Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc)

[xcdegasp]

Viste le imploranti richieste del popolo riapro il thread facendo molti utenti felici ma a condizioni molto ferree e precise:
alla prima violazione del regolamento il thread sarà chiuso e ogni trasgressore punito partendo dalla sospensione di 15 giorni

spero di non vedere la fiducia tradita perchè vedrete proprio il vero "bastard inside"

[K[o]dy]

Grazie xcdegasp.
Sto provando la configurazione suggerita da Sisupoika (grazie ancora ).
Facendo qualche test on-line ho notato che le porte, oltre ad essere chiuse, risultano "Stealth".
In questo thread, sarebbe utile condividere tra noi, le regole per i vari programmi

[Carciofone]

Vox populi vox dei e il pueblo ha sempre ragione

Sottopongo a tutti questo problema:
in un pc pubblico della ns biblioteca un 13-15 enne si è impadronito della password amministrativa, ha trasformato il ns account amministrativo in limitato, si è creato un proprio account amministrativo segreto, ha disabilitato l'administrator, si è installato tutti i progr e giochetti di suo piacimento.
Lo stato attuale è che l'account utilizzabile per videoscrittura è inutilizzabile perchè ad es senza diritti amministrativi non si installano le chiavette usb, gli aggiornamenti di office, Windows, non si disinstallano i giochetti etc...
Siccome è una persona intelligente, ma da correggere e non lo voglio denunciare per non rovinarlo, anche se ha un comportamento di sfida ai limiti (magari uno di questi giorni si porterà pure via il pc... dato che il suo gruppetto già furtarella portafogli agli studenti), inoltre ci sono disparità di vedute tra noi del ced e il bibliotecario su come agire, come rimedio alla cosa facendo vedere che sono superiore
Non mi interessa la cosa del reset bios cd di avvio, reset password, ma piuttosto qualche tecnica exploit.
Ciao

[ABCcletta]

Ciao Sisupoika, non ho letto tutto il thread ma solo le prime pagine e ho trovato molto interessante il tuo spunto. Scusami se la domanda ti è gia stata posta.

Volevo chiederti, come si pone questa procedura nei confronti di Windows Vista tenendo presente l'UAC?

[W.S.]

Quote:

Originariamente inviato da Carciofone

Sottopongo a tutti questo problema ...

A parte che credo sia un tantino OT... sinceramente mi sembra una boiata immane agire in questo modo. Non fai prima a parlare al ragazzo in modo da fargli capire dove ha sbagliato? Almeno eviti di sporcare una macchina pubblica e che la situazione si ripeta nel giro di qualche giorno (il tempo necessario al ragazzino per aggirare il tuo intervento). Se è tanto interessato all'argomento prova a coinvolgerlo nell'amministrazione della macchina stessa, in modo da fargli capire cosa ci sta dietro ad un pc messo a disposizione di tutti, secondo me sfidarlo non serve proprio a nulla anzi potrebbe spingerlo al "lato oscuro" ed a creare danni + consistenti di quanti ne ha fatti finora.

[monkey island]

Quote:

Originariamente inviato da xcdegasp

Viste le imploranti richieste del popolo riapro il thread facendo molti utenti felici ma a condizioni molto ferree e precise:
alla prima violazione del regolamento il thread sarà chiuso e ogni trasgressore punito partendo dalla sospensione di 15 giorni

spero di non vedere la fiducia tradita perchè vedrete proprio il vero "bastard inside"

Bravo!

[Carciofone]

Quote:

Originariamente inviato da W.S.

A parte che credo sia un tantino OT... sinceramente mi sembra una boiata immane agire in questo modo. Non fai prima a parlare al ragazzo in modo da fargli capire dove ha sbagliato? Almeno eviti di sporcare una macchina pubblica e che la situazione si ripeta nel giro di qualche giorno (il tempo necessario al ragazzino per aggirare il tuo intervento). Se è tanto interessato all'argomento prova a coinvolgerlo nell'amministrazione della macchina stessa, in modo da fargli capire cosa ci sta dietro ad un pc messo a disposizione di tutti, secondo me sfidarlo non serve proprio a nulla anzi potrebbe spingerlo al "lato oscuro" ed a creare danni + consistenti di quanti ne ha fatti finora.

Sì, ti dò ragione, ma il mio compito non è educativo. A quello già ci pensa la bibliotecaria e l'altro personale della biblioteca oltre ai carabinieri che già li conoscono bene.
A me interessa che i 15 pc dell'auletta non siano fuori uso un giorno sì ed uno no da un punto di vista software, dato che il controllo visivo non è di mia competenza ma del personale delegato e se si portano via schede grafiche, hd, tastiere e quant'altro non dipende certo da noi.
Il punto è che se non hanno scrupoli ad aprirli e resettare il bios, ci si può fare ben poco oltre a chiuderli coi lucchetti. L'importante è che poi non si venga chiamati continuamente perchè qualcosa non va e soprattutto sembri che le cose non sono state fatte a dovere.
Tutte le macchine sono già dotate di un sistema automatico di ricaricamento di un'immagine pulita del SO ad ogni avvio, ma contro interventi di quello che ho illustrato c'è poco da fare se non andare personalmente a perderci una mezza mattinata...
Qualunque idea è la benvenuta.
L'idea di postare qui viene dal fatto che l'autore del 3d suggerisce di utilizzare account con diritti limitati di cui si è discusso abbastanza a fondo. Effettivamente questo argomento è un pò OT e me ne scuso. Eventualmente per non sforare oltre contattatemi in privato.
Ciao

[GiuFor]

Grazie in via pubblica a xcdegasp e a tutti i responsabili che hanno riaperto questo bellissimo thread.

Invito Sisupoika a tener aggiornato il 1° post con tutte le novità e/ modifiche necessarie a far funzionare il Windows Built-In Security!

[D-3BO]

Ripropongo il mio problema che avevo segnalato un po' di tempo fa senza ricevere alcuna risposta... la mia pazienza è come un pozzo senza fondo... quindi sperando in una risposta di Sisupoika attendo..

Quote:

Originariamente inviato da D-3BO

Ho eseguito un po' di prove seguendo passo passo la tua guida settando i filtri nel seguente modo:
- Traffico su tutti gli ICMP: bloccato - Speculare (Protocollo ICMP)
- Traffico su tutti gli IP: bloccato - Speculare (Protocollo qualsiasi)
- Traffico autorizzato: autorizzato alle seguenti porte:
-> 80-TCP: non speculare
-> 53-TCP: non speculare
-> 53-UDP: non speculare

ho riscontrato che non riesco a navigare in internet (IE7)... quale potrebbe essere l'errore che commetto?

P.S. se disattivo l'opzione speculare nel traffico IP... navigo tranquillamente ma il test fallisce dandomi quelle porte aperte riportate sopra... In attesa di delucidazioni ringrazio cordialmente Sisupoika

P.S. Per rintracciare il nostro piccolo scambio di idee... ti consiglio di andare a rivedere i post n° 294 - 295 - 297.

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

Viste le imploranti richieste del popolo riapro il thread facendo molti utenti felici ma a condizioni molto ferree e precise:
alla prima violazione del regolamento il thread sarà chiuso e ogni trasgressore punito partendo dalla sospensione di 15 giorni

spero di non vedere la fiducia tradita perchè vedrete proprio il vero "bastard inside"

Grazie xcdegasp.

Naturalmente colgo l'occasione per rinnovare le mie scuse in merito alla parte di colpa che comunque c'e' stata anche da parte mia nel dar corda a qualcuno, usando a volte termini e toni che normalmente non sono solito usare, contribuendo a far si' che il thread prendesse una piega inattesa.

E colgo l'occasione per invitare coloro i quali sono interessati alle tematiche trattate in questo thread e quelli correlati a contribuire senza commenti fuori luogo; l'oggetto del thread e', penso, sempre stato abbastanza chiaro e chi e' per soluzioni differenti da quelle suggerite e' libero di continuare con quelle soluzioni.

D'altra parte, da ora in poi cerchero' di evitare affermazioni di cui io e molti di voi siamo convinti, che pero' possono inasprire inutili polemiche di chi non vuol accettare alternative a quelle cui e' abituato.

Per questo motivo, nel partecipare a thread di questo tipo mi limitero' a "proporre", come del resto avrei dovuto fare tenendo per me le mie considerazioni che saranno gli interessati a condividere oppure no.

Spero dunque si possa riprendere e procedere senza tornare ad inutili scontri o quello che erano; sono inutili perche' nessuno e' tenuto a cambiare le sue opinioni e abitudini, e perche' non contribuiscono in nessuna maniera allo sviluppo costruttivo della discussione in oggetto.

Tornando in topic, ero partito col proporre una configurazione che sono solito usare su Windows visto che lavoro su piattaforma Microsoft quasi tutto il tempo e uso ormai Sabayon ogni tanto. A parte alcuni passaggi suggeriti che riguardano una configurazione al momento completamente manuale, avevo proposto degli scripts per semplificare l'uso di un account limitato in Windows, consentendo di avviare processi con diritti amministrativi senza fare log-on/off come amministratore, e senza usare RunAs che ha una serie di limitazioni che avevo illustrato nelle prime pagine, da qualche parte.

Questi primi scripts in realta' erano qualcosa che usavo soltanto per me, che sapendo come usarli non mi ero mai preoccupato di rifarli con dei controlli, ecc ecc.

Il risultato e' che alcuni di voi, nell'iniziare ad usarli, hanno avuto problemi con gli accounts a causa di controlli assenti, per cui si sono ritrovati senza Administrator o cose del genere, sorry for that guys

Gli scripts che ho postato nell'altro thread erano gia' una "versione" un po' migliore dal momento che ho aggiunto shortcuts per diversi utili comandi, l'integrazione di questi con la shell Explorer, il setup (con dei controlli per evitare casini) automatico degli account.

Essi hanno risolto qualche problema e semplificato molto le varie operazioni, pero' alla fine sempre di scripts si tratta con tutte le limitazioni del caso; per questo motivo, come gia' anticipato, avevo iniziato a scrivere una applicazione che facesse queste e altre belle cose in maniera molto piu' affidabile, veloce, e sicura, in modo da elimiare le configurazioni manuali, con tutti gli indubbi vantaggi che ne derivano.

Al momento, purtroppo, nel mio tempo libero sono incasinato con diverse cose che sto cercando di fare (compresa una alternativa ad AutoPatcher, come qualcuno di voi avra' letto in un altro thread, e altra roba), percio' non sto procedendo altrettanto rapidamente quanto vorrei.

Volevo dunque chiedere a xcdegasp, se d'accordo, se sarebbe una buona idea chiudere questo e l'altro thread correlato (che e' stato un mio errore, non era una grande idea mantenere due thread su argomenti comunque in relazione tra di loro in uno stesso topic, sorry ), e aprire un nuovo (pulito) thread, intitolato "Windows hardening" (per esempio), nel quale tutti noi interessati cercheremo di raccogliere tutte le informazioni possibili riguardo appunto l'hardening di Windows.
Se xcdegasp e' d'accordo, apriro' questo thread con tre post iniziali "di servizio", inizialmente vuoti, nei quali non appena possibile cerchero' di mettere ordine in maniera sistematica e non incasinata come ho fatto prima, le informazioni raccoglieremo, partendo dai due suddetti thread che cosi' come sono creano solo confusione, oltre a contenere (questo) una marea di post OT come tutti ben sapete.
Questo thread servira' inizialmente a raccogliere nuove idee/proposte ad esempio per la soluzione che sto cercando di scrivere, e come una sorta di "supporto" - nel frattempo - per coloro i quali vogliono procedere con le configurazioni manuali, gli script temporanei, ecc. A proposito di scripts, finche' non avro' finito qualcosa di presentabile, vi invito a prendere in considerazione anche il codice AutoIt di retalv da lui proposto nell'altro thread (e che linkeremo nel nuovo thread se tu, mod, sei d'accordo sul fatto di aprirlo).

Procediamo, dunque?

Perdonate la lunghezza


ps: anche ekherekaza (non ricordo come si scrive) e' benvenuto con il suo contributo, se per esso si intende suggerimenti, proposte, ecc senza cercare il conflitto come gia' accaduto.

[xcdegasp]

Procedi pure

proponi anche il nuovo titolo da adottare in questo, cosicchè ci sia chiarezza per gli utenti, e io rinomino

[Sisupoika]

Quote:

Originariamente inviato da Carciofone

Vox populi vox dei e il pueblo ha sempre ragione

Sottopongo a tutti questo problema:
in un pc pubblico della ns biblioteca un 13-15 enne si è impadronito della password amministrativa, ha trasformato il ns account amministrativo in limitato, si è creato un proprio account amministrativo segreto, ha disabilitato l'administrator, si è installato tutti i progr e giochetti di suo piacimento.
Lo stato attuale è che l'account utilizzabile per videoscrittura è inutilizzabile perchè ad es senza diritti amministrativi non si installano le chiavette usb, gli aggiornamenti di office, Windows, non si disinstallano i giochetti etc...
Siccome è una persona intelligente, ma da correggere e non lo voglio denunciare per non rovinarlo, anche se ha un comportamento di sfida ai limiti (magari uno di questi giorni si porterà pure via il pc... dato che il suo gruppetto già furtarella portafogli agli studenti), inoltre ci sono disparità di vedute tra noi del ced e il bibliotecario su come agire, come rimedio alla cosa facendo vedere che sono superiore
Non mi interessa la cosa del reset bios cd di avvio, reset password, ma piuttosto qualche tecnica exploit.
Ciao

Forse e' un po' OT, anche se tratta di account limitato.
Cmq, tanto per cominciare, quale versione di Windows e'?
Avete gia' provato col ripristino da console?
Comunque sono d'accordo con WS.

Quote:

Originariamente inviato da ABCcletta

Ciao Sisupoika, non ho letto tutto il thread ma solo le prime pagine e ho trovato molto interessante il tuo spunto. Scusami se la domanda ti è gia stata posta.

Volevo chiederti, come si pone questa procedura nei confronti di Windows Vista tenendo presente l'UAC?

Ciao ABCcletta,
Per il momento, suggerirei gli utenti Vista di attendere un po'. Non appena ho tempo, faro' delle prove esaustive - che non ho ancora avuto modo di effettuare - per vedere cosa e' ancora bisogno in Vista e cosa no, come ecc.
Per ora direi che la cosa e' piu' indirizzata agli utenti di delle versioni precedenti, giusto per evitare confusione e problemi.

Quote:

Originariamente inviato da Carciofone

Sì, ti dò ragione, ma il mio compito non è educativo. A quello già ci pensa la bibliotecaria e l'altro personale della biblioteca oltre ai carabinieri che già li conoscono bene.
A me interessa che i 15 pc dell'auletta non siano fuori uso un giorno sì ed uno no da un punto di vista software, dato che il controllo visivo non è di mia competenza ma del personale delegato e se si portano via schede grafiche, hd, tastiere e quant'altro non dipende certo da noi.
Il punto è che se non hanno scrupoli ad aprirli e resettare il bios, ci si può fare ben poco oltre a chiuderli coi lucchetti. L'importante è che poi non si venga chiamati continuamente perchè qualcosa non va e soprattutto sembri che le cose non sono state fatte a dovere.
Tutte le macchine sono già dotate di un sistema automatico di ricaricamento di un'immagine pulita del SO ad ogni avvio, ma contro interventi di quello che ho illustrato c'è poco da fare se non andare personalmente a perderci una mezza mattinata...
Qualunque idea è la benvenuta.
L'idea di postare qui viene dal fatto che l'autore del 3d suggerisce di utilizzare account con diritti limitati di cui si è discusso abbastanza a fondo. Effettivamente questo argomento è un pò OT e me ne scuso. Eventualmente per non sforare oltre contattatemi in privato.
Ciao

Credo dovreste dunque rivedere un po' di cose nella vostra rete, dunque. Dominio, group policies, restrizioni varie.

Quote:

Originariamente inviato da GiuFor

Grazie in via pubblica a xcdegasp e a tutti i responsabili che hanno riaperto questo bellissimo thread.

Invito Sisupoika a tener aggiornato il 1° post con tutte le novità e/ modifiche necessarie a far funzionare il Windows Built-In Security!

Aspettiamo di vedere se e' conveniente ripartire con un thread pulito

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

Procedi pure

proponi anche il nuovo titolo da adottare in questo, cosicchè ci sia chiarezza per gli utenti, e io rinomino

Grazie

Io pensavo, come dicevo, ad un titolo tipo "Windows hardening", cosi' da estendere la discussione raccogliendo informazioni strutturate su tutto quanto si puo' fare per ottimizzare la sicurezza dei sistemi Windows.

Io rimetto a posto quanto detto finora in questi due thread, specificatamente per le versioni inferiori a Vista; chi puo' e vuole, magari potrebbe procedere con la preparazione di qualcosa su Vista.

Che ne dite?

Quote:

Originariamente inviato da D-3BO

Ripropongo il mio problema che avevo segnalato un po' di tempo fa senza ricevere alcuna risposta... la mia pazienza è come un pozzo senza fondo... quindi sperando in una risposta di Sisupoika attendo..



P.S. Per rintracciare il nostro piccolo scambio di idee... ti consiglio di andare a rivedere i post n° 294 - 295 - 297.

Aspetta un attimo, ripartiamo con ordine dal nuovo thread.
Se puoi, metti assieme i vecchi post a cui non hai ricevuto risposta cosi' ..per risparmiare tempo
Poi riscrivi la domanda ordinatamente nel nuovo thread che vedrai a breve.

[xcdegasp]

hai frainteso credo..
questo thread, questo in cui scriviamo ora attualmente, visto che vorrai raccogliere commenti /proposte/idee è il caso di trovare un nome che appunto induca gli utenti a capire a che server questo qui di thread e a non farli postare nell'altro che stai aprendo.

[Sisupoika]

Si continua qui.

Grazie ancora mod

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

hai frainteso credo..
questo thread, questo in cui scriviamo ora attualmente, visto che vorrai raccogliere commenti /proposte/idee è il caso di trovare un nome che appunto induca gli utenti a capire a che server questo qui di thread e a non farli postare nell'altro che stai aprendo.

LOL scusa allora, avevo capito male e aperto l'altro thread!
Che facciamo allora, non ho capito

[xcdegasp]

siamo tutti stanchi e provati a quest'ora e deve essere questa la causa..

è più semplice di quanto appaia.
il nuovo thread va benissimo

però hgai detto che questo thread qui. quello dove ora sto attualmente scrivendo, continuerà ad esistere per dar possibilità a commente e idee da adottare nel thread "Windows hardening".

bene se questo attuale thread rimane con il titolo "Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc)" nessuno sa che questo è anche suolo adatto per proporre idee da adottare nell'altro thread.
nessuno saprà la differenza con il nuovo thread "Windows hardening" rispetto a questo.

ora è più chiaro?

[Sisupoika]

Quote:

Originariamente inviato da xcdegasp

siamo tutti stanchi e provati a quest'ora e deve essere questa la causa..

è più semplice di quanto appaia.
il nuovo thread va benissimo

però hgai detto che questo thread qui. quello dove ora sto attualmente scrivendo, continuerà ad esistere per dar possibilità a commente e idee da adottare nel thread "Windows hardening".

bene se questo attuale thread rimane con il titolo "Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc)" nessuno sa che questo è anche suolo adatto per proporre idee da adottare nell'altro thread.
nessuno saprà la differenza con il nuovo thread "Windows hardening" rispetto a questo.

ora è più chiaro?

capito
non ti resta quindi che rinominare questo...io non avrei idea del titolo

[71104]

Quote:

Originariamente inviato da Sisupoika

capito
non ti resta quindi che rinominare questo...io non avrei idea del titolo

Windows hardening - FAQ

semplicemente

[Sisupoika]

Quote:

Originariamente inviato da 71104

Windows hardening - FAQ

semplicemente

LOL