Ciao a tutti,

e' da un bel po' che non mi faccio vedere in questa sezione per mancanza di tempo, pero' almeno sono tornato a leggerla, anche se di solito non ho molto tempo per seguirla attivamente e scriverci.

Ad ogni modo, visto il proliferare di threads del tipo "Quale antivirus?" o "Quale e' il miglior firewall?", senza contare le allarmate richieste di aiuto nella apposita sezione, da parte di chi e' rimasto "infetto" o ha subito una qualche forma di attacco, ho deciso di scrivere una sorta di breve guida, tutorial, chiamatelo come vi pare ( :D ), su un modo di intendere la sicurezza in sistemi operativi Windows, purtroppo molto diverso da quello della maggioranza degli utenti di questo sistema operativo.
Premetto le scuse per la lunghezza del post, ma spero i piu' ne traggano delle informazioni utili, e da esso possa nascere una discussione utile e costruttiva, con lo scopo di arricchire queste informazioni, se possibile,
col contributo di tutti gli iinteressati.

I motivi per cui ho deciso di scrivere questa sorta di guida sono, principalmente:
- la maggioranza degli utenti NON conosce il sistema operativo Windows;
- di conseguenza, when it comes to security...si lascia abbindolare, o quantomeno convincere, da falsi miti che durano a morire, tipo che Windows in termini di sicurezza faccia letteralmente "schifo", con frequenti inviti da parte di sedicenti esperti del tipo "passa a Linux, e' piu' sicuro", senza migliore giustificazione;
- l'utente tipico, non conoscendo purtroppo Windows come sarebbe auspicabile, e' convinto che Windows (senza particolari distinzioni) sia un colabrodo e che sia strettamente necessario dotarlo di un ottimo firewall, di un ottimo antivirus, di un ottimo anti-spyware e cosi' via, affinche' ci si possa sentire "sicuri" in un era in cui attacchi e malware di qualunque tipo sono all'ordine del giorno.
- conseguenza di cio', l'utente alimenta un mercato, quello degli antivirus, dei firewall, ecc ecc, PERFETTAMENTE INUTILE, come cerchero' di spiegare piu' avanti. Mi rendo perfettamente conto che quest'affermazione possa risuonare come forte, ma questa purtroppo e' un'altra conseguenza della cattiva informazione/preparazione circa la sicurezza in Windows. Si tratta, ripeto, a mio avviso (e non solo, basta googlare), di un mercato inutile poiche' firewalls, antiviruses, antispywares and so on, intesi come elementi software che vanno ad "aggiungersi" al sistema operativo,
non avrebbero alcuna ragione di esistere se l'utente conoscesse il sistema operativo, e se egli fosse naturalmente piu' cauto nell'utilizzare il proprio pc.
Un pc non e' un televisore, non basta premere un pulsante per ottenere l'effetto desiderato che sia uno soltanto possibile, in reazione ad un solo, determinato comando.
Un computer richiede tutt'altro tipo di approccio, e in particolare una costante attenzione a cio' che si fa, perche' una stessa azione, a seconda del "come", del "quando", ecc, puo' avere un effetto diverso con un pc.
Chiusa questa parentesi, mi permetto di affermare in questa sede una cosa che non e' molto popolare tra gli utenti di pc: Windows, credetemi, e' molto piu' sicuro
di quanto non si creda.
Se c'e' una colpa in particolare che attribuisco a Microsoft come azienda, fra le tante, e' che all'epoca ha adottato delle politiche di prodotto di contro-tendenza rispetto a sistemi operativi, per esempio, unix-like,
preferendo l'estrema facilita' di utilizzo a tutto il resto. Questo approccio ha portato dalla sua parte la stragrande maggioranza dei consumatori - che nel tempo si "ribellano" contro questo monopolio che tuttora persiste, pero' al tempo spesso si arrendono spesso ad usare Windows, perche' "costretti" dal software, dai formati file, ecc ecc.
Tra le altre caratteristiche rispetto alle quali Microsoft ha considerato prioritaria la facilita' d'uso, c'e' appunto la materia sicurezza. Questo non significa, come quasi tutti pensano,
che la sicurezza in Windows sia inesistente o al piu' "faccia pena", e che Windows sia in generale un colabrodo; significa che Windows e' stato consegnato da sempre, nelle mani dell'utente, in una condizione tale da essere
molto, molto, molto meno sicuro rispetto a sistemi operativi concorrenti molto piu' sicuri, ma anche molto, molto meno facili da utilizzare. Accanto a questa grande colpa, ve n'e' un'altra: la scarsa importanza attribuita - almeno - al diffondere materiale che educhi l'utente di Windows su come renderlo piu' sicuro, conoscendo meglio il sistema operativo stesso.

Passando in esame dunque queste due "affermazioni" (in particolare con riguardo ad Antivirus, Antispyware ecc, per questa prima premessa):
1) Windows NON e' un colabrodo: la principale causa della scarsa sicurezza di "default" di questo sistema operativo e' dovuta, semplicemente, al fatto che una volta installato Windows l'utente e' gia' Administrator,
ovvero ha pieni privilegi per compiere qualunque operazione sul sistema operativo, anche distruttiva. Poc'anzi mi riferivo al fatto che Unix, Linux, ecc ecc prevedono che l'utente utilizzi, per le sue attivita' quitidiane, un account "limitato", che non possa cioe' compiere direttamente operazioni di basso livello sul sistema operativo. In queste condizioni, se un utente necessita di eseguire un'operazione con diritti di amministratore, puo' eseguire un processo qualificandosi come Administrator. Ma si tratta di un processo "isolato".
Tutti gli altri processi vengono eseguiti con gli stessi diritti dell'utente che li esegue, cioe' limitati, motivo per cui non possono compiere operazioni di basso livello sul sistema operativo.
Cio' significa che anche un malware, ad esempio un virus, che cerchi di insediarsi in risorse di sistema per creare un qualche tipo di danno, non avrebbe molto da fare in questo tipo di contesto, perche' i suoi poteri sul sistema sarebbero gli stessi dell'utente, quindi molto limitati.
Questa e' una ragione per cui virus, ad esempio, non si diffondono granche' su altri sistemi operativi, anche se bisogna ammettere che c'e' anche un'altra ragione in questo caso, e cioe' il targeting. Windows e' certamente preso di mira. Ma gli autori di malware non hanno vita facile nello scrivere malware che funzioni per un sistema come Linux (per esempio), proprio per le ragioni ora esposte.
In Windows, poiche' un probabile 90-95% degli utenti lavora sotto un profilo di "Administrator" by default, un autore di malware ha vita piu' o meno spassosa perche' puo' scrivere una marea di tipi di malware che facciano danni di diverso tipo,proprio perche' il malware potrebbe far di tutto nel sistema avendo anch'esso, come l'utente, diritti di amministratore.
Per questa ragione, assieme ad altre di minore probabilita', Windows e' target di questi soggetti. Ed e' grazie a questa colpa di Microsoft, intendo: di questo suo setup by default, che oggi giorno ci sono letteralmente - si stima - piu' di 600.000 tra virus vari e loro varianti.
2) Naturale conseguenza dell'ignoranza dell'utente medio, assieme con il contesto appena descritto e, purtroppo, tipico in ambiente Windows, e' che l'utente HA BISOGNO del migliore antivirus, del migliore firewall (per i firewall c'e' un discorso a parte, che vedremo presto), ecc, ecc al fine di essere sicuro.
Bene, questo non e' altro che un FALSO SENSO DI SICUREZZA. Pensate alle email con signature attaccata dai soliti antivirus, del tipo "100% Virus-Free", o "Virus-Checked" ecc ecc. L'utente si sente sicuro perche' ha questi software attivi sul proprio Windows.
Niente di piu' sbagliato!!!
Per quanto riguarda gli Antivirus, per darvi una idea del modo in cui questi software lavorano e della loro reale efficacia, numeri (di virus-signatures) a parte, vi propongo un paragone indovinato che io stesso ho letto da qualche parte in rete, in qualche articolo.
Immaginate che il vostro pc sia un aeroporto, e che il vostro antivirus siano gli agenti della sicurezza. Un tale Osama Bin Laden, con un ruck-sack con sopra scritto, a caratteri cubitali, "BOMB", tenta di passare i controlli di sicurezza, gridando ad alta voce "I gotta kill you all!". Al controllo, gli agenti (l'antivirus) ascoltano il tale (il virus) gridare a quel modo, con la bomba addosso, ma lo fanno passare perche'....non c'e' ancora il suo nome (virus signature) nella lista dei sospetti (antivirus'database).
Il risultato? BOOM!
Se ci pensate, e' proprio il modo in cui gli antivirus operano, a proposito di database delle "definizioni dei virus". La sansione realtime euristica contro malware non noti e' qualcosa che suona di fantascientifico, la cui efficiaca e' molto distante da quella che la gente crede.
L'efficacia in generale di un Antivirus e' semplicemente qualcosa che NON si puo' prendere per scontato. Quante volte avete letto, in questo stesso forum, che l'utente coll'antivirus X ha dovuto poi ripulire con l'antivirus Y un virus che X non aveva trovato, e che erano entrati con scansione realtime (anche euristica) attiva?
Se c'e' un unico, vero effetto, di un software antivirus su un sistema operativo Windows, e' semplicemente quello di degradarne le prestazioni, la responsivita'.
Alcuni antivirus sono molto leggeri (leggasi: Avira, Nod32, per esempio), altri meno (chi ha detto Norton?), ma tutti, chi piu' o meno, rallentano il sistema senza garantire un bel nulla.
A che serve avere una Ferrari se la si costringe a viaggiare quanto una Cinquecento?
Come ho letto nella signature di qualche utente, in qualche forum (non ricordo quale): "Se il tuo computer e' lento, o e' un virus, o e' un Antivirus".
Coloro tra voi che ritengono che un Antivirus (e lo spendere denaro per esso, per coloro i quali lo comprano) sia strettamente necessario ai fini della sicurezza, sono in errore, e sono liberi di esserlo, se vogliono.
Io dico (e naturalmente non e' invenzione mia) che un Windows configurato opportunamente, e usato opportunamente, NON HA BISOGNO DI ALCUN ANTIVIRUS, O SPYWARE, O - come vedremo tra poco - DI UN FIREWALL, qualora con questi termini si intendano software di terze parti che vadano "aggiunti" a Windows.
Prima che me ne dimentichi, una considerazione comune su queste categorie di "software per la sicurezza": tutti questi tools girano su Windows in modi differenti (es. processi, servizi di sistema, ecc ecc), ma sono sempre qualcosa di aggiunto e c'e' SEMPRE, e ripeto SEMPRE, modo e maniera di bypassarli. E come gia' detto, essendo sempre qualcosa di aggiuntivo, che filtra tutto il tempo qualcosa, non puo' non degradare le prestazioni rispetto a Windows sulla stessa macchina, ma senza tali software. Pausa.
Chiudo la premessa sugli Anti-malware con una affermazione di Aaron Margosis (i cui articoli sono grandemente consigliati), Microsoft, il quale dice: "E' meglio utilizzare Windows come UTENTE LIMITATO *SENZA* ANTIVIRUS, che come ADMINISTRATOR CON ANTIVIRUS".
Anche se, un account limitato da solo, in Windows, non basta. Vedremo infatti che una situazione ideale per la sicurezza, in Windows, vede un account limitato + delle policies di restrizioni sul software, che vedremo anche come gestire al meglio senza dolore visto che usare un utente limitato, con restrizioni sul software, puo' essere molto poco comfortevole senza i suggerimenti che vi daro' di seguito.

Software-Firewalls.

Le stesse premesse sul falso senso di sicurezza circa Anti-malware, valgono, anche se in maniera differente, per i cosiddetti "software firewall", software, cioe', che vanno installati su Windows e che permettono all'utente di tenere un certo controllo sull'utilizzo di Internet da parte di processi e applicazioni, e allo stesso tempo prevenire intrusioni nel proprio sistema.
Un hardware firewall (o anche, in misura minore, routers con alcune funzioni di firewalling e NAT), e' CosaBuonaEGiusta™. E' esterno al pc, puo' proteggere piu' computer, impatto quasi nullo sulle prestazioni della connessione Internet e protezione elevata se adeguatamente configurato.
Un software firewall inteso, ripeto (per evitare incomprensioni), come qualcosa che va "aggiunto" al sistema operativo, sono roba praticamente inutile, come vedremo.
Questo perche' anche Windows, ha gia' degli strumenti che ci consentono di restringere in maniera sicura il modo in cui la connessione internet (e in generale di rete) viene usata, senza alcun impatto sulle prestazioni di sistema e della nostra connessione Internet, semplicemente utilizzando componenti che il sistema operativo ha gia'.
Un qualunque software firewall di terze parti da installare, anche uno leggero come Look'n Stop, Ghostwall, e altri, comunque e' sempre un filtro aggiuntivo al sistema e in quanto tale impatta piu' o meno sul sistema.


Vediamo dunque ora come implementare una configurazione del nostro Windows tale da rendere superfluo l'uso di Antivirus, AntiSpyware, Firewall, anche se ci saranno delle considerazioni da fare di volta in volta.
Nel procedere postero' degli screen shots, ma purtroppo non possiedo una versione italiana di Windows quindi spero non incontriate difficolta' ad usare il vostro Windows mentre vi accingete a replicare queste implementazioni. Ma non penso avrete difficolta' a trovare le voci in Italiano :D
Se poi volete vi posso postare gli screen della versione finlandese...LOL

NOTA: se seguite le mie istruzioni, non avrete alcun problema e vi ritroverete con un Windows molto piu' sicuro, ma naturalmente come sempre NON mi assumo nessuna responsabilita' nel caso facciate errori ecc ecc.
Questo genere di setup e' per chi vuole smanettare, provare, imparare, ecc, e al tempo stesso trarne dei benefici concreti da questi "esperimenti" (per i non iniziati).

Inizierei dal


1) FIREWALL.

Premetto che al termine postero' i file pronti per chi voglia "la pappa pronta", ma vi invito a provare da voi, anche per imparare qualcosa di nuovo sul vostro Windows.

- Assicuratevi che il servizio IPSEC sia attivo in Windows. Purtroppo molti geniacci in rete consigliano di disattivarlo per "liberare risorse". Ma che porcate, finitela! :D
- Disinstallate il firewall, se ne avete uno, e disattivate l'altrettanto inutile servizio Windows Firewall (chiedete se non sapete come) e se volete chiudete la vostra connessione internet per evitare che (fortuna, eh...) ci siano tentativi di intrusione proprio mentre apportate le seguenti modifiche al sistema.

- Premete il tasto Windows contemporaneamente alla lettera R o, se preferite, cliccate Start->Run. Digitate MMC e premete invio.

http://img49.imageshack.us/img49/4862/firewall01bi0.jpg

Cio' avviera' la Management Console del vostro Windows. Cliccate su File->Save, e salvatelo per es. come "Firewall.msc" ad es. sul Desktop.

http://img247.imageshack.us/img247/8871/firewall02ty4.jpg

- Cliccate su File->Add-Remove Snap In->Add->IP Security Policy Management

http://img89.imageshack.us/img89/8766/firewall03cr6.jpg

Cliccate su Local Computer->Finish->Close->OK. Avrete uno schermo del tipo:

http://img89.imageshack.us/img89/8882/firewall04gq6.jpg

- Cliccate su "IP Security Policy Management", e cancellate dalla destra i profili predefiniti di Windows. Ne creeremo uno migliore secondo le nostre esigenze.
Cliccate nuovamente su "IP Security Policy Management", questa volta col tasto destro; Scegliete "Create IP Security Policy" dal menu contestuale, cliccate su Next e date come nome, per es. "Firewall".
Nella schermata successiva del Wizard deselezionate "Activate the default response rule", quindi di nuovo Next lasciando il checkbox "Edit properties" ticked.
Avrete uno schermo come questo

http://img247.imageshack.us/img247/9274/firewall05ae4.jpg

- Lasciate disattivato il primo filtro della lista, e cliccate su Add->Next->This rule does not specify a tunnel (IPSEC viene usato per altre cosette interessanti, ma non ci interessa al momento)->Next->All network connections->Active Directory default (Kerberos).
A questo punto se il computer non fa parte di un dominio, vi verra' chiesta conferma perche' si tratta di una impostazione per un computer che faccia parte di un dominio. Scegliete comunque "Yes". Vi comparira' una nuova lista da cui selezionare, del tipo

http://img247.imageshack.us/img247/585/firewall06pm2.jpg

- Selezionate "All ICMP Traffic" dalla lista preesistente (che dovrebbe contenere due voci soltanto). Cliccate su Next, e qui viene il bello.
Microsoft ha dimenticato di aggiungere come opzione preesistente la principale, cioe' quella per bloccare qualcosa... Ma possiamo crearla noi.
Infatti elenchera' soltanto "Permit", "Request Security (Optional)", e "Require Security".
Cliccate su Add->Next; date come nome "Block", cliccate Next; scegliete "Block", cliccate su Next->Finish. Troverete l'opzione "Block" aggiunta alla lista di prima.
Selezionatela, cliccate su Next->Finish lasciato il flag Edit Properties deselezionato. Avrete cosi' creato una regola che blocca tutto il traffico ICMP.
Adesso, una modifica IMPORTANTE. Il Wizard assegna come default il mirroring delle regole, che significa: se create una regola che permetta una comunicazione in uscita, verra' automaticamente creata una regola che consenta la stessa comunicazione, ma nel senso opposto!
Questo significa che se aprite la porta 80 per navigare il web, il vostro pc sara' anch'esso disponibile sulla porta 80 come se si trattasse di un server web.
E, naturalmente, noi vogliamo bloccare tutto in ingresso, tranne eccezioni a seconda dei casi.
Doppio click dunque sulla regola appena creata "All ICMP Traffic", doppio click anche nella successiva schermata su "All ICMP Traffic" (questa volta il filtro).
Nella lista dei filtri ve ne sara' soltanto uno, quello creato in precedenza, che blocca tutto il traffico ICMP. Assicuriamoci che la colonna "Mirrored" della lista, dica "No". Nel caso vi fosse un "Yes", doppio click sul filtro, e deselezionate la casella di spunta "Mirrored. Also matches packets with the exact opposite source and destination addresses", per poi confermare e salvare la modifica premendo OK due volte e poi Close.

- Ripetiamo esattamente gli stessi steps, questa volta creando una regola per "All IP Traffic".

A questo punto, una volta attivato questo Firewall "parziale", la vostra macchina sara' tanto sicura...quanto un computer disconnesso. Questo, senza alcun firewall aggiuntivo al sistema :-).
Fate un test per verificare che fin qui tutto sia ok. Riavviate la connessione Internet se l'avevate chiusa, e provate a navigare. Naturalmente funzionera' come atteso perche' nulla e' ancora attivo.
Per attivare il Firewall, cliccate su Close nella finestra Firewall Properties, e ritornerete alla schermata principale della Management Console che avevamo creato all'inizio. Right-Click su Firewall, e poi cliccate su Assign. Avete immediatamente attivato il vostro Firewall nuovo di zecca.
Provate di nuovo a navigare col vostro browser. Non funziona? Bene! Significa che fin qui tutto e' ok. Nessuna comunicazione di rete e' permessa, in nessuna direzione (inbound/outbound).
Ovviamente un firewall cosi' sara' sicuro si'...ma inutile poiche' non possiamo fare una mazza. Ci serve dunque aprire le porte necessarie ai servizi di cui abbiamo bisogno.
Primo fra tutti, la normale navigazione web. Ci serve dunque aprire la porta 80 in SOLA uscita. Per far cio', ritorniamo alle proprieta' del Firewall, con doppio click. Cliccate su Add->Next->This Rule does not specify a Tunnel->Next->All Network Connections->Active Directory Default->Yes.
Creiamo un nuovo filtro per la porta 80/outbound: cliccate su Add, scegliete come nome per es. "Allowed Traffic" (traffico permesso), cliccate su Add->Next->My IP Address (come sorgente)->Any IP Address (come destinazione)->TCP (come protocollo)->Next->From any port (il pc assegna random ports nel connettersi verso l'esterno ad una specifica porta)->To this port, inserite 80. Cliccate su Next->Finish.
Fate doppio click sul filtro HTTP appena creato, e ASSICURATEVI che Mirrored sia DESELEZIONATO prima di confermare, per le ragioni esposte in precedenza.
Abbiamo ancora bisogno di permettere le query al DNS server, percio' ripetiamo questa ultima procedura creando nuovi filtri in "Allowed Traffic" per la porta 53 sia TCP sia UDP.
A questo punto, se avete seguito correttamente le mie istruzioni, l'unica cosa che potete fare con la vostra connessione e' visitare normali pagine web.
Riprovate col browser, vedrete che la normale navigazione avra' ripreso a funzionare anche col firewall attivato perche' abbiamo, cosi' facendo, bloccato tutto tranne la normale navigazione web.
Aprite anche la porta 443 per i siti sicuri (HTTPS).
A questo punto, se utilizzate un client di posta come Outlook/Thunderbird sul vostro pc invece di una webmail, dovrete aprire con lo stesso procedimento (aggiungendo altri filtri in "Allowed Traffic") le porte 25 (SMTP, per la posta in uscita), e 110 (POP3, per la posta in entrata).
Se utilizzate FTP, le porte sono 20 e 21, e se volete connettervi da remoto al vostro pc la porta e' 3389 ma in entrata, cioe' invertendo sorgente = Any IP Address e destinazione = My IP Address.
Se il vostro PC deve fungere da web server, dovrete aprire la porta 80 in entrata, o selezionare "Mirrored" nella regola HTTP creata all'inizio.
Se avete richieste particolari, o utilizzate anche una LAN, specificate cosa usate cosi' vi dico cosa e' necessario aprire.
Seguite le istruzioni, avrete un setup simile a questo per "Allowed Traffic":

http://img89.imageshack.us/img89/4720/firewall07td0.jpg

Salvate Adesso la vostra MMC come "Firewall" su file, in modo da averla sempre a disposizione, e esportate le impostazioni create (cosi' da non doverle ricreare se necessario), in file cliccando tasto DX su IP Security Policy Management->All Tasks->Export Policies.

Passando alla pappa pronta, in allegato troverete i file pronti, anche se vi suggerisco di far tutto da voi cosi' imparate qualcosa di nuovo e utile.
Scaricateli, doppio click su Firewall.msc, e importate le impostazioni con tasto dx su IP ecc ecc->Import Policies. Importato il Firewall, attivatelo (tasto dx->Assign).


Fatta tutta sta roba, che c'e' voluto piu' a scriverlo che per voi a farlo ( :D ), avrete un firewall perfettamente funzionante senza alcun software o servizio di sistema.
Rimane un punto: questi filtri proteggono il traffico in entrata, e per il traffico in uscita servono solo a restringere i servizi che le applicazioni possono utilizzare collegandosi alla rete.
Ma questo sistema non prevede, cosi' com'e', nessun controllo su QUALI applicazioni o processi possono inviare dati in uscita dal vostro pc.
Questo punto e' oggetto spesso di discussione sulla qualita' dei firewall, perche' si e' bene inteso che un malware (virus o spyware) potrebbe inviare dati (anche riservati, per esempio) in uscita su internet senza che ce ne accorgiamo.
Questo e' il tipo di protezione, uni-direzionale, notoriamente offerto da Windows Firewall, ovvero il firewall integrato in Windows XP (la versione in Vista e' bi-direzionale).
Applicando il firewall da noi creato ha praticamente lo stesso effetto di Windows Firewall con nessuna eccezione permessa (tranne specifici casi - web server, rdp ecc).
Il vantaggio del nostro firewall e' la leggerezza imbattibile (si tratta di componenti di sistema facenti parte dello stesso stack TCP/IP di Windows), = nessuna risorsa richiesta in piu' (cpu/memory), e il nostro firewall non compromette minimamente le prestazioni della nostra connessione come invece qualunque firewall, anche quando questi impattano poco.
Fate un test con e senza il nostro firewall, vedrete che la velocita' e' esattamente la stessa. Inoltre Windows Firewall e' un servizio di sistema che - per ragioni ovvie non sto a spiegarvi in questa sede come - e' non difficile disattivare con uno script ben scritto, grazie al fatto che l'utente, quasi sempre (come si diceva prima) ahime' e' Administrator sulla macchina.
Non solo quella "ciofeca" - come spesso lo chiamano - di Windows Firewall manca di protezione sul traffico in uscita, ma anche un ottimo firewall di terze parti come GhostWall e altri ancora meno noti.
I firewalls ritenuti "migliori", sono piu' buoni - a quanto pare di capire da questa nuova "moda" tra i paranoici di software e suite di sicurezza - in misura dei possibili attacchi o azioni maligne che possono controllare anche in uscita.
Di solito essi mostrano un alert che consente all'utente di scegliere se permettere o no ad una data applicazione o processo di connettersi ad Internet nel momento in cui essa tenta la connessione stessa.
Ma questo discorso, che sembra fornire un altro enorme FALSO senso di sicurezza, denota un tentativo di protezione semplicemente RIDICOLO.
Per il solito problema che gli utenti sono di solito amministratori del loro Windows in tutte le attivita', e per la natura del sistema operativo Windows, anche io che sono un comune mortale in termini di sicurezza/programmazione, posso scrivere in poco tempo uno script che aggiunga un mio processo nascosto all'SVCHOST cui 100% dei casi viene concessa la connessione ad Internet, perche' usato da diverse trusted applicazioni, processi, e drivers (anche stampanti di rete, per esempio).
Quindi ora in avanti considerate che questa "protezione" e' tutt'altro che una protezione certa 100%. E' semplicemente, ripeto, RIDICOLA.
I programmatori dietro a GhostWall, non ci vuole molto a capirlo visto che hanno creato il firewall piu' leggero - credo - della storia con impatto minimo sul sistema ecc, sono programmatori con le palle, eppure non hanno perso tempo con la storia del controllo delle applicazioni. Ci sara' un motivo?
Nel nostro caso, by the way, risolveremo egregiamente anche questo problema, quello di ottenere controllo totale sulle connessioni in uscita, con il passo successivo della nostra "sicurezza fai da te", in un modo 100% sicuro che non trova eguali in nessuna implementazione Firewall "esterna" a Windows.


Passiamo dunque alla nostra protezione...


2) ...ANTIVIRUS/ANTISPYWARE ECC.

- Come per il firewall, disinstallate l'Antivirus, se purtroppo ne avevate installato uno. Assicuratevi che il servizio di Secondary Logon sia attivo in Windows (come sopra..)

- Loggatevi come Administrator (quello standard, built-in, di Windows). Se usate il Welcome Screen in XP e non vedete l'utente Administrator, fate questa piccola modifica al registro con Regedit.
Entrate in HKEY_LOCAL_MACHINE->Software->Microsoft->Windows NT->Current Version->Winlogon->SpecialAccounts->UserList, e aggiungete un DWORD con nome Administrator e valore 1.
Fate LogOff quindi ed entrate come Administrator. Cliccate Start->Control Panel->User Accounts. Rinominate l'utente che usate di solito in SysAdmin. Questo sara' il nuovo administrator che utilizzerete soltanto in casi particolari in seguito.
Questo utente comparira' nello Welcome Screen ovviamente, altrimenti fate come sopra, nel registry.
Create dunque un nuovo UTENTE DI TIPO LIMITED col nome che volete: questo sara' l'account che d'ora in avanti utilizzerete per il vostro Windows, normalmente.
Con il trucco che vi suggeriro' presto, sarete in grado di utilizzare un account limitato, quindi col massimo della sicurezza per virus ecc, ma sarete in grado di eseguire processi come Administrator (il nuovo SysAdmin, che in realta' e' l'amministrator che voi usavate sinora), ogni volta che vi pare, ma senza la necessita' di loggarvi in Windows come amministratori.
Questi trucco vi rendera' la vita molto piu' facile, e sicura, mentre senza di esso non e' molto confortevole usare Windows come account limitato.

- Una volta rinominato l'account che usavate (e che gia', quasi sicuramente, apparteneva al gruppo Administrators) in SysAdmin, loggatevi a Windows come quest'ultimo, e disabilitate l'utente Administrator built-in in Windows.
Questo perche' spesso malware ben scritti possono tentare di ovviare alle limitazioni di un account limitato, cercando di craccare l'utente Administrator, sempre presente.
Nel nostro caso invece, esso sara' disabilitato, e l'amministratore effettivo sara' l'altro utente, SysAdmin.
Una volta loggato come SysAdmin e disabilitato Administrator, copiate i due scripts in allegato (AdminCmd e AdminShell) nella cartella di Windows. Sono partito da un unico script scritto da Aaron Margosis di Microsoft, solo che l'ho migliorato un po' :D
Spiego brevemente a cosa serve questo batch. Basically, quando si e' account limitato, se occorre avviare un programma come Administrator, e' spesso sufficiente cliccare col tasto dx, selezionare RunAs (per cui e' necessario che il servizio di Secondary Logon sia attivo), selezionare Administrator, inserire la password, e voila'.
Peccato che in XP (in Vista la cosa funziona molto meglio, anche se non l'ho testata ancora personalmente) questo non sempre funziona come atteso.
Non funziona con Windows Explorer, per esempio, e con alcune applicazioni. Questo perche' avviando un processo con un altro user, esso usa il token di quell'utente, non dell'utente loggato nella sessione di Windows.
Questo comporta malfunzionamenti di alcuni programmi ecc. Inoltre, in questo caso se si avvia un processo che scrive dati con l'utente Administrator X, quei dati non sono accessibili all'utente (limitato) che originariamente aveva avviato quel processo come Administrator.
Per ovviare a questo inconveniente, la strada migliore e': 1) aggiungere temporaneamente l'utente, quello limitato, al gruppo Administrators; 2) lanciare il processo richiesto, che quindi riconoscera' l'utente limitato come Administrator; 3) rimuovere nuovamente l'utente dal gruppo Administrators.
Lo script di Margosis funziona, ma cosi' com'e' richiede che l'utente, ogni volta che avvia il prompt dei comandi (l'unica cosa disponibile nel suo script) in modalita' amministratore, immetta prima la password dell'Administrator, e poi la propria...
Ho dunque creato dallo script originale due script, uno per avviare il prompt dei comandi come Administrator, e l'altro per avviare Windows Explorer come Administrator, aggiungendo al comando RunAs l'opzione /savecred (Save Credentials), che sava le password inserite la prima volta e non le chiede piu'.
Fatto cio', se si copiano questi due script nella directory di Windows (in modo che siano accessibili da ovunque grazie alla variabile di ambiente %PATH%), basta cliccare Start->Run (o premere tasto Windows + R), e digitare:
- AdminCMD, per eseguire il prompt dei comandi come Administrator (sfondo rosso, per distinguere da una sessione con account limitato)
- AdminShell, per eseguire Windows Explorer come Administrator che sara' utile anche per scrivere in cartelle inacessibili all'account limitato, o installare software da percorsi proibiti all'account limitato, nel caso si utilizzino (come raccomandato subito dopo) le Software Restriction Policies di Windows.
A questo proposito, non ricordo se sono disponibili in tutte le versioni di 2K e XP, boh, verificate :D

- Passiamo alle restrizioni sul software. Se l'account limitato e' gia' un pugno nell'occhio per gli autori di Virus ecc, le restrizioni sul software sono la conferma definitiva che un antivirus/antispyware ecc non servono, a patto che l'utente sia ovviamente cauto nell'utilizzo del sistema come e' ovvio.
Sperando che nella vostra versione di Windows cio' sia possibile, cliccate Start->Run e digitate GpEdit.msc
Cliccate su (Computer Configuration) Windows Settings->Security Settings->Software Restriction Policies. Tast dx, "Create new restriction policies". Verrano create due sottocartelle, Software Levels & Additional Rules. Cliccate su "Enforcement" nel pannello di destra,

http://img516.imageshack.us/img516/2253/antimalware1vj6.jpg

e selezionate "All software files" e "All users except local Administrators".

- Cliccate su "Designated File Types", e rimuovete dalla lista i file .lnk, cosi' che possiate eseguire programmi da un collegamento.

- Cliccate su "Additional Rules", lasciate cosi' come e', ma notate che ci sono dei percorsi di sistema predefiniti.

- Cliccate su "Security Levels", tasto dx su "Disallowed"->Set as default.

In questo momento, avete attivato il cosiddetto "Lock down" di Windows. Un Administrator puo' fare cio' che gli pare, ma un utente limitato:

1 - non puo' scrivere niente nelle cartelle di sistema (Windows e subfolders, Program Files and subfolders, ecc ecc), ma puo' scrivere soltanto nelle cartelle del profilo dell'utente limitato
2 - non puo' eseguire nessuna applicazione o processo che non si trovi nelle cartelle di sistema

Esempio: l'utente (limitato) scarica un programma sul suo desktop (una delle cartelle a cui ha accesso). Fa doppio click su di esso, ma NON puo' installarlo poiche' non e' in una cartella di sistema.
Se quel programma contiene malware, non accadra' nulla al sistema, perche' non puo' essere eseguito come account limitato.
Ma se quel programma e' genuino e sicuro (da fonte sicura ecc), allora l'utente puo' avviare per esempio AdminShell in un secondo, e avviare l'applicazione dalla shell aperta, come SysAdmin (Administrator). :D

Adesso, una NOTA: se l'utente scarica qualcosa infetta, e la esegue come Administrator, naturalmente cio' causerebbe problemi. E' chiaro dunque che la cautela dell'utente e' qualcosa di non sostituibile, a prescindere dal contesto.
Basta installare soltanto roba sicura, e fare prove ecc (per esempio) in una virtual machine.
Volendo, si puo' ancora, comunque tenere un Antivirus nel sistema, ma invece di tenerlo attivo in tempo reale, lo si usa on demand (per esempio BitDefender free), facendo una scansione su richiesta solo quando si scarica qualcosa da fonti non sicure.
Ma e' inute se assieme alla cautela, si usa RunAs ogni volta che esso funziona bene, e si usano gli script di cui sopra soltanto quando qualcosa non funziona con RunAs (pochi casi comunque!), l'Antivirus e', come il Firewall, INUTILE.
Se seguite alla lettera queste semplici istruzioni, avrete un Windows il cui uso non e' cambiato piu' di tanto, ma molto piu' sicuro e veloce, senza Antivirus e Firewall aggiuntivi.


3) PARENTAL CONTROL

In questo caso, vi sconsiglio di avventurarvi in qualcosa di "manuale" per interrogare un Parental Control Server; e' molto piu' semplice e veloce, infatti, installare il filtro gratuito di BlueCoat. Si chiama K9 Web Filter, e' gratuitamente scaricabile, e in questo caso suggerisco di installare questo tool aggiuntivo su Windows, semplicemente perche' il filtro e' leggerissimo e fa semplicemente una verifica tipo DNS dell'indirizzo che si sta visitando, per verificare se sia classificato come porno, phishing, o qualunque categoria proibita dalle nostre impostazioni.
Praticamente non impatta la velocita' della connessione, e lo consiglio molto se si hanno bambini, ma anche semplicemente perche' e' il miglior database per prevenire gli attacchi di tipo phishing.

4) ANTI SPAM

Questo e' l'unico caso in cui vi suggerisco di usufruire di un servizio a pagamento. Si chiama Spamcop, e costa pochi dollari all'anno, permettendovi di liberarvi dallo spam SENZA installare una mazza sul vostro pc!!
Naturalmente se avete una webmail con Antispam/Antivirus gia' integrata, cio' non vi serve.
Ma se come me avete un dominio con mailbox su POP3, allora procedete con questa cosa. Eliminerete stupidi scanners attivi sul vostro pc che prima scaricheranno TUTTE le email sul vostro pc, per poi filtrarle. Un altro processo (e software) inutile.
Registrato un account com Spamcop.net, e pagata la sottoscrizione annuale, procedete in questo modo:

- avrete bisogno di due caselle di posta, in realta': una pubblica, l'indirizzo che di solito usate e che date a chiunque, e l'altra privata, che non usate MAI pubblicamente e che solo voi conoscete.
- configurate la mailbox dell'indirizzo pubblico, in modo che esso faccia forwarding di tutte le email in ingresso, verso l'indirizzo email registrato con Spamcop. Spamcop filtrera' tutte le email infette da virus, o classificate come spam, da questo account.
- configurate il vostro account su Spamcop, in modo che esso faccia forwarding di tutte le email "genuine", pulite, verso il vostro indirizzo email PRIVATO.
- Configurate Outlook o cmq il client che usate, con entrambi i vostri account POP3, selezionando come default quello PUBBLICO. In questo modo:

1. Il client di posta ricevera' le emails da entrambi gli account POP3 (in realta' soltanto da quello privato, visto che quello pubblico sara' vuoto per via del primo forwarding)
2. Inviera' emails dall'account default, cioe' quello pubblico
3. La posta in arrivo sara' gia' pulita!! No virus, no spam! E senza software Antispam sul vostro pc! Scaricherete sul vostro pc soltanto i messaggi buoni.
Spamcop vi inviera' un report giornaliero o settimanale, a seconda delle vostre preferenze, per dirvi quali email sono classificate come spam e rimaste in una cartella di "held" nel vostro account su Spamcop. Potete dunque ripristinare eventuali falsi positivi, e cancellare la robaccia che fortunatamente non avete dovuto scaricare sul vostro pc.

Posta in arrivo, dunque gia' pulita da Spam e Virus! A proposito di quest'ultimo punto: un ulteriore motivo per cui un Antivirus su Windows e' inutile in questo genere di configurazione, spiegato in queste righe.



Considerazioni finali:

E' chiaro che i primi due punti di questa "guida" richiedono delle conoscenze che di solito non sono bagaglio dell'utente medio, ma vi sarete resi conto che a dispetto della lunghezza di questa sorta di articolo, ci vogliono solo pochi minuti per configurare il tutto su un sistema vergine, e i vantaggi sono molti. In primis:

- Massima sicurezza nel vostro sistema Windows
- Massime prestazioni, senza Antivirus/AntiSpyware/Firewall/AntiSpam o quelle graziose bloatware di security suites che uccidono le prestazioni del vostro computer (avete provato la nuova suite di ZoneAlarm, la 7.x? LOL, peggio di Norton :D)


Spero che abbiate trovato la lettura utile (ci ho impiegato la notte, vado a dormire fra un po'), e che da essa ne nasca una discussione altrettanto utile, con la speranza che la si possa arricchire con nuovi trucchi, accorgimenti, ecc. ecc.
E anche che la folla di persone paranoiche che eseguono addirittura due antivirus, o antispyware, o firewall allo stesso tempo (assurdo!), sparisca.
Questa paranoia e' semplicemente inutile, e vi porta ad ossessioni che fanno il gioco, e il portafoglio, di molte software house.

Ciaps, Sisupoika :D

http://secunia.com/

Guarda che la sicurezza di sistemi operativi Windows NON è messa in discussione da utenti pseudoesperti.....è messa in discussione da Microsoft stessa che guarda caso NON risolve i BUGS (anche a distanza di tempo) che vengono individuati con le opportune patch !! :rolleyes: :rolleyes:
Meno male che gli sviluppatori di soft sotto windows NON seguono anche loro questa "strada"......

Ammirevole senza dubbio l'impegno profuso nella realizzazione di questa guida che, però, a mio avviso, include anche dei suggerimenti a dir poco "distruttivi".

Io dico (e naturalmente non e' invenzione mia) che un Windows configurato opportunamente, e usato opportunamente, NON HA BISOGNO DI ALCUN ANTIVIRUS, O SPYWARE, O - come vedremo tra poco - DI UN FIREWALL, qualora con questi termini si intendano software di terze parti che vadano "aggiunti" a Windows.

Come per il firewall, disinstallate l'Antivirus, se purtroppo ne avevate installato uno (...)

Non c'è account limitato che tenga...i virus rappresentano comunque un pericolo IMHO.

Ciò premesso, ritengo che i lettori sceglieranno cosa fare in base alla loro esperienza e al proprio buon senso. :)

Regards

post interessante...ma una config del genere previene da eventuali bug che possano effettuare scalate dei privilegi di sistema?Da quanto usi la config in oggetto? Grazie.

"funziona" solo sulla versione pro, quindi un altra limitazione, a meno che non copi i files dalla pro alla home:D

Ciao

http://secunia.com/

Guarda che la sicurezza di sistemi operativi Windows NON è messa in discussione da utenti pseudoesperti.....è messa in discussione da Microsoft stessa che guarda caso NON risolve i BUGS (anche a distanza di tempo) che vengono individuati con le opportune patch !! :rolleyes: :rolleyes:
Meno male che gli sviluppatori di soft sotto windows NON seguono anche loro questa "strada"......

Perche' hai linkato secunia? Scusa, non ho inteso.
Forse non mi sono espresso bene quanto ho scritto che Windows e' piu' sicuro che di quanto non si creda, ma e' cio' che intendevo comunque.
Il discorso sulle patch ecc e' ovvio! :)
Ed e' noto che su Windows, nel tempo, vengano scoperte vulnerabilita' in un numero che non trova uguali in altri sistemi operativi; ma cio' e' dovuto anche al targeting del sistema operativo, come ho cercato di dire!
Su questo fronte, un chiarimento: naturalmente Windows non regge il confronto con gli altri OS sotto questo aspetto.

Ma la questione principale e':

1 - Windows viene "consegnato" nelle mani dell'utente (che non sia a conoscenza di tutto quanto scritto nel primo post, cioe', diciamo, un utente cosiddetto "medio") in condizioni, e una configurazione di default, che lo rendono *senza ombra di dubbio* estremamente meno sicuro degli altri OS. Ma se da un lato e' certo che, a causa delle molte vulnerabilita' da patchare nel tempo, Windows sia generalmente meno sicuro di Linux & co., dall'altro questo genere di configurazione di default NON significa che Windows provveda sicurezza zero, come la stragrande maggioranza degli illetterati in materia crede! :)
L'obiettivo del thread e' fornire all'utente - che non sia gia' in possesso di queste informazioni - una visione di Windows che vada oltre questa configurazione di default e che li metta in grado, in realta' con uno sforzo molto piccolo, di riconfigurare il proprio Windows al fine di renderlo molto piu' sicuro di quanto lo sia in partenza, in modo da avvicinarsi ad un grado di sicurezza che alla fine, conti fatti, non e' distante anni luce da Linux ecc ecc!

La questione patch ecc e' fuori dubbio: Windows ha bisogno di essere costantemente aggiornato a causa delle numerose vulnerabilita'.

MA, e qui e' il bello: con una configurazione tipo quella sopra avresti:

1 - un sistema altrettanto semplice da usare (come detto, soltanto quando necessario bisogna avviare un processo come Administrator, per il resto tutto uguale)

2 - un sistema Windows estremamente piu' sicuro di quanto Windows non sia by default

3 - un sistema che gira senza alcunche' che ne affligga le prestazioni (come Antivirus, Firewall, Antispyware, AntiSpam, ecc)

e, venendo al punto:

4 - con un sistema Windows cosi' configurato, gli effetti di un buon 99% di possibili attachi, malware, ecc ecc, sarebbero praticamente NULLI. I possibili effetti del restante 1% di malware piu' "potenti" sarebbero semplicemente MINIMI. Questo perche' qualunque cosa accada sotto un utente limitato, non affligge l'intero sistema per via degli scarsi diritti. Nel caso, basta cancellare l'account limitato e ricrearlo. Altro che scansioni, puliture, ecc ecc.
La STRAGRANDE maggioranza delle patch di sicurezza rilasciate da Microsoft - ti svelo un segreto :D - non occorrerebbe neanche installarle: la maggioranza delle patches, infatti, toppa buchi di sicurezza dovuti appunto ai diritti di amministratore dell'utente!!!
La domanda verrebbe spontanea: perche' dunque Microsoft continua su questa strada, fornendo il sistema operativo tutt'altro che blindato di default, pur di dare priorita' alla facilita' d'uso che ha decretato il successo stesso di Windows?
Risposte molto probabili:
1 - Mercato. Cosi' facendo, e' riuscita in pochi anni a creare un monopolio di fatto, un impero del software dalle dimensioni ragguardevoli, nonostante la presenza di alternative di default piu' sicure, come i vari cloni e derivati di Unix ecc ecc.
2 - Nel tempo, questa cattiva configurazione di default ha fatto si' che altrettanto cattivi programmatori (anche nella stessa Microsoft..LOL..basti pensare alle versioni precedenti di Office) scrivessero applicazioni che funzionano soltanto se l'utente ha pieni diritti di amministratore sulla macchina.
La cosa LOL e' che anche la maggioranza dei software antivirus, firewall, suite di sicurezza ecc non funzionano correttamente con un account limitato.
Se un giorno Microsoft, svegliandosi, avesse deciso di tornare indietro sui suoi passi e cambiare la cosa radicalmente (come noi facciamo manualmente con questa configurazione in oggetto), l'utente Windows si sarebbe trovato di colpo con una serie di applicazioni che NON avrebbero funzionato correttamente con un account limitato.
Questo e' il processo che ha portato Microsoft alla configurazione dell'"utente standard" di Vista, ma molto lentamente; ci e' voluto del tempo affinche' i produttori di software rilasciassero nuove versioni dei loro prodotti, che funzionino correttamente anche con account limitati.

Spero sia piu' chiaro, a questo punto, il significato attribuito alle parole "piu' sicuro". ;)

Ammirevole senza dubbio l'impegno profuso nella realizzazione di questa guida che, però, a mio avviso, include anche dei suggerimenti a dir poco "distruttivi".





Non c'è account limitato che tenga...i virus rappresentano comunque un pericolo IMHO.

Ciò premesso, ritengo che i lettori sceglieranno cosa fare in base alla loro esperienza e al proprio buon senso. :)

Regards


Pistolino, se parli di suggerimenti "a dir poco distruttivi", allora temo tu non abbia bene inteso o letto il contenuto del post.
Sono state esposte delle condizioni, ottenibili specificatamente con una (veloce!) riconfigurazione Windows, tali da creare una situazione in cui i software di terze parti in oggetto diventano praticamente inutili.
Questo, come gia' detto, se a queste condizioni da noi ricreate si accompagna l'uso opportuno e cauto come naturalmente dovrebbe sempre essere.

Non c'è account limitato che tenga...i virus rappresentano comunque un pericolo IMHO.


Qui commetti un errore grossolano: quello di generalizzare il tutto sotto la categoria "Virus".
C'e' Virus, e c'e' Virus.
La percentuale di virus o comunque malware in grado di bypassare restrizioni cosi' forti e', come detta, minima, come anche MINIMI sarebbero gli effetti di un eventuale malware che ci riuscisse, per le ragioni esposte.
Non ha dunque senso considerare tutti i virus alla stessa stregua.

post interessante...ma una config del genere previene da eventuali bug che possano effettuare scalate dei privilegi di sistema?Da quanto usi la config in oggetto? Grazie.

In quasi tutti i casi di vulnerabilita', per cui vengono rilasciate patch, questa configurazione previene danni poiche' esse si basano, come gia' detto, sui diritti di Administrator e si ritroverebbero non solo le limitazioni di uno Limited User Account (LUA) di default, ma anche le restrizioni software che fanno un vero e proprio Lock Down di Windows. In un account limitato + restrizioni sul software, non ci sarebbero problemi anche senza installare molte patch di sicurezza.
Ma INSTALLATELE, semplicemente perche' Microsoft non rende noto quali aggiornamenti correggono vulnerabilita' di questo tipo.
Tutte queste informazioni vengono o sono state confermate da una collaborazione passata con F-Secure, una software house in sicurezza in Finlandia (alcuni di voi la conosceranno sicuramente). Ma se tu invii una email a loro e chiedi queste cose, e' prassi che loro ti diranno "No!!! Hai bisogno di Antivirus", perche' altrimenti si toglierebbero il pane da soli :D

"funziona" solo sulla versione pro, quindi un altra limitazione, a meno che non copi i files dalla pro alla home:D

Ciao

Scopo di questo thread e' anche quello di arricchirlo con informazioni come ad esempio, eventuali problemi nell'implementare tale configurazione sui vari sistemi.

Purtroppo non ho mai usato una versione Home e non mi ricordo di cosa le manchi. Ma sono in errore, se dico che soltanto le restrizioni sul software non sono disponibili di default su Windows Xp Home? Non ne sono sicuro, quindi vi invito a verificare. :)

Tuttavia, possiamo arricchire il thread anche con una sorta di "studio" su come replicare il tutto su Xp Home anche se il SO non presenta di default questi strumenti. Sicuramente ci sara' qualcuno disponibile a smanettare con me in tale direzione, per rendere la cosa accessibile anche agli utenti di Xp Home (ricordate che e' stato trovato il sistema per installare IIS su Xp Home?)

Per ora, attendiamo conferme da altri utenti circa quanto e' disponibile o meno sulla Home.

La usiamo da anni in ufficio (non grazie a me), ad oggi mai avuti problemi.

Cool. Come in molte grandi aziende.
Puoi confermare che, oltre a non avere alcun problema con malware e attacchi, i vostri sistemi Windows rimangono, nel tempo, veloci e responsitive cosi' come lo erano al termine del setup?
Questo perche' una configurazione di questo previene anche uno "sporcamento" del sistema. :D

I motivi per cui ho deciso di scrivere questa sorta di guida sono, principalmente:
- la maggioranza degli utenti NON conosce il sistema operativo Windows;

Questa è la ragione per la quale, consigliamo, sempre, di installare un buon antivirus e un buon firewall ...... è la stessa ragione per la quale, a parte la premessa che ho quotato, ho tralasciato, il contenuto del resto del tuo post.
Non te la prendere ..... mai sai, tendenzialmente, ad un forum che si occupa di "sicurezza" (o, comunque, problematiche correlate), si rivolgono, essenzialmente, persone che, a livello di informatica, hanno una istruzione di base.
E, tu avresti la pretesa di voler far "navigare", quelle persone, in rete, senza ativirus e senza firewall?.
Sii serio, a livello di sicurezza il "fai da te" non esiste.

Questa è la ragione per la quale, consigliamo, sempre, di installare un buon antivirus e un buon firewall ...... è la stessa ragione per la quale, a parte la premessa che ho quotato, ho tralasciato, il contenuto del resto del tuo post.
Non te la prendere ..... mai sai, tendenzialmente, ad un forum che si occupa di "sicurezza" (o, comunqu
e, problematiche correlate), si rivolgono, essenzialmente, persone che, a livello di informatica, hanno una istruzione di base.
E, tu avresti la pretesa di voler far "navigare", quelle persone, in rete, senza ativirus e senza firewall?.
Sii serio, a livello di sicurezza il "fai da te" non esiste.

E' ovvio che consigli Antivirus e Firewall a chi non conosce Windows e non e' in grado di gestire il sistema in questo modo!

Nel thread non c'e' alcuna pretesa, hai frainteso.
C'e' una proposta, una alternativa, trova tu il termine adatto. Il che e' ben diverso.
Hai fatto caso, nel primo post, dove ho scritto

Questo genere di setup e' per chi vuole smanettare, provare, imparare, ecc, e al tempo stesso trarne dei benefici concreti da questi "esperimenti" (per i non iniziati).


Forse ti e' sfuggito. Non ho presentato alcuna pretesa a far navigare "chiunque" in Internet senza Antivirus e Firewall, il target di questa discussione penso sia ben chiaro.
Quindi, nessun bisogno di invitarmi ad "essere serio", il che e' fuori luogo. Con buona pace di entrambi :)

ora m'hai incuriosito....faccio tutto poi passo alla partizione kamikadze!:D

ora m'hai incuriosito....faccio tutto poi passo alla partizione kamikadze!:D

LOL :D

ecco, il thread era rivolto appunto agli smanettoni :D

C'e' una proposta, una alternativa, trova tu il termine adatto. Il che e' ben diverso.
Sai quante proposte "alternative" potrei (e non solo io, credo) proporre, in merito?: la tua è una delle diverse.
Il fatto è che, le proposte "alternative" possono essere indirizzate, a coloro che "smannettano" e non, certamente, ad un utente con conscenze di base.
Ora, dimmi, tra le due (smanettoni - utenti di base), secondo il tuo, lungimirante, parere, chi è che frequenta e/o richiede assistenza su un Forum?.
Per favore, prendila per ciò che vuole essere ed è: una osservazione e, non, una polemica.

ora m'hai incuriosito....faccio tutto poi passo alla partizione kamikadze!:D

ed io aspetterò i tuoi risultati..:D (il mio muletto ha deciso l'altro ieri di morire :( )

Sisupoika--da quanto usi questa config? come l'hai testata? dacci qualche info sulle prove.... grazie

Sai quante proposte "alternative" potrei (e non solo io, credo) proporre, in merito?: la tua è una delle diverse.
Il fatto è che, le proposte "alternative" possono essere indirizzate, a coloro che "smannettano" e non, certamente, ad un utente con conscenze di base.
Ora, dimmi, tra le due (smanettoni - utenti di base), secondo il tuo, lungimirante, parere, chi è che frequenta e/o richiede assistenza su un Forum?.
Per favore, prendila per ciò che vuole essere ed è: una osservazione e, non, una polemica.

Che pero' suona come una polemica :)
Nel momento in cui dico: "questo thread e' rivolto agli smanettoni, a chi sa fare, a chi vuole fare, non a chi non ne conosce una mazza", cosa c'e' di difficile da capire?
Semplicemente non e' rivolto a chi non ha alcuna conoscenza o quasi, essi continueranno ad utilizzare Antivirus, Firewall ecc ecc come al solito almeno finche' non sara' piu' necessario. Vista ha gia' fatto un passo in questa direzione. Chiaro? :stordita:

Sperando che questo sia chiarito definitivamente, di quali altre alternative parli? Perche' non le proponi, in modo da arricchire questa discussione o, se preferisci, in una nuova.
Sta sicuro che i molti smanettoni che frequentano il forum, assieme ai tanti che lo sono meno, apprezzeranno. :)

ed io aspetterò i tuoi risultati..:D (il mio muletto ha deciso l'altro ieri di morire :( )

Sisupoika--da quanto usi questa config? come l'hai testata? dacci qualche info sulle prove.... grazie


Che la uso individualmente, da qualche tempo dopo che era uscito XP e presi la PRO sul mio laptop, chi si ricorda di preciso; non feci altro che replicare tutto quanto imparato in ambiente lavorativo dove - anche li' - abbiamo piu' di un centinaio di workstations configurate a questo modo, con un 1% di IT staff e il restante 99% in marketing, call centre, ecc, che non sanno una mazza di pc. Mai accaduto nulla, mai un virus, mai una intrusione, e gli utenti lavorano normalmente (loro non hanno, pero', la possibilita' di avviare una shell come Administrator che, appunto, uso solo io). Stessa configurazione, troverai in molte grandi aziende con dipartimenti IT. Aziende che non dipendono da firewall/antivirus/antispyware ecc, ma si limitano ad aggiornare Windows di tanto in tanto.

quindi se becco che sò un sito gromozon non avrei problemi...giusto....mi spiego sul portatile uso un virtualizzatore (sandbox) che già di per sè si sente un pochino, doppio account,antivirus e firewall,la cosa di eliminare gli ultimi 2 non mi dispiacerebbe...

quindi se becco che sò un sito gromozon non avrei problemi...giusto....mi spiego sul portatile uso un virtualizzatore (sandbox) che
già di per sè si sente un pochino, doppio account,antivirus e firewall,la cosa di eliminare gli ultimi 2 non mi dispiacerebbe...

Gromozon? Non farebbe una cippa perche' sfrutta i diritti di amministratore, che non avrebbe. Non potrebbe modificare il browser, non potrebbe scrivere niente nelle cartelle di sistema ne' eseguire niente - da se' - all'infuori di queste.

E' ovvio che consigli Antivirus e Firewall a chi non conosce Windows e non e' in grado di gestire il sistema in questo modo!

Nel thread non c'e' alcuna pretesa, hai frainteso.
C'e' una proposta, una alternativa, trova tu il termine adatto. Il che e' ben diverso.
Hai fatto caso, nel primo post, dove ho scritto


Bella guida, ... ora non mi resta che provarlo ;)
Probabilmente manterrò attivo comunque un antivirus (AVIRA free), ma solo perchè amo cliccare sugli eseguibili (anche se al 99.9999% dei casi scarico solo applicazioni "pulite"). E magari anche un qualche antispyware (on demand ovviamente).

Ora come ora uso solo un firewall hardware, non mi diventerà troppo "palloso" dover aprire tutte le porte necessarie (per l'aggiornamento dell'antivirus, emule, utorrent, opera, thunderbird, antispyware, ultravnc, e molti altri) su MMC?

E.. altra cosa, aprire la porta 80 in sola uscita? in ste cose son niubbo, ma sulla porta 80 non si ricevono anche tutti i dati dall http :fagiano: :fagiano: :fagiano:?

Complimenti per l'impegno nello stendere questa guida...molte cose non
le sapevo e le ho trovate interessanti.
A me personalmente fa piacere che si parli di qualcosa di diverso dalle solite cose che si leggono ormai da diverso tempo qui e che mi hanno fatto disaffezionare a questa sezione del forum, vale a dire che per essere sicuri bisogna installare almeno un firewall di terze parti, un antivirus, almeno 3 o 4 antispyware e 2 hips.
Ho sempre confidato più in una buona configurazione di windows e in tanto buon senso per evitare i pericoli e non ho mai avuto modo di dovermene pentire.

Dato che, pur non essendo particolarmente esperto, mi piace smanettare, credo che proverò quanto prima la tua configurazione, magari su di un PC pulito e fresco di formattazione.

Avrei però un paio di cose da chiederti:

- la configurazione di MMC vale anche se si è dietro un router o c'è qualche accorgimento aggiuntivo da adottare?

- se il router incorpora un firewall, si può saltare a piè pari il discorso MMC e prendere in considerazione solo gli altri punti della tua guida?

- poi, secondo la tua configurazione si potrebbe certo navigare e scaricare la posta, ma qui, la domanda sorge spontanea :D , come la mettiamo con i programmi P2P di cui molti utenti ormai fanno largo uso?

Ciao

Dimenticavo, lancetta: se installi il filtro K9 di cui ho parlato nella guida, i siti di quel tipo vengono bloccati perche' classificati come "Spyware/Malware source" man mano che vengono scoperti. :)
Quindi eviteresti anche di vederli pur se per sbaglio. Ma seppure ne vedi uno, non accadrebbe praticamente nulla al sistema.

Dimenticavo, lancetta: se installi il filtro K9 di cui ho parlato nella guida, i siti di quel tipo vengono bloccati perche' classificati come "Spyware/Malware source" man mano che vengono scoperti. :)
Quindi eviteresti anche di vederli pur se per sbaglio. Ma seppure ne vedi uno, non accadrebbe praticamente nulla al sistema.

grazie :) attendo anche le delucidazioni su p2p :D

mi son bloccato praticamente all'inizio....vacci giù PESANTEMENTE di stamp dello schermo perchè,almeno la prima parte,è molto equivoca ;)

Bella guida, ... ora non mi resta che provarlo ;)
Probabilmente manterrò attivo comunque un antivirus (AVIRA free), ma solo perchè amo cliccare sugli eseguibili (anche se al 99.9999% dei casi scarico solo applicazioni "pulite"). E magari anche un qualche antispyware (on demand ovviamente).

Ora come ora uso solo un firewall hardware, non mi diventerà troppo "palloso" dover aprire tutte le porte necessarie (per l'aggiornamento dell'antivirus, emule, utorrent, opera, thunderbird, antispyware, ultravnc, e molti altri) su MMC?

E.. altra cosa, aprire la porta 80 in sola uscita? in ste cose son niubbo, ma sulla porta 80 non si ricevono anche tutti i dati dall http :fagiano: :fagiano: :fagiano:?

Puoi mantenere l'Antivirus e fare una scansione on demand con tasto dx sul file eseguibile non da fonte sicura, senza tenerlo in realtime. Ma ripeto, pure se becchi qualcosa, ed e' estremamente difficile/raro in queste condizioni, non ti succedera' praticamente una mazza :D
Sta' tranquillo.

x il firewall: fai sempre un lock down del sistema operativo, lasciando aperto solo cio' che serve. Questo a prescindere da fw hardware o no, e' sempre buona regola. Quando sei in rete, il firewall ti protegge dall'esterno ma, a meno di essere stato configurato ottimamente, potrebbe lasciarti esposto agli altri pc della tua stessa rete. E se un pc non e' protetto a livello software, un attacco potrebbe arrivarti proprio da quello li' a causa di un malware (molti, ad esempio, sfruttano semplicemente il folder sharing).

NOTA IMPORTANTE (grazie a te per avermi fatto ricordare questa cosa): se decidete di importare le mie importazioni del "firewall-fai-da-te" invece che farle a manina, troverete una regola che permette tutto nella rete locale; questo perche' il mio pc e' unico nella mia home lan, c'e' soltanto una stampante collegata al mio router per utilizzarla in wireless. Se voi avete altri pc nella vostra rete, eliminate quella regola oppure modificatela a seconda delle esigenze (per es se dovete attivare soltanto il folder sharing, o Remote Desktop, ecc ecc)

Tutti i processi che aggiornano qualche programma, funzionano con la porta 80; non hai bisogno di aprire altre porte diverse da quelle standard per consentire gli aggiornamenti.

x la porta 80: e' appunto quella utilizzata da HTTP per farti navigare le pagine web.

- la configurazione di Ipsec vale anche se si è dietro un router o c'è qualche accorgimento aggiuntivo da adottare?

Si', sempre e comunque.

- se il router incorpora un firewall, si può saltare a piè pari il discorso Ipsec e prendere in considerazione solo gli altri punti della tua guida?

Ripeto: Si', sempre e comunque. Soprattutto se, come dicevo nel precedente post, sei in una rete di pc.

- poi, secondo la tua configurazione si potrebbe certo navigare e scaricare la posta, ma qui, la domanda sorge spontanea :D , come la mettiamo con i programmi P2P di cui molti utenti ormai fanno largo uso?

Ciao

Se intendi
- per farli funzionare: basta aprire, in allowed traffic, la/le porta/e usata/e dal programma.
- per quanto riguarda la sicurezza: come per tutto il resto, non rischieresti nulla, sempre grazie a tutte le restrictions in place.

mi son bloccato praticamente all'inizio....vacci giù PESANTEMENTE di stamp dello schermo perchè,almeno la prima parte,è molto equivoca ;)

lol, mi ero rotto con gli screen shots :D
dove ti sei fermato? dai, non e' difficile se leggi attentamente.
non ho messo molti screens, pero' penso di aver scritto chiaramente, almeno spero :D
dimmi dove ti sei fermato cmq.

cmq juninho85 ora vado a pranzare in Hampstead Heath (un stupendo parco a due minuti da casa :D).
Credo che li' rimarro' per un po', quindi rispondero' appena posso a successive domande.

Ciaps!

tutto risolto :D

ora ho soltanto due problemini:utilizzando i comandi adminshell e admincmd non riesco a digitare caratteri sulla finestra di dos,necessaria per inserire la password dell'account...che diavolo succede?!:mbe:
-dopo aver fatto il cambio utente non mi funziona lo scroller del mouse
- cosa intendi per "Una volta rinominato l'account che usavate (e che gia', quasi sicuramente, apparteneva al gruppo Administrators) in SysAdmin, loggatevi a Windows come quest'ultimo, e disabilitate l'utente Administrator built-in in Windows."

per "disabilitate l'utente Administrator built-in in Windows." che intendi?eliminarlo?!:mbe:

Grazie mille per le risposte ;)


Puoi mantenere l'Antivirus e fare una scansione on demand con tasto dx sul file eseguibile non da fonte sicura, senza tenerlo in realtime. Ma ripeto, pure se becchi qualcosa, ed e' estremamente difficile/raro in queste condizioni, non ti succedera' praticamente una mazza :D

Sono pigro e fare ogni volta una scansione on-demand mi costerebbe di più che tenere la protezione real time di antivir. Oltretutto preferisco non avere file "pericolosi" sul pc, anche se a me non fan nulla... si sa mai che finiscano su un pc altrui (cd, dvd, chiavette,...) per sbaglio.
Tuttavia è solo una mia idea... probabilmente son solo paranoico :D



x il firewall: fai sempre un lock down del sistema operativo, lasciando aperto solo cio' che serve. Questo a prescindere da fw hardware o no, e' sempre buona regola. Quando sei in rete, il firewall ti protegge dall'esterno ma, a meno di essere stato configurato ottimamente, potrebbe lasciarti esposto agli altri pc della tua stessa rete. E se un pc non e' protetto a livello software, un attacco potrebbe arrivarti proprio da quello li' a causa di un malware (molti, ad esempio, sfruttano semplicemente il folder sharing).

Understood, quindi farò il lock down anche via "software" (MMC di win) oltre a tenere il firewall HW settato.

Tutti i processi che aggiornano qualche programma, funzionano con la porta 80; non hai bisogno di aprire altre porte diverse da quelle standard per consentire gli aggiornamenti.

x la porta 80: e' appunto quella utilizzata da HTTP per farti navigare le pagine web.


Appunto ma tu, nella guida, non dicevi che bisogna abilitare solo il traffico in uscita sulla porta 80? :mbe:


p.s. ... ora mi sovviene... ma te sei il finnico, giusto? :sofico: Con sta mania di cambiare nick :D

tutto risolto :D

ora ho soltanto due problemini:utilizzando i comandi adminshell e admincmd non riesco a digitare caratteri sulla finestra di dos,necessaria per inserire la password dell'account...che diavolo succede?!:mbe:
-dopo aver fatto il cambio utente non mi funziona lo scroller del mouse
- cosa intendi per "Una volta rinominato l'account che usavate (e che gia', quasi sicuramente, apparteneva al gruppo Administrators) in SysAdmin, loggatevi a Windows come quest'ultimo, e disabilitate l'utente Administrator built-in in Windows."


hai copiato gli admin scripts nella cartella di Windows, da SysAdmin?
x lo scroller del mouse, LOL, mai sentita :D
che mouse e'?
x l'account Administrator: disattivalo. e' un account built-in e percio' non lo puoi eliminare cosi' com'e'.

@deepdark, chi azz e' Marco Giugliani? Do' un'occhiata al link appena torno (sto ancora qui e non ho avuto colazione o pranzo!)
Per il resto, tutto esatto.
No, mai sentito nessuno che abbia avuto problemi con questo tipo di setup. :)

@Swisstrom, la porta TCP 80 e' quella che ti serve, aperta in uscita, per visitare pagine web col protocollo HTTP.

hai copiato gli admin scripts nella cartella di Windows, da SysAdmin?
ya ya :D
x lo scroller del mouse, LOL, mai sentita :D
che mouse e'? un olidata da 3 €,ottico :D
x l'account Administrator: disattivalo. e' un account built-in e percio' non lo puoi eliminare cosi' com'e'.
si,ma come?!:D

ya ya :D

che mouse e'? un olidata da 3 €,ottico :D

si,ma come?!:D

Io ho l'account Administrator che non esiste più... c'è solo un admin con il mio nome

Magie di nLite :D

ya ya :D

che mouse e'? un olidata da 3 €,ottico :D

si,ma come?!:D

Computer management->Local users and groups->Users->rx click on Administrator->Properties->tick on Account is disabled.

Io ho l'account Administrator che non esiste più... c'è solo un admin con il mio nome

Magie di nLite :D


LOL, un passo in meno :D

perfetto...ora mi rimane da risolvere la questione del mouse e cmd :D

è soltanto un problema di questi 2 file...la schermata dos solitamente mi funziona senza problemi :doh:

perfetto...ora mi rimane da risolvere la questione del mouse e cmd :D

è soltanto un problema di questi 2 file...la schermata dos solitamente mi funziona senza problemi :doh:

sinceramente non ho capito bene che problema hai col mouse e cmd :D

puoi essere piu' chiaro? magari uno shot

sinceramente non ho capito bene che problema hai col mouse e cmd :D

puoi essere piu' chiaro? magari uno shot

se ti faccio gli screen non si capisce ugualmente,a meno che non siano animati :D
in pratica una volta digitato uno dei due comandi riguardanti gli script,si apre si la finestra,però mi è impossibile digitare qualsiasi carattere alfanumerico,mi funzionano soltanto i tasti funzione
riguardo il mouse semplicemente non funziona la rotellina,lo scroller

se ti faccio gli screen non si capisce ugualmente,a meno che non siano animati :D
in pratica una volta digitato uno dei due comandi riguardanti gli script,si apre si la finestra,però mi è impossibile digitare qualsiasi carattere alfanumerico,mi funzionano soltanto i tasti funzione
riguardo il mouse semplicemente non funziona la rotellina,lo scroller


se apri il prompt dei comandi normale, ti funziona? (prima di fare questa prova disattiva un attimo le restrizioni software, se le hai gia' attivate).

se apri il prompt dei comandi normale, ti funziona? (prima di fare questa prova disattiva un attimo le restrizioni software, se le hai gia' attivate).
esatto il prompt normale funziona ;)
anche togliendo la restrizione,quei due comandi non mi permettono alcuna digitazione(se non tasti funzione)nella finestra dos :muro:

Scusate, ma io non farò alcuna prova.
Mi sentirei nudo senza antivirus e firewall....come quando esco senza orologio...starei veramente a disagio......;)
Comunque credo che questa "soluzione" così a priori abbia delle incompatibilità nell'uso di softs.
Può essere che mi sbagli....però !!

Scusate, ma io non farò alcuna prova.
Mi sentirei nudo senza antivirus e firewall....come quando esco senza orologio...starei veramente a disagio......;)
Comunque credo che questa "soluzione" così a priori abbia delle incompatibilità nell'uso di softs.
Può essere che mi sbagli....però !!
guarda,l'unico accorgimento che ho dovuto prendere per ora è quello di settare la regola per la porta con cui ogni programma comunica con web,per il resto nessun problema...ma devo ancora farci le zozzerie per poter dare un giudizio attendibile

iscritto...:)


L'unica cosa che mi è dispiaciuto leggere sono state le parole di Foxy, che stimo, peraltro.


Non sò perchè, ma nel suo pensiero ho rinvenuto ANCHE traccia di un (velato, ma pur sempre presente...) riferimento a me...:stordita:


Un saluto cmq a tutti i lettori del thread...:)

Ciao, Enne fà caldo a LU ?
Ah non ho mai detto ma anche io sono del Granducato.....cioè (GR) !!;) :D
Perdonate l'O.T.

esatto il prompt normale funziona ;)
anche togliendo la restrizione,quei due comandi non mi permettono alcuna digitazione(se non tasti funzione)nella finestra dos :muro:


aspetta, sto cercando di fare il punto: avvii ad es. AdminCMD, ti compare il prompt dei comandi ma non puoi digitarci dentro? :confused:

Scusate, ma io non farò alcuna prova.
Mi sentirei nudo senza antivirus e firewall....come quando esco senza orologio...starei veramente a disagio......;)
Comunque credo che questa "soluzione" così a priori abbia delle incompatibilità nell'uso di softs.
Può essere che mi sbagli....però !!

Alcuni software, soprattutto, vecchi, avrebbero problemi con un account limitato normale e runas. Ma sono pochi. Comunque, per questo, ho aggiunto due script che avviano un prompt dei comandi, oppure un windows explorer, con diritti amministrativi. Qualunque programma avvii da dentro queste shell, verrebbe eseguito con diritti amministrativi ma, ripeto, non ne avresti bisogno spesso.
Libero di non provare, se preferisci :D

guarda,l'unico accorgimento che ho dovuto prendere per ora è quello di settare la regola per la porta con cui ogni programma comunica con web,per il resto nessun problema...ma devo ancora farci le zozzerie per poter dare un giudizio attendibile

quali zozzerie? :D

aspetta, sto cercando di fare il punto: avvii ad es. AdminCMD, ti compare il prompt dei comandi ma non puoi digitarci dentro? :confused:
esatto...posso solo premere invio,spazio e via dicendo ;)


quali zozzerie? :D

CWS,gromozon e altri exploit :D

esatto...posso solo premere invio,spazio e via dicendo ;)

LOL! Adesso ho capito :asd:
E' normale! I caratteri non vengono stampati a video. Digita la password correttamente e premi invio, tutto qua :D
Dovrai farlo soltanto la prima volta per entrambi gli amin tweak (cmd e windows explorer)


CWS,gromozon e altri xploit :D


:sbonk:

Divertiti, divertiti :D

Io mi sto divertendo con un esperimento che ho iniziato questo pomeriggio, proprio a causa dei dubbi di alcuni :D

Ho messo su uno script (dopo uno spunto preso dalla rete), che ti disattiva Security Center, vede qual'e' l'antivirus da esso riconosciuto nel sistema e ne sballa le chiavi di registro per non farlo partire all'avvio :sbonk:

Funziona con Windows configurato col solito utente Administrator, e i seguenti antivirus gia' provati:

AVG
Avira (si' :D)
Avast
BitDefender
AVS

Se mod/admin mi autorizzano, posto lo script :sbonk:

Su, su, rimanete come Administrators all time col vostro bell'antivirus. ;)

Con la configurazione da me suggerita, un qualunque malware o script non potrebbe mai scrivere nelle cartelle di sistema o nel registro e disattivare servizi. Capito?

iscritto...:)


L'unica cosa che mi è dispiaciuto leggere sono state le parole di Foxy, che stimo, peraltro.


Non sò perchè, ma nel suo pensiero ho rinvenuto ANCHE traccia di un (velato, ma pur sempre presente...) riferimento a me...:stordita:


Un saluto cmq a tutti i lettori del thread...:)

EDIT

Fine OT

Ciao :)

Ho messo su uno script (dopo uno spunto preso dalla rete), che ti disattiva Security Center, vede qual'e' l'antivirus da esso riconosciuto nel sistema e ne sballa le chiavi di registro per non farlo partire all'avvio :sbonk:


Don't worry, Security Center è stato eradicato dal mio sistema insieme ad un sacco di altre zozzerie (ie,outlook express, msn, giochi, netmeeting, etc etc etc) :O
Il tutto con il solito nLite.
:D

LOL! Adesso ho capito :asd:
E' normale! I caratteri non vengono stampati a video. Digita la password correttamente e premi invio, tutto qua :D
Dovrai farlo soltanto la prima volta per entrambi gli amin tweak (cmd e windows explorer)

no no...proprio se pigio i tasti alfanumerici cmd non se ne accorge,il cursore rimane fermo alla solita posizione come se non avessi digitato nulla :muro:

Don't worry, Security Center è stato eradicato dal mio sistema insieme ad un sacco di altre zozzerie (ie,outlook express, msn, giochi, netmeeting, etc etc etc) :O
Il tutto con il solito nLite.
:D

LOL, quindi ti senti ancora piu' sicuro col tuo antivirus, senza Security Center? :sbonk:

Il giochetto col SC l'ho fatto solo perche' grazie a quel componente (in Microsoft alle volte sono proprio def...ehm :D), non ci vuole una mazza a vedere se c'e' installato un antivirus, e quale, senza fare una sansione per la presenza di ciascun antivirus.
E poi il servizio SC viene disattivato cosi' al successivo avvio, se tu non ti accorgi che l'antivirus e' stato disattivato dall'avvio, SC di certo non puo' dirtelo. Ehm. :stordita:

@Juninho: ma se digiti la password correttamente, te l'accetta?????

Adesso devo uscire, torno dopo. Smanetta, figliolo. Smanetta :D

(col computer :mbe: )

no,putroppo sto cazzo di script pare uno zombie mestruato:D

no,putroppo sto cazzo di script pare uno zombie mestruato:D

ultima prova mi viene in mente prima di uscire:

entra come SysAdmin, disattiva le restrizioni software (default su unrestricted invece di disallowed), rientra come [limited user] (ogni volta fai log off, log on), e prova di nuovo admincmd e adminshell. Salvate le password, torna in SysAdmin e riattiva le restrizioni.

Se hai fatto tutto bene Admin CMD dovrebbe apparirti cosi':

http://img238.imageshack.us/img238/475/admincmdjo6.th.jpg (http://img238.imageshack.us/my.php?image=admincmdjo6.jpg)

A piu' tardi.

ultima prova mi viene in mente prima di uscire:

entra come SysAdmin, disattiva le restrizioni software (default su unrestricted invece di disallowed)
:mbe: :confused:

:mbe: :confused:

cos'e' che non hai capito? come dice la versione italiana? :D

Sisupoika ha scritto:
Alcuni software, soprattutto, vecchi, avrebbero problemi con un account limitato normale e runas. Ma sono pochi. Comunque, per questo, ho aggiunto due script che avviano un prompt dei comandi, oppure un windows explorer, con diritti amministrativi. Qualunque programma avvii da dentro queste shell, verrebbe eseguito con diritti amministrativi ma, ripeto, non ne avresti bisogno spesso.
Libero di non provare, se preferisci

Solitamente uso dropmyright per navigare con browser come Opera senza diritti amministrativi:

http://sicurezza.html.it/articoli/leggi/1643/ridurre-i-privilegi-del-browser/2/

Ma non ce ne sarebbe bisogno.....credo !! ;)
Nessun spy/ad/tc.
Non ricordo nemmeno quanto tempo è passato dall'ultimo avviso virus segnalato da Antivir.
Ma continua pure il tuo sistema.
perchè se funzionante al 100 %
mi interesserebbe non ovviamente a livello personale ma eventualmente per la sua leggerezza (se sarà veramente così) cioè installato in pc con scarse risorse hardware e chips antiquati ;)
Quindi il mio è un incentivo a continuare ma ovviamente occorre mettere all'attenzione prove certe.

cos'e' che non hai capito? come dice la versione italiana? :D
no,non ho capito da dove devo applicare questa impostazione :stordita:

provato il sistema Sisupoika sul portatile della raga, Celeron M 1500 512MB ram. Innanzitutto tra tenere il firewall di windows xp abilitato e il disabilitarlo applicando quelle regole, non cambia una mazza a livello di prestazioni, ma molto a livello di comodita' (se devo aggiungere le porte che un'applicazione usa devo andare a cercarle e configurarle), per cui continuo a tenere il firewall di XP che non mi ha mai creato problemi (e ne ho provati anche altri, come GhostWall)

Per quanto riguarda il profilo limitato, non e' andato tutto liscio in quanto alcuni software andrebbero reinstallati per funzionare sotto il nuovo profilo, e per altri sarebbe veramente scomodo aprire ogni volta lo script coi diritti di amministratore. Inoltre non ho capito bene che differenza di sicurezza c'e' se non abilito il cosiddetto Lock Down mode di Windows. Voglio dire, quando provo ad installare un software da un profilo utente limitato, mi chiede ugualmente le credenziali di admin, non basta quello? :mbe:

Comunque Vista e' strutturato gia' in questo modo tramite l'UAC, e Linux lo e' sempre stato..insomma a confronto con questi due sistemi, questa procedura mi sembra parecchio "arrangiata" e non certo percorribile da newbies.

bYeZ!

Scusassero, la cosa mi interessa davvero tanto sinceramente.
Solo un piccolo problema, ho cercato di importare la pappa pronta per non dovermi creare le regole una a una (anche se ho seguito le tue istruzioni).

Il fatto è che non riesco a importarle.
Doppio clic sul file .msc.
Clic destro su IP... tutte le attività -> importa, seleziono il file IPSEC Settings.ipsec ma non succede niente. Non importa nulla :(

Come mai?
Può essere colpa del fatto che il mio PC non fa parte di un dominio?

Ciao

Sisupoika ha scritto:


Solitamente uso dropmyright per navigare con browser come Opera senza diritti amministrativi:

http://sicurezza.html.it/articoli/leggi/1643/ridurre-i-privilegi-del-browser/2/

Ma non ce ne sarebbe bisogno.....credo !! ;)
Nessun spy/ad/tc.
Non ricordo nemmeno quanto tempo è passato dall'ultimo avviso virus segnalato da Antivir.
Ma continua pure il tuo sistema.
perchè se funzionante al 100 %
mi interesserebbe non ovviamente a livello personale ma eventualmente per la sua leggerezza (se sarà veramente così) cioè installato in pc con scarse risorse hardware e chips antiquati ;)
Quindi il mio è un incentivo a continuare ma ovviamente occorre mettere all'attenzione prove certe.

Sampei,

nel tuo caso tu abbassi i diritti nel contesto dell'applicazione che TU hai avviato. That's fine; ma se scarichi un malware che non venga riconosciuto dal tuo AV, esso verra' eseguito a tua insaputa con diritti di Administrator, e quindi: BOOM! :D

no,non ho capito da dove devo applicare questa impostazione :stordita:

Ma tu avevi abilitato o no le restrizioni software? Prova a rileggere passo passo la guida. Dai, non e' difficile :flower:



provato il sistema Sisupoika sul portatile della raga, Celeron M 1500 512MB ram. Innanzitutto tra tenere il firewall di windows xp abilitato e il disabilitarlo applicando quelle regole, non cambia una mazza a livello di prestazioni, ma molto a livello di comodita' (se devo aggiungere le porte che un'applicazione usa devo andare a cercarle e configurarle), per cui continuo a tenere il firewall di XP che non mi ha mai creato problemi (e ne ho provati anche altri, come GhostWall)

Per quanto riguarda il profilo limitato, non e' andato tutto liscio in quanto alcuni software andrebbero reinstallati per funzionare sotto il nuovo profilo, e per altri sarebbe veramente scomodo aprire ogni volta lo script coi diritti di amministratore. Inoltre non ho capito bene che differenza di sicurezza c'e' se non abilito il cosiddetto Lock Down mode di Windows. Voglio dire, quando provo ad installare un software da un profilo utente limitato, mi chiede ugualmente le credenziali di admin, non basta quello? :mbe:

Comunque Vista e' strutturato gia' in questo modo tramite l'UAC, e Linux lo e' sempre stato..insomma a confronto con questi due sistemi, questa procedura mi sembra parecchio "arrangiata" e non certo percorribile da newbies.

bYeZ!

Il firewall di Windows e' un servizio di sistema. Scommettiamo che ti mando una mail, che il tuo AV non filtrera', e ti bastera' fare la preview della mia mail perche' il tuo Windows Firewall Service venga disabilitato?
E' un servizio. Punto. Puo' essere disattivato molto facilmente. Anche IPSEC e' un servizio, ma funziona in maniera diversa e col Lock Down niente potrebbe disattivarlo da se'.
Che la procedura (che non e' "arrangiata") non sia percorribile da newbies era chiaro sin dall'inizio. In Vista, non e' di default esattamente la stessa cosa, hai comunque ancora bisogno di intervenire manualmente per aumentare la protezione di Lock Down.
Altra questione: hai bisogno di diritti amministrativi solo quando installi/rimuovi software o fai modifiche al sistema; NON durante le attivita' di ogni giorno.
Per installare un programma, ti basta attivare l'AdminShell invece del normale Explorer (ci impieghi un secondo!) e avvii il setup da li', con pieni diritti di Admin.

Una nota a chi voglia partecipare al thread: come gia' detto e' una alternativa , che per me garantisce la massima sicurezza possibile con Windows, nella stragrande maggioranza dei casi. Chi e' interessato a provarci, e' benvenuto.
Chi non lo e', e' benvenuto altrettanto con commenti.
Ma se partite con l'idea "che non funziona" o "e' difficile", siete in errore e quindi, in tal caso lasciate perdere. Dico questo perche' mi sembra da alcuni commenti che gli autori non abbiano letto attentamente la "guida", e che non abbiano neppure provato attentamente questa implementazione ne' ad usarla per qualche giorno, prima di commentare, diciamo, non positivamente.
Leggete attentamente, se avete problemi li risolviamo insieme, ma non lasciatevi andare a conclusioni affrettate. Ok? ;) :)

x Moviemaniac e gli altri:

sto pensando di creare uno screen cam video che mostri come configurare il tutto in POCHI MINUTI, e anche una tipica sessione di lavoro con un sistema di questo tipo, cosi' vi rendete conto che FUNZIONA, e' sicuro e facile da usare, se fatto come vi suggerisco io. Pero' abbiate un po' pazienza, cerchero' di trovare il tempo nei prossimi giorni per realizzare questa video guida. :)

fermo restando che il mio approccio alla sicurezza è più integralista della posizione di Osama Bin Laden in ambito politico (?), l'idea dello screen cam la trovo veramente squisita visto che è una strada che davvero può servire a semplificare ai minimi termini concetti e/o processi di configurazione...

Resto sintonizzato... :)

fermo restando che il mio approccio alla sicurezza è più integralista della posizione di Osama Bin Laden in ambito politico (?), l'idea dello screen cam la trovo veramente squisita visto che è una strada che davvero può servire a semplificare ai minimi termini concetti e/o processi di configurazione...

Resto sintonizzato... :)

Lo immaginavo, e' che sono pigro quindi non l'avevo gia' fatto :D
Appena posso lo faccio. Visto che ci siamo, conoscete utilities per catturare lo schermo magari *direttamente* in divx?

Lo immaginavo, e' che sono pigro quindi non l'avevo gia' fatto :D
Appena posso lo faccio. Visto che ci siamo, conoscete utilities per catturare lo schermo magari *direttamente* in divx?

Potresti provare camstudio ma non so se ha quella funzione xkè non lo uso molto.:)
Cmq è free:D

Grazie mille per le risposte ;)




Sono pigro e fare ogni volta una scansione on-demand mi costerebbe di più che tenere la protezione real time di antivir. Oltretutto preferisco non avere file "pericolosi" sul pc, anche se a me non fan nulla... si sa mai che finiscano su un pc altrui (cd, dvd, chiavette,...) per sbaglio.
Tuttavia è solo una mia idea... probabilmente son solo paranoico :D




Understood, quindi farò il lock down anche via "software" (MMC di win) oltre a tenere il firewall HW settato.




Appunto ma tu, nella guida, non dicevi che bisogna abilitare solo il traffico in uscita sulla porta 80? :mbe:


p.s. ... ora mi sovviene... ma te sei il finnico, giusto? :sofico: Con sta mania di cambiare nick :DLa devi aprire solo in uscita,almeno che tu nn abbia un web server sulla tua macchina.Quando ti connetti ad un sito sulla porta 80 del server crei una connessione simile ad un canale(simile alla pipe se conosci linux)bidirezionale tra una tua porta locale e la 80 del server o meglio tra la tua porta locale e un thread che ha ricevuto la connessione ascoltata dal server sulla porta 80.

Ma tu avevi abilitato o no le restrizioni software? Prova a rileggere passo passo la guida. Dai, non e' difficile :flower:
si che l'ho abilitato,ma pensavo fosse qualcosa che esulava dalle procedure del primo post ;)

saro' schietto....


questa procedura influenza il funzionamento di programmi p2p vedi per es. emule e azureus vuze ?

se non dovesse influenzarli in alcuna maniera sarebbe l'ideale per le mie esigenze.

un ultima cosa....supponiamo che win xp all'avvio senza nessun antivirus o robe simili occupi 200mb, poi faccio questa procedura indicata da te...all'avvio occupa ancora 200mb ?


grazie e ciao00

edit: altra domanda..l'operazione e' totalmente reversibile ?

io per ora non riesco a far funzionare ares,pure avendo messo il allowed traffic la porta tcp :boh:

Io credo che in futuro la navigazione internet parlerà sempre più LINUX.
Anche in base alla notizia datata che linko sotto:

http://www.rainews24.rai.it/ran24/rainews24_2007/tema/11072007_dallarete_029.asp

Ma anche,per dovere di cronaca,chi la pensa diversamente:

http://www.pianetapc.it/view.php?id=940

Certo è indubbia l'antipatia degli utenti nei confronti di Vista.
E prima o poi l'abbandono del supporto di XP.

E quindi capirai che non ci sarebbe più problema (almeno attualmente) di account limitati,ed antivirus.

Potresti provare camstudio ma non so se ha quella funzione xkè non lo uso molto.:)
Cmq è free:D

Ok, provero' con quello. Come dicevo ho bisogno di qualche giorno, ho cambiato portatile e devo fare un reinstall.
Poi creero' una virtual machine per fare queste cose come una sorta di guida video. Anzi, forse ricordo male ma mi pare che pure VMWare mi permette di registrare in video cio' che faccio nella macchina virtuale :D

si che l'ho abilitato,ma pensavo fosse qualcosa che esulava dalle procedure del primo post ;)

Sei riuscito a risolvere?
Cmq una piccola nota: ho migliorato un paio di cosine piccole piccole negli admin scripts, che allego a questo post (li sostituiro' a quelli vecchi anche nel primo post):

- AdminCMD: aggiunto /Savecred anche alla seconda fase della "trasformazione" temporanea dell'utente, che avevo dimenticato nel file che avevo allegato in precedenza.
In questo modo basta seguire una sessione di cmd come admin, e dalle successive non verra' richiesta ne' la password di SysAdmin ne' quella dell'utente limitato.

- AdminShell: adesso Windows Explorer in modalita' amministrativa viene avviata nella cartella documenti dell'utente limitato, mentre prima veniva avviata in quella di SysAdmin. Giusto per comodita'....


saro' schietto....


questa procedura influenza il funzionamento di programmi p2p vedi per es. emule e azureus vuze ?

se non dovesse influenzarli in alcuna maniera sarebbe l'ideale per le mie esigenze.

un ultima cosa....supponiamo che win xp all'avvio senza nessun antivirus o robe simili occupi 200mb, poi faccio questa procedura indicata da te...all'avvio occupa ancora 200mb ?


grazie e ciao00

edit: altra domanda..l'operazione e' totalmente reversibile ?


Qualunque applicazione dovrebbe funzionare, a prescindere dal tipo. Salvo che in diversi casi e' necessario un piccolo intervento una volta, per consentire al programma di partire oppure, se parte, di connettersi ad Internet.
Se nel tuo caso e' proprio questo il problema (quei programmi non si connettono ad Internet), e questo accade dopo che hai attivato il firewall con IPSec, allora semplicemente il problema riguarda le porte.
Questi programmi usano porte specifiche per la connessione, e se hai aperto soltanto le porte standard illustrate nella guida (e configurate nel setup "pappa pronta"), allora e' normale che quei programmi funzionino.
Per risolvere, devi semplicemente aggiungere un altro filtro alla regola "Allowd Traffic" nel firewall, per la porte usate da quei programmi.

Piccola nota sulla protezione di questo setup anche per le applicazioni P2P: con la configurazione oggetto del thread, anche qualora usando un client P2P venisse scaricato un malware o comunque una applicazione non attesa, naturalmente esso verrebbe scaricato in una delle cartelle utente (poiche' nessun processo puo' scrivere nelle cartelle di sistema se avviato sotto l'utente limitato), e di li' eseguito automaticamente, se questo e' il tentativo del malware per poi fare qualcosa al sistema. Questo tentativo fallirebbe, perche' l'esecuzione non sarebbe permessa in quanto soltanto cio' che e' presente nelle cartelle Windows\* e Program Files\* puo' essere eseguito. :)

Dimensione dell'installazione: Questo setup va semplicemente a modificare delle impostazioni del sistema. Niente viene aggiunto in termini di files ecc, quindi l'installazione di Windows rimane esattamente cosi' com'e'.

Reversibilita': Certo, tutte le operazioni descritte sono completamente reversibili. Basta loggarsi come SysAdmin (o comunque un utente Administrator), e:

- Start->Run->secpol.msc
- Dalla console di security ecc, puoi disattivare sia le restrizioni software, sia il firewall (unassign)
- Da Pannello di controllo->User Accounts oppure Computer Management puoi ri-trasformare l'utente da "Limited Account" ad "Administrator".

Sia le operazioni di setup, che quelle di reversibilita' non richiedono che qualche minuto. Come gia' detto in altri post, e' molto piu' lungo scrivere come fare, che farlo in se'.

io per ora non riesco a far funzionare ares,pure avendo messo il allowed traffic la porta tcp :boh:


Che porta e' configurata nel programma?
Controlla che nel firewall, in Allowed Traffic, tu abbia selezionato la porta giusta ma anche il protocollo giusto (TCP e/o UDP). Non ricordo cosa usa Azureus ma appena faccio il reinstall e la macchina virtuale lo installo e provo.

Io credo che in futuro la navigazione internet parlerà sempre più LINUX.
Anche in base alla notizia datata che linko sotto:

http://www.rainews24.rai.it/ran24/rainews24_2007/tema/11072007_dallarete_029.asp

Ma anche,per dovere di cronaca,chi la pensa diversamente:

http://www.pianetapc.it/view.php?id=940

Certo è indubbia l'antipatia degli utenti nei confronti di Vista.
E prima o poi l'abbandono del supporto di XP.

E quindi capirai che non ci sarebbe più problema (almeno attualmente) di account limitati,ed antivirus.

La domanda spontanea e': qual'e' l'attinenza con l'oggetto specifico del thread? :D
Per carita', tutto vero, ma qui si parla di configurare Windows al fine di renderlo piu' sicuro.
Che ci sia una svolta in quel senso e' auspicabile ma, ahime', la vedo ancora molto lontana.
Se molti di voi gia' si spaventano o scandalizzano (o addirittura in alcuni casi mettono in dubbio) questo genere di configurazione in Windows, che richiede pochi minuti ed e' visuale, come pensi che ci si possa attendere un passaggio di massa a sistemi operativi meno semplici nel prossimo futuro? :D

Altro update in risposta a coloro i quali erano preoccupati (senza alcuna vera ragione, in realta') circa applicazioni che non potrebbero funzionare con un account limitato.

Nei pochi, rari casi in cui una applicazione non ne vuole proprio sapere di funzionare con un account limitato, e non funziona neanche con Click Destro->RunAs->login come SysAdmin, la soluzione e' comunque a portata di mano ed e richiede UN SECONDO :D

Pappa pronta: :D

@echo off
setlocal
set _Admin_=%COMPUTERNAME%\SysAdmin
set _Group_=Administrators
set _Prog_="Percorso dell'eseguibile del programma"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
runas /savecred /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
echo Starting program in new logon session...
runas /savecred /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
echo Removing user %* from group %_Group_%...
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal


Basta

- creare un altro batch, specifico per quel (ripeto: raro) programma che proprio non ne vuole sapere di funzionare senza diritti amministrativi, e copiarvi all'interno il codice di sopra sostituiendo la scritta in grassetto con il percorso del programma.

- copiare questo file batch nella cartella di Windows oppure Program Files (Programmi nella versione Italiana), in modo che sia autorizzato per l'esecuzione.

- Start->Run->[Nome file batch] per avviare il programma che cosi' facendo verra' avviato con diritti amministrativi

In alternativa a Start->Run, potreste crearvi un collegamento sul desktop o dove vi pare (questo vale anche per gli Admin Scripts - CMD e Windows Explorer - che ho allegato al thread).

L'attinenza di quello che ho scritto è solo dovuta al fatto che l'utente medio NON farà mai le modifiche di cui parli che saranno "al meglio" limitate ad una ristretta cerchia di utenti e probabilmente a loro amici e conoscenti.

Secondo me è più semplice usare prodotti diffusi e di testata efficacia e/o al massimo utilizzare s.o. intrinsicamente più sicuri.

Ed in effetti chi non vuole stare ad "ammattire" con i vari malwares utilizza MAC oppure linux.

Ma come ripeto ciò non toglie che quello che scrivi mi interessa molto e sarei veramente interessato a vedere il video di cui parli,quindi ti esorto veramente a continuare con lo stesso impeto iniziale.;)

va bene, mi sono deciso.....


.....provo questo metodo! :D


a presto con i pareri, ciauu

L'attinenza di quello che ho scritto è solo dovuta al fatto che l'utente medio NON farà mai le modifiche di cui parli che saranno "al meglio" limitate ad una ristretta cerchia di utenti e probabilmente a loro amici e conoscenti.

Secondo me è più semplice usare prodotti diffusi e di testata efficacia e/o al massimo utilizzare s.o. intrinsicamente più sicuri.

Ed in effetti chi non vuole stare ad "ammattire" con i vari malwares utilizza MAC oppure linux.

Ma come ripeto ciò non toglie che quello che scrivi mi interessa molto e sarei veramente interessato a vedere il video di cui parli,quindi ti esorto veramente a continuare con lo stesso impeto iniziale.;)

quoto tutto ;)

bYeZ!

ok, ho fatto solo la parte relativa all'antivirus e ho incontrato un problema:


sono loggato con l'utente limitato

devo aprire procesxp..un task manager avanzato e non me lo fà aprire e mi dà questo errore:

http://www.pctuner.info/up/results/_200707/20070724000527_1.JPG

allora cmd e mi loggo in admin e il cmd diventa con sfondo rosso...trascino l'icona di procesxp dentro e premo invio, funziona.


allora dico: il procedimento dovrebbe essere lo stesso se faccio cosi':
click con il destro su procesxp-->esegui come-->

e compare questo:

http://www.pctuner.info/up/results/_200707/20070724000805_2.JPG

adesso seelziono administrator e metto la stessa password che avevo usato prima per far diventare il cmd rosso...supponiamo "pincopallino"...indovina un po': stesso errore di prima:
http://www.pctuner.info/up/results/_200707/20070724000527_1.JPG


e' risolvibile oppure ogni volta che eseguo un file del genere devo loggarmi in administrator nel cmd ???


grazie

Mha questo thread sembra interessante ma non l'ho è + di tanto, applicare restrizioni così drastiche non serve ad un utente home dato che in molti casi rende l'utilizzo di alcuni software + macchinosi del dovuto:D , nel caso di procexp deve creare un driver per funzionare ecc ecc, mi pare difficile per un utente cosi risicato che riesci se non con qualche modifica:rolleyes:

ok, ho fatto solo la parte relativa all'antivirus e ho incontrato un problema:


sono loggato con l'utente limitato

devo aprire procesxp..un task manager avanzato e non me lo fà aprire e mi dà questo errore:

http://www.pctuner.info/up/results/_200707/20070724000527_1.JPG

allora cmd e mi loggo in admin e il cmd diventa con sfondo rosso...trascino l'icona di procesxp dentro e premo invio, funziona.


allora dico: il procedimento dovrebbe essere lo stesso se faccio cosi':
click con il destro su procesxp-->esegui come-->

e compare questo:

http://www.pctuner.info/up/results/_200707/20070724000805_2.JPG

adesso seelziono administrator e metto la stessa password che avevo usato prima per far diventare il cmd rosso...supponiamo "pincopallino"...indovina un po': stesso errore di prima:
http://www.pctuner.info/up/results/_200707/20070724000527_1.JPG


e' risolvibile oppure ogni volta che eseguo un file del genere devo loggarmi in administrator nel cmd ???


grazie


Tanto per cominciare, bravo :D
Vuol dire che hai fatto tutto perfettamente (hai implementato anche firewall?).
Le restrizioni software funzionano come dovrebbero.

Hai creato l'utente SysAdmin come suggerito, disabilitando Administrator (quello built-in di Windows)?
Se si', quando provi ad eseguire un programma con RunAs (vedo che e' "Esegui come" nella versione Italiana), non devi selezionare Administrator (che ti comparira' nella lista anche se l'hai disabilitato perche' e' l'Administrator built-in - e' un piccolo bug di Windows, innocuo), ma appunto SysAdmin e immettere la password.
Quando avvii l'adminCMD infatti, e' SysAdmin che viene usato come amministratore, non l'Administrator built-in.
Se invece hai gia' provato con SysAdmin e non funziona, anche in questo caso la spiegazione e' semplice: non tutti i programmi possono funzionare bene col Secondary Logon (quello fatto col RunAs); il motivo risiede nel fatto che, quando avvii con RunAs, l'applicazione viene avviata con diritti di amministratore dell'utente SysAdmin, ma gli viene attaccata una sorta di identificativo dell'utente loggato nel sistema, cioe' l'account limitato. Alcune applicazioni notano questa cosa e non funzionano correttamente. E sinceramente non mi ricordo perche' RunAs funziona in questo modo. Per ovviare, in questi casi sei costretto ad utilizzare l'AdminCMD che fa apparire all'applicazione l'utente limitato come se fosse pienamente amministratore.

Ti do un suggerimento, che vale per tutti gli interessati.
In casi come questo, nel quale probabilmente sei costretto ad avviare un programma con diritti amministrativi "pieni", quando cioe' RunAs non funziona come atteso, hai due alternative:

Avviare il programma con

1) AdminCMD:

====> invece di avviare l'AdminCMD ogni volta e fare "a mano", procedi cosi':

Crea una copia del file batch AdminCMD, rinominala come vuoi e sostituisci, nel codice batch, "CMD.EXE" con l'eseguibile del tuo programma (elimina i parametri di CMD e mettici eventuali parametri del tuo eseguibile).

Avviando questo batch, ti avviera' direttamente il tuo eseguibile con diritti pieni di amministratore, senza ogni volta avviare AdminCMD e digitare a mano ecc ecc.

2) AdminShell:

puoi avviare il tuo eseguibile anche con l'AdminShell, spostandoti nel percorso dove l'eseguibile si trova, e avviandolo da li'.
Poiche' l'AdminShell e' avviata come amministratore, qualunque eseguibile TU avvii da li', viene anch'esso avviato come amministratore.

__

A te la scelta. Io faccio cosi':

- quando si tratta di un programma (stand alone, per esempio, cioe' non il setup di un programma che si installera' da se' in Windows) che sara' permanente nel pc, lo metto in Program Files, tutto qui. Faccio un collegamento dove mi pare e so che funzionera' perche' residente in una cartella abilitata per l'esecuzione. Non e' necessario dunque avviare AdminCMD ecc.

- quando si tratta di un eseguibile che voglio avviare una volta sola, ad esempio un setup, lo faccio da AdminShell (il Windows Explorer amministrativo). Molto piu' semplice. Anzi, accorgimento: io tengo sempre aperta una copia di AdminShell. Faccio praticamente tutto da li' cio' che ha bisogno dell'administrator. AdminCMD lo uso pochissimo e RunAs praticamente mai.

Nota: se comunque vuoi usare anche RunAs, nei casi in cui esso funziona bene, per evitare di immettere ogni volta la password ti suggerisco di creare un batch anche in questo caso, e metterci dentro il comando

@RunAs /savecred /u:%COMPUTERNAME%\SysAdmin nomeprogramma.exe

In questo modo ti chiedera' la password soltanto la prima volta, poiche' la salvera'. ;)

Sto facendo fatica in queste pagine a ripetere molte cose perche' naturalmente ancora in pochi stanno provando e non hanno ancora finito i loro esperimenti (comprensibile, essendo queste cose nuove per molti).
Pero' vi garantisco che una volta realizzato il sistema, vi renderete conto che oltre ad essere piu' sicuro e veloce, il sistema non e' affatto piu' difficile da utilizzare (se seguite tutti i miei accorgimenti). E' praticamente la stessa cosa dell'uso normale, solito, di Windows, con qualche comando in piu' di tanto in tanto. :)

Guarda che casino bisogna fare per avviare un software che usufruisce di un driver, questa non è sicurezza ma un perdi tempo:)

Mha questo thread sembra interessante ma non l'ho è + di tanto, applicare restrizioni così drastiche non serve ad un utente home dato che in molti casi rende l'utilizzo di alcuni software + macchinosi del dovuto:D , nel caso di procexp deve creare un driver per funzionare ecc ecc, mi pare difficile per un utente cosi risicato che riesci se non con qualche modifica:rolleyes:

Ho gia' spiegato (e spero che sia l'ultima volta) che il thead e' indirizzato ad una utenza specifica che sa smanettare o vuole imparare. E ho gia' ribadito piu' volte che una volta fatte le modifiche come da me suggerito, non c'e' praticamente nesuna differenza nell'uso del sistema!

Discussioni su utenti home, principianti, ecc ecc non sono oggetto di questo thread; oggetto del thread e' fornire una alternativa in sede di sicurezza agli utenti che ne comprendono i benefici e sanno come fare o vogliono imparare (l'ho ripetuto ancora).
Il thread e' anche per fornire una sorta di "assistenza" a chi ci prova e trova difficolta', e arricchirlo con nuove informazioni quando disponibili.

Quindi l'invito a te e a tutti e': non pensate a discorsi generici su utenti x e utenti y, provate a fidarvi un attimo di quello che scrivo e pensate soltanto al se la cosa interessa a voi. In caso positivo, provateci. Tutto qua, eccheccappero :D

Scherzo naturalmente

Guarda che casino bisogna fare per avviare un software che usufruisce di un driver, questa non è sicurezza ma un perdi tempo:)

Senti, ma te HAI PROVATO? Se io ti dico che non c'e' NESSUN CASINO, che l'utilizzo di Windows una volta fatte le modifiche e' PRATICAMENTE LO STESSO, che letteralmente ci vuole piu' a dirle le cose che a farle, credi che ti stia prendendo in giro?

Se ogni tanto hai bisogno di qualche secondo in piu' per avviare qualcosa, e' un "CASINO"??
Se vedessi lo stesso sistema cosi' configurato, anche in termini di prestazioni, rispetto ad uno con firewall, antivirus, antispyware, hips ecc ecc ecc, vorrei proprio vedere se te usciresti ancora con questi commenti senza aver neanche provato.

Se uno mi trova un problema che sia degno di questa parola e me lo espone, allora e' una cosa; discutiamone.
Ma questi commenti messi li' senza aver provato e senza nessuna motivazione tecnica ecc, cominciano sinceramente ad essere fuori luogo. E comincio a chiedermi perche' ho perso tutto quel tempo a scrivere e continuo a perdere. Mah

dimenticavo di chiederti, lucas84:

quante righe del thread hai letto?

Ho letto tutto il thread, secondo te ho tempo da perdere dietro queste cose? mha! di ste guide trite e ritrite ce ne sono molte:)

Ho letto tutto il thread, secondo te ho tempo da perdere dietro queste cose? mha! di ste guide trite e ritrite ce ne sono molte:)

Se

- non sei interessato
- ritieni di sapere, e di sapere che cio' che suggerisco e' sbagliato

Qual'e' la ragione dunque dei tuoi post?
"Perdere tempo da perdere dietro queste cose"? :confused:
Esci dal thread e non scriverci piu' se non ti interessa e ti fa pure perdere tempo. Qualcuno ti costringe a scriverci? :confused:

Io è la prima volta che la vedo comunque :confused: ...
In ogni caso, grazie della guida, Sisupoika! Quando avrò un'installazione pulita "sacrificabile" la proverò... Aspetto fiducioso il video di guida che risulta sicuramente utile per rendere il tutto più comprensibile...
Ciao ciao

:)

Se

- non sei interessato
- ritieni di sapere, e di sapere che cio' che suggerisco e' sbagliato

Qual'e' la ragione dunque dei tuoi post?
"Perdere tempo da perdere dietro queste cose"? :confused:
Esci dal thread e non scriverci piu' se non ti interessa e ti fa pure perdere tempo. Qualcuno ti costringe a scriverci? :confused:
Perchè devo aumentare i miei posts:D, a lungo andare, un normale utente si stanca di questa configurazione e la toglie, tu la usi e vabbene ma non farla passare come il metodo perfetto senza problemi ed adatto a tutte le esigenze:)

PS:Non posto + traquillo

Perchè devo aumentare i miei posts:D, a lungo andare, un normale utente si stanca di questa configurazione e la toglie, tu la usi e vabbene ma non farla passare come il metodo perfetto senza problemi ed adatto a tutte le esigenze:)

PS:Non posto + traquillo

Lucas,

se tu posti ancora, al fine di contribuire al thread in maniera concreta, ne sono piu' che soddisfatto. Sono commenti buttati la', cosi', che mi fanno perdere l'entusiasmo di perdere del mio tempo per scrivere delle cose che credo possano essere utili agli altri. Per imparare qualcosa di nuovo, se non per altro (anche se l'altro c'e' eccome!).
Potresti provare a riassumere la tua linea di pensiero a riguardo dell'oggetto del thread, magari spiegando il perche' la pensi x e non y in proposito?
Ne possiamo parlare, siamo qui per questo, no?
Ma se tu, alla mia che vuole essere la proposta di una alternativa e allo stesso tempo un insieme di informazioni nuove per molti, opponi una sorta di rifiuto - come un "NO!" - senza neppure provare a darne una spiegazione concreta, allora non capisco.
Hai la possibilita' di provare questo sistema?
Provalo in una macchina virtuale magari.
Usalo un po' di giorni, e poi torna a fornire le tue impressioni. :)

Io è la prima volta che la vedo comunque :confused: ...
In ogni caso, grazie della guida, Sisupoika! Quando avrò un'installazione pulita "sacrificabile" la proverò... Aspetto fiducioso il video di guida che risulta sicuramente utile per rendere il tutto più comprensibile...
Ciao ciao

:)

Grazie a te, ma sta tranquillo che non c'e' niente da sacrificare :D
Potresti provare sulla tua installazione direttamente, sono tutte piccole modifiche alla fine che puoi disattivare o rimuovere in un minuto :)

*** per tutti ***

Mi e' venuta una idea SUCCOSA :D

Oltre al video, creero' nei prossimi giorni una procedura per integrare tutta la configurazione, automaticamente, in una nuova ISO di Windows XP da realizzare con NLITE.

Che ve ne pare come idea? :D

Sara' possibile installare Windows "pronto" :D

Mi sento un deficiente perche' fino ad esso facevo queste cose per me e non ho mai pensato a creare una ISO che installasse Windows gia' locked down :D

Guarda che casino bisogna fare per avviare un software che usufruisce di un driver, questa non è sicurezza ma un perdi tempo:)

invece io lo ritengo sensazionale :D

nn skerzo, se pensate al comportamento della stra grande ,maggioranza di ogni genere di infezioni che possono contaminare il vostro pc questa e' una delle soluzioni migliori :)



*** per tutti ***

Mi e' venuta una idea SUCCOSA :D

Oltre al video, creero' nei prossimi giorni una procedura per integrare tutta la configurazione, automaticamente, in una nuova ISO di Windows XP da realizzare con NLITE.

Che ve ne pare come idea? :D

Sara' possibile installare Windows "pronto" :D

Mi sento un deficiente perche' fino ad esso facevo queste cose per me e non ho mai pensato a creare una ISO che installasse Windows gia' locked down :D
grande! :ave:




edit: faccio passi in avanti ma spuntano altri problemi..

quando dici:

Crea una copia del file batch AdminCMD, rinominala come vuoi e sostituisci, nel codice batch, "CMD.EXE" con l'eseguibile del tuo programma (elimina i parametri di CMD e mettici eventuali parametri del tuo eseguibile).
io nn capisco cio' che devo fare, vado a intuito ma nn riesco a sostituire nel codice batch "cmd.exe" con l'eseguibile del mio programma :(

altra cosa: sto cercando di installare dei programmi per testare questo metodo, provo con windows defender, freeware scaricato da filehippo....bene bene, qui con il doppio click solito errore e cn click di destro nn compare esegui come :o
anche qui, devo x forza loggarmi in cmd come admin o lo stesso metodo che potevo usare per procesxp lo posso usare anche qui ?

grazie


reedit: adminshell non mi funziona...in pratica faccio esegui-->adminshell e mi compare una finestra del cmd che scrive da sola 2 righe su sfondo nero e poi dopo 2 secondi scompare e mi apre la finestra di explorer che mi fà visualizzare C:\Documents and Settings\SysAdmin\Desktop

come risolvo ?



altra cosa, piu' vado avanti piu' mi accorgo che runas nn funziona praticamente mai :p ho provato con procesxp e nn funge, ho provato con l'update checker di filehippo e nn funge, ho provato con 3 setup diversi e nn funge (erano google talk, java, windows defender)...per ogniuno di questi mi tocca portarlo nel desktop di sysadmin ed eseguirlo da li'...oppure il solito admincmd rosso :( ......ad essere sinceri e' 1 po' scomodo :D

*** per tutti ***

Mi e' venuta una idea SUCCOSA :D

Oltre al video, creero' nei prossimi giorni una procedura per integrare tutta la configurazione, automaticamente, in una nuova ISO di Windows XP da realizzare con NLITE.

Che ve ne pare come idea? :D

Sara' possibile installare Windows "pronto" :D

Mi sento un deficiente perche' fino ad esso facevo queste cose per me e non ho mai pensato a creare una ISO che installasse Windows gia' locked down :D
riesci a fare un' iso senza incorporare i tuoi driver ?

e' successo 1 casino, in pratica ho l'account administrator disabilitato e gli altri 2 account nn so' come ma son dive tati entrambi account limitati :( e nn posso riattivare administrator...


che faccio?

Sono capitato nel thread per caso, era da molto tempo che non tornavo a leggere il forum.
Da smanettone e felice utilizzatore di Windows, non posso che farti i complimenti per questa guida.
Io sono pienamente in linea con la filosofia che sta alla base si questo thread: "Usa al meglio quello che hai a disposizione".

Se ci sono persone che non hanno voglia di utilizzare questa soluzione perchè "troppo macchinosa", non te ne preoccupare... ci saranno molte altre che apprezzeranno il lavoro da te fatto.

Good work!

P.S.
Io sul mio PC non uso ne firewall (ho un firewall hardware e attivo come minima protezione solo dall'esterno quello di Win solo quando non sono sulla mia rete) ne AntiSpyware e non ho neanche seguito la tua guida.
Sapere ciò che si sta facendo è di solito già un buon metodo per preservare i propri sistemi (uso Avast come Antivirus ma credo che negli ultimi 3-4 anni mi abbia forse rilevato un virus solo una volta...).

Ciao Sisupoika, complimenti per la guida, sembri molto competente in materia. Volevo solo esprimere una mia personale opinione.
Per quanto accurata e sicura come soluzione per la sicurezza, resta comunque un tantino macchinosa; e non mi riferisco solo agli utenti con conoscenze di base, ma anche a quelli con un pò più di esperienza come i membri attivi del forum. Voglio dire, è un'ottima alternativa al classico sistema antivirus firewall antispyware etc, oppure al allo pseudo-intenditore che usa Mac o Linux perchè "windows è uno schifo buggato ci sono i virus etc"; ma secondo me, per coloro che frequentano questo forum e sono costantemente aggiornati sulla questione sicurezza e sulle ultime minacce della rete, non dovrebbe servire nè antivirus, nè firewall, nè antispyware, nè questa geniale quanto efficace soluzione da te proposta; l'utente più esperto, dovrebbe essere in grado di "evitare" le minacce, senza il continuo terrore di aprire il browser o cliccare su un file. Non mi stancherò mai di linkare questa discussione da me aperta qualche tempo fa, per quanto mi rigurda ancora attualissima: http://www.hwupgrade.it/forum/showthread.php?t=1133211
Ho salvato comunque questo post perchè ho intenzione di sperimentare questo sistema su un pc molto datato di un mio amico.

Ciao

invece io lo ritengo sensazionale

nn skerzo, se pensate al comportamento della stra grande ,maggioranza di ogni genere di infezioni che possono contaminare il vostro pc questa e' una delle soluzioni migliori

Sono contento che non tutti si arrendono a conclusioni affrettate senza neanche provare :D
E' doveroso precisare che la protezione 100%, quella assoluta, non e' mai esistita e mai esistera'.
Ma con Windows (nelle versioni per cui tutto cio' e' possibile, ad esempio con la Home ci sono delle limitazioni a cui comunque cerchero' una soluzione piu' avanti; ma non c'e' fretta dal momento che chi usa la Home e' probabilmente un utente che NON si trovera' a fare questo genere di configurazioni :D), una configurazione del genere eleva il livello di sicurezza di parecchio, con impatti minimi sulle condizioni d'uso del sistema (ripeto: seguendo tutti gli accorgimenti che suggerisco; utilizzare soltanto un account limitato come comunque fanno alcuni utenti NON e' altrettanto sicuro e NON e' altrettanto semplice da usare). E' chiaro che una porta di ingresso esistera' sempre e comunque, in qualunque ambiente, in qualunque sistema di qualunque tipo.
Questa configurazione non ha la pretesa di essere 100% assoluta, ma riduce drasticamente primo i rischi stessi di infezione/attacco, secondo riduce altrettanto drasticamente gli eventuali danni che un eventuale, ingegnoso, malware riuscisse a perpretare in una eventuale condizione.
Da cio' la convinzione che un sistema di questo tipo sia generalmente piu' sicuro di un sistema "standard" che prevede utente Administrator all time e software Antivirus, Firewall, ecc ecc.

Un Antivirus non garantisce altrettanto una protezione 100%.
Dov'e' dunque la differenza?
La differenza consiste nel fatto che un malware che bypassasse un Antivirus (ad esempio un nuovo threat non riconosciuto da esso) in un account Administrator, avrebbe un potere enorme.
Un malware che si trovasse per caso in un sistema come quello da me suggerito, avrebbe possibilita' di compromettere il mio sistema e i miei documenti drasticamente ridotte.
Questa e' la differenza chiave.

Ieri sera Eraser (che ringrazio per la spassosa chiacchierata in privato in merito a questi temi), ha sollevato un interrogativo: potrebbe un malware compromettere perlomeno i miei documenti, come per esempio farebbe un ransomware, in questo sistema?

Risposta: ancora una volta, NO, se non siamo noi a consentirglielo. Se un malware si trova nel sistema sotto un account limitato, avra' potere soltanto sui file e cartelle cui lo stesso utente puo' accedere e, soprattutto, modificare. Percio', supponiamo di avere la nostra solita cartella documenti, che non vogliamo (ovviamente) rischiare di vedere compromessi, corrotti, distrutti, ecc. da un malware. Ci bastera' semplicemente aggiungere un'altra restrizione a quella cartella! Ovvero: consentire l'accesso anche a quella cartella ai soli utenti che facciano parte del gruppo Administrators, cosi' come le cartelle di sistema. Faccio cio', i programmi usati per aprire quei file (ad esempio Office per .doc, .xls, Adobe per .pdf, ecc ecc) potrebbero gestire quei documenti come al solito poiche', trovandosi in una delle cartelle (Program Files) con diritti di esecuzione come Administrator, avrebbero pieno potere su quei file. Un malware, invece, che cercasse di accedere e corrompere/cancellare dei dati in una cartella protetta, non potrebbe, semplicemente perche' girando sotto l'account limitato non avrebbe diritti di amministratore, e quindi non avrebbe alcun permesso su quella cartella (neanche in lettura, se vogliamo, cosi' blocchiamo purequalunque spyware che possa tentare di inviare segretamente nostri documenti su Internet :D)

Eraser ieri ha sollevato altri punti, che poi abbiamo discusso. Se Eraser e' d'accordo, visto che si trattava di messaggi privati, potremmo postare qui un riassunto di quella chat in modo da arricchire ulteriormente il thread con possibili problemi e relative soluzioni.


edit: faccio passi in avanti ma spuntano altri problemi..

quando dici:


io nn capisco cio' che devo fare, vado a intuito ma nn riesco a sostituire nel codice batch "cmd.exe" con l'eseguibile del mio programma :(

altra cosa: sto cercando di installare dei programmi per testare questo metodo, provo con windows defender, freeware scaricato da filehippo....bene bene, qui con il doppio click solito errore e cn click di destro nn compare esegui come :o
anche qui, devo x forza loggarmi in cmd come admin o lo stesso metodo che potevo usare per procesxp lo posso usare anche qui ?

grazie


reedit: adminshell non mi funziona...in pratica faccio esegui-->adminshell e mi compare una finestra del cmd che scrive da sola 2 righe su sfondo nero e poi dopo 2 secondi scompare e mi apre la finestra di explorer che mi fà visualizzare C:\Documents and Settings\SysAdmin\Desktop

come risolvo ?



altra cosa, piu' vado avanti piu' mi accorgo che runas nn funziona praticamente mai :p ho provato con procesxp e nn funge, ho provato con l'update checker di filehippo e nn funge, ho provato con 3 setup diversi e nn funge (erano google talk, java, windows defender)...per ogniuno di questi mi tocca portarlo nel desktop di sysadmin ed eseguirlo da li'...oppure il solito admincmd rosso :( ......ad essere sinceri e' 1 po' scomodo :D

- file di batch (LOL :D) devi semplicemente aprirlo con notepad e mettere il nome e il percorso del programma che vuoi avviare, invece di CMD.EXE.
Appena ho due minuti faccio un altro batch che accetta come parametro il percorso del programma da eseguire come Administrator, pigrone :D
Un'altra piccola aggiunta che ho sulla mia lista e' una voce nel menu contestuale alternativa a RunAs che avvii il programma su cui clicchi col mio batch (full Administrator e senza ripetere ogni volta password ecc).
Questa sara' un'altra miglioria che semplifichera' ulteriormente le cose.

- esegui come/RunAs: se non compare la voce col dx, vai in servizi (avvia AdminCMD e esegui da li' services.msc) e verifica che il servizio Secondary Logon sia attivato e in automatico
Anche con la semplice AdminCMD puoi avviare qualunque programma, come Administrator, semplicemente digitando il percorso del file e premendo Invio...
Ma io preferisco tenere sempre aperta una AdminShell e fare doppio click da li' su eventuali programmi che io voglia installare ecc.... AdminCMD lo uso raramente.

- AdminShell "non funziona": Ti sbagli, dalla descrizione che hai dato, significa che ti funziona :D
Forse hai fatto un po' di confusione. L'AdminShell non e' altro che Windows Explorer (dovrebbe essere Esplora Risorse nella versione italiana) avviato come Administrator (SysAdmin). Da li' TU puoi fare praticamente tutto, come Administrator! :)
AdminShell e' semplicemente il nome di battesimo che le ho dato :asd:

- AdminShell ti apre il Desktop di SysAdmin: c'era una piccola svista nella versione dell'allegato che ho messo nel mio primo post quando l'ho scritto.
Scaricati di nuovo l'allegato, troverai un nuovo AdminShell.cmd che ti apre Windows Explorer nella tua cartella documenti.

- RunAs, non ne conosco la ragione (se ce n'e', perche' potrebbe anche trattarsi di cattiva implementazione), ma non funziona spesso.
Io non lo uso MAI. L'ho citato nel thread come alternative.
Ignoralo, ed usa AdminCMD e AdminShell quando hai bisogno di diritti amministrativi per installare un programma.
Solo per il momento, perche' appena posso creero', come detto, una piccola aggiunta a Windows: cliccando col dx sul programma, troverai un'altra voce nel menu contestuale che sostituira' Esegui Come/RunAs e che dira' qualcosa tipo "Run As SysAdmin" e ti eseguira' il programma con il mio script invece che con RunAs. Funzionamento garantito al 101% :D
Appena faccio questa cosa ve la posto.

riesci a fare un' iso senza incorporare i tuoi driver ?

Certamente si', ma in tal caso dovremo chiedere conferma ai moderatori se e' lecito rendere disponibile qui pubblicamente una ISO di Windows.
Anche se non includo il mio numero seriale non ricordo se e' legale.
Appena avro' creato questa ISO chiedero' conferma ai mods se posso procedere.
L'unica cosa e' che non ho Windows in Italiano, per ora. Dovro' cercare se qualcuno ha un Windows Italiano genuino per fare questa cosa anche con la Italiana.

e' successo 1 casino, in pratica ho l'account administrator disabilitato e gli altri 2 account nn so' come ma son dive tati entrambi account limitati :( e nn posso riattivare administrator...


che faccio?

Come *beep* hai fatto? :eek: :D
Mai accaduto, e non sono sicuro che cio' sia possibile (mai provato).
Sei sicuro che siano entrambi limitati? Anche SysAdmin?
Prova ad entrare in modalita' provvisoria e riprovare.
Oppure dalla Recovery Console.


;18041229']Sono capitato nel thread per caso, era da molto tempo che non tornavo a leggere il forum.
Da smanettone e felice utilizzatore di Windows, non posso che farti i complimenti per questa guida.
Io sono pienamente in linea con la filosofia che sta alla base si questo thread: "Usa al meglio quello che hai a disposizione".

Se ci sono persone che non hanno voglia di utilizzare questa soluzione perchè "troppo macchinosa", non te ne preoccupare... ci saranno molte altre che apprezzeranno il lavoro da te fatto.

Good work!

P.S.
Io sul mio PC non uso ne firewall (ho un firewall hardware e attivo come minima protezione solo dall'esterno quello di Win solo quando non sono sulla mia rete) ne AntiSpyware e non ho neanche seguito la tua guida.
Sapere ciò che si sta facendo è di solito già un buon metodo per preservare i propri sistemi (uso Avast come Antivirus ma credo che negli ultimi 3-4 anni mi abbia forse rilevato un virus solo una volta...).

:)

Ciao Sisupoika, complimenti per la guida, sembri molto competente in materia. Volevo solo esprimere una mia personale opinione.
Per quanto accurata e sicura come soluzione per la sicurezza, resta comunque un tantino macchinosa; e non mi riferisco solo agli utenti con conoscenze di base, ma anche a quelli con un pò più di esperienza come i membri attivi del forum. Voglio dire, è un'ottima alternativa al classico sistema antivirus firewall antispyware etc, oppure al allo pseudo-intenditore che usa Mac o Linux perchè "windows è uno schifo buggato ci sono i virus etc"; ma secondo me, per coloro che frequentano questo forum e sono costantemente aggiornati sulla questione sicurezza e sulle ultime minacce della rete, non dovrebbe servire nè antivirus, nè firewall, nè antispyware, nè questa geniale quanto efficace soluzione da te proposta; l'utente più esperto, dovrebbe essere in grado di "evitare" le minacce, senza il continuo terrore di aprire il browser o cliccare su un file. Non mi stancherò mai di linkare questa discussione da me aperta qualche tempo fa, per quanto mi rigurda ancora attualissima: http://www.hwupgrade.it/forum/showthread.php?t=1133211
Ho salvato comunque questo post perchè ho intenzione di sperimentare questo sistema su un pc molto datato di un mio amico.

Ciao

Sul modo di utilizzare cautamente il pc sono piu' che d'accordo :D
E lo sono anche sul fatto che questa configurazione e' - devo ammetterlo - un tantino macchinosa e non alla portata di tutti. Ma su questo eravamo gia' tutti d'accordo, sembra :D
Ma se procediamo con i vostri suggerimenti, possiamo giungere ad una automazione e semplificazione del tutto non indifferente.
Tieni presente che la configurazione cosi' com'e' l'ho sempre fatta io sui pc interessati, quindi faccio il tutto in due minuti, anche a memoria.
Quindi laddove non mi sono preoccupato piu' di tanto per rendere il procedimento piu' semplice e veloce, lo possiamo fare adesso con i vostri suggerimenti, e con le risposte che risciamo a dare ai problemi che incontrate quando provate da voi questa configurazione. :)

purtroppo ti assicuro, le gho provate tutte ma nn riesco a far diventare un account amministratore, ins ettimana o cmq al piu' presto formatto e rifaccio tutta la procedura :D


grazie ancora per le prezione info :)

bCyclon, dimenticavo: hai provato a ripristinare lo stato precedente (System Restore)?
Sempre che sia attivato.

bCyclon, dimenticavo: hai provato a ripristinare lo stato precedente (System Restore)?
Sempre che sia attivato.

hai detto bene, sempre che sia attivato :p

cmq in percentuale tenere un windows costantemente aggiornato ad ogni minima cosa che mi segnala l'update quanto incide ?

..cioe'..serovno davvero tutti questi aggiornamenti o di qualcuno se ne puo' fare a meno ?

edit: per scrivere questi script nn credo serva essere ingegneri nucleari, sai dove si possono reperire tutorial o quantomeno informazioni su come modificarli e personalizzsarli in base alle proprie esigenze ?

grazie

hai detto bene, sempre che sia attivato :p

cmq in percentuale tenere un windows costantemente aggiornato ad ogni minima cosa che mi segnala l'update quanto incide ?

..cioe'..serovno davvero tutti questi aggiornamenti o di qualcuno se ne puo' fare a meno ?

Molti aggiornamenti risolvono problemi di sicurezza che non avresti se non fossi utente Administrator :D
Cmq scaricali tutti perche' Microsoft non rilascia informazioni pubbliche su quali aggiornamenti sono di quel tipo oppure no. E comunque sempre meglio aggiornare.

Al momento, se ho capito bene, Administrator e' disabilitato, e gli altri due account sembrano essere entrambi limitati.

Fatto il login col tuo user normale, se avvii AdminCMD lo vedi in rosso?
Se si', prova a digitare questo comando:

net localgroup Administrators %COMPUTERNAME%\%USERNAME% /ADD

Se ti funziona, abilita Administrator, e poi rimetti l'account corrente nel solo gruppo Users.

hai detto bene, sempre che sia attivato :p

cmq in percentuale tenere un windows costantemente aggiornato ad ogni minima cosa che mi segnala l'update quanto incide ?

..cioe'..serovno davvero tutti questi aggiornamenti o di qualcuno se ne puo' fare a meno ?

edit: per scrivere questi script nn credo serva essere ingegneri nucleari, sai dove si possono reperire tutorial o quantomeno informazioni su come modificarli e personalizzsarli in base alle proprie esigenze ?

grazie

Beh, basta saper scrivere un po' di batch e conoscere i comandi di Windows. Googla :fagiano:

Anzi, "chiedi". Il mio search engine preferito e' Ask.com :stordita:

Molti aggiornamenti risolvono problemi di sicurezza che non avresti se non fossi utente Administrator :D
Cmq scaricali tutti perche' Microsoft non rilascia informazioni pubbliche su quali aggiornamenti sono di quel tipo oppure no. E comunque sempre meglio aggiornare.

Al momento, se ho capito bene, Administrator e' disabilitato, e gli altri due account sembrano essere entrambi limitati.

Fatto il login col tuo user normale, se avvii AdminCMD lo vedi in rosso?
Se si', prova a digitare questo comando:

net localgroup Administrators %COMPUTERNAME%\%USERNAME% /ADD

Se ti funziona, abilita Administrator, e poi rimetti l'account corrente nel solo gruppo Users.

ho provato, admincmd rosso e questo e' tutto:

:(

C:\>net localgroup Administrators %COMPUTERNAME%\%USERNAME% /ADD
Errore di sistema 5.

Accesso negato.


C:\>

p.s. nello script aggiornato per admincmd manca all'inizio @echo off, nn so' se sia voluto :)

ciao

Ok, ecco il piano B :D

Start->Run->Command.com

Ti verra' eseguito il vecchio prompt dei comandi del vecchio DOS, che ignora le restrizioni di sistema :D

Premetto che questo e' un altro bug di sicurezza di Windows, del quale non molti sono a conoscenza :D
Ma cio' non puo' essere utilizzato da alcun programma nella mia configurazione (malware o non) che venga eseguito al di fuori delle cartelle di sistema (poiche' non potrebbero essere eseguiti essi stessi, non potrebbero sfruttare command.com per i loro sporchi giochi :D)

una volta avviato il vecchio prompt, digita:

net localgroup Administrators SysAdmin /ADD

Hai appena ripristinato SysAdmin come amministratore :fagiano:

ho provato, admincmd rosso e questo e' tutto:

:(



p.s. nello script aggiornato per admincmd manca all'inizio @echo off, nn so' se sia voluto :)

ciao


no, e' solo dimenticato :D
@echo off semplicemente non visualizza i comandi.
Lo potete aggiungere, se preferite.

mi dà ancora errore di sistema 5.
accesso negato :doh:

no, e' solo dimenticato :D
@echo off semplicemente non visualizza i comandi.
Lo potete aggiungere, se preferite.

......Nelle schermate video.
Meglio essere chiari....e semplici !! ;)

mi dà ancora errore di sistema 5.
accesso negato :doh:

Con command.com?? :confused:
Ma che azz hai fatto? :D

Piano C, valido se non hai riavviato il sistema :D
spegni brutalmente il pc, e all'avvio premi F8 (prima che Windows inizi ad avviarsi!) e scegli di ripristinare l'ultima configurazione funzionante. Fingers crossed :D

......Nelle schermate video.
Meglio essere chiari....e semplici !! ;)

Se metti @echo off ti visualizza a video solo cio' che TU vuoi, col comando echo.

Nello script:

setlocal
set _Admin_=%COMPUTERNAME%\SysAdmin
set _Group_=Administrators
set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c:\ && color 4F"
set _User_=%USERNAME%

if "%1"=="" (
runas /savecred /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
echo Starting program in new logon session...
runas /savecred /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
echo Removing user %* from group %_Group_%...
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal


solo quanto in grassetto viene visualizzato.
Se lo ometti (come ho dimenticato nel file modificato), ti visualizza tutto il testo :fagiano:

Con command.com?? :confused:
Ma che azz hai fatto? :D

Piano C, valido se non hai riavviato il sistema :D
spegni brutalmente il pc, e all'avvio premi F8 (prima che Windows inizi ad avviarsi!) e scegli di ripristinare l'ultima configurazione funzionante. Fingers crossed :D

ancora niente da fare :( :(



:cry:

Sono secoli che non uso e non scrivo più i files batch.....;)

ancora niente da fare :( :(



:cry:

Non riesco a capire come hai fatto a far si' che il sistema non abbia piu' Administrators attivi. Sei proprio sicuro?
Se ti logghi come SysAdmin, e fai Start->Esegui->secpol.msc cosa succede?

ancora niente da fare :( :(

:cry:


Hai Process Explorer sul tuo sistema? Riesci ad eseguirlo?

Non riesco a capire come hai fatto a far si' che il sistema non abbia piu' Administrators attivi. Sei proprio sicuro?
Se ti logghi come SysAdmin, e fai Start->Esegui->secpol.msc cosa succede?

adesso provo e ti faccio sapere, cmq se lo faccio dall'utente normale mi dà 1 errore per i permessi necessari..ecc. ecc..

ok, provato e risultato--stessa identica cosa he a farlo dall'utente normale

Hai Process Explorer sul tuo sistema? Riesci ad eseguirlo?

si e riesco ad usarlo grazie ai tuoi batch...ho solo "moddato" :D admincmd

setlocal
set _Admin_=%COMPUTERNAME%\bcyclon
set _Group_=Administrators
set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c:\ && color 4F"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
runas /savecred /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
runas /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal

adesso provo e ti faccio sapere, cmq se lo faccio dall'utente normale mi dà 1 errore per i permessi necessari..ecc. ecc..

ok, provato e risultato--stessa identica cosa he a farlo dall'utente normale



si e riesco ad usarlo grazie ai tuoi batch...ho solo "moddato" :D admincmd

setlocal
set _Admin_=%COMPUTERNAME%\bcyclon
set _Group_=Administrators
set _Prog_="cmd.exe /k Title *** %* as Admin *** && cd c:\ && color 4F"
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
runas /savecred /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
runas /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal


Moddato? Cioe' hai messo il tuo utente come Administrator? Ma non stai usando SysAdmin??? :confused:


Cmq, puoi usare Process Explorer. Prova questa roba dunque:

Piano D :D

1) Avvia Windows Explorer con AdminShell, se funziona, altrimenti quello normale (tasto Windows + E)

2) Attraverso Windows Explorer appena aperto, prova:

Control Panel->User Accounts

Riesci ad usarlo?

Oppure, sempre attraverso Explorer, riesci ad aprire Control Panel->Administrative Tools->Computer Management

? :fagiano:

Moddato? Cioe' hai messo il tuo utente come Administrator? Ma non stai usando SysAdmin??? :confused:


Cmq, puoi usare Process Explorer. Prova questa roba dunque:

Piano D :D

1) Avvia Windows Explorer con AdminShell, se funziona, altrimenti quello normale (tasto Windows + E)

2) Attraverso Windows Explorer appena aperto, prova:

Control Panel->User Accounts

Riesci ad usarlo?

Oppure, sempre attraverso Explorer, riesci ad aprire Control Panel->Administrative Tools->Computer Management

? :fagiano:

si, riesco a fare entrambe le cose:)

si, riesco a fare entrambe le cose:)

Hai provato dunque ad aggiungere uno user ad Administrator oppure crearne uno nuovo (Administrator) o riabilitare il vecchio Administrator? :fagiano:

Appena ho tempo, provvedo a creare una macchina virtuale basata su Windows XP, che provvederò a configurare come suggerito da Sisupoika.
Poi la darò in pasto ad alcuni malware e rootkit per vedere se effettivamente Windows è in grado di limitare l'accesso alle parti critiche del sistema quando si accede con un account limitato.
Molto interessante comunque lo sviluppo che la discussione sta avendo. ;) Complimenti.

Regards

Appena ho tempo, provvedo a creare una macchina virtuale basata su Windows XP, che provvederò a configurare come suggerito da Sisupoika.
Poi la darò in pasto ad alcuni malware e rootkit per vedere se effettivamente Windows è in grado di limitare l'accesso alle parti critiche del sistema quando si accede con un account limitato.
Molto interessante comunque lo sviluppo che la discussione sta avendo. ;) Complimenti.

Regards

Grazie per l'interesse e il contributo che certamente darai. :)

Visto che ci sei, hai un pacchetto fornito di malware pronto? Ho una sorta di pacchetto, ma mi manca molta nuova roba di cui ho bisogno per testing.

Inerente al tema, anche se ho aperto una discussione separata per non creare troppa confusione qui:

http://www.hwupgrade.it/forum/showthread.php?p=18047739#post18047739

Hai provato dunque ad aggiungere uno user ad Administrator oppure crearne uno nuovo (Administrator) o riabilitare il vecchio Administrator? :fagiano:

ho provato ma nn posso perche' possiedo permessi di utente limitato e nn posso fare nulla, nemmeno creare un account. :(

Anch'io stesso identico problema di bCyclon..
Avevo SysAdmin come administrator e il mio account come user.
Sono uscito da SysAdmin per provare gli script da user e funzionavano.
Una volta tornato in SysAdmin per continuare a configurare la VM come scritto nella guida appena ho aperto gpedit.msc ho scoperto che non avevo i permessi per accedere. Sono andato a controllare in utenti e ho scoperto che SysAdmin faceva parte del gruppo user :eek:
Non capisco come possa essere accaduto... Cmq no problem.. era una VM di prova :D
Adesso vedo di capire il motivo.. non penso siano gli ultimi script che hai messo sul sito.. anche se il probl è comparso dopo che li ho eseguiti..
Cmq, anche se per il momento c'è questo probl, grazie per l'ottima guida e per il tempo che ci stai dedicando ;)

Anch'io stesso identico problema di bCyclon..
Avevo SysAdmin come administrator e il mio account come user.
Sono uscito da SysAdmin per provare gli script da user e funzionavano.
Una volta tornato in SysAdmin per continuare a configurare la VM come scritto nella guida appena ho aperto gpedit.msc ho scoperto che non avevo i permessi per accedere. Sono andato a controllare in utenti e ho scoperto che SysAdmin faceva parte del gruppo user :eek:
Non capisco come possa essere accaduto... Cmq no problem.. era una VM di prova :D
Adesso vedo di capire il motivo.. non penso siano gli ultimi script che hai messo sul sito.. anche se il probl è comparso dopo che li ho eseguiti..
Cmq, anche se per il momento c'è questo probl, grazie per l'ottima guida e per il tempo che ci stai dedicando ;)
ot:
vm=virtualmachine giusto?

che programma utilizzi per possedere una virtualmachine ?
noperche' la prossima volta allora provo anche io con una macchina virtuale...

grazie e ciaoo

ot:
vm=virtualmachine giusto?

che programma utilizzi per possedere una virtualmachine ?
noperche' la prossima volta allora provo anche io con una macchina virtuale...

grazie e ciaoo

esatto. come programma uso vmware.. è comodissimo quando devi smanettare su queste cose senza rischiare la config del tuo pc..
Se lo facevo usando il mio pc e non la macchina virtuale era un disastro :)
Continuo a provare impostazioni diverse ma non c'è nulla da fare :cry:
Ho provato da sysadmin a cambiare lo script mettendo come utente administrator visto che lanciando il comando net localgroup administrators mi vede "administrator".. ma niente...

Come mi manca anche a me la VM!!!:cry: :cry:

D'altronde, VMware + KIS 7 (ma anche col 6 non cambiava 'na mazza...) -> BOOT trooooooppo lento...:(






OT:
visto che ci sono diversi utenti "smaliziati e smanettoni" su questo thread, chi mi potrebbe consigliare un buon programma alla Acronis True Image per fare le immagini della partizione dove ho il S.O.?
ATI, infatti, non riconosce ancora(!!!), a distanza di + di 6 mesi dalla segnalazione degli utenti, gli ultimi chipset intel 965/975/p35 (per non parlare del controller SATA Jmicron, ecc..)!!!!
AAAAARRRRRRRRGGGGGGGHHHHHHHHHHHH!!!!

Ho trovato un backup della vm e ho applicato di nuovo i consigli della guida..
Questa volta nessun problema con gli utenti, ma con gli script.
Una volta configurato tutto e loggato con l'utente limitato, ho provato a lanciare l'installazione di un eseguibile da desktop e giustamente non ha funzionato (quello che volevo ottenere)..
Per eseguire il progra allora ho lanciato esegui -> adminshell.. ho inserito psw di SysAdmin prima, user poi.. ma una volta che da windows explorer vado a lanciare l'eseguibile compare nuovamente il messaggio di restrizione software.
Cosa ho sbagliato?
PS: ho usato l'ultimo adminshell pubblicato sul sito (AdminCMD invece funziona, lanciando da lì l'eseguibile tutto ok)

Come mi manca anche a me la VM!!!:cry: :cry:

D'altronde, VMware + KIS 7 (ma anche col 6 non cambiava 'na mazza...) -> BOOT trooooooppo lento...:(






OT:
visto che ci sono diversi utenti "smaliziati e smanettoni" su questo thread, chi mi potrebbe consigliare un buon programma alla Acronis True Image per fare le immagini della partizione dove ho il S.O.?
ATI, infatti, non riconosce ancora(!!!), a distanza di + di 6 mesi dalla segnalazione degli utenti, gli ultimi chipset intel 965/975/p35 (per non parlare del controller SATA Jmicron, ecc..)!!!!
AAAAARRRRRRRRGGGGGGGHHHHHHHHHHHH!!!!

Potresti provare con paragon drive backup 8.5.Io lo uso e mi trovo bene.Per i chipset non saprei dirti,ma almeno se non conoscevi questo programma hai una alternativa in più...;)
saluti

Anch'io stesso identico problema di bCyclon..
Avevo SysAdmin come administrator e il mio account come user.
Sono uscito da SysAdmin per provare gli script da user e funzionavano.
Una volta tornato in SysAdmin per continuare a configurare la VM come scritto nella guida appena ho aperto gpedit.msc ho scoperto che non avevo i permessi per accedere. Sono andato a controllare in utenti e ho scoperto che SysAdmin faceva parte del gruppo user :eek:
Non capisco come possa essere accaduto... Cmq no problem.. era una VM di prova :D
Adesso vedo di capire il motivo.. non penso siano gli ultimi script che hai messo sul sito.. anche se il probl è comparso dopo che li ho eseguiti..
Cmq, anche se per il momento c'è questo probl, grazie per l'ottima guida e per il tempo che ci stai dedicando ;)


Aspetta, aspetta :D

Non e' che per sbaglio, nella fretta, quando avete creato SysAdmin l'avete creato come utente normale? :D

Tranquillo per gli script, gli uso io senza problemi e comunque fanno l'opposto: aggiungono un utente ad Administrators temporaneamente, non rimuovono nulla da quel gruppo :D


ot:
vm=virtualmachine giusto?

che programma utilizzi per possedere una virtualmachine ?
noperche' la prossima volta allora provo anche io con una macchina virtuale...

grazie e ciaoo

Puoi anche usare VmWare Player, gratuito (non usare altri virtualizzatori, non reggono il confronto), e crearti le virtual machines con http://www.easyvmx.com


Ho trovato un backup della vm e ho applicato di nuovo i consigli della guida..
Questa volta nessun problema con gli utenti, ma con gli script.
Una volta configurato tutto e loggato con l'utente limitato, ho provato a lanciare l'installazione di un eseguibile da desktop e giustamente non ha funzionato (quello che volevo ottenere)..
Per eseguire il progra allora ho lanciato esegui -> adminshell.. ho inserito psw di SysAdmin prima, user poi.. ma una volta che da windows explorer vado a lanciare l'eseguibile compare nuovamente il messaggio di restrizione software.
Cosa ho sbagliato?
PS: ho usato l'ultimo adminshell pubblicato sul sito (AdminCMD invece funziona, lanciando da lì l'eseguibile tutto ok)

Hai modificato AdminShell o lo hai usato cosi' com'e'?
Che messaggio ti compare esattamente?
Cmq sono contento hai risolto con gli utenti. ;)

interessante proposta.


senti Sisupoika, la parte interessante è quella della restrizione dell utente limitato.
Se non si parlasse di utente singolo ma di una serie di utenti collegati o collegabili in qualsiasi pc di una rete aziendale, come gestiresti la cosa?
E' importante in alcune aree "a rischio", limitare sicuramente le possibilità di fare danni da parte di utenti esperti e non.
Come si possono applicare delle regole "automatiche" a chiunque faccia l'accesso al pc della rete ? ( PC dentro al dominio, Utente che fa il login del dominio, certo esiste solo l'admin locale nessun altro utente.).

interessante proposta.


senti Sisupoika, la parte interessante è quella della restrizione dell utente limitato.
Se non si parlasse di utente singolo ma di una serie di utenti collegati o collegabili in qualsiasi pc di una rete aziendale, come gestiresti la cosa?
E' importante in alcune aree "a rischio", limitare sicuramente le possibilità di fare danni da parte di utenti esperti e non.
Come si possono applicare delle regole "automatiche" a chiunque faccia l'accesso al pc della rete ? ( PC dentro al dominio, Utente che fa il login del dominio, certo esiste solo l'admin locale nessun altro utente.).

Avevo dimenticato di dire che in ambito aziendale questa configurazione e' una figata.

Hai un dominio? Bene, attiva le restrizioni di gruppo anziche' sul computer locale, e te le ritrovi per magia attive su tutti i computer del dominio. :)

Leggendo il titolo la cosa che mi ha colpito è stato il senza firewall.
Io specificherei senza firewall esterno! Al giorno d'oggi essere completamente senza firewall mi pare una follia:D

In ogni caso anche io sono un sostenirore degli utenti con privilegi limitati, li uso sia sotto XP (Senza problemi per uso internet/Office dei miei, li veramente non ci si rende conto della differenza) che con Vista dove addirittura grazie a UAC non è necessario il workaround per elevare i privilegi dell'utente.

Segnalo per chi fosse interessato all'argomento:
Aaron Margosis' "Non-Admin" WebLog (http://blogs.msdn.com/aaron_margosis/default.aspx)
Blog di un dipendente MS in cui si parla degli utenti limitati

Running Vista Every Day (http://theinvisiblethings.blogspot.com/2007/02/running-vista-every-day.html)
Post in cui si fanno qualche passo ulteriore creando diversi utenti per diversi programmi in modo che ci sia una separazione tra i programmi che hanno acesso alla rete e quelli che si possono considerare sicuri.
Inoltre usando Vista è possibile attuare la separazione anche a livello di accesso ai files con gli Integrity Levles

Aspetta, aspetta :D

Non e' che per sbaglio, nella fretta, quando avete creato SysAdmin l'avete creato come utente normale? :D

Vista l'ora a cui l'ho fatto potrebbe anche essere :D

Hai modificato AdminShell o lo hai usato cosi' com'e'?
Che messaggio ti compare esattamente?
Cmq sono contento hai risolto con gli utenti. ;)

Sì, AdminShell ho usato l'ultima che avevi pubblicato senza fare modifiche.
Per sicurezza questo è il codice
@echo off
setlocal
set _Admin_=%COMPUTERNAME%\SysAdmin
set _Group_=Administrators
set _Prog_="explorer.exe "
set _User_=%USERDOMAIN%\%USERNAME%

if "%1"=="" (
runas /savecred /u:%_Admin_% "%~s0 %_User_%"
if ERRORLEVEL 1 echo. && pause
) else (
echo Adding user %* to group %_Group_%...
net localgroup %_Group_% "%*" /ADD
if ERRORLEVEL 1 echo. && pause
echo.
echo Starting program in new logon session...
runas /savecred /u:"%*" %_Prog_%
if ERRORLEVEL 1 echo. && pause
echo.
echo Removing user %* from group %_Group_%...
net localgroup %_Group_% "%*" /DELETE
if ERRORLEVEL 1 echo. && pause
)
endlocal

Questo è il messaggio che mi compare:

http://img517.imageshack.us/img517/4950/vmbe8.th.jpg (http://img517.imageshack.us/my.php?image=vmbe8.jpg)

PS: Lo stesso messaggio mi compare anche facendo run as -> sysadmin
Grazie per l'aiuto ;)

D'accordo con te a parte che quello realizzato con IPSEC e' un firewall, nel senso proprio del termine. :D

Vista l'ora a cui l'ho fatto potrebbe anche essere :D



Sì, AdminShell ho usato l'ultima che avevi pubblicato senza fare modifiche.
Per sicurezza questo è il codice

Questo è il messaggio che mi compare:

http://img517.imageshack.us/img517/4950/vmbe8.th.jpg (http://img517.imageshack.us/my.php?image=vmbe8.jpg)

Grazie per l'aiuto ;)


Wait! Stay still :D

Forse ho capito. Avvia secpol.msc, vai in Software Restriction Policies->Enforcement, e assicurati di aver selezionato come in figura:

http://img403.imageshack.us/img403/1096/untitledgi9.jpg

In questo modo disattivi le restrizioni per Administrator. Cosi', quando avvii AdminShell, che ha diritti amministrativi, puoi installare cio' che ti pare da ovunque. Fammi sapere.

Wait! Stay still :D

Forse ho capito. Avvia secpol.msc, vai in Software Restriction Policies->Enforcement, e assicurati di aver selezionato come in figura:

http://img403.imageshack.us/img403/1096/untitledgi9.jpg

In questo modo disattivi le restrizioni per Administrator. Cosi', quando avvii AdminShell, che ha diritti amministrativi, puoi installare cio' che ti pare da ovunque. Fammi sapere.

Era già impostato così :(
Quindi la causa è qualcos'altro... oggi pomeriggio mi sbatto un po' e se non va rifaccio di nuovo la configurazione da 0 :D

Una sola cosa: quando procedete, seguite passo passo le istruzioni e leggete attentamente, non fatevi prendere dalla fretta :D

Ho scoperto perchè ieri sera mi sono trovato senza amministratori :D
Avevo stupidamente eseguito uno dei 2 script dal profilo SysAdmin..
Una volta che si chiude la shell dei comandi in automatico SysAdmin non appartiene più al gruppo administrators (che nel caso dell'utente normale è quello che voglio, ossia che ritorni user).
Al limite conviene metterlo in prima pagina.. "Non eseguire ASSOLUTAMENTE gli script dal profilo SysAdmin" ;)

Per quanto riguarda adminshell nulla da fare... rifatto tutto da 0
AdminCMD funziona senza problemi.. AdminShel non mi fa aprire gli eseguibili.
Qualcun'altro ha provato? A voi funziona correttamente Adminshell?

Interessante, avevo usate le Security Policy di Windows solo per creare delle VPN IPSec based e mai come firewall a livello di stack TCP/IP. Proverò qualche cosa sul disco di prova. :D

Sisupoika, mi serve il tuo aiuto. ;)

Ho scoperto perchè ieri sera mi sono trovato senza amministratori :D
Avevo stupidamente eseguito uno dei 2 script dal profilo SysAdmin..
Una volta che si chiude la shell dei comandi in automatico SysAdmin non appartiene più al gruppo administrators (che nel caso dell'utente normale è quello che voglio, ossia che ritorni user).
Al limite conviene metterlo in prima pagina.. "Non eseguire ASSOLUTAMENTE gli script dal profilo SysAdmin" ;)

LOL adesso e' tutto chiaro. Appena posso metto degli script modificati che non effettuano alcuna trasformazione dell'utente se esso e' gia' administrator. :)

Per quanto riguarda adminshell nulla da fare... rifatto tutto da 0
AdminCMD funziona senza problemi.. AdminShel non mi fa aprire gli eseguibili.
Qualcun'altro ha provato? A voi funziona correttamente Adminshell?

che tipo di messaggio/errore ricevi?

Sisupoika, mi serve il tuo aiuto. ;)

Di' pure, appena posso rispondo (sono un po' incasinato al momento)

che tipo di messaggio/errore ricevi?

purtroppo sempre lo stesso di prima
ecco lo screen

http://img517.imageshack.us/img517/4950/vmbe8.th.jpg (http://img517.imageshack.us/my.php?image=vmbe8.jpg)

I settings di secpol.msc come l'altra volta sono a posto...
Non capisco cosa può essere

mi sono fatto una VM con xp e stessa fine dell'altra volta :(

a malinquore ma ci rinuncio...dopo 1 os intero a quel paese e stessa cosa per una vm tutta bella configurata mi cadono le braccia...


peccato..inbocca al lupo a tutti gli altri :)

purtroppo sempre lo stesso di prima
ecco lo screen

http://img517.imageshack.us/img517/4950/vmbe8.th.jpg (http://img517.imageshack.us/my.php?image=vmbe8.jpg)

I settings di secpol.msc come l'altra volta sono a posto...
Non capisco cosa può essere

E quello e' un explorer avviato con AdminShell, giusto? :confused:

mi sono fatto una VM con xp e stessa fine dell'altra volta :(

a malinquore ma ci rinuncio...dopo 1 os intero a quel paese e stessa cosa per una vm tutta bella configurata mi cadono le braccia...


peccato..inbocca al lupo a tutti gli altri :)


bCyclon, mi spiace, ma avrai sicuramente fatto qualche errore nella procedura :)
Cmq non demordere, so gia' preparando l'addon per nlite :D
Ti bastera' integrare il pacchetto.
Faro' anche una sorta di setup batch automatico per apportare tutte queste modifiche al sistema in una volta, senza che impazziate :D

ho provato, admincmd rosso e questo e' tutto:

:(



p.s. nello script aggiornato per admincmd manca all'inizio @echo off, nn so' se sia voluto :)

ciao

bCyclon, temo che tu abbia commesso lo stesso errore di oirad87, avviando lo script da SysAdmin.
Cmq postero' uno script che evita questo problema se per sbaglio lo lanciate da SysAdmin.

Premetto che non sono uno che si intende di codici e programmazione, ma mi piace smanettare. Ho XP Home e ho provato a creare il firewall, quando apro la porta 80, se ho capito bene si dovrebbe connettere solo Internet Explorer, ma a me si connette tutto (eMule, Skype, Outlook express...) tranne il browser.:muro:
Ho provato a configurare le porte 80 e 443 come nell'esempio di setup, ma il problema persiste!:doh:
Allora ho cancellato il mio file e ho scaricato il file pronto (firewall.msc), il problema ora è che si connette qualsiasi roba compreso IE!:eek:
Il mio firewall preesistente, non l'ho disinstallato, ma solo disattivato, però i risultati sono identici che sia attivato o no!
Sapete dirmi dove ho sbagliato?
grazie in anticipo

E quello e' un explorer avviato con AdminShell, giusto? :confused:


Esatto

mi interessano due cose:

1. il discorso delle policy per circoscrivere l'utente (o gruppo di utenti, meglio) al massimo. (e far intervenire SOLO l'admin per le installazioni, o gruppo di utenti amministratori).

2. ridistribuire il contenuto delle cartelle personali su ogni PC facciano il login. Magari anche la posta elettronica. (Ms. Outlook, da Exchange Server)

E quello e' un explorer avviato con AdminShell, giusto? :confused:




bCyclon, mi spiace, ma avrai sicuramente fatto qualche errore nella procedura :)
Cmq non demordere, so gia' preparando l'addon per nlite :D
Ti bastera' integrare il pacchetto.
Faro' anche una sorta di setup batch automatico per apportare tutte queste modifiche al sistema in una volta, senza che impazziate :D

grande!

certo che ti stai sbattendo x noi senza ricevere nemmeno 1 minimo €..bravo e complimenti!:D

Mi associo nella discussione...

faccio i miei complimenti all'autore "Sisupoika" guida molto originale e istruttiva, da un tocco sicuramente positivo a questa sezione, che è diventata monotona e ripetitiva negli ultimi tempi, a mio avviso... e inoltre ammirevole la tua buona volontà, disponibilità ed educazione anche quando sei stato criticato in modo ingiustificato.

@Sisupoika

Ti informo che ho messo in atto quanto descritto nella tua guida e non ho rilevato nessun problema, funziona tutto in maniera corretta, ora testo per quanche giorno e poi ti/vi faccio sapere. :)

Ciao.

Mi associo nella discussione...

faccio i miei complimenti all'autore "Sisupoika" guida molto originale e istruttiva, da un tocco sicuramente positivo a questa sezione, che è diventata monotona e ripetitiva negli ultimi tempi, a mio avviso... e inoltre ammirevole la tua buona volontà, disponibilità ed educazione anche quando sei stato criticato in modo ingiustificato.

@Sisupoika

Ti informo che ho messo in atto quanto descritto nella tua guida e non ho rilevato nessun problema, funziona tutto in maniera corretta, ora testo per quanche giorno e poi ti/vi faccio sapere. :)

Ciao.

Perfetto, grazie per il post e mi fa piacere che tu non abbia incontrato difficolta'. Comunque come detto sto preparando una procedura automatica, che si possa volendo anche integrare nel setup di Windows con nLite. L'unico problema e' che temo dovro' mettere su una procedura temporanea per il momento, e fare qualcosa di piu' "elegante" appena torno, perche' infatti da Sabato prossimo saro' in Finlandia per due settimane.

Ciao e ricordati di NON eseguire gli scripts sotto SysAdmin :D
Potresti avere lo stesso problema con gli utente incontrato da altri. Devo anche ricordare di modificare gli script per evitare questo problema.

Aspettiamo tue notizie allora, e buona Finlandia :) .
Io non ho ancora provato il tuo sistema, lo farò penso dopo le vacanze.

@Sisupoika

Non preoccuparti, ti informo che ho eseguito alcune modifiche alla tua procedura, solo nella parte del nome dell'amministratore, il famoso SysAdmin, il mio ha un altro nome... tranquillo ho aggiornato anche gli scripts in modo che funzionino lo stesso.

Per il momento va tutto ok ho provato ad eseguire anche alcuni malware senza riscontrare problemi, vediamo dopo una settimana di sperimenti che succede.:)

Ciao.

Ma tu avevi abilitato o no le restrizioni software? Prova a rileggere passo passo la guida. Dai, non e' difficile :flower:

nulla da fare...possibile che sia l'unico pirla con questo problema?:sofico:

ho notato ora che la schermata è nera non rossa!

Per prima cosa complimenti a Sisupoika per l'interessante guida e la chiarezza con cui è stata realizzata.

Ho provato la configurazione suggerita in una macchina virtuale, e adesso tutto sembra funzionare correttamente.
Ho però riscontrato lo stesso problema che hanno avuto altri utenti con lo script AdminShell.cmd, mi riferisco ad esempio all'utente oirad87.
Il problema in realtà non è nello script, che è corretto, ma nel fatto che con la configurazione di default di Windows, non è possibile lanciare Windows Explorer con privilegi differenti rispetto a quelli dell'utente che ha effettuato il login. Questo avviene perchè con le impostazioni di default Windows Explorer utilizza un solo processo; questo significa che tutte le finestre di "Esplora Risorse" che apriamo risiederanno in un unico processo, anche quella che lanciamo tramite lo script AdminShell, e tutte quindi avranno gli stessi privilegi, quelli del gruppo User dell'utente loggato.
Per risolvere il problema bisogna forzare Windows Explorer a utilizzare un processo differente per ogni finestra:
Pannello di controllo -> Opzioni cartella -> Visualizzazione
e selezionate la voce "Esegui le finestre delle cartelle in un processo separato".

Sul blog di Aaron Margosis ho trovato una toolbar per Explorer interesante che permette di visualizzare i privilegi attuali della finestra. Può essere utile per distinguere la finestra di explorer con diritti amministrativi dalle altre, altrimenti indistinguibili, specialmente se si hanno molte finestre aperte. La trovate qui. (http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx)

@juninho85:
La prima volta che lanci uno dei due script, ad esempio AdminCMD, la finestra è nera, e ti chiede di inserire la password di amministratore. Quando digiti la password, su schermo non vedrai niente, il cursore non si muoverà, come se non rispondesse all'input della tastiera, ma è normale: in realtà quello che digiti viene letto! Quindi devi digitare la password correttamente senza preoccuparti del cursore che non si muove. Una volta inserita la password di amministratore, ti verrà chiesta nella stessa maniera quella dell'utente limitato. Inserita anche questa verrà avviata la console con diritti amministrativi, quella rossa per intenderci. Le password inserite vengono memorizzate, quindi in futuro non ti verranno più chieste, ma si avvierà direttamente la console "rossa".

@Sisupoika:
ho notato che da utente limitato non posso modificare le cartelle di sistema nè eseguire programmi che non siano nelle cartelle Programmi o Windows; quindi fin qui tutto bene.
Però ho notato che da utente limitato posso disinstallare del software da "pannello di controllo -> installazione applicazioni" :eek:
E' normale? Ci sono delle impostazioni per impedire anche questo?

@juninho85:
La prima volta che lanci uno dei due script, ad esempio AdminCMD, la finestra è nera, e ti chiede di inserire la password di amministratore. Quando digiti la password, su schermo non vedrai niente, il cursore non si muoverà, come se non rispondesse all'input della tastiera, ma è normale: in realtà quello che digiti viene letto! Quindi devi digitare la password correttamente senza preoccuparti del cursore che non si muove. Una volta inserita la password di amministratore, ti verrà chiesta nella stessa maniera quella dell'utente limitato. Inserita anche questa verrà avviata la console con diritti amministrativi, quella rossa per intenderci. Le password inserite vengono memorizzate, quindi in futuro non ti verranno più chieste, ma si avvierà direttamente la console "rossa".

nisba....mi dice che sono sbaglati nome utente e/o password...sarà mica per via della modifica ai nomi degli utenti?:stordita:

Per prima cosa complimenti a Sisupoika per l'interessante guida e la chiarezza con cui è stata realizzata.

Ho provato la configurazione suggerita in una macchina virtuale, e adesso tutto sembra funzionare correttamente.
Ho però riscontrato lo stesso problema che hanno avuto altri utenti con lo script AdminShell.cmd, mi riferisco ad esempio all'utente oirad87.
Il problema in realtà non è nello script, che è corretto, ma nel fatto che con la configurazione di default di Windows, non è possibile lanciare Windows Explorer con privilegi differenti rispetto a quelli dell'utente che ha effettuato il login. Questo avviene perchè con le impostazioni di default Windows Explorer utilizza un solo processo; questo significa che tutte le finestre di "Esplora Risorse" che apriamo risiederanno in un unico processo, anche quella che lanciamo tramite lo script AdminShell, e tutte quindi avranno gli stessi privilegi, quelli del gruppo User dell'utente loggato.
Per risolvere il problema bisogna forzare Windows Explorer a utilizzare un processo differente per ogni finestra:
Pannello di controllo -> Opzioni cartella -> Visualizzazione
e selezionate la voce "Esegui le finestre delle cartelle in un processo separato".


Grandissimo! ;)
Ora funziona perfettamente!


Sul blog di Aaron Margosis ho trovato una toolbar per Explorer interesante che permette di visualizzare i privilegi attuali della finestra. Può essere utile per distinguere la finestra di explorer con diritti amministrativi dalle altre, altrimenti indistinguibili, specialmente se si hanno molte finestre aperte. La trovate qui. (http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx)


Molto interessante.. appena ho 2 minuti la installo.


@Sisupoika:
ho notato che da utente limitato non posso modificare le cartelle di sistema nè eseguire programmi che non siano nelle cartelle Programmi o Windows; quindi fin qui tutto bene.
Però ho notato che da utente limitato posso disinstallare del software da "pannello di controllo -> installazione applicazioni" :eek:
E' normale? Ci sono delle impostazioni per impedire anche questo?

Ho provato per curiosità e anche a me permette dal profilo user di disinstallare le applicazioni :eek:
Rimango anch'io in attesa di un'eventuale soluzione.
Grazie a tutti per l'aiuto ;)

@oirad87 e M@tt82

Non credo che sia normale, almeno a me non lascia disinstallare nulla!
Nella prova che ho fatto ho provato a disinstallare Ccleaner con il seguente risultato.

http://img513.imageshack.us/img513/8894/disus2.th.jpg (http://img513.imageshack.us/my.php?image=disus2.jpg)

Ciao.:)

nulla da fare...possibile che sia l'unico pirla con questo problema?:sofico:

ho notato ora che la schermata è nera non rossa!

Ulteriore conferma che hai saltato qualcosa :D


Ho però riscontrato lo stesso problema che hanno avuto altri utenti con lo script AdminShell.cmd, mi riferisco ad esempio all'utente oirad87.
Il problema in realtà non è nello script, che è corretto, ma nel fatto che con la configurazione di default di Windows, non è possibile lanciare Windows Explorer con privilegi differenti rispetto a quelli dell'utente che ha effettuato il login. Questo avviene perchè con le impostazioni di default Windows Explorer utilizza un solo processo; questo significa che tutte le finestre di "Esplora Risorse" che apriamo risiederanno in un unico processo, anche quella che lanciamo tramite lo script AdminShell, e tutte quindi avranno gli stessi privilegi, quelli del gruppo User dell'utente loggato.
Per risolvere il problema bisogna forzare Windows Explorer a utilizzare un processo differente per ogni finestra:
Pannello di controllo -> Opzioni cartella -> Visualizzazione
e selezionate la voce "Esegui le finestre delle cartelle in un processo separato".

porc. vacca :D ho scordato di mettere nella guida il link ad un file .reg che attiva il processo separato da se' :D
Comunque si puo' fare normalmente come giustamente suggerito da te. Grazie! :)
Appena posso mettero' un po' d'ordine nella guida.

Sul blog di Aaron Margosis ho trovato una toolbar per Explorer interesante che permette di visualizzare i privilegi attuali della finestra. Può essere utile per distinguere la finestra di explorer con diritti amministrativi dalle altre, altrimenti indistinguibili, specialmente se si hanno molte finestre aperte. La trovate qui. (http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx)

Puo' essere utile a seconda delle preferenze; io non la uso perche' faccio uso "ristretto" del sistema by default, e so quando apro una shell come admin perche' la apro solo quando mi serve (anche se spesso ne ho aperta comunque una). Pero' puo' essere utile.

@juninho85:
La prima volta che lanci uno dei due script, ad esempio AdminCMD, la finestra è nera, e ti chiede di inserire la password di amministratore. Quando digiti la password, su schermo non vedrai niente, il cursore non si muoverà, come se non rispondesse all'input della tastiera, ma è normale: in realtà quello che digiti viene letto! Quindi devi digitare la password correttamente senza preoccuparti del cursore che non si muove. Una volta inserita la password di amministratore, ti verrà chiesta nella stessa maniera quella dell'utente limitato. Inserita anche questa verrà avviata la console con diritti amministrativi, quella rossa per intenderci. Le password inserite vengono memorizzate, quindi in futuro non ti verranno più chieste, ma si avvierà direttamente la console "rossa".

Secondo me ha saltato o sbagliato qualcosa, perche' dice di non vedere la schermata rossa nel suo caso. Cmq tutti questi "problemini" saranno dimenticati con i nuovi script ecc che alleghero' appena finisco.

@Sisupoika:
ho notato che da utente limitato non posso modificare le cartelle di sistema nè eseguire programmi che non siano nelle cartelle Programmi o Windows; quindi fin qui tutto bene.
Però ho notato che da utente limitato posso disinstallare del software da "pannello di controllo -> installazione applicazioni" :eek:
E' normale? Ci sono delle impostazioni per impedire anche questo?


Premetto che cio' non dovrebbe accadere, quindi temo ci sia qualcosa che non va'. Cmq per impedire questa cosa ti basta spostare il file appwiz.cpl che trovi in system32 in un qualunque percorso esterno alla cartella di Windows e quella dei programmi. Cosi' facendo, come per gli altri eseguibili al di fuori delle cartelle consentite, dovrai eseguire come amministratore di sistema altrimenti non funzionera'. ;)
Ma come detto non e' normale che ti consente l'uninstall.
Cmq quando sono a casa controllo per sicurezza.

nisba....mi dice che sono sbaglati nome utente e/o password...sarà mica per via della modifica ai nomi degli utenti?:stordita:

Se hai un po' di pazienza, postero' una procedura automatica che configurera' il tutto senza chiederti niente :fagiano:

Se hai un po' di pazienza, postero' una procedura automatica che configurera' il tutto senza chiederti niente :fagiano:

ma quale fretta!...piuttosto tocca ringraziarti per questo thread;)

non vorrei essere banale ma vorrei dirti che sei un grande! non ho ancora letto la guida che hai fatto ... mi sono limitato a leggere le impressioni altrui e le difficolta per capire se cio' chehai scritto è una cosa attendibile o meno... purtroppo in rete molta gente "vende fumo".Ho capito che sei una persona disponibile e molto ragionevole quindi potro addentrarmi nella configurazione all utente limitato... il fatto che sia macchinoso per come la vedo io è una cosa mooooolto affascinante! troppi winzard avanti avanti avanti mi hanno rotto voglio capire come si muovono le cose dietro... almeno una minima parte e tu penso mi darai questa opportunita...

beh dalla mia metto l impatto che puo dare la tua guida ad un UTONTO


vediamo cosa ne viene fuori.....

p.s. usero virtual machine 2007 va bene o opto per altro???

non vorrei essere banale ma vorrei dirti che sei un grande! non ho ancora letto la guida che hai fatto ... mi sono limitato a leggere le impressioni altrui e le difficolta per capire se cio' chehai scritto è una cosa attendibile o meno... purtroppo in rete molta gente "vende fumo".Ho capito che sei una persona disponibile e molto ragionevole quindi potro addentrarmi nella configurazione all utente limitato... il fatto che sia macchinoso per come la vedo io è una cosa mooooolto affascinante! troppi winzard avanti avanti avanti mi hanno rotto voglio capire come si muovono le cose dietro... almeno una minima parte e tu penso mi darai questa opportunita...

beh dalla mia metto l impatto che puo dare la tua guida ad un UTONTO


vediamo cosa ne viene fuori.....

p.s. usero virtual machine 2007 va bene o opto per altro???


Ciao Utonto,

bel nickname :D

Grazie innanzitutto. Mi fa piacere che tu abbia colto in pieno lo spirito del thread. E mi fa piacere che tu non ti lasci in qualche modo "spaventare" dal fatto che una procedura come questa non e' la piu' immediata.
Se non sei molto pratico di questo genere di cose, basta avere un po' di pazienza e quelli che all'inizio possono sembrare "problemi" o difficolta' svaniscono. Una volta superato lo "scoglio", come si suol dire, ci si rende poi conto che le differenze concrete tra questo modo di usare Windows e quello solito, non sono molte, anzi quasi nulle con piccoli accorgimenti.
Ma le differenze in termini di benefici quelle si', che ci sono :)

Buona fortuna con la configurazione. Se hai qualche problemino non lasciarti intimorire e chiedi qui. Avrei potuto aprire il thread con dentro senza troppe spiegazioni e con i soli link a procedure belle e pronte, ma ho pensato che di quei thread e guide su "come installare un sw e usarlo" (LOL) ce ne fossero gia' troppe.

Cmq come gia' detto diverse volte postero' appena possibile

- un video che mostri come compiere tutte le operazioni in pochi minuti
- riscrivero' comunque la guida mettendola in ordine, aggiungendo piu' screen shots come richiesto, aggiungendo anche altri accorgimenti
- il link ad una sorta di setup automatico che fara' tutto da solo
- il link ad un addon per nLite*, cosi' da potersi creare un Windows gia' configurato al termine dell'installazione
- nuovi script che facilitino l'utilizzo delle applicazioni con diritti amministrativi, e risolvano i problemi riscontrati da alcuni con la gestione dei diversi accounts

*nLite: sembra ci sia un problema nella gestione degli utenti se le modifiche vengono effettuate in fase di installazione. Ho trovato comunque una soluzione alternativa che sembra funzionare, ma ho bisogno di testare ecc ecc (non vorrei farvi bruciare cd e perdere tempo con un Windows che non funziona come dovrebbe :D)

Purtroppo ho solo un problema al momento: non ho molto tempo in questi giorni perche' devo finire un progetto entro venerdi' perche da sabato sono in Finlandia per due settimane. Quindi temo che dovro' postare questa roba quando torno :fagiano:

Dimenticavo: se puoi usa VMWare. VirtualPC non e' altrettanto efficiente in termini di prestazioni. :)

Ho provato ad installare Windows MCE su una macchina virtuale, al fine di non fare danni :D, ho seguito la guida passo passo (iniziando dal punto 2) e sono arrivato al punto in cui devo copiare i 2 file cmd nella cartella di windows...
Bene avviando uno dei 2, mi comprare il prompt di dos con il tentativo di avviare il cmd con credenziali differenti ma, immettendo la giusta password, mi dice che la pass è sbagliata.... ho provato anche a cambiarla e prestato + attenzione ma niente... cosa può essere?

Grazie


Edit: ho smanettato un pò in "Gestione Computer" nella sezione relativa agli account (dove si disabilita l'admin, per intenderci) ed ho provveduto a rinominare manualmente i vari account, in quanto il SysAdmin compariva solo nel campo "Nome completo" e non nel suo nome originale. Ho risolto questo problema, continuo con il resto della guida :D

Anch'io stesso identico problema di bCyclon..
Avevo SysAdmin come administrator e il mio account come user.
Sono uscito da SysAdmin per provare gli script da user e funzionavano.
Una volta tornato in SysAdmin per continuare a configurare la VM come scritto nella guida appena ho aperto gpedit.msc ho scoperto che non avevo i permessi per accedere. Sono andato a controllare in utenti e ho scoperto che SysAdmin faceva parte del gruppo user :eek:
Non capisco come possa essere accaduto... Cmq no problem.. era una VM di prova :D
Adesso vedo di capire il motivo.. non penso siano gli ultimi script che hai messo sul sito.. anche se il probl è comparso dopo che li ho eseguiti..
Cmq, anche se per il momento c'è questo probl, grazie per l'ottima guida e per il tempo che ci stai dedicando ;)

Stesso problema anche a me, mi si è cancellato SysAdmin xkè l'ho avviato inconsapevolmente dalla propria sessione... devo reinstallare l'OS :p
Prima di fare ciò, aspetto gli scripts corretti, visto che sono già il 3° a fare macelli :p

Comunque ottima guida, aspetto news ;)

Per tutti: sono riuscito a farlo stasera, anche se in parte. :)


http://www.hwupgrade.it/forum/showthread.php?t=1523302

Divertitevi ;)

non vorrei fosse una domanda stupidissima ma ho un dubbio...

con questo sistema possiamo considerare il nostro computer preventivametne protetto... ma mettiamo il caso che:

io sia uno smanettone navigo tra siti xxx suonerie sfondi crack ecc ecc

in un modo o nell altro il mio pc prende una famigliola allegra ( ma ovviamente sterile ) di spyware ad ware worm... insomma malware in generale di tutti i tipi...

ok sono tranquillo non si replicano non agiscono insomma hanno le mani legate ! pero'...

mettiamo il caso che questo sia il pc di casa mia... arriva il mio amico con il notebook facciamo il collegamento con un cross e riusciamo a passarci i file tranquillamente....
quindi il dubbio è... non è che questi virus fanno una scampagnata fino al pc del mio amico e si sbizzariscono la?!

non sarebbe quindi utile ogni tanto utilizzare un antivirs stadanlone magari ( messo nell apposita cartella con permessi) per fare pulizia dell impurita "morte" ?

non so se sono riuscito a spiegarmi ... ora vado avanti nel leggere la guida

buona giornata!

Ciao Utonto. :)

Dunque:




con questo sistema possiamo considerare il nostro computer preventivametne protetto...

Hai usato il termine adatto: questa configurazione aiuta a prevenire problemi, riducendo drasticamente la possibilita' di ritrovarsi infetti.
Questa procedura NON elimina problemi di sicurezza, dal momento che la sicurezza totale NON esiste.
Questa procedura ti aiuta a prevenire che processi indesiderati, avviati di nascosto ecc, possano modificare risorse di sistema (files e registro), o corrompere dati personali, di fatto riducendo drasticamente le possibilita' di infezione.
Cio' garantisce una protezione ottimale a patto che:

- configuri tutto come suggerito (per la configurazione degli utenti adesso hai una procedura automatica)
- installi solo software proveniente da fonte sicura (dischi originali, siti produttori ecc)
- (o anche) installi software proveniente da qualunque fonte solo dopo esserti accertato che quel software e' sicuro.
Nota: a tal proposito, sto ideando un addon per questa configurazione, che consenta di fare scansione antivirus su determinati file (appunto quelli provenienti da fonti non sicure come p2p, siti sconosciuti ecc), senza installare un Antivirus. :D
Ma per questo si dovra' attendere a quando torno dalle vacanze.


ma mettiamo il caso che:

io sia uno smanettone navigo tra siti xxx suonerie sfondi crack ecc ecc

in un modo o nell altro il mio pc prende una famigliola allegra ( ma ovviamente sterile ) di spyware ad ware worm... insomma malware in generale di tutti i tipi...

ok sono tranquillo non si replicano non agiscono insomma hanno le mani legate ! pero'...

Appunto, i rischi di prenderti infezioni da malware di qualunque tipo sono veramente minimi, con tutti questi accorgimenti.
Dovresti eseguire il browser come amministratore soltanto per specifici siti sicuri, solo quando necessario (es. Microsoft Update).
Cosi' facendo, non dovresti rischiare che qualcosa ti entri nel pc navigando.

mettiamo il caso che questo sia il pc di casa mia... arriva il mio amico con il notebook facciamo il collegamento con un cross e riusciamo a passarci i file tranquillamente....
quindi il dubbio è... non è che questi virus fanno una scampagnata fino al pc del mio amico e si sbizzariscono la?!

non sarebbe quindi utile ogni tanto utilizzare un antivirs stadanlone magari ( messo nell apposita cartella con permessi) per fare pulizia dell impurita "morte" ?

Questa e' una condizione particolare: se hai bisogno di copiare roba da/verso altri pc, in questo caso, per ora (capirete nel prossimo futuro cosa intendo :D) ti conviene mantenere un Antivirus, e settarlo in modo che ti faccia la scansione realtime soltanto per le unita' removibili o percorsi di rete.

buona giornata!

Buona giornata a te ;)

curioso...lo sperimenterei volentirei...c'è sempre qualche bestiola...che rompe...
anche se meno di prima....
mi sa che farò un formattino di prova su un pc...

@Sisupoika:
ho notato che da utente limitato non posso modificare le cartelle di sistema nè eseguire programmi che non siano nelle cartelle Programmi o Windows; quindi fin qui tutto bene.
Però ho notato che da utente limitato posso disinstallare del software da "pannello di controllo -> installazione applicazioni" :eek:
E' normale? Ci sono delle impostazioni per impedire anche questo?



Premetto che cio' non dovrebbe accadere, quindi temo ci sia qualcosa che non va'. Cmq per impedire questa cosa ti basta spostare il file appwiz.cpl che trovi in system32 in un qualunque percorso esterno alla cartella di Windows e quella dei programmi. Cosi' facendo, come per gli altri eseguibili al di fuori delle cartelle consentite, dovrai eseguire come amministratore di sistema altrimenti non funzionera'. ;)
Ma come detto non e' normale che ti consente l'uninstall.
Cmq quando sono a casa controllo per sicurezza.

Alla fine ho risolto togliendo i diritti di esecuzione al file che mi hai indicato (appwiz.cpl).
Oltre a questo, mi sono accorto che da utente limitato avevo diritto di scrittura ed esecuzione nella cartella Programmi e in tutte le sottocartelle :eek: .
In pratica nelle impostazioni di sicurezza oltre ai gruppi Administrators e Users era presente il nome del mio account limitato con delle impostazioni personalizzate diverse da quelle del gruppo Users cui appartiene :eek: :doh: .
Rispetto alla tua guida, dove dici di rinominare in SysAdmin l'account amministratore che si è utilizzato finora, e di crearne uno nuovo limitato, io ne ho creato invece uno nuovo amministratore chiamandolo SysAdmin, ed ho modificato quello già esistente in account limitato. Sarà stato questo il motivo?
Windows si "ricordava" alcune delle impostazioni precedenti? :sofico:
Comunque non sarebbe dovuto succedere :nono:

Vabbè, problemi risolti a parte, ho notato una cosa strana sempre nel caro vecchio Windows Explorer :rolleyes: .
Anche con la modifica che permette di creare più istanze del processo explorer, ne vengono comunque create al massimo due. :eek:
Questo significa che se è già aperta anche una sola finestra di explorer, non è possibile aprirne una come amministratore. :mad:
Inoltre, se ad esempio ho una sola finestra aperta di explorer come amministratore, se provo ad aprire una qualsiasi altra finestra come utente normale, questo è quello che succede:

- se provo ad aprire una finestra da uno dei collegamenti sul desktop (Documenti, Risorse del computer,...), si apre una finestra con diritti limitati :)
- se provo ad aprirne una da uno dei collegamenti del menu avvio, si apre una finestra con diritti amministrativi :mbe: :eekk:

A nessun altro succede la stessa cosa? :boh:

Alla fine ho risolto togliendo i diritti di esecuzione al file che mi hai indicato (appwiz.cpl).
Oltre a questo, mi sono accorto che da utente limitato avevo diritto di scrittura ed esecuzione nella cartella Programmi e in tutte le sottocartelle :eek: .
In pratica nelle impostazioni di sicurezza oltre ai gruppi Administrators e Users era presente il nome del mio account limitato con delle impostazioni personalizzate diverse da quelle del gruppo Users cui appartiene :eek: :doh: .
Rispetto alla tua guida, dove dici di rinominare in SysAdmin l'account amministratore che si è utilizzato finora, e di crearne uno nuovo limitato, io ne ho creato invece uno nuovo amministratore chiamandolo SysAdmin, ed ho modificato quello già esistente in account limitato. Sarà stato questo il motivo?
Windows si "ricordava" alcune delle impostazioni precedenti? :sofico:
Comunque non sarebbe dovuto succedere :nono:

Vabbè, problemi risolti a parte, ho notato una cosa strana sempre nel caro vecchio Windows Explorer :rolleyes: .
Anche con la modifica che permette di creare più istanze del processo explorer, ne vengono comunque create al massimo due. :eek:
Questo significa che se è già aperta anche una sola finestra di explorer, non è possibile aprirne una come amministratore. :mad:
Inoltre, se ad esempio ho una sola finestra aperta di explorer come amministratore, se provo ad aprire una qualsiasi altra finestra come utente normale, questo è quello che succede:

- se provo ad aprire una finestra da uno dei collegamenti sul desktop (Documenti, Risorse del computer,...), si apre una finestra con diritti limitati :)
- se provo ad aprirne una da uno dei collegamenti del menu avvio, si apre una finestra con diritti amministrativi :mbe: :eekk:

A nessun altro succede la stessa cosa? :boh:



E' si' probabile che i problemi riscontrati fossero dovuti a delle precedenti impostazioni dell'account in oggetto, anche se per capirne meglio dovrei vedere il sistema.

Se tutto funziona correttamente, infatti, NON dovresti essere in grado di scrivere niente in quelle cartelle quando sei utente limitato. Puoi, invece, farlo quando trasformi temporaneamente l'utente limitato in amministratore nell'eseguire explorer ecc.

Processo Explorer: non sto avendo problemi con l'ultima procedura automatizzata su una nuova installazione, pero' si', anche io avevo notato che ogni tanto se ne andava a palle :D

Prova dunque con la nuova procedura, e fammi sapere (grazie per il contributo coi test! ;))

Anche l'ultimo punto sulle finestre aperte dal menu avvio, non dovrebbe accadere.

Cmq ti consiglio di tenere sott'occhio entrambi i thread, ci saranno aggiornamenti man mano che escono fuori problemi e soluzioni. :)

Complimenti, ottima guida,
pur essendo un utente linux da ormai un annetto mi sono incuriosito e ho provato il tutto su VirtualBox e tutto è andato bene...
Oltre che dal punto di vista della sicurezza questa guida insegna anche in brevissimo tempo come fare determinate cose in windows che io sinceramente non sapevo(non tutte almeno) non avendo mai approfondito a fondo tale sistema operativo.
Il fatto è che mentre con linux si è costretti ad imparare a fondo il sistema smanettando qui e li, e imparando molte cose, su win non se ne sente il bisogno e quindi alcune funzioni rimangono nascoste ai più....

Complimenti, ottima guida,
pur essendo un utente linux da ormai un annetto mi sono incuriosito e ho provato il tutto su VirtualBox e tutto è andato bene...
Oltre che dal punto di vista della sicurezza questa guida insegna anche in brevissimo tempo come fare determinate cose in windows che io sinceramente non sapevo(non tutte almeno) non avendo mai approfondito a fondo tale sistema operativo.
Il fatto è che mentre con linux si è costretti ad imparare a fondo il sistema smanettando qui e li, e imparando molte cose, su win non se ne sente il bisogno e quindi alcune funzioni rimangono nascoste ai più....


esatto, purtroppo hai hagione su Windows :)

- configuri tutto come suggerito (per la configurazione degli utenti adesso hai una procedura automatica)


Ciao Sisupoika,

sono un mezzo utonto e fare quella automatica uno non mi stimolerebbe due voglio capire di piu tre se ci riesco da UTONTO passo di livello a UTENTE :sofico:

vabbe sento che durante la prova imparero anche qualche parolaccia nuova :ciapet:

scherzi a parte mi sono procurato VMWARE e accantonato VM2007 come da tuo consiglio

ora non mi resta che provare...uhm...facciamo che vado a dormire e ci provo in mattinata da lavoro!!! :D


notte

Beh...alla fine non ho saputo resistere ed ho provato ad applicare la procedura :) .
L'ho fatto su di un computer formattato di fresco, installato Win xp Professional Sp2, scaricati tutti gli aggiornamenti ed eseguito il tuo script postato nell'altro thread, nonchè applicato le modifiche ai criteri di protezione.
Poi sono passato ad installare uno ad uno tutti i programmi che uso abitualmente (non è che siano tanti) e funzionano tutti a dovere :) .
Devo ancora fare le modifiche per impostare il firewall, magari le farò domani o nel weekend, quando avrò più tempo, perchè almeno quelle vorrei provare a farle a mano, senza usare pacchetti già pronti, per il momento ho messo ghostwall.
La prima impressione, dopo un attimo di spaesamento è buona, si fa presto ad abituarsi ad usare il comando Admincmd o Adminexplorer e dopo poco tempo diventa una cosa automatica :) .
Ora lo testo per un pò di giorni, ma ho già la sensazione che le case produttrici di antivirus d'ora in poi avranno un cliente in meno :sofico: .
L'idea di usare windows in una maniera simile a come utilizzo Linux, cioè senza antivirus o altri programmi per la sicurezza mi sembra fantastica, però capisco i dubbi di alcuni, credo sia una cosa "mentale", è difficile abituarsi all'idea di usare Win in questa maniera.
Molti senza antivirus si sentono nudi, come ha detto Sampei :) , credo sia più che altro un blocco psicologico.
Tuttavia mi piacerebbe anche conoscere il parere di eraser su questa procedura, speriamo che posti :fagiano: .

Ciao

Ciao Sisupoika,

sono un mezzo utonto e fare quella automatica uno non mi stimolerebbe due voglio capire di piu tre se ci riesco da UTONTO passo di livello a UTENTE :sofico:

vabbe sento che durante la prova imparero anche qualche parolaccia nuova :ciapet:

scherzi a parte mi sono procurato VMWARE e accantonato VM2007 come da tuo consiglio

ora non mi resta che provare...uhm...facciamo che vado a dormire e ci provo in mattinata da lavoro!!! :D


notte


auguri per il tuo passaggio di livello :D


Beh...alla fine non ho saputo resistere ed ho provato ad applicare la procedura :) .
L'ho fatto su di un computer formattato di fresco, installato Win xp Professional Sp2, scaricati tutti gli aggiornamenti ed eseguito il tuo script postato nell'altro thread, nonchè applicato le modifiche ai criteri di protezione.
Poi sono passato ad installare uno ad uno tutti i programmi che uso abitualmente (non è che siano tanti) e funzionano tutti a dovere :) .
Devo ancora fare le modifiche per impostare il firewall, magari le farò domani o nel weekend, quando avrò più tempo, perchè almeno quelle vorrei provare a farle a mano, senza usare pacchetti già pronti, per il momento ho messo ghostwall.
La prima impressione, dopo un attimo di spaesamento è buona, si fa presto ad abituarsi ad usare il comando Admincmd o Adminexplorer e dopo poco tempo diventa una cosa automatica :) .

Esattamente :)
E sara' ancora meglio con la nuova roba che postero' quando pronta :D
Praticamente non noterai piu' nessuna differenza, neanche i flash, le schermate per l'elevazione dell'utente, ecc. Sara' tutto trasparente ed ultra veloce :D

Ora lo testo per un pò di giorni, ma ho già la sensazione che le case produttrici di antivirus d'ora in poi avranno un cliente in meno :sofico: .
L'idea di usare windows in una maniera simile a come utilizzo Linux, cioè senza antivirus o altri programmi per la sicurezza mi sembra fantastica, però capisco i dubbi di alcuni, credo sia una cosa "mentale", è difficile abituarsi all'idea di usare Win in questa maniera.
Molti senza antivirus si sentono nudi, come ha detto Sampei :) , credo sia più che altro un blocco psicologico.
Tuttavia mi piacerebbe anche conoscere il parere di eraser su questa procedura, speriamo che posti :fagiano: .

Ciao

Con una configurazione di questo tipo, e ancora piu' con tutte le nuove modifiche che arriveranno, le possibilita' di prendere infezioni sono molto, molto ridotte, ed eventuali danni molto, molto limitati.
Ma un uso attento del pc e' insostituibile.
Cosi' come e' adesso, ci sono a mio avviso soltanto due possibili problemi con una configurazione di questo tipo (dove includo le restrizioni sul software, che purtroppo sembrano non essere disponibili su Windows home - comunque nella mia applicazione ho pensato ad un tipo di restrizioni parallelo che funzionera' anche con la home):

- se scarichi roba da fonti non sicure, come p2p ecc. ti conviene fare (per ora) una scansione sempre e comunque prima di eseguire un applicativo potenzialmente pericoloso (perche' da fonte sconosciuta) con diritti di amministratore.
Se cosi' facendo installassi un'applicazione infetta, annulleresti la barriera dell'account limitato.
In tal caso, avresti bisogno di un antivirus on demand (anche online o CureIt che e' scaricabile e non necessita di installazione) con cui effettuare una scansione dei file scaricati prima di eseguirli come amministratore.
DrWeb offre inoltre una estensione per firefox che consente di effettuare scansione di roba dal web (non p2p) prima di scaricarla.
Poiche' le possibili infezioni dovute a browser sarebbero enormemente ridotte, se tu installassi solo software originale da supporti oppure dai siti dei produttori, non avresti praticamente alcun rischio possibile di infezione.
Anche eventuali email infette non potrebbero compromettere il sistema poiche' il tuo client di posta girerebbe sotto utente limitato.

- stesso problema riguarda i drive removibili: cosa accade se scarichi qualcosa che e' infetto, e lo trasferisci ad un altro computer usando un supporto removibile?
Anche in questo caso, dovresti effettuare una scansione del materiale "rischioso" prima di copiarlo su pc che magari, non avendo adeguata protezione, potrebbero rimanerne infetti. Quindi rischieresti di passare ad altri problemi che tu hai evitato o limitato.

A tutto naturalmente c'e' una soluzione, ma per il momento queste due sono le condizioni principali perche' un utente possa ancora avere bisogno di un antivirus nel proprio sistema, anche con configurazione di questo tipo.

Se non trasferisci una mazza su supporti removibili/unita' di rete, e installi solo software sicuro, non hai praticamente bisogno di alcun antivirus. Ma anche nel primo caso potresti solo usare un antivirus on demand solo quando serve.

Esattamente :)
E sara' ancora meglio con la nuova roba che postero' quando pronta :D
Praticamente non noterai piu' nessuna differenza, neanche i flash, le schermate per l'elevazione dell'utente, ecc. Sara' tutto trasparente ed ultra veloce :D
Ottimo :D



Con una configurazione di questo tipo, e ancora piu' con tutte le nuove modifiche che arriveranno, le possibilita' di prendere infezioni sono molto, molto ridotte, ed eventuali danni molto, molto limitati.
Ma un uso attento del pc e' insostituibile.
Cosi' come e' adesso, ci sono a mio avviso soltanto due possibili problemi con una configurazione di questo tipo (dove includo le restrizioni sul software, che purtroppo sembrano non essere disponibili su Windows home - comunque nella mia applicazione ho pensato ad un tipo di restrizioni parallelo che funzionera' anche con la home):

- se scarichi roba da fonti non sicure, come p2p ecc. ti conviene fare (per ora) una scansione sempre e comunque prima di eseguire un applicativo potenzialmente pericoloso (perche' da fonte sconosciuta) con diritti di amministratore.
Se cosi' facendo installassi un'applicazione infetta, annulleresti la barriera dell'account limitato.
In tal caso, avresti bisogno di un antivirus on demand (anche online o CureIt che e' scaricabile e non necessita di installazione) con cui effettuare una scansione dei file scaricati prima di eseguirli come amministratore.
DrWeb offre inoltre una estensione per firefox che consente di effettuare scansione di roba dal web (non p2p) prima di scaricarla.
Poiche' le possibili infezioni dovute a browser sarebbero enormemente ridotte, se tu installassi solo software originale da supporti oppure dai siti dei produttori, non avresti praticamente alcun rischio possibile di infezione.
Anche eventuali email infette non potrebbero compromettere il sistema poiche' il tuo client di posta girerebbe sotto utente limitato.

- stesso problema riguarda i drive removibili: cosa accade se scarichi qualcosa che e' infetto, e lo trasferisci ad un altro computer usando un supporto removibile?
Anche in questo caso, dovresti effettuare una scansione del materiale "rischioso" prima di copiarlo su pc che magari, non avendo adeguata protezione, potrebbero rimanerne infetti. Quindi rischieresti di passare ad altri problemi che tu hai evitato o limitato.

A tutto naturalmente c'e' una soluzione, ma per il momento queste due sono le condizioni principali perche' un utente possa ancora avere bisogno di un antivirus nel proprio sistema, anche con configurazione di questo tipo.

Se non trasferisci una mazza su supporti removibili/unita' di rete, e installi solo software sicuro, non hai praticamente bisogno di alcun antivirus. Ma anche nel primo caso potresti solo usare un antivirus on demand solo quando serve.

Beh in genere sono un utente molto attento e controllo sempre quello che scarico da fonti non sicure, poi ho dimenticato di dire che ho già installato anche Bitdefender free proprio a questo scopo ;) , a Cureit non ci avevo pensato, sarebbe una buona soluzione solo che se non sbaglio non è aggiornabile e bisogna ogni volta scaricare una versione aggiornata.
Come Browser sono affezionato ad Opera e Firefox lo uso poco, comunque su quest'ultimo installerò anche la relativa estensione di DrWeb ;) , che tra l'altro è un antivirus che ho usato per 2 anni e mi sono sempre trovato bene.

Sai cosa invece sto usando io come prova, per lo stesso scopo delle scansioni on demand su specifici file potenzialmente sospetti?

Senza installare nulla... con risultati che meglio di cosi'... :D

Installati VirusTotal Uploader.
Quando vuoi controllare un file scaricato, tasto destro->Send to Virus Total, e guarda i risultati della scansione con i principali antivirus, sul tuo browser :D
Figo.

http://www.virustotal.com/metodos.html

Interessante :D , così si ha immediatamente il parere sul file dato da diversi antivirus, quindi ancora più sicuro.

Interessante :D , così si ha immediatamente il parere sul file dato da diversi antivirus, quindi ancora più sicuro.

:D

Ciao ragazzi. Compliemnti all'autore! non credevo si potesse fare una cosa del genere...
Comunque ho scaricato la "pappa pronta" (firwall) credo di averlo importato correttamente...come posso verificare? Ho fatto un test firwall sul sito norton e mi ha dato SAFE :) (sarà attendibile? :rolleyes: )

Comunque sarebbe ideale una guida anche per usare la pappapronta e configurare tutto in pochi istanti :D

Ciao ragazzi. Compliemnti all'autore! non credevo si potesse fare una cosa del genere...
Comunque ho scaricato la "pappa pronta" (firwall) credo di averlo importato correttamente...come posso verificare? Ho fatto un test firwall sul sito norton e mi ha dato SAFE :) (sarà attendibile? :rolleyes: )

Comunque sarebbe ideale una guida anche per usare la pappapronta e configurare tutto in pochi istanti :D


Ciao g@amAT,
se il test e' ok allora vuol dire che hai fatto tutto correttamente.
Per la guida, appena torno dalle vacanze la riscrivero' mettendo ordine e piu' schermate, e vedro' di preparare quel video appena ho tempo. :)

Ciao g@amAT,
se il test e' ok allora vuol dire che hai fatto tutto correttamente.
Per la guida, appena torno dalle vacanze la riscrivero' mettendo ordine e piu' schermate, e vedro' di preparare quel video appena ho tempo. :)

Ok ti ringrazio. Il FW dovrebbe essere a posto e l'account limitato l'ho configurato manualmente come da guida...mi rimane un problema:
Quando avvio "admincmd" e nella schermata dos inserisco la password mi dà errore: Pass o nome utente non valido

Ok ti ringrazio. Il FW dovrebbe essere a posto e l'account limitato l'ho configurato manualmente come da guida...mi rimane un problema:
Quando avvio "admincmd" e nella schermata dos inserisco la password mi dà errore: Pass o nome utente non valido

Hai visto l'altro thread? Ho postasto script aggiornati che facilitano un po' il tutto.
Prova prima quella procedura, il link e' nella mia signature, poi fammi sapere. ;)

Hai visto l'altro thread? Ho postasto script aggiornati che facilitano un po' il tutto.
Prova prima quella procedura, il link e' nella mia signature, poi fammi sapere. ;)

Adesso funziona alla perfezione! Thx :)

Adesso lo provo un po di giorni...spero di abituarmi alla scrittura in dos :D

ok mi sono gia arenato o meglio va quello che non dovrebbe andare... riprovo con calma su portatile appena formattato magari ho sbagliato qualche impostazione con vmware
ciaps

Adesso funziona alla perfezione! Thx :)

Adesso lo provo un po di giorni...spero di abituarmi alla scrittura in dos :D


In realta' sono ben pochi i comandi a cui devi abituarti. Fai come me, lascia sempre una finestra di explorer come admin. aperta, da li' puoi fare quasi tutto come admin. :)

ok mi sono gia arenato o meglio va quello che non dovrebbe andare... riprovo con calma su portatile appena formattato magari ho sbagliato qualche impostazione con vmware
ciaps

Per le impostazioni utenti usa lo script automatico che ho postato nell'altro thread :)

no tutto bene... solo che quando dici " bene ora non dovreste navigare in internet " io navigo :D seguo alla perfezione la guida vabbe riprovo sul notebook :P

no tutto bene... solo che quando dici " bene ora non dovreste navigare in internet " io navigo :D seguo alla perfezione la guida vabbe riprovo sul notebook :P

LOL :D
dopo aver creato le regole, devi attivare il filtro ipsec :D

wow funziona :D :O

per scaricare gli aggiornamenti windows XP sp2 bisogna aprire qualche porta in particolare?

nel firewall artigianale :D ho settato solo 80 TCP in sola uscita, 53 TCP, 53 UDP + i due blocchi traffico ICMP / IP

complimenti sisu per la guida e i consigli :)

wow funziona :D :O

per scaricare gli aggiornamenti windows XP sp2 bisogna aprire qualche porta in particolare?

nel firewall artigianale :D ho settato solo 80 TCP in sola uscita, 53 TCP, 53 UDP + i due blocchi traffico ICMP / IP

complimenti sisu per la guida e i consigli :)


Ciao bello, grazie :)
Apri anche la porta 443, ti serve per questo e anche per siti https ;)

ok e grazie per la risposta ;)

e' l'unico filtro che non ho ancora impostato :doh:

speriamo bene :D

ok e grazie per la risposta ;)

e' l'unico filtro che non ho ancora impostato :doh:

speriamo bene :D

:D

ridi ridi :Prrr:

se mantengo la velocita' attuale di apprendimento finisco nel 20000 :D

scherzo, ciao e buon weekend :cincin:

Premetto che non sono uno che si intende di codici e programmazione, ma mi piace smanettare. Ho XP Home e ho provato a creare il firewall, quando apro la porta 80, se ho capito bene si dovrebbe connettere solo Internet Explorer, ma a me si connette tutto (eMule, Skype, Outlook express...) tranne il browser.:muro:
Ho provato a configurare le porte 80 e 443 come nell'esempio di setup, ma il problema persiste!:doh:
Allora ho cancellato il mio file e ho scaricato il file pronto (firewall.msc), il problema ora è che si connette qualsiasi roba compreso IE!:eek:
Il mio firewall preesistente, non l'ho disinstallato, ma solo disattivato, però i risultati sono identici che sia attivato o no!
Sapete dirmi dove ho sbagliato?
grazie in anticipo

Qualcuno sa aiutarmi?
Ho provato a vedere in Vista Home premium se i "comandi" sono gli stessi, si lo sono. Ma non ho attivato nulla xchè il pc non è mio!

ridi ridi :Prrr:

se mantengo la velocita' attuale di apprendimento finisco nel 20000 :D

ciao e buon weekend :cincin:

Grazie, anche a te :D

Io domani vado in vacanza due settimane in Finlandia, finally :D


@marmotta88:

1) hai attivato il firewall come ti avevo suggerito?
2) se fai doppio click sul firewall che hai importato, vedi le regole impostate (icmp, ip, allowed traffic)?

Avrei qualche domanda:

1) Si puo impistare Win in modo che entri direttamente in quell'account Limitato? (senza lo screen di benvenuto dove scegliere)

2) per controllare i programmi in uscita? mi sa che per quello ci si arrangia :D

Io domani vado in vacanza due settimane in Finlandia, finally :D



bene gente apro ufficialmente un 3D dove convogliare tutte le domande / dubbi da rivolgere al nostro gentilissimo sisupoika cosi che quando tornera sara FELICISSIMO di rispondere a tutti :D

scherzi a parte


buona vacanzaaaaaaaaa ole' :fagiano: :fagiano: :fagiano: :fagiano:

divertiti e....FOTO della finlandia quando torni! :D

Avrei qualche domanda:

1) Si puo impistare Win in modo che entri direttamente in quell'account Limitato? (senza lo screen di benvenuto dove scegliere)

2) per controllare i programmi in uscita? mi sa che per quello ci si arrangia :D

1) Si', scarica Tweakui e attiva l'autologon con l'utente che desideri.

2) Ci sto lavorando ;) :D
Fara' parte di cio' che verra' dopo le mie vacanze :D
Nota: comunque in un sistema di questo tipo, tu blocchi l'esecuzione stessa di applicazioni non consentite, non solo la connessione ad Internet :D
L'application filtering e' molto meno necessario in questo genere di situazioni. ;)

bene gente apro ufficialmente un 3D dove convogliare tutte le domande / dubbi da rivolgere al nostro gentilissimo sisupoika cosi che quando tornera sara FELICISSIMO di rispondere a tutti :D

scherzi a parte

buona vacanzaaaaaaaaa ole' :fagiano: :fagiano: :fagiano: :fagiano:


divertiti e....FOTO della finlandia quando torni! :D

LOL

Ho scaricato il file pronto, così mi sembra che si dovrebbe connettere solo il browser Ma invece va tutto!:mc:
Assegna, l'ho impostato su si, "Allowed connections" e all icmp traffic ci sono.
Ci ho messo tanto a rispondere perchè ho cercato di mettere un' immagine come te nella prima pagina, ma non ce l'ho fatta!

Ho scaricato il file pronto, così mi sembra che si dovrebbe connettere solo il browser Ma invece va tutto!:mc:
Assegna, l'ho impostato su si, "Allowed connections" e all icmp traffic ci sono.
Ci ho messo tanto a rispondere perchè ho cercato di mettere un' immagine come te nella prima pagina, ma non ce l'ho fatta!

fidati, sbagli qualcosa :D
hai provato a cancellare e rifare manualmente?

forse cosi' azzeri e funziona.

Avrei qualche domanda:

1) Si puo impistare Win in modo che entri direttamente in quell'account Limitato? (senza lo screen di benvenuto dove scegliere)


1) Si', scarica Tweakui e attiva l'autologon con l'utente che desideri.


In alternativa, senza scaricare Tweakui, si può anche digitare da esegui, "control userpasswords2" (senza virgolette) e impostare da lì l'autologon dell'utente che vuoi ;)


Volevo insoltre chiedere a Sisupoika se secondo te con windows vista è cmq preferibile disabilitare il firewall di sistema e usare il tuo metodo, oppure essendo il firewall compreso nel sistema sufficientemente valido si può stare tranquilli con quello.
Grazie in anticipo per la risp ;)

Non riesco a capire dove sbaglio, ho provato a ricreare da capo, ma il massimo che ottengo è bloccare Internet Explorer. Forse manca qualche dettaglio in home. Ho notato che non ho l'opzione "All IP Traffic".
Ci rinuncio:doh: , anche perchè ti sto facendo perdere tempo.
Saluti

In alternativa, senza scaricare Tweakui, si può anche digitare da esegui, "control userpasswords2" (senza virgolette) e impostare da lì l'autologon dell'utente che vuoi ;)


Volevo insoltre chiedere a Sisupoika se secondo te con windows vista è cmq preferibile disabilitare il firewall di sistema e usare il tuo metodo, oppure essendo il firewall compreso nel sistema sufficientemente valido si può stare tranquilli con quello.
Grazie in anticipo per la risp ;)


Quel firewall e' notevolmente migliorato, ma mi chiedo: perche' dovrei usare qualcosa in piu'? Anche se quel fw fa parte del os, io sono per IPSEC.
E' "piu'" integrato nel sistema, e consuma zero risorse :)
L'unico problema e' l'application filtering, assente con il sistema di IPSEC perche' e' qualcosa che non ha a che fare con esso.
MA come gia' detto, non e' in realta' un problema con la configurazione restrittiva suggerita ;)

Non riesco a capire dove sbaglio, ho provato a ricreare da capo, ma il massimo che ottengo è bloccare Internet Explorer. Forse manca qualche dettaglio in home. Ho notato che non ho l'opzione "All IP Traffic".
Ci rinuncio:doh: , anche perchè ti sto facendo perdere tempo.
Saluti


1) Non rinunciare, MAI :D

2) Non mi stai facendo perdere tempo! :)

Il problema e' che dovrei creare un video, ma per prepararlo temo bisognera' attendere che io torni :fagiano:

Raga, vi saluto per ora, domani ho il volo.

Ciaps, a presto :)

http://naqernet.iblogr.com/2007/05/15/xp-come-creare-un-firewall-tramite-filtri-ipsec/
a chi dovesse abbisognare un ottima guida su come creare il firewall con ipsec
ciao!

Grazie per la segnalazione :)

Allora, ho letto la tua guida, interessantissima e utile IMHO, ma ho un problema nella configurazione del Firewall. Nel punto in cui dovrei stabilire il traffico autorizzato, ho provato a navigare con Firefox su una pagina web a caso, ma non me la apre :cry:
Potresti dirmi perchè? Nella scheda Operazione filtro quale opzione devo impostare? perchè quando imposto Block non navigo nè riesco ad usare Internet in nessun altro modo e quando imposto Autorizza riesco a fare tutto, dal P2P al browser.
Dov'è che ho sbagliato?

ciao!
Io ho seguito la guida che ho linkato nel mio post precedente e funziona tutto senza problemi, è scritta in modo molto semplice con i screen passo a passo, se vuoi provare a leggerla dovresti risolvere senza problemi!

ho appena testato la sicurezza del pc con il programmino pc security test 2007 con la configurazione suggerita da Sisupoika e con la sola aggiunta di arovax shield solo per bloccare il tentativo di dirottamento della home page.
per quanto sia attendibile vi posto lo screen dei risultati!:p
ciao!51860

più piccolo,così non si vede :D

51873 ecco quì dovrebbe andar bene adesso:D
ciao!

http://img391.imageshack.us/img391/2089/42754691ij1.th.jpg (http://img391.imageshack.us/my.php?image=42754691ij1.jpg) :Prrr:

PS prima che mi venga subito fatto notare:
ho skippato di proposito il test sul firewall....

ma esiste ancora quel test fasullo? :eek:

ma esiste ancora quel test fasullo? :eek:
esiste, esiste...:D

Concordo con il tuo giudizio, cmq...

Fine OT.

http://img391.imageshack.us/img391/2089/42754691ij1.th.jpg (http://img391.imageshack.us/my.php?image=42754691ij1.jpg) :Prrr:

PS prima che mi venga subito fatto notare:
ho skippato di proposito il test sul firewall....

Hai usato solo Prosecurity senza seguire la procedura di Sisupoika?
Inoltre hai mai sentito parlare di Winpooch? Se si... cosa ne pensi?

Aspetto tuoi pareri ;)

Hai usato solo Prosecurity senza seguire la procedura di Sisupoika?
certamente:
accedo al pc come admin e uso ProSecurity + KIS 7, come da firma...

Inoltre hai mai sentito parlare di Winpooch? Se si... cosa ne pensi?

Aspetto tuoi pareri ;)
si, ne ho sentito parlare ma non mi ci sono mai dedicato a sufficienza per poterti dire alcunchè....:stordita:


PS:
non inquiniamo oltre l'ottimo thread di sisupoika:
per altre questioni, rifacciamoci ai thread opportuni.

Anzi, chiedo scusa io per primo per essere andato "provocatoriamente" OT...:ave:

certamente:
accedo al pc come admin e uso ProSecurity + KIS 7, come da firma...

si, ne ho sentito parlare ma non mi ci sono mai dedicato a sufficienza per poterti dire alcunchè....:stordita:

cos'è Winpooch? :mbe:

aggiungo che i trucchi per il firewall funzionano su win 2000 senza il minimo problema, ora provo per il resto

@ Sisupoika:

io resto ancora sintonizzato per il movie ma, più che altro, mi aspetto (o, meglio, PRETENDO... :Prrr: ) di vedere le foto di qualche finnica! :D :oink:

Nella vita non si pretende. Mai. :nonsifa:

:sofico:

Regards

Nella vita non si pretende. Mai. :nonsifa:


:boxe:




Speriamo allora che il suo buon cuore lo porti a condividere spontaneamente le gioie della vita oltre che a dispensare saggi consigli per la configurazione di macchine....:D

Va meglio, ora? :ciapet:

E' già meglio. :fagiano: :ciapet: :sofico: Anche se avresti potuto usare un linguaggio ancora un filino più aVistocVatico. :sofico:

PS: anche tu non vai al mare ad agosto? :p La mia è stata una scelta forzata per poter portare avanti gli studi per la patente...passata stamattina la teoria a proposito. :sofico: Adesso la Motorizzazione non la rivedo più fino all'esame di pratica, ovvero tra qualche anno luce. :mc: :fagiano: :doh:

Regards

PS: sono interessato anch'io al video, comunque. :D

Ciao a tutti, come vi butta? :D
A me alla grande, a parte una brutta infezione alla bocca per cui sono finito pure in ospedale. Ma stare in vacanza e' una buona medicina ;)

Cmq per chi apprezza le finlandesi ho qualche cugina da sistemare, LOL
Adesso sono a Lahti, con la mia ragazza stiamo trascorrendo un po´ di tempo con la sua famiglia.


http://naqernet.iblogr.com/2007/05/15/xp-come-creare-un-firewall-tramite-filtri-ipsec/
a chi dovesse abbisognare un ottima guida su come creare il firewall con ipsec
ciao!

Ottima segnalazione, palinur, mi rendo conto che con qualche screenshot in piu´ la esposizione diventa molto piu chiara e semplice da seguire. inoltre e indubbiamente piu sempice per alcuni, vedere il tutto scritto in Italiano :D

Tuttavia, fate attenzione!: la guida e' molto chiara e dettagliata MA le ho dato una occhiata veloce e ho trovato un problema potenzialmente non da poco!
Se seguite tutto come suggerito in quelle schermate, vi ritroverete attivate le regole speculari, cioe' se aprite una porta in uscita, la troverete aperta anche in entrata!
Per questo nella mia guida lo avevo specificato chiaramente.
Attenzione, e' un errore che nella fretta molti commettono ;)

Allora, ho letto la tua guida, interessantissima e utile IMHO, ma ho un problema nella configurazione del Firewall. Nel punto in cui dovrei stabilire il traffico autorizzato, ho provato a navigare con Firefox su una pagina web a caso, ma non me la apre :cry:
Potresti dirmi perchè? Nella scheda Operazione filtro quale opzione devo impostare? perchè quando imposto Block non navigo nè riesco ad usare Internet in nessun altro modo e quando imposto Autorizza riesco a fare tutto, dal P2P al browser.
Dov'è che ho sbagliato?

Purtroppo sono un po in fretta e non ho bene a mente la versione italiana.
Segui la guida segnalata da palinur, con in aggiunta l accorgimento che ho detto poc anzi.


51873 ecco quì dovrebbe andar bene adesso:D
ciao!

Attento anche tu a quel particolare che ho detto.
Se il test non ti segnala porte aperte in ingresso, forse e' semplicemente dovuto al fatto che sono chiuse sul tuo firewall o router!



certamente:
accedo al pc come admin e uso ProSecurity + KIS 7, come da firma...

si, ne ho sentito parlare ma non mi ci sono mai dedicato a sufficienza per poterti dire alcunchè....:stordita:


PS:
non inquiniamo oltre l'ottimo thread di sisupoika:
per altre questioni, rifacciamoci ai thread opportuni.

Anzi, chiedo scusa io per primo per essere andato "provocatoriamente" OT...:ave:

Non c'e' problema, dico solo che questa guida/thread e' per chi vuole elevare la sicurezza del proprio windows senza dipendere da applicazioni esterne che vanno acquistate (il piu' delle volte) e in un modo o nell'altro impattano sulle prestazioni del sistema.
Non ha quindi molto senso parlare di PS, KIS o altri qui. :)



@ Sisupoika:

io resto ancora sintonizzato per il movie ma, più che altro, mi aspetto (o, meglio, PRETENDO... :Prrr: ) di vedere le foto di qualche finnica! :D :oink:


ehm, dipende da quanto offri :D

Cmq per chi apprezza le finlandesi ho qualche cugina da sistemare


Adesso i problemi del firewall di windows passano in secondo piano :D
FOTO :oink:

ok Sisupoika per la precisazione sulla configurazione della guida su ipsec che ho trovato in rete, ma a parte questo non siamo ancora riusciti a risolvere il problema sul fatto che con il tuo script non riesco da account limitato ad aprire od eseguire i programmi con i diritti amministrativi cliccando col dx del mouse(run with administrative rights o explore) mi restituisce l'errore dicendomi nome utente e passwd sconosciuta; Se voglio installare qualcosa per adesso da account limitato devo fare esegui come, inserire nome e passwd dell'amministratore e solo in questo modo riesco ad installare o disinstallare i programmi, il chè non è poi così grave ma avrei voluto capire il perchè non và, l'unica cosa che mi viene in mente è solo il fatto che con xp home questo script non funge totalmente.
ciao!

Mi sono iscritto oggi al forum, dopo aver letto l'articolo di Sisupoika, complimenti davvero, una guida molto interessante :) .

Bye

Ho provato con successo il metodo, e non posso che farti i miei migliori complimenti :)

D'altronde ho sempre saputo che il tallone di Achille di Windows è l'essere loggati come di Admin di default, ma questo metodo molto Unix like permette di fare tutto come user con estrema semplicità e sicurezza.

Molta gente ha etichettato Windows come gruviera.. ma secondo me è dovuto solo alla loro incapacità e scarsa conoscenza dell'OS.

Gente i tempi dei 9x son passati, NT se lo si sà usare è perfetto.

Ho effettuato le prove nella VM con W2000 SP4 e con qualche piccola differenza e modifica funziona.;)

"salve a tutti,

ho seguito passo passo la guida per creare il firewall; una volta ultimato se lo "attivo" non riesco a navigare, ho provato ad usare anche il file zip presente nella prima pagina ma non va :(
l'errore penso stia nell'indirizzo ip di origine, nella guida in inglese c'è my ip address, nel windows in italiano c'è solo "indirizzo ip". ho provato a mettere il mio indirizzo ip ma non funziona lo stesso"

non importa, dopo mi metto e riprovo tutto da capo.
cancellate pure il post

Adesso i problemi del firewall di windows passano in secondo piano :D
FOTO :oink:


LOL

ok Sisupoika per la precisazione sulla configurazione della guida su ipsec che ho trovato in rete, ma a parte questo non siamo ancora riusciti a risolvere il problema sul fatto che con il tuo script non riesco da account limitato ad aprire od eseguire i programmi con i diritti amministrativi cliccando col dx del mouse(run with administrative rights o explore) mi restituisce l'errore dicendomi nome utente e passwd sconosciuta; Se voglio installare qualcosa per adesso da account limitato devo fare esegui come, inserire nome e passwd dell'amministratore e solo in questo modo riesco ad installare o disinstallare i programmi, il chè non è poi così grave ma avrei voluto capire il perchè non và, l'unica cosa che mi viene in mente è solo il fatto che con xp home questo script non funge totalmente.
ciao!

Ciao Palinur,

lúnica spiegazione che vi viene in mente, cosi su due piedi, e che l'account di ciu ti viene continuamente chiesta la password sia rimasto settato senza password. Eseguire processi in quel modo richiede che una password sia stata settata gia' per entrambi gli utenti, l'amministraytore e l'account limitato.
Non ricordo se ti avevo gia' chiesto di controllare questa cosa, in caso affermativo sorry perche' sono un po' di fretta nella libreria pubblica e non ho riletto le pagine precedenti.
Nel caso tu abbia gia' settato una password per entrambi gli account, e il problema persista, non credo sinceramente che il problema possa dsipendere dal fatto che stai usando una versione home di Windows XP. Comunque non appena torno a casa faccio una installazione di prova di XP Home in una macchina virtuale e ti faccio sapere se mi funziona oppure no.

Nel caso non dovesse funzionare per "colpa" della versione Home, la cosa sara' comunque aggirabile con un programmino che postero' e che sostituira' le procedure batch.

Mi sono iscritto oggi al forum, dopo aver letto l'articolo di Sisupoika, complimenti davvero, una guida molto interessante :) .

Bye

Grazie e benvenuto al fourm :)

Ho provato con successo il metodo, e non posso che farti i miei migliori complimenti :)

D'altronde ho sempre saputo che il tallone di Achille di Windows è l'essere loggati come di Admin di default, ma questo metodo molto Unix like permette di fare tutto come user con estrema semplicità e sicurezza.

Molta gente ha etichettato Windows come gruviera.. ma secondo me è dovuto solo alla loro incapacità e scarsa conoscenza dell'OS.

Gente i tempi dei 9x son passati, NT se lo si sà usare è perfetto.


Grazie ;)
Sono d'accordo, naturalmente, con te sul fatto che usato come si deve Windows eä un sistema operativo molto piu' valido di quanto purtroppo non si creda, ma di li' a definirlo perfetto comunque ce ne vuole :D

Ho effettuato le prove nella VM con W2000 SP4 e con qualche piccola differenza e modifica funziona.;)

Ottimo! :D
non l'avevo provato neanche con Windows 2000 e non ero nemmeno sicuro che potesse funzionare correttamente senza problemi.
Cmq posta le modifiche che hai dovuto eventualmente apportare, per curiosita' ma anche perche' potrebbe tornare utile a qualcun altro che usa Windows 2000 appunto :)

"salve a tutti,

ho seguito passo passo la guida per creare il firewall; una volta ultimato se lo "attivo" non riesco a navigare, ho provato ad usare anche il file zip presente nella prima pagina ma non va :(
l'errore penso stia nell'indirizzo ip di origine, nella guida in inglese c'è my ip address, nel windows in italiano c'è solo "indirizzo ip". ho provato a mettere il mio indirizzo ip ma non funziona lo stesso"

non importa, dopo mi metto e riprovo tutto da capo.
cancellate pure il post

Ciao mikeve,

purtroppo non ho ben capito quale e' il problema che hai incontrato. Se hai ancora problemi anche dopo aver riprovato prova a spiegare un poä' piu' dettagliaytamente magari anchge con qualche screenshot :)

ciao Sisupoika, avevo già provato ad inpostare le 2 passwd per i 2 account ed infatti attualmente ci sono già quella per admin e sia quella per utente limitato.
Ho fatto anche alcune prove a cancellare gli account ed a ricrearli col il tuo script ma niente da fare, comunque aspetto che tu ritorni per testare le possibili soluzioni, in ogni caso per adesso la tua configurazione funziona a parte gli script dei privilegi amministrativi col click dx del mouse, ho anche provato a testare ipsec disattivando il firewall del router ed ho constatato che le porte aperte configurate come ad esempio la 80 ecct. risultano dai test online chiuse e tutte le altre in stealth , comunque mi ritengo soddisfatto nel complesso a parte come già ti ho detto che per via degli script che non vanno devo spesso loggarmi come admin per fare alcune cose che da account limitato non posso fare:rolleyes:
ciao e buona vacanza a tè e a tutti!:p

hai provato gli script che ha rilasciato successivamente a questo thread?

si, infatti parlo proprio degli ultimi rilasciati:D
ciao!

si, infatti parlo proprio degli ultimi rilasciati:D
ciao!

sei sicuro di averli eseguiti dall'account limitato?

da account limitato?
Io li ho eseguiti da account admin, ma questa giuro che mi è nuova!
caspita se è così allora cambia tutto!
ciao!

da account limitato?
Io li ho eseguiti da account admin, ma questa giuro che mi è nuova!
caspita se è così allora cambia tutto!
ciao!
da amministratore che necessità hai di eseguirli se hai già i diritti di modifca al sistema?!:doh::muro:

ok!
lasciami provare e poi ti dico!:D

adesso non me li fà eseguire da account limitato, sarà perchè li ho già eseguiti da account admin, comunque devo ripristinare una immagine con acronis e poi ritento il tutto!
ciao!

Scusate se abbasso il livello con questa domanda
ma non mi esce la voce "IP Security Policy Management"
come mai?

mettila ancora più piccola altrimenti non riusciamo a vederla :D

Si in effetti hai ragione , fortissimo il tuo post , chiedo scusa!!!
Comunque l'ho trovata dovrebbe essere "gestione criteri protezione IP"
La guida penso sia fatta da un Windows in versione inglese.
E' corretto??!!!!!

Grazie

Si in effetti hai ragione , fortissimo il tuo post , chiedo scusa!!!
Comunque l'ho trovata dovrebbe essere "gestione criteri protezione IP"
La guida penso sia fatta da un Windows in versione inglese.
E' corretto??!!!!!

Grazie

si è quella

Cio' significa che anche un malware, ad esempio un virus, che cerchi di insediarsi in risorse di sistema per creare un qualche tipo di danno, non avrebbe molto da fare in questo tipo di contesto, perche' i suoi poteri sul sistema sarebbero gli stessi dell'utente, quindi molto limitati.

Cancellare documenti di lavoro nella cartella dell'utente corrente (che non richiede privilegi di amministratore) è potenzialmente più dannoso che cambiare la home page predefinita del browser o toccare qualche settaggio del sistema operativo. E' una misconcezione anche di alcuni utenti *nix: anche la /home può essere una zona sensibile.


Per quanto riguarda gli Antivirus, per darvi una idea del modo in cui questi software lavorano e della loro reale efficacia, numeri (di virus-signatures) a parte, vi propongo un paragone indovinato che io stesso ho letto da qualche parte in rete, in qualche articolo.
[...]
Se ci pensate, e' proprio il modo in cui gli antivirus operano, a proposito di database delle "definizioni dei virus". La sansione realtime euristica contro malware non noti e' qualcosa che suona di fantascientifico, la cui efficiaca e' molto distante da quella che la gente crede.

L'antivirus non è una soluzione definitiva, è uno strumento che può risultare utile e che grazie alle tecnologie di scansione euristica o di difesa proattiva, sandboxing etc. possono aiutare a rilevare anche le minacce non ancora note. In parte è vero che le tecnologie di rilevazione euristica sono tutt'altro che infallibili, ma come già detto vengono ultimamente affiancate a tecnologie che agiscono sul piano comportamentale più che sull'analisi di codice che può essere soggetto a vari livelli di occultamento. Tra l'altro i virus vengono solitamente veicolati attraverso sistemi di massa (IM, E-Mail etc.) e non tendono a colpire singoli individui, quindi sfortuna vorrebbe di essere tra i primi ad essere raggiunti dal malware in questione prima che la minaccia si diffonda e gli antivirus vengano aggiornati, cosa sicuramente possibile ma statisticamente improbabile. Ovviamente ad un antivirus va comunque sempre aggiunto Buon Senso 1.0.


Prima che me ne dimentichi, una considerazione comune su queste categorie di "software per la sicurezza": tutti questi tools girano su Windows in modi differenti (es. processi, servizi di sistema, ecc ecc), ma sono sempre qualcosa di aggiunto e c'e' SEMPRE, e ripeto SEMPRE, modo e maniera di bypassarli.

Gli hook in kernel-mode sono difendibili direi solidamente.


Chiudo la premessa sugli Anti-malware con una affermazione di Aaron Margosis (i cui articoli sono grandemente consigliati), Microsoft, il quale dice: "E' meglio utilizzare Windows come UTENTE LIMITATO *SENZA* ANTIVIRUS, che come ADMINISTRATOR CON ANTIVIRUS".

Probabilmente è meglio "account limitato con antivirus".


Software-Firewalls.

Le stesse premesse sul falso senso di sicurezza circa Anti-malware, valgono, anche se in maniera differente, per i cosiddetti "software firewall", software, cioe', che vanno installati su Windows e che permettono all'utente di tenere un certo controllo sull'utilizzo di Internet da parte di processi e applicazioni, e allo stesso tempo prevenire intrusioni nel proprio sistema.
Un hardware firewall (o anche, in misura minore, routers con alcune funzioni di firewalling e NAT), e' CosaBuonaEGiusta™. E' esterno al pc, puo' proteggere piu' computer, impatto quasi nullo sulle prestazioni della connessione Internet e protezione elevata se adeguatamente configurato.
Un software firewall inteso, ripeto (per evitare incomprensioni), come qualcosa che va "aggiunto" al sistema operativo, sono roba praticamente inutile, come vedremo.
Questo perche' anche Windows, ha gia' degli strumenti che ci consentono di restringere in maniera sicura il modo in cui la connessione internet (e in generale di rete) viene usata, senza alcun impatto sulle prestazioni di sistema e della nostra connessione Internet, semplicemente utilizzando componenti che il sistema operativo ha gia'.
Un qualunque software firewall di terze parti da installare, anche uno leggero come Look'n Stop, Ghostwall, e altri, comunque e' sempre un filtro aggiuntivo al sistema e in quanto tale impatta piu' o meno sul sistema.
[...]
I firewalls ritenuti "migliori", sono piu' buoni - a quanto pare di capire da questa nuova "moda" tra i paranoici di software e suite di sicurezza - in misura dei possibili attacchi o azioni maligne che possono controllare anche in uscita.
Di solito essi mostrano un alert che consente all'utente di scegliere se permettere o no ad una data applicazione o processo di connettersi ad Internet nel momento in cui essa tenta la connessione stessa.
Ma questo discorso, che sembra fornire un altro enorme FALSO senso di sicurezza, denota un tentativo di protezione semplicemente RIDICOLO.
Per il solito problema che gli utenti sono di solito amministratori del loro Windows in tutte le attivita', e per la natura del sistema operativo Windows, anche io che sono un comune mortale in termini di sicurezza/programmazione, posso scrivere in poco tempo uno script che aggiunga un mio processo nascosto all'SVCHOST cui 100% dei casi viene concessa la connessione ad Internet, perche' usato da diverse trusted applicazioni, processi, e drivers (anche stampanti di rete, per esempio).
Quindi ora in avanti considerate che questa "protezione" e' tutt'altro che una protezione certa 100%. E' semplicemente, ripeto, RIDICOLA.
I programmatori dietro a GhostWall, non ci vuole molto a capirlo visto che hanno creato il firewall piu' leggero - credo - della storia con impatto minimo sul sistema ecc, sono programmatori con le palle, eppure non hanno perso tempo con la storia del controllo delle applicazioni. Ci sara' un motivo?

I firewall "hardware" (che poi non ci sono sistemi di filtraggio meccanici o elettronici, sono solo firewall software installati su una macchina dedicata) hanno appunto il principale difetto di non poter svolgere mansioni di application firewalling (che tu consideri inutile). Nei fatti è stato dimostrato che tale protezione può risultare molto utile e ne sono perfettamente consapevole per esperienza personale. Ad esempio una volta ho dovuto far girare un software che non ero sicuro fosse perfettamente "benigno" ed infatti mi sono accorto (attraverso il personal firewall) che esso tentava di inviare dati ricavati dal mio sistema attraverso SMTP e l'ho bloccato: senza firewall personale sarei stato fregato. Medita. Ovviamente l'application firewalling non è l'unica cosa da valutare, un firewall è composto da tanti componenti, come il packet filter etc. e volendo essere paranoici si potrebbe affiancare pure un IDS come Snort.

allora ho provato da account limitato ma stesso risultato:rolleyes:
per adesso lascio tutto così, vedremo in seguito se è perchè ho windows xp home.
ciao!

D'accordo in parte col tuo discorso ma su

.......


Probabilmente è meglio "account limitato con antivirus".


Io direi "account limitato con antivirus standalone da usare alla bisogna ondemand" come peraltro consigliato anche da Sisupoika.

Per quanto riguarda i personal firewall e relativo application filtering effettivamente l'avevo pensato pure io, IPtables è ottimo, economico e built-in, ma come già detto una qualsiasi applicazione che tenterebbe una connessione su una qualsiasi delle porte da noi abilitate (80, 25, etc) lo farebbe indisturbata, però in questo caso sarebbe meglio come hai detto te il Buon Senso 1.0 ;)

Io direi "account limitato con antivirus standalone da usare alla bisogna ondemand" come peraltro consigliato anche da Sisupoika.



quale antivirus consigli?

quale antivirus consigli?

Io ho messo NOD32, non è il top ma per una scansione saltuaria mi va bene.

Io direi "account limitato con antivirus standalone da usare alla bisogna ondemand" come peraltro consigliato anche da Sisupoika.

Puoi dirlo... ma il livello di protezione sarà leggermente inferiore. Non tutto è agilmente scandibile "on demand".


Per quanto riguarda i personal firewall e relativo application filtering effettivamente l'avevo pensato pure io, IPtables è ottimo, economico e built-in, ma come già detto una qualsiasi applicazione che tenterebbe una connessione su una qualsiasi delle porte da noi abilitate (80, 25, etc) lo farebbe indisturbata, però in questo caso sarebbe meglio come hai detto te il Buon Senso 1.0 ;)
Il buon senso a volte non basta... nel caso che ti ho detto io quell'applicazione dovevo usarla e solo provandola ho avuto la conferma che era maligna (grazie al personal firewall).

Puoi dirlo... ma il livello di protezione sarà leggermente inferiore. Non tutto è agilmente scandibile "on demand".


D'accordo, ma grazie al fatto che l'user ha pochissimi previlegi i danni al sistema sarebbero nulli.

D'accordo, ma grazie al fatto che l'user ha pochissimi previlegi i danni al sistema sarebbero nulli.

Rileggi le righe che ho scritto sulla cartella dell'utente... secondo te è peggio perdere documenti di lavoro o subire "danni al sistema" (che tanto nella peggiore delle ipotesi si reinstalla)? ;)

Dunque ho seguito alla lettera (per adesso solo il discorso firewall)
ma mi succede che nonostante il servizio IPsec sia attivo , nonostante il firewall sia "assegnato" da console solo per la navigazione Web (porta 80) , il mio PC viaggia alla grande su p2p , posta elettronica (da client 25 , 110 etc....)
Come puà essere possibile?
Tutto va come se non avessi fatto nulla
Inoltre facendo i ivari passaggi ottengo solo il file console estensione *.msc
a cosa serve il file IPSEC Settings.ipsec che trovo allegato?Mi sono perso un pezzo ma quale? Intuisco che forse mi mancano dei settaggi in IPSEC ma non trovo il riferimento nella guida se non all'inizio quando si dice di attivarla.
Grazie................
Sto thread è divertente da paura , per molti ma non per tutti..........:mc: :mc: