giovedì 8 dicembre 2016

Il Super Amministratore di Windows 10

Windows 10 ha un account predefinito chiamato Built-in Administrator (o Super-Administrator, Super Amministratore), nascosto e disabilitato per impostazione predefinita, simile per funzionalità all'account "root" dei sistemi Unix e Linux. Vediamo cos'è, come usarlo e perché non bisogna abusarne.
In Windows XP (e versioni di Windows ancora più vecchie) c'era un solo account amministratore di sistema, usato dalla maggior parte degli utenti. A partire da Windows Vista è stato introdotto il super-amministratore (presente quindi anche in Windows 7/8.x/10), il cui uso non è necessario (e non è consigliato) se non in circostanze eccezionali.
Particolare attenzione deve essere posta se si è eseguito un upgrade a Windows 10 a partire da Windows XP. In questo caso infatti il super-amministratore viene abilitato in modo automatico, il che può essere molto pericoloso, in quanto qualsiasi applicazione potrebbe prendere il controllo del computer. Se invece l'upgrade a Windows 10 è stato eseguito partendo da Windows Vista/7/8.x il super-amministratore è disabilitato di default (cioè per impostazione predefinita).
La differenza fondamentale tra un amministratore di sistema "ordinario" ed il super-amministratore è che:
  • un amministratore ha il controllo completo del computer ma, per eseguire alcune impostazioni avanzate, deve leggere ed accettare esplicitamente le notifiche dell'UAC (User Account Control), dopodiché ottiene l'elevazione dei privilegi di amministrazione;
  • il super-amministratore invece non è soggetto all'UAC ed esegue qualsiasi comando sempre con il più alto livello di privilegi.
Eseguire qualsiasi comando sempre con il massimo dei privilegi espone il sistema a problemi di sicurezza, vi suggerisco quindi di usare il super-amministratore con moderazione, solo se veramente necessario e dopo aver impostato una password di accesso.

Quando usare il super-amministratore

Il super-amministratore è utile per effettuare qualche seria risoluzione di problemi o manutenzione di sistema. Usufruendo di privilegi elevati, ha sempre un accesso senza restrizioni ai comandi da lanciare al prompt e/o dalla finestra Esegui, senza essere rallentato dalle richieste di conferma dell'UAC. Serve anche per lasciare aperta una backdoor (porta di servizio) nel caso l'account principale del computer sia bloccato; tuttavia questa è un'arma a doppio taglio, soprattutto se l'accesso non è stato protetto con una password.

Abilitare e disabilitare il super-amministratore

Per abilitare il super-amministratore, accedere al prompt dei comandi come amministratore (per esempio con il menu dei collegamenti rapidi) e digitare:
net user administrator /active:yes e premere Invio
Per proteggere il super-account con una password, al prompt occorre prima definire la password e poi attivare il super-account.
net user la-tua-password+Invio (imposta la-tua-password), quindi
net user administrator /active:yes+Invio (attiva il super-amministratore).
Non appena il super-amministratore è attivato si può riavviare il sistema ed accedere con il nuovo (super)account.
Per disabilitare il super-amministratore, accedere al prompt dei comandi come amministratore e digitare:
net user administrator /active:no e premere Invio
Windows 10 Super-Admin
Un'alternativa per gli amministratori di sistema è usare i Criteri di Sicurezza Locali (Local Security Policy), disponibili nelle edizioni Professional/Enterprise di Windows 10. Digitare secpol.msc (dal prompt dei comandi o dalla finestra di dialogo Esegui) e:
  • nella parte sinistra della finestra portarsi in Criteri locali>Opzioni di sicurezza;
  • nella parte destra, andare in Account:stato account Administrator, fare doppio click con il tasto sinistro del mouse (oppure click con il tasto destro del mouse e selezionare Proprietà);
  • nella finestra di dialogo successiva impostare Attivato o Disattivato.
Windows 10 - Criteri di Sicurezza Locali
Allo stesso risultato si arriva usando l'Editor Criteri gruppo locale (Group Policy Editor), che ingloba il precedente come sottosezione. Digitando gpedit.msc (dal prompt o dalla finestra Esegui) e:
  • nella parte sinistra spostarsi in Configurazione computer>Impostazioni di Windows>Impostazioni sicurezza (da qui inizia la sezione precedente) e quindi in Criteri locali>Opzioni di sicurezza;
  • nella parte destra, andare in Account:stato account Administrator, fare doppio click con il tasto sinistro del mouse (oppure click con il tasto destro del mouse e selezionare Proprietà);
  • nella finestra di dialogo successiva impostare Attivato o Disattivato.
Windows 10 - gpedit superadmin
Se hai trovato utile l'articolo considera la possibilità di offrire un modesto contributo. Grazie di cuore per il tuo sostegno.
Donazione

POTREBBE INTERESSARTI ANCHE…


Torna alla sezione Windows 10