Norton User Account Control

[Nuz]

Norton Labs ha messo a punto un tool in grado di rendere meno stressante l'UAC. Tutti quelli che usano Vista sanno che il maggior difetto di questo strumento, introdotto in Vista per aumentarne la sicurezza, è l'impossibilità di memorizzare le risposte Consenti-Nega.
Con questo strumento c'è la possibilità di memorizzare le scelte dell'utente. Inoltre inviando le nostre scelte permette di migliorare la sua whitelist che si aggiorna quando siamo connessi.
Può sembrare simile a Smart UAC Replacement, sul quale ci sono pesanti critiche:

http://www.wilderssecurity.com/showthread.php?p=1294312
http://www.hwupgrade.it/forum/showthread.php?t=1801600

Ma questo tool non interviene sempre come ad esempio il caso di WMP riportato qui e sembra meglio integrato.
Purtoppo non ci sono dettagli tecnici, per ulteriori info:

http://www.nortonlabs.com/inthelab/uac.php
http://www.nortonlabs.com/inthelab/uac_faq.php

N.B. Si tratta di una prerelease, quindi prima di installarlo tenetene presente.



P.S. Purtroppo non è detto che resti free.

[gabryflash]

Quote:

Originariamente inviato da Nuz

[url="http://www.nortonlabs.com/"]

P.S. Purtroppo non è detto che resti free.

secondo me dipende...se fa fiasco sarà free altrimenti....

[_MaRcO_]

Non mi sembra una cattiva cosa ma non sarebbe meglio usare un HIPS al posto dell'UAC?

CiAo

[Nuz]

Quote:

Originariamente inviato da _MaRcO_

Non mi sembra una cattiva cosa ma non sarebbe meglio usare un HIPS al posto dell'UAC?

CiAo

Si, io preferisco un HIPS o un Behaviour Blocker (prima usavo ThreatFire e/o Comodo Defence+ ora uso DriveSentry 3). Purtoppo non tutti hanno le conoscenze e/o la voglia di usare una di queste soluzioni e finiscono per disattivare l'UAC se lo trovano noioso.

[WarDuck]

Un software HIPS non sostituisce i benefici di UAC.

In linea generale se un software maligno sfugge agli antivirus o agli HIPS in ambito Administrator può risultare cmq dannoso.

Mentre con UAC il discorso non si pone, perché non si ha proprio accesso alle aree a rischio tranne che ovviamente con il consenso dell'utente.

Chiedetevi perché i sistemi *nix adottano lo stesso sistema di privilegi anziché essere dotati di un hips.

[leolas]

è più facile che un rootkit/virus bypassi l'UAC, piuttosto che un HIPS, no?

Comunque, anche gli HIPS proteggono le zone protette (sennò a che servirebbero?).

Se un programma vuole aggiungere una voce al registro, un'esecuzione automatica, un .dll a system32 eccetera, aprono il solito poup

rag secondo me il compito di UAC non è quello di memorizzare le autorizzazioni concesse ad un determinato programma o ad una determinata opzione, quindi in questo senso non lo ritengo un limite...

faccio un esempio...ammettiamo che io apra le proprietà del "centro connessioni di rete e condivisione ", opzione per la quale è richiesto il privilegio di admin per poter cambiare le impostazioni presenti...

ammettiamo che io potessi dire ad uac di memorizzare quelle opzioni come sicure (concedendogli quindi una volta per sempre i diritti di admin) e di non mostrare più la richiesta di conferma ogni volta che vado a regolare nuove impostazioni , cosa succederebbe nel caso (esempio) un virus tentasse di cambiare i dns da me impostati?
in quel caso il virus non avrebbe più bisogno dei diritti di amministratore per poter operare (perché non richiesti)

oppure opzione 2, uac dovrebbe riconoscere che il cambio di dns è stato effettuato non dall'utente ma da un elemento esterno ...in questo caso dovrebbe mostrare un pop up con la richiesta di consenso (ovvero un eseguibile x vuole modificare le voci in centro connessione di rete e condivisione ),ma in questo caso più che ad uac ci troveremo di fronte a qualcosa di molto simile ad un hips


edit: la prima ipotesi potrebbe essere sbagliata, perché il virus potrebbe lo stesso non avere i privilegi per modificare un processo che abbia privilegi più alti dei suoi

[WarDuck]

Quote:

Originariamente inviato da leolas

è più facile che un rootkit/virus bypassi l'UAC, piuttosto che un HIPS, no?

Comunque, anche gli HIPS proteggono le zone protette (sennò a che servirebbero?).

Se un programma vuole aggiungere una voce al registro, un'esecuzione automatica, un .dll a system32 eccetera, aprono il solito poup

Ma sicuramente è più sicuro un sistema con UAC + HIPS che un sistema con HIPS e basta.

Con UAC se il programma maligno tenta di accedere in zone del registro che nn gli spettano, semplicemente gli viene negato l'accesso.

Poi è ovvio UAC non protegge da se stessi (cioè l'utente). Se l'utente scarica contenuti potenzialmente pericolosi e sceglie deliberatamente di eseguirli sono d'accordo che UAC non basta.

PS: date uno sguardo all'implementazione degli Integrity Level in Vista...

[Nuz]

Quote:

Originariamente inviato da WarDuck

...PS: date uno sguardo all'implementazione degli Integrity Level in Vista...

Se hai qualche link sarebbe ottimo. Io per ora ho letto questo:

http://aovestdipaperino.com/archive/...ity-level.aspx

e visto questo:

http://www.youtube.com/watch?v=GBnAQXowqPM

E mi pare che questa protezione che offre Vista è ottima contro virus devastanti, ma non è in grado di offrire protezione da trojan, keylogger e spyware (che sono i malware più diffusi) o i ransomware tipo GPCode.
Appena ho tempo approfondirò la cosa su altri link che ho trovato.



Edit: Per ora mi sono letto anche questi:

http://blogs.msdn.com/ie/archive/2006/02/09/528963.aspx
http://searchsecurity.techtarget.com...nism-explained

e il mio giudizio non cambia, se ci sono altri interessanti link.

[Nuz]

Articolo su sdnet.com:

Symantec shows Microsoft how to do UAC

@ nuz
un link interessanti su uac potrebbe essere questo

http://dividebyzero.wordpress.com/20...ce-episodio-1/

[Nuz]

ShoShen ho letto ma il mio giudizio non cambia riguardo ai noiosi pop-up dell'UAC (mentre apprezzo totalmante la Modalità Protetta di IE7 o gli IL).
Per essere chiaro non metto in dubbio la bontà dell'UAC, ma bisogna anche riconoscerne le sue debolezze (l'utente di fronte al monitor in primis) tra le quali i noiosi pop-up.
Sarà che io modifico spesso impostazioni di sistema e che uso software che richiedono l'elevazione di privilegi.
Se consideri che uno che non vede virus da anni è costretto ogni tanto a sorbirsi queste richieste consenti-nega quando sa già benisimo cosa sta facendo. E se consideri anche che non è in grado di proteggere da keylogger (vedi video di eraser) o da falsi software contenenti malware (vedi esempio qui) allora capisci perchè alla fin dei conti non ho nessun vantaggio dal farmi rompere the balls da avvertimenti che mi ricordano quello che IO sto facendo. Quindi Imho se ci sono alternative che mi possono rendere più fluido l'uso del pc ben vengano.
Pensa che per lo stesso motivo ho abbandonato Comodo 3 per una soluzione meno invasiva, ma altrettanto efficace (DriveSentry).

@ nuz

ciao nuz, ho linkato il post su UAC unicamente perché ho visto che chiedevi articoli sull'argomento, ma non era motivato dalla possibilità di farti cambiare idea...di cui tra l'altro condivido alcune tue perplessità , come l'invadenza in generale e l'utilità tutto sommato poco evidente per una determinata tipologia di utente (in special modo per i più attenti all'aspetto sicurezza)

in linea generale UAC interviene quando l'azione che si sta per compiere "avrà effetto sulle impostazioni del computer o su quelle di altri utenti" (nel caso potenziale di più account)...
di conseguenza tutti le azioni che sono compiute da quei malware che non richiedano queste caratteristiche non sono "rilevabili" dal controllo account utente...(credo sia per questo che come giustamente evidenziavi risulti inefficace contro alcuni tipi di malware)...

è probabile che l'aspetto sicurezza del sistema operativo sia stato visto come un insieme durante la fase di lavorazione , UAC si occupa dei privilegi assegnati al programma installato, mentre il compito di segnalare quello che effettivamente il software fa sul computer (segnalando se il programma tenta di auto avviarsi, installare servizi ecc) è stato affidato all'antispyware attraverso il controllo in tempo reale delle zone considerate a rischio

nel secondo link da te postato invece (correggimi pure se sbaglio, ho dato solo un occhiata veloce) dovrei installare il software e concedere i diritti di amministratore prima che il malware abbia pieno accesso al sistema...se al successivo riavvio quello stesso programma tenterà di auto avviarsi come amministratore UAC "bloccherà" temporaneamente il programma tenendolo in attesa e chiedendo cosa fare (ci sono moltissimi utenti in sezione vista che si lamentano di questo aspetto, in quanto alcuni programmi sicuri vengono bloccati proprio perché richiedono diritti elevati all'avvio)

diciamo che sicuramente ci sono difetti (invadenza innanzitutto) tutto sommato però a me non dispiace (ovvio che poi ci sono pareri differenti come è giusto che sia)

[Nuz]

Nel secondo link viene fatto un esempio di come un malware possa agire indipendentemente dall'avere UAC attivo, in quiet mode o disabilitato. L'esempio è di un falso software scaricato da un sito sconosciuto.
L'avviso che viene mostrato non è quello dell'UAC e cliccando inconsapevolmente su Esegui si danno i privilegi di amministratore all'applicazione che può fare quello che vuole. E dato che ha ottenuto i privilegi di amministratore non comparirà nessuna avvertenza dall'UAC. E' un pò la cronaca di quanto avviene con il keylogger del primo link, ma potrebbe essere anche un altro tipo di malware e addirittura potrebbe creare una voce di autostart senza problemi.
L'UAC in questo caso è messo sotto scacco dalla prima azione dell'utente.
Questo il senso di quello che ho tradotto io.
Ovviamente non credo sia da prendere come una Bibbia quanto afferma l'autore di tweak-uac, però fa riflettere e il video su youtube ne è una conferma.

[riazzituoi]

.

@ nuz
sinceramente per poter esprimere un parere dovrei capire esattamente cosa intende l'autore dell'articolo su tweak-uac

in generale io mi sono imbattuto in due messaggi quando apro un file:

il primo è quello di esecuzione


in questo caso però eseguendo il file l'applicazione non viene elevata al privilegio di admin... da task manager ccleaner risulta sotto il mio nome utente (che è un utente limitato) quindi può fare tutto quello che può fare un utente standard (quindi si, può inserirsi in avvio automatico ma solo nella voce relativa al mio account e credo anche installare un keylogger o fare danni nella cartella dell'utente limitato )


credo che l'avviso di esecuzione serva in questo caso solo ad avvisare l'utente che qualcosa si sta avviando e nel caso non fosse voluta annullarne l'esecuzione

l'elevazione di privilegi invece si ottiene solo dando il consenso cliccando su continua (o tramite pass) in un altra finestra pop up... la certezza che si sta agendo su quel file come amministratore è che nel momento del consenso subentra il secure desktop che oscura lo schermo isolando il processo

comunque se l'articolo di tweak-uac vuole significare che è possibile fare danni con UAC attivo allora si, credo che abbia ragione

[riazzituoi]

.

[WarDuck]

Ragazzi UAC non è stato pensato per proteggere i dati dell'utente, ma per proteggere il sistema, come del resto avviene in tutti gli altri SO, come Linux.

Se io vi mando uno script batch che cancella tutta la vostra cartella Documenti, probabilmente verrà eseguito senza troppi problemi.

Non mischiamo le carte in tavola, UAC è nato per uno scopo ben preciso, e cioè quello di appoggiarsi sul sistema dei privilegi ed effettuare richieste automatiche per l'eventuale elevazione.

Senza UAC ma con un account Standard si avrebbe lo stesso comportamento che avviene in Linux, quando un operazione nn può essere effettuata da un utente qualunque viene negata.

UAC non ha lo scopo di proteggere dai keyloggers, per quelli escludendo l'antivirus ci pensa il firewall.

[Nuz]

Quote:

Originariamente inviato da WarDuck

Ragazzi UAC non è stato pensato per proteggere i dati dell'utente, ma per proteggere il sistema, come del resto avviene in tutti gli altri SO, come Linux.

Se io vi mando uno script batch che cancella tutta la vostra cartella Documenti, probabilmente verrà eseguito senza troppi problemi.

Non mischiamo le carte in tavola, UAC è nato per uno scopo ben preciso, e cioè quello di appoggiarsi sul sistema dei privilegi ed effettuare richieste automatiche per l'eventuale elevazione.

Senza UAC ma con un account Standard si avrebbe lo stesso comportamento che avviene in Linux, quando un operazione nn può essere effettuata da un utente qualunque viene negata.

UAC non ha lo scopo di proteggere dai keyloggers, per quelli escludendo l'antivirus ci pensa il firewall.

Non riesco a cogliere il contributo che queste tue "illuminanti rivelazioni" portano alla discussione, dato che il contenuto è già stato discusso in precedenza ovvero già sono state evidenziate.
Piuttosto mi pare una mera provocazione. Tra l'altro non si capisce nemmeno a chi è direttamente rivolta.

Il senso del thread è chiaro, trattare dell'alternativa proposta da Symantec al problema del "chatty and annoying" che alcuni utenti, più di altri, non gradiscono avere.

[WarDuck]

Quote:

Originariamente inviato da Nuz

Non riesco a cogliere il contributo che queste tue "illuminanti rivelazioni" portano alla discussione, dato che il contenuto è già stato discusso in precedenza ovvero già sono state evidenziate.
Piuttosto mi pare una mera provocazione. Tra l'altro non si capisce nemmeno a chi è direttamente rivolta.

Il senso del thread è chiaro, trattare dell'alternativa proposta da Symantec al problema del "chatty and annoying" che alcuni utenti, più di altri, non gradiscono avere.

Veramente la discussione aveva preso questo "sentiero"... ho colto un senso di meraviglia in alcune persone che hanno postato quando è stato detto che UAC non protegge da malware e keyloggers... come se dovesse farlo.

Ho ritenuto opportuno ricordare che non è quello lo scopo di UAC, non è una polemica, assolutamente, c'è chi è convinto che UAC debba salvare l'utente da tutto anche da se stesso, ma è evidente che non sia così.

Cmq tornando al Norton, onestamente non mi fido di software che vanno ad intaccare il sistema a tal punto, tralasciando ciò, dal punto di vista funzionale avrei preferito se ci fosse stata piuttosto la funzione per ricordare l'autorizzazione solo per un determinato periodo di tempo (che può essere definito o cmq fino a fine "sessione").