Hardware Upgrade Forum - View Single Post - Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc)

M@tt82 · 29-07-2007, 12:30

Per prima cosa complimenti a Sisupoika per l'interessante guida e la chiarezza con cui è stata realizzata.

Ho provato la configurazione suggerita in una macchina virtuale, e adesso tutto sembra funzionare correttamente.
Ho però riscontrato lo stesso problema che hanno avuto altri utenti con lo script AdminShell.cmd, mi riferisco ad esempio all'utente oirad87.
Il problema in realtà non è nello script, che è corretto, ma nel fatto che con la configurazione di default di Windows, non è possibile lanciare Windows Explorer con privilegi differenti rispetto a quelli dell'utente che ha effettuato il login. Questo avviene perchè con le impostazioni di default Windows Explorer utilizza un solo processo; questo significa che tutte le finestre di "Esplora Risorse" che apriamo risiederanno in un unico processo, anche quella che lanciamo tramite lo script AdminShell, e tutte quindi avranno gli stessi privilegi, quelli del gruppo User dell'utente loggato.
Per risolvere il problema bisogna forzare Windows Explorer a utilizzare un processo differente per ogni finestra:
Pannello di controllo -> Opzioni cartella -> Visualizzazione
e selezionate la voce "Esegui le finestre delle cartelle in un processo separato".

Sul blog di Aaron Margosis ho trovato una toolbar per Explorer interesante che permette di visualizzare i privilegi attuali della finestra. Può essere utile per distinguere la finestra di explorer con diritti amministrativi dalle altre, altrimenti indistinguibili, specialmente se si hanno molte finestre aperte. La trovate qui.

@juninho85:
La prima volta che lanci uno dei due script, ad esempio AdminCMD, la finestra è nera, e ti chiede di inserire la password di amministratore. Quando digiti la password, su schermo non vedrai niente, il cursore non si muoverà, come se non rispondesse all'input della tastiera, ma è normale: in realtà quello che digiti viene letto! Quindi devi digitare la password correttamente senza preoccuparti del cursore che non si muove. Una volta inserita la password di amministratore, ti verrà chiesta nella stessa maniera quella dell'utente limitato. Inserita anche questa verrà avviata la console con diritti amministrativi, quella rossa per intenderci. Le password inserite vengono memorizzate, quindi in futuro non ti verranno più chieste, ma si avvierà direttamente la console "rossa".

@Sisupoika:
ho notato che da utente limitato non posso modificare le cartelle di sistema nè eseguire programmi che non siano nelle cartelle Programmi o Windows; quindi fin qui tutto bene.
Però ho notato che da utente limitato posso disinstallare del software da "pannello di controllo -> installazione applicazioni"

E' normale? Ci sono delle impostazioni per impedire anche questo?

29-07-2007, 12:30	#155
M@tt82 Junior Member Iscritto dal: Dec 2005 Città: Palermo Messaggi: 15	Per prima cosa complimenti a Sisupoika per l'interessante guida e la chiarezza con cui è stata realizzata. Ho provato la configurazione suggerita in una macchina virtuale, e adesso tutto sembra funzionare correttamente. Ho però riscontrato lo stesso problema che hanno avuto altri utenti con lo script AdminShell.cmd, mi riferisco ad esempio all'utente oirad87. Il problema in realtà non è nello script, che è corretto, ma nel fatto che con la configurazione di default di Windows, non è possibile lanciare Windows Explorer con privilegi differenti rispetto a quelli dell'utente che ha effettuato il login. Questo avviene perchè con le impostazioni di default Windows Explorer utilizza un solo processo; questo significa che tutte le finestre di "Esplora Risorse" che apriamo risiederanno in un unico processo, anche quella che lanciamo tramite lo script AdminShell, e tutte quindi avranno gli stessi privilegi, quelli del gruppo User dell'utente loggato. Per risolvere il problema bisogna forzare Windows Explorer a utilizzare un processo differente per ogni finestra: Pannello di controllo -> Opzioni cartella -> Visualizzazione e selezionate la voce "Esegui le finestre delle cartelle in un processo separato". Sul blog di Aaron Margosis ho trovato una toolbar per Explorer interesante che permette di visualizzare i privilegi attuali della finestra. Può essere utile per distinguere la finestra di explorer con diritti amministrativi dalle altre, altrimenti indistinguibili, specialmente se si hanno molte finestre aperte. La trovate qui. @juninho85: La prima volta che lanci uno dei due script, ad esempio AdminCMD, la finestra è nera, e ti chiede di inserire la password di amministratore. Quando digiti la password, su schermo non vedrai niente, il cursore non si muoverà, come se non rispondesse all'input della tastiera, ma è normale: in realtà quello che digiti viene letto! Quindi devi digitare la password correttamente senza preoccuparti del cursore che non si muove. Una volta inserita la password di amministratore, ti verrà chiesta nella stessa maniera quella dell'utente limitato. Inserita anche questa verrà avviata la console con diritti amministrativi, quella rossa per intenderci. Le password inserite vengono memorizzate, quindi in futuro non ti verranno più chieste, ma si avvierà direttamente la console "rossa". @Sisupoika: ho notato che da utente limitato non posso modificare le cartelle di sistema nè eseguire programmi che non siano nelle cartelle Programmi o Windows; quindi fin qui tutto bene. Però ho notato che da utente limitato posso disinstallare del software da "pannello di controllo -> installazione applicazioni" E' normale? Ci sono delle impostazioni per impedire anche questo?