voce Proprietà Nella scheda Generale selezionare l opzione Account disabilitato Clic sul pulsante OK Chiudere la Consolle di amministrazione del computer Ricordiamo che questa procedura è valida per disabilitare tutti gli account utente configurati nel PC locale.
Sicurezza dell account Administrator L account Administrator è il primo obiettivo degli hacker poiché è risaputo che esso esiste su ogni PC con Windows XP, per cui è bene rinominarlo e attribuire ad esso una password robusta. Un metodo per tenere sotto controllo i tentativi di accesso non autorizzati tramite l account Administrator è quello di creare un nuovo account limitato (appartenente al gruppo Users o Guests) e chiamarlo Administrator. Rinominare l account Administrator Accedere al PC con un account con privilegi di amministratore Andare su Start - Pannello di Controllo Strumenti di amministrazione Gestione computer Nel pannello di sinistra doppio clic sulla voce Utilità di sistema e quindi doppio clic sulla voce Utenti e gruppi locali Fare clic sulla voce Users: nel pannello di destra appaiono tutti gli account configurati sul PC locale Clic destro sull account Administrator e poi clic sulla voce Rinomina Digitare il nuovo nome e premere Invio Chiudere la Consolle di amministrazione del computer Ricordiamo che questa procedura è valida per rinominare tutti gli account utente configurati nel PC locale Modificare la password dell account Administrator Accedere al PC con l account Admnistrator Andare su Start - Pannello di Controllo Account utente Clic sull account Administrator (l account Administrator, normalmente non visualizzato, è presente ci si è connessi proprio con questo account) Clic sulla voce Cambia password Digitare la nuova password e confermarla Clic sul pulsante Cambia password per confermare la modifica. Ricordiamo che questa procedura è valida per modificare la password di tutti gli account utente configurati nel PC locale Ripristinare l account Administrator In Windows XP, se è stato creato un altro account utente locale con privilegi di amministratore, o se è stato disabilitato come visto sopra, l account Administrator non appare come opzione per l accesso nella Schermata iniziale (appare solo se non esistono altri account con privilegi di amministratore o se non è stato disabilitato). L account utente esiste comunque e per visualizzarlo come opzione per l accesso nella Schermata iniziale è sufficiente: Nel caso l account Administrator non sia stato disabilitato: eseguire l avvio normalmente una volta arrivati alla Schermata iniziale premere due volte CTRL+ALT+CANC (appare la classica finestra di dialogo di accesso) digitare Administrator nella casella Nome utente digitare la password nella casella Password premere il pulsante OK per avere accesso al PC locale come amministratore Nel caso l account Administrator fosse stato disabilitato come visto sopra: eseguire l avvio in modalità provvisoria premendo F8 durante il caricamento una volta arrivati alla Schermata iniziale premere due volte CTRL+ALT+CANC (appare la
classica finestra di dialogo di accesso) digitare Administrator nella casella Nome utente digitare la password nella casella Password premere il pulsante OK per avere accesso al PC locale come amministratore Andare su Start - Pannello di Controllo Strumenti di amministrazione Gestione computer Nel pannello di sinistra doppio clic sulla voce Utilità di sistema e quindi doppio clic sulla voce Utenti e gruppi locali Fare clic sulla voce Users: nel pannello di destra appaiono tutti gli account configurati sul PC locale Clic destro sull account Administrator e poi clic sulla voce Proprietà Nella scheda Generale deselezionare l opzione Account disabilitato Clic sul pulsante OK Guest Questo account è riservato a utenti occasionali e quindi ha privilegi predefiniti piuttosto ridotti assegnati in modo che non possano provocare danni o gravi manomissioni del PC. Windows XP usa questo account per fornire l accesso alle risorse di rete condivise su un PC locale quando è attivata la Condivisione semplice dei file. Per motivi di sicurezza, in quanto concede comunque l accesso al PC a chiunque, questo account, per default è disattivato, e nel caso lo si voglia attivare, si raccomanda di impostare una password robusta per l account Guest, in modo da evitare problemi alla sicurezza. Non è possibile eliminare l account Guest, ma è possibile disabilitarlo o rinominarlo. Attivare/disattivare l account utente Guest Accedere al PC con un account con privilegi di amministratore Andare su Start - Pannello di Controllo Account utente Clic sull account Guest Nella schermata che compare clic sul pulsante Attiva l account Guest Se l account Guest è attivato seguire la procedura precedente fino al passaggio 3 e quindi Nella schermata che compare clic sulla voce Disattiva account Guest Ricordiamo che è possibile abilitare/disabilitare l account Guest anche usando la Consolle di gestione computer con lo snap-in Utenti e gruppi locali Rinominare l account Guest Accedere al PC con un account con privilegi di amministratore Andare su Start - Pannello di Controllo Strumenti di amministrazione Gestione computer Nel pannello di sinistra doppio clic sulla voce Utilità di sistema e quindi doppio clic sulla voce Utenti e gruppi locali Fare clic sulla voce Users: nel pannello di destra appaiono tutti gli account configurati sul PC locale Clic destro sull account Guest e poi clic sulla voce Rinomina Digitare il nuovo nome e premere Invio Chiudere la Consolle di amministrazione del computer Ricordiamo che questa procedura è valida per rinominare tutti gli account utente configurati nel PC locale
Esistono altri due account incorporati Help assistant L account HelpAssistant viene usato per le sessioni di Assistenza remota. Il supporto tecnico che risponde alle richieste di Assistenza remota accede al sistema dell utente con l account HelpAssistant. Questo account dispone di funzionalità di sistema limitate, progettate per consentire di utilizzare i Servizi terminal per accedere localmente ai sistemi. L account HelpAssistant per default è disabilitato. Support_xxxxxx E un account progettato per l utilizzo da parte dei rivenditori e dal servizio Guida in linea e supporto tecnico incorporato. xxxxxx rappresenta un numero specifico per il rivenditore. L account Support_xxxxxx per default è disabilitato. Windows XP include anche altri tre account di servizio, utilizzati per scopi speciali, per eseguire dei servizi che devono essere eseguiti nel contesto di un particolare account perché o devono essere eseguiti prima dell accesso dell utente o possono continuare ad essere attivi anche dopo la disconnessione di un utente. Questi account, disponibili solo sul sistema locale, sono in realtà degli pseudo-account in quanto non sono modificabili con gli strumenti di amministrazione dell utente. Inoltre gli utenti non possono accedere ad un PC con questi account. LocalSystem Consente di eseguire processi di sistema e di gestire attività a livello di sistema. Questo account concede il diritto di Accesso come servizio. Gran parte dei servizi si eseguono con l account LocalSystem. LocalService Consente di eseguire servizi che richiedono privilegi e diritti di accesso aggiuntivi su un sistema locale. I servizi eseguiti con questo account si avvalgono del diritto di Accesso come servizio e dei privilegi di Modifica dell orario di sistema e Generazione di controlli di protezione. Alcuni esempi dei servizi svolti con l account LocalService sono: Avvisi, Messenger, Smart Card, Helper Smart Card NetworkService Consente di eseguire servizi che richiedono privilegi e diritti accesso aggiuntivi su un sistema locale e sulla rete. Come per l account LocalService, anche i servizi eseguiti con questo account si avvalgono del diritto di Accesso come servizio e dei privilegi di Modifica dell orario di sistema e Generazione di controlli di protezione. Alcuni esempi dei servizi svolti con l account NetworkService sono: Distributed Transaction Coordinator, Client DNS