È possibile che le autorizzazioni di accesso al disco NTFS per supporti esterni o rimovibili vengano disabilitate

INTRODUZIONE

Microsoft è a conoscenza della possibilità di utilizzare informazioni dettagliate e strumenti per accedere ai file presenti su dispositivi rimovibili. Questi strumenti consentono di disabilitare le autorizzazioni del file NTFS per le distribuzioni non server di Microsoft Windows. Microsoft è a conoscenza del fatto che tale problema potrebbe influire negativamente sui dischi interni, sui dischi rigidi contrassegnati come rimovibili e anche sui supporti esterni rimovibili, ad esempio USB, Firewire, SD e altri. Microsoft è a conoscenza delle situazioni in cui alcuni dischi o controller per l'archiviazione vengono contrassegnati come "rimovibili", indipendentemente dalla posizione fisica all'interno o all'esterno dell'involucro del computer o dal tipo di connessione utilizzata dal disco. 

Tale problema non influisce negativamente sul volume di sistema principale, cioè la periferica dalla quale si esegue Windows.

I sistemi coinvolti in una configurazione predefinita sono quelli più a rischio. Ad esempio, i vari dischi dei sistemi che eseguono Windows Vista, Windows 7 e Windows 8.

Informazioni

Come stabilire se il proprio ambiente è interessato dal problema

  1. Aprire la finestra del prompt dei comandi con privilegi elevati. Per effettuare questa operazione, fare clic su Start, digitare CMD, fare clic con il pulsante destro del mouse su Cmd.exe, quindi selezionare Esegui come amministratore.

  2. Al prompt dei comandi con privilegi elevati, digitare il comando seguente e premere INVIO:

    Powershell

  3. Dal prompt di Powershell, digitare il seguente comando:

    Get-WmiObject -Class Win32_DiskDrive | Format-Table Name, Model, MediaType




Tale script restituirà un output analogo a quello riportato di seguito:



Nome

Modello

MediaType

\\.\PHYSICALDRIVE0

ST31000528AS

Supporto del disco rigido fisso

\\.\PHYSICALDRIVE3

Dispositivo USB WD Ext HDD 1021

Supporto disco rigido esterno

\\.\PHYSICALDRIVE4

Dispositivo USB Corsair Voyager 3.0

Supporto rimovibile

Nel caso in cui l'opzione MediaType restituisca "supporto rimovibile" o "supporto disco rigido esterno", la configurazione è interessata dal problema descritto nel presente articolo.

Risoluzione

Si consiglia di effettuare questa procedura di protezione avanzata ai clienti che desiderano preservare le autorizzazioni del disco a livello del sistema operativo per i dischi secondari contrassegnati come "rimovibili":

Attivare i controlli per l'accesso in lettura e in scrittura a dispositivi o supporti rimovibili

Per attivare i controlli per l'accesso in lettura e scrittura a dispositivi o supporti rimovibili, attenersi alla seguente procedura:

  1. Premere i tasti Windows e R per aprire il menu Esegui.

  2. Digitare MMC.exe, quindi premere INVIO.

  3. Scegliere Aggiungi/Rimuovi snap-in (CTRL+M) dal menu File, quindi selezionare Editor oggetti Criteri di gruppo. Fare clic su OK.

  4. Fare clic su Sfoglia, selezionare la scheda Utenti, quindi fare doppio clic su Utenti non amministratori.

  5. Scegliere Fine, quindi OK.

  6. Nel riquadro di spostamento, espandere Computer locale\Criteri degli utenti non amministratori, quindi Configurazione utente, Modelli amministrativi, Sistema e selezionare Accesso agli archivi rimovibili.

  7. Fare doppio clic su Tutte le classi di archivi rimovibili: nega tutti gli accessi, quindi selezionare l'opzione Attivato.

  8. Scegliere Applica, quindi OK.

Se non è possibile eseguire questa procedura di protezione avanzata, si consiglia di non memorizzare informazioni importanti sui dischi o sui dispositivi interessati dal problema. Ad esempio, non memorizzare informazioni personali o di autenticazione se più utenti condividono la workstation o copie di backup del file system. Per ulteriori informazioni, contattare il produttore dell'hardware relativo al controller del disco.  

Per configurare automaticamente i sistemi in modo che impediscano l'accesso in lettura e scrittura ai dispositivi rimovibili, sono disponibili delle soluzioni Fix It automatiche.
Per risolvere il problema automaticamente, accedere alla sezione "Correzione automatica".

Correzione automatica

Soluzioni Fix it per Windows 7 o Windows 8



Per abilitare o disabilitare la soluzione "Fix it", fare clic sul pulsante Fix it, sul collegamento sotto il titolo Attiva o sotto il titolo Disattiva. Quindi, fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della correzione guidata.

Attivazione

Disattivazione

Soluzioni Fix it per Windows Vista


Per abilitare o disabilitare la soluzione "Fix it", fare clic sul pulsante Fix it, sul collegamento sotto il titolo Attiva o sotto il titolo Disattiva. Quindi, fare clic su Esegui nella finestra di dialogo Download file e seguire le istruzioni della correzione guidata.

Attivazione

Disattivazione

Note

  • Queste procedure guidate sono disponibili solo in lingua inglese. Le correzioni automatiche, tuttavia, funzionano anche per versioni di Windows in altre lingue.

  • Se non si sta utilizzando il computer che presenta il problema, è possibile salvare la correzione automatica su un'unità di memoria flash o su un CD ed eseguirla sul computer interessato dal problema.

FAQ

  • Perché Windows dispone di diversi criteri di sicurezza per diversi tipi di supporti di archiviazione?
    In Windows vengono supportati diversi dispositivi di archiviazione, dai dischi rigidi tradizionali (ad esempio, le unità disco rigido e le unità SSD) ai dischi rimovibili (ad esempio, le schede SD e le unità USB). Supportare più dispositivi di archiviazione consente ai clienti di utilizzare Windows in diverse situazioni insieme al ricco ecosistema di hardware compatibili con Windows. Questi includono alcuni dispositivi di consumo, ad esempio le fotocamere, i telefoni cellulari e così via. Windows garantisce una straordinaria esperienza end-to-end per tutte le situazioni e i dispositivi in ogni ambiente di distribuzione di Windows, dagli utenti privati, alle piccole imprese, fino alle organizzazioni. 

    Affinché Windows supporti queste situazioni differenti, è necessaria una comprensione relativa ai vari requisiti e alle priorità collegate a ciascuno scenario. Queste includono una serie di considerazioni, quali la facilità di utilizzo, la sicurezza, la gestibilità e altre funzionalità. Pertanto, esistono delle differenze nel modalità di gestione di determinate categorie di dispositivi di archiviazione dal punto di vista della sicurezza. Ciò si riflette in molti fattori, quali l'ambiente d'utilizzo del dispositivo (principalmente in casa o in un'azienda) e se il dispositivo verrà utilizzato su più dispositivi. Tra questi dispositivi sono inclusi alcuni che non sono basati su Windows. 

  • Qual è stata la causa del problema?
    Tra i criteri di protezione, la differenza principale esiste tra dischi tradizionali, rigidi e rimovibili.

    Per impostazione predefinita, l'accesso ai dati archiviati su un disco rigido tradizionale è limitato dagli elenchi di controllo di accesso (ACL, Access Control Lists), che richiedono autorizzazione amministrative elevate. In questo modo, si fornisce un livello di protezione adeguato in tutti gli ambienti. Ciò è possibile sia per i sistemi a utente singolo sia per i sistemi multiutente. Nella maggior parte dei PC, i dati importanti sono presenti nel disco rigido, ad esempio il sistema operativo, e gli elenchi di controllo di accesso richiedono credenziali amministrative elevate per consentire l'accesso ai dati. In Windows vengono forniti diversi strumenti di gestione per far sì che questo criterio venga controllato in maniera più dettagliata, se necessario. Tali strumenti includono BitLocker, Criteri di gruppo e ulteriori elenchi di controllo di accesso. Nei dischi rigidi, gli utenti non amministratori non possono eseguire strumenti al livello dei volumi, come la formattazione o disporre di accesso a livello di blocco diretto ai contenuti del file system.  

    Al contrario, i supporti rimovibili sono progettati per essere utilizzati su diversi dispositivi. Tra questi sono inclusi i dispositivi elettronici e quelli che non sono basati su Windows, ad esempio le fotocamere e i telefoni cellulari. Per impostazione predefinita, l'accesso ai dati archiviati su supporti rimovibili non richiede privilegi amministrativi elevati. In genere, tali dispositivi sono associati a dispositivi elettronici di consumo. Assicurarsi che sia possibile accedere e gestire con facilità i dati presenti su tali dispositivi. Ad esempio, se il file system di un dispositivo rimovibile viene danneggiato, qualsiasi utente può eseguire il comando chkdsk per provare a risolvere il problema di danneggiamento. Negli ambienti in cui la sicurezza avanzata rappresenta una priorità, i clienti possono implementare i controlli aggiuntivi per impedire l'accesso ai supporti rimovibili. In alternativa, possono richiedere la crittografia di tutti i supporti rimovibili. In questo modo, l'utilizzo dei supporti rimovibili viene limitato come parte dei requisiti di sicurezza. 

  • Come è possibile determinare la vulnerabilità della configurazione? 
    Gli utenti possono determinare se nel loro ambiente sono presenti dispositivi rimovibili tramite l'icona di accesso rapido "Rimozione sicura dell'hardware" presente nell'area di notifica del desktop. Se un dispositivo viene elencato in questo menu, significa che è contrassegnato come "rimovibile".

    Inoltre, nel Pannello di controllo gli utenti possono accedere a un elenco dei dispositivi rimovibili. Ad esempio, aprire Tutti gli elementi del Pannello di controllo, quindi Dispositivi e stampanti, quindi fare clic sulla scheda Dispositivi.

    Consultare la sezione "Stabilire se il proprio ambiente è interessato dal problema" per ulteriori informazioni su come è possibile determinare se la configurazione in uso è vulnerabile, utilizzando Windows PowerShell.

  • Quali sistemi operativi di Windows sono coinvolti in configurazioni predefinite? 
    Windows Vista, Windows 7 e Windows 8 sono interessati in configurazioni predefinite.

  • Quali sono i rischi potenziali derivanti dall'applicazione dell'accesso in lettura e scrittura ai supporti rimovibili utilizzando i Criteri di gruppo? 
    Limitare l'accesso ai dispositivi di archiviazione rimovibili tramite i Criteri di gruppo potrebbe causare il mancato avvio di alcune applicazioni o la richiesta di autorizzazioni elevate. Ad esempio, è possibile che il software di backup non esegua un backup dei dispositivi rimovibili. In modo analogo, tutte le attività dei dischi di controllo (chkdsk) o dei dischi di formattazione richiedono autorizzazioni amministrative. Ciò può causare l'impossibilità di gestire il disco e di manipolare il software durante la modalità d'esecuzione limitata.

  • Quali sono i rischi potenziali di BitLocker?
    BitLocker rappresenta la soluzione consigliata relativa alla sicurezza dei dati su dispositivi rimovibili. L'utilizzo di BitLocker determina una lieve riduzione delle prestazioni durante la crittografia e dectrittografia dei dati. 

  • Cosa potrebbe fare un utente malintenzionato utilizzando la vulnerabilità?
    Un utente malintenzionato che dispone dell'accesso come utente non amministrativo può leggere e scrivere su un disco, indipendentemente dal suo ruolo di amministratore locale. L'utente malintenzionato dovrebbe disporre di accesso in lettura e scrittura arbitrario al dispositivo e al file system. Ciò potrebbe causare la divulgazioni di informazioni specifiche.

Riconoscimenti


Microsoft ringrazia le seguenti persone per aver collaborato al fine di proteggere i clienti:



  • George Georgiev Valkov per aver collaborato con Microsoft in merito a questo problema.

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×