PDA

View Full Version : [Admins' toolbox] Scripts per setup automatico account limitato


Sisupoika
01-08-2007, 01:53
Ciao.

Con riferimento a questo thread (http://www.hwupgrade.it/forum/showthread.php?t=1517343), ecco qui la procedura di cui parlavo per configurare in maniera automatica una coppia Administrator/utente limitato, con gli script e le modifiche al registro necessari per rendere l'utilizzo di una configurazione di questo tipo (si rimanda al thread linkato per maggiori dettagli) il piu' simile possibile a quello di una installazione di Windows nella sua configurazione di default.

Tutto cio', per venire incontro agli utenti che abbiano trovato difficolta' nel fare tutto "manualmente", come spiegato nell'altro thread.

Se ci si limita ad utilizzare Windows XP con un account limitato cosi' come viene offerto, come e' noto si possono incontrare alcune difficolta' nell'utilizzo del sistema che lo rendono un po' troppo "macchinoso" e a volte poco confortevole.

Con le modifiche apportate dalla procedura in oggetto, invece, si puo' utilizzare Windows in un account limitato praticamente allo stesso modo di quando lo si usa con un account amministratore, con i vantaggi in termini di sicurezza che piu' volte sono stati citati (si rimanda all'altro thread).

In realta' avevo pianificato di scrivere una applicazione in .NET che applicasse queste modifiche in maniera piu' elegante, con un setup vero e proprio; ma purtroppo avrei avuto bisogno di piu' tempo e comunque ad ogni modo lo scopo e' raggiunto. Appena torno dalle vacanze, se ho tempo, provo a scrivere comunque una applicazione che sostituisca le semplici procedure batch allegate.

Avevo anche pianificato di creare una sorta di addon per nLite, ma per il momento potreste integrare i files allegati al vostro custom cd di Windows, e far si' che lo script venga eseguito al termine o durante l'installazione di Windows (si rimanda alla sezione opportuna per questo).
Anche per nLite, non appena avro' tempo creero' un addon per rendere questo setup gia' pronto al termine dell'installazione di Windows da un custom cd.

Per ora accontentatevi :D

Dunque, scaricate da qui (http://www.stealthmeasures.com/LimitedUserAccountSetup.zip) il file zip (~156kb) contenente il setup batch e i file necessari, e avviate QuickSetup.bat.

http://img211.imageshack.us/img211/3190/quicksetupya3.th.jpg (http://img211.imageshack.us/my.php?image=quicksetupya3.jpg)

Vi verra' chiesto il nome dell'utente amministratore che volete utilizzare come, appunto, amministratore predefinito del vostro Windows. NON scegliete l'utente Administrator (cioe' l'amministratore predefinito, quello built-in di Windows). Potete scegliere un utente esistente qualunque (verra' elevato automaticamente ad Administrator se necessario), oppure scegliere di crearne uno nuovo, nel qual caso dovrete digitare un nome utente non ancora utilizzato.
Scelto l'utente che vorrete utilizzare come administrator, per le operazioni straordinarie sul vostro Windows, allo stesso modo dovrete scegliere l'utente "limitato" che sara' l'account col quale utilizzerete Windows normalmente, per la maggior parte del tempo (in realta' l'administrator potrebbe non servirvi mai, come nel mio caso, grazie agli script che vedrete :fagiano: ). Anche qui, potrete scegliere un utente esistente o un nuovo utente.
Nel primo caso, se l'utente selezionato appartiene al gruppo Administrators, gli verranno rimossi i diritti di amministratore, in modo da trasformarlo in utente limitati. Se scegliete un nuovo nome utente, quell'utente verra' creato senza i privilegi di amministratore.
Non sara' ovviamente consentito di selezionare lo stesso utente come amministratore e limitato.
Scelti i due utenti, vi verra' suggerito di disabilitare l'Administrator built-in di Windows, poiche' e' spesso vittima di alcuni tentativi di vario tipo da parte di malware o estranei che cerchino di forzare il logon del vostro Windows dall'esterno. Vi suggerisco di farlo.
Fatto cio', verranno copiati gli script e altri file necessari.

La procedura, in tutto, richiede 10 secondi.

Quando terminato, fate log off e log on con l'utente limitato che avevate scelto, e provate ad usare il sistema.

Funzionalita' aggiunte dagli script all'account limitato:

- AdminCMD: qualcuno di voi avra' gia' provato i precedenti script che avevo postato nell'altro thread.
Questo comando (Start->Run->AdminCMD) esegue un prompt dei comandi, con privilegi di amministratore, ma usando l'utente corrente, cioe' quello limitato.
Gia' questo di per se' vi evita di loggarvi come amministratore nel caso dobbiate fare qualche modifica al sistema. Cmq e' poco pratico, per cui vi sono altri comandi aggiunti che migliorano le cose.

http://img526.imageshack.us/img526/7199/admincmdra4.th.jpg (http://img526.imageshack.us/my.php?image=admincmdra4.jpg)http://img410.imageshack.us/img410/9462/admincmd2fd0.th.jpg (http://img410.imageshack.us/my.php?image=admincmd2fd0.jpg)

- AdminExplorer: Start->Run->AdminExplorer.
Avvia un Windows Explorer con privilegi di amministratore, analogamente con il comando precedente.
Rimpiazza il vecchio comando AdminShell.
NOTA: dietro suggerimento di M@tt82 (http://www.hwupgrade.it/forum/showpost.php?p=18102832&postcount=155), che ringrazio, ho aggiunto al setup automatico una barra (leggi qui (http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx))che in Explorer/Internet Explorer vi indichera' al volo se Explorer e' eseguito come amministratore, oppure come utente limitato.
Il semaforo rosso indichera' che la finestra e' eseguita in modalita' amministratore, mentre il semaforo verde comparira' quando eseguirete Explorer/Internet EXplorer come utente limitato.
La comodita' di questa shell e' enorme. Potete fare di tutto, senza dovervi loggare come amministratore.

http://img46.imageshack.us/img46/9489/explorerasuserdt5.th.jpg (http://img46.imageshack.us/my.php?image=explorerasuserdt5.jpg)http://img74.imageshack.us/img74/7210/explorerasadminzk3.th.jpg (http://img74.imageshack.us/my.php?image=explorerasadminzk3.jpg)

- AmIAdmin: da avviare in un prompt dei comandi, verifica se esso e' eseguito in modalita' limited user o amministratore.

http://img180.imageshack.us/img180/7567/amiadmin1rh4.th.jpg (http://img180.imageshack.us/my.php?image=amiadmin1rh4.jpg)http://img62.imageshack.us/img62/7326/amiadmin2se7.th.jpg (http://img62.imageshack.us/my.php?image=amiadmin2se7.jpg)

- AdminMMC: Start->Run->AdminMMC <nome management console file>

Esegue MMC come amministratore :D

Es.
AdminMMC Gpedit.msc, avvia group policies editor
AdminMMC SecPol.msc, avvia la gestione delle security policies
AdminMMC CompMgmt.msc, computer management
ecc ecc

http://img171.imageshack.us/img171/2258/adminmmcca7.th.jpg (http://img171.imageshack.us/my.php?image=adminmmcca7.jpg)

- RunAsAdmin: Start->Run->RunAsAdmin <nome e percorso programma, file, ecc>
Avvia il programma o file richiesto, naturalmente con privilegi di amministratore.

Attenzione:
per ridurre i flash delle schermate necessarie alla modifica temporanea dell'utente e al lancio dei processi come amministratore, ho utilizzato una piccola utility chiamata cmdow.exe che consente di nascondere e minimizzare le schermate.
Per le funzioni di cui dispone, questo file e' a volte erroneamente identificato da alcuni antivirus come pericoloso.
Semplicemente: ignorate. Non e' affatto pericoloso, e' una semplice utility. (rif. leggere qui (http://www.commandline.co.uk/cmdow/))

(aggiornamento)

Attenzione: leggete qui (http://www.hwupgrade.it/forum/showpost.php?p=18135673&postcount=3) in merito a cmdow.exe nel caso il vostro Antivirus vi segnali la presenza di un virus (che, ripeto, virus non e').

(aggiornamento)

Ho reso disponibile anche un altro zip praticamente uguale, ma senza cmdow.exe nel caso preferiate non utilizzarlo sul vostro sistema.
Potete scaricarlo qui (http://www.stealthmeasures.com/LimitedUserAccountSetupNoCMDOW.zip).



A parte i comandi, ora viene il bello :D

Ho aggiunto al setup delle chiavi di registro che vi consentono di avviare programmi, esplorare cartelle, ecc ecc, con privilegi di amministratore, con un semplice click del pulsante destro del vostro mouse sulla cartella o programma cui volete accedere o che volete eseguire come amministratore (specie se attivate le restrizioni sul software e non potete eseguire, con account limitato, setup di programmi legittimi che vogliate installare nel sistema).

Folders:

Facendo click col pulsante destro del mouse, vi compariranno due nuove voci.

- Command prompt with administrative rights: avvia il prompt dei comandi come amministratore, con il solito sfondo rosso, nella cartella da noi selezionata

- Explore with administrative rights: avvia Windows Explorer, come amministratore, nella cartella da noi selezionata. Utilissimo per installare programmi ecc ecc senza cambiare utente e neanche usare i comandi :D

http://www.stealthmeasures.com/Folders.jpg


Files:

Facendo click col destro sui files (es programmi, documenti, ecc), quel programma o file verra' eseguito con privilegi di amministratore, direttamente, e automaticamente.
Utile per installare programmi anche da un Explorer con privilegi limitati :D
Questo comando contestuale risolve i problemi del RunAs gia' presente in Windows.


Nota: gli scripts richiederanno la password dell'amministratore e dell'utente limitato soltanto la prima volta. ;)

http://www.stealthmeasures.com/Files.jpg


Per ora e' tutto. Sicuramente ci saranno aggiornamenti ecc, ma per ora dovrebbe bastare :D

In seguito aggiungero' la procedura per configurare automaticamente anche restrizioni del software e firewall IPSEC. Stay tuned!:D

Rimando comunque gli interessati all'altro thread per ulteriori informazioni, anche su come applicare manualmente questa configurazione.


Ho scritto e testato la procedura in Windows XP nella versione Professional inglese, ma non dovrebbero esserci problemi con la Home (attendo conferme, purtroppo non ho la possibilita' di verificare di persona perche' mi manca), ne' con Windows localizzato in altre lingue quale l'italiana.

Ovviamente, pur avendo testato gli script per un po' prima di postare il tutto, vi invito a fare dei test su una macchina di prova o virtual machine, prima di eseguire la procedura sulla installazione di Windows che usate normalmente.

Se non modificate gli script, leggete attentamente le istruzioni a video e pensate prima di confermare una azione, non dovreste avere problemi e al termine il tutto dovrebbe funzionare egregiamente.

Naturalmente, sono qui sempre a disposizione nel caso incontriate difficolta'.

Buon setup :)

ps: perdonatemi se non ho scritto anche una copia in italiano, ma ho scritto questi script in inglese per abitudine e perche' li possa utilizzare anche al lavoro, cosi' da evitare procedure manuali.
Cmq non e' che ci vuole molto a tradurre, se proprio ne avete bisogno.

Update 28/08/2007

Bugfixes

- piccolo bugfix per la esecuzione di programmi con percorsi contenenti spazi ecc., quando avviati da un explorer col menu contestuale (tasto dx). Adesso dovrebbe eseguire qualunque applicazione da qualunque percorso, senza alcun errore.

Aggiunte
Per rendere piu' comodo e veloce l'uso dei comandi, ho aggiunto questi shortcuts per avviare gli elementi piu' usati con diritti amministrativi, senza digitare i comandi piu' lunghi

- Gpedit.cmd: equivalente a AdminMMC gpedit.msc

- Secpol.cmd: equivalente a AdminMMC secpol.msc

- Services.cmd: equivalente a AdminMMC services.msc

- ControlPanel.cmd: per avviare direttamente il control panel come amministratore, senza passare per un explorer amministrativo.

Gianky....! :D :)
01-08-2007, 07:39
Grazie mille per l'impegno che ci stai mettendo!:)
Cmq
Kaspersky Internet Security 7.0

The requested URL http://www.stealthmeasures.com/LimitedUserAccountSetup.zip is infected with not-a-virus:RiskTool.Win32.HideWindows virus

Ahahahahah:D :ciapet: :D
Aspetto il test di qualche collega e poi lo provo.
Ciao

Sisupoika
01-08-2007, 09:20
Grazie mille per l'impegno che ci stai mettendo!:)
Cmq
Kaspersky Internet Security 7.0

The requested URL http://www.stealthmeasures.com/LimitedUserAccountSetup.zip is infected with not-a-virus:RiskTool.Win32.HideWindows virus

Ahahahahah:D :ciapet: :D
Aspetto il test di qualche collega e poi lo provo.
Ciao

Tranquillo :D
E meno male che l'avevo detto! :D
Non e' un virus, e' quella piccola utility di cui parlavo per nascondere le finestre. Puoi tranquillamente ignorare l'alert dell'antivirus, fidati. :)

edit: spiego un attimo meglio. La piccola utility, cmdow.exe (http://www.commandline.co.uk/cmdow/), consente ad es. in un file batch ti nascondere o minimizzare una finestra. Consente anche altre azioni che vengono classificate "pericolose" in quanto un attacker o malware potrebbe utilizzarla per compiere operazioni illecite sulle finestre di determinati programmi.
Ma se attivate le restrizioni sul software, e seguite questo setup, cmdow.exe non puo' essere eseguito da altri se non da voi. Un programma, file batch, ecc che si trovi al di fuori delle cartelle consentite per l'esecuzione dei programmi (ribadisco che dovete attivare le restrizioni sul software, altrimenti l'account limitato da solo e' piu' vulnerabile - si rimanda all'altro thread) non potrebbe essere eseguito in maniera non autorizzata da se' quindi non potrebbe utilizzare cmdow.exe.

Se ritenete che cmdow.exe sia un rischio (e con la configurazione suggerita in realta' non lo e'), avete due possibili scelte:

1 - rinominate il file cmdow.exe con altro nome, es. __cmdow.exe o altro nome a vostra scelta, e aggiornare i riferimenti negli script .cmd.
Funzionera' uguale, ma questo comando non verrebbe trovato da un eventuale malware che malcapitatamente (o per mancata configurazione delle restrizioni sul software) venga eseguito nel sistema e che voglia usarlo per nascondere processi, finestre, ecc.

2 - cmdow.exe non e' indispensabile per la procedura in oggetto, poiche' e' semplicemente usato per ridurre un po' i "flash" delle finestre durante l'elevazione temporanea dei diritti dell'utente, per eseguire il comando desiderato come amministratore.
Potete dunque eliminarlo se preferite, ed eliminare i riferimenti negli script .cmd. Non cambiera' praticamente nulla circa il funzionamento.

Spero sia chiaro. :)

Gianky....! :D :)
01-08-2007, 09:30
Tranquillo :D
E meno male che l'avevo detto! :D
Non e' un virus, e' quella piccola utility di cui parlavo per nascondere le finestre. Puoi tranquillamente ignorare l'alert dell'antivirus, fidati. :)

edit: spiego un attimo meglio. La piccola utility, cmdow.exe

Ovviamente lo sapevo!:D
Non era per quello!
Ti pare sono un noobs ? :ciapet:
Aspetto altri riscontri per vedere se il tutto causa problemi o crash di windows!
Cmq sempre complimenti per l'impegno.:)

Sisupoika
01-08-2007, 09:39
Ovviamente lo sapevo!:D
Non era per quello!
Ti pare sono un noobs ? :ciapet:
Aspetto altri riscontri per vedere se il tutto causa problemi o crash di windows!
Cmq sempre complimenti per l'impegno.:)

Sorry, avevo inviato il post sopra per sbaglio prima di finirlo :D
Tranquillo, nessun crash ecc. ;)

GogetaSSJ
01-08-2007, 09:45
Sto testando il nuovo script su Windows Vista Home Basic (ovviamente su macchina virtuale) :p
Sembra che non funzioni al 100% in quanto sulla versione HB non c'è possibilità di settare le restrizioni sui software e gestire gli utenti tramite gli strumenti di amministrazione.... faccio un altro pò di test e ti faccio sapere ;)

Sisupoika
01-08-2007, 09:49
Sto testando il nuovo script su Windows Vista Home Basic (ovviamente su macchina virtuale) :p
Sembra che non funzioni al 100% in quanto sulla versione HB non c'è possibilità di settare le restrizioni sui software e gestire gli utenti tramite gli strumenti di amministrazione.... faccio un altro pò di test e ti faccio sapere ;)

Purtroppo non qui con me un Windows Vista (ne' tantomeno la Home) per provare, ma temo che appunto le restrizioni sul software non siano possibili - anche altri l'avevano detto, ma non ho mai usato una versione Home.

Cmq non cambia molto: la differenza e' che in tal caso, poiche' non ci sono restrizioni sul software, si potranno eseguire applicazioni da ovunque anche senza il Right Click->Run with administrative rights. Anche se puo' sempre servire nel caso un sw sia scritto male e non funzioni con account limitato.

Grazie per le prove cmq :D

Sisupoika
01-08-2007, 09:50
Ho aggiornato il primo post, includendo un link ad un altro zip senza cmdow.exe. A voi la scelta.

GogetaSSJ
01-08-2007, 09:56
Smanettandoci un pò, mi sono ritrovato con l'account limitato trasformato in Administrator, infatti riesco ad avviare tutto senza limiti :eek:
Forse la versione HB non è buona per fare esperimenti... provo con la Premium e ti aggiorno ;)

Ps: ti faccio volentieri da tester :D

Sisupoika
01-08-2007, 10:00
Smanettandoci un pò, mi sono ritrovato con l'account limitato trasformato in Administrator, infatti riesco ad avviare tutto senza limiti :eek:
Forse la versione HB non è buona per fare esperimenti... provo con la Premium e ti aggiorno ;)

Ps: ti faccio volentieri da tester :D

Se hai selezionato un utente che prima era limitato, per usarlo come amministratore, e' ovvio che ti venga elevato ad Administrator, altrimenti a che servirebbe? :D

Sisupoika
01-08-2007, 10:01
Scusa un attimo, fermi tutti :eek:

hai lanciato lo script, da uno standard user di vista??? :eek:
Se si', LOOOOOOOOOOOOL :D

:asd:

GogetaSSJ
01-08-2007, 12:32
Scusa un attimo, fermi tutti :eek:

hai lanciato lo script, da uno standard user di vista??? :eek:
Se si', LOOOOOOOOOOOOL :D

:asd:

L'installer ovviamente l'ho avviato da SysAdmin, successivamente con l'account limitato ho usato la funzione tramite il menù contestuale. Il fatto è che si setta in modo permanente in Administrator, infatti se vado in "Account utente" mi vedo come amministratore... non è normale vero?

Sisupoika
01-08-2007, 12:38
L'installer ovviamente l'ho avviato da SysAdmin, successivamente con l'account limitato ho usato la funzione tramite il menù contestuale. Il fatto è che si setta in modo permanente in Administrator, infatti se vado in "Account utente" mi vedo come amministratore... non è normale vero?

Intendi il "Run with administrative rights"?
No, non e' normale che l'utente rimanga come Administrator.
Quando vado a casa verifico di nuovo, giusto per vedere se puo' essere un problema con Vista.

GogetaSSJ
01-08-2007, 12:44
Intendi il "Run with administrative rights"?
No, non e' normale che l'utente rimanga come Administrator.
Quando vado a casa verifico di nuovo, giusto per vedere se puo' essere un problema con Vista.

Esatto, quel comando.
Ora comunque provo ad installare la versione Premium e vedere un pò cosa riesco a combinare.

Sisupoika
01-08-2007, 12:56
Esatto, quel comando.
Ora comunque provo ad installare la versione Premium e vedere un pò cosa riesco a combinare.

Hai la possibilita' di fare un test anche sui Windows XP, Home & Professional?
Giusto per verificare che tutto funzioni con XP come lo e' stato per me ieri mentre finivo di scrivere gli script ecc. Grazie ;)

wizard1993
01-08-2007, 13:04
Hai la possibilita' di fare un test anche sui Windows XP, Home & Professional?
Giusto per verificare che tutto funzioni con XP come lo e' stato per me ieri mentre finivo di scrivere gli script ecc. Grazie ;)

sulla home l'ho provato, non funge

Sisupoika
01-08-2007, 13:20
sulla home l'ho provato, non funge

cosa accade sulla home di preciso? messaggi, screens, etc pls :)

GogetaSSJ
01-08-2007, 13:46
Ho la possibilità di testare lo script solo su Vista Premium e Xp Professional, ti faccio sapere come va nel pomeriggio ;)

Sisupoika
01-08-2007, 14:03
Ho la possibilità di testare lo script solo su Vista Premium e Xp Professional, ti faccio sapere come va nel pomeriggio ;)

paljon kiitoksia auttamisesta :D

GogetaSSJ
01-08-2007, 14:37
paljon kiitoksia auttamisesta :D

Che roba è? :D
Mille grazie in finlandese? :sofico:

M@tt82
01-08-2007, 17:06
Che dire... complimenti!
Ormai si configura tutto con un clik :D
Comode soprattutto le aggiunte al menu contestuale.
Appena ho un pò di tempo provo anche questo script. :cincin:

Sisupoika
01-08-2007, 18:16
Che roba è? :D
Mille grazie in finlandese? :sofico:

molte grazie per l'aiuto :)

Sisupoika
01-08-2007, 18:18
Che dire... complimenti!
Ormai si configura tutto con un clik :D
Comode soprattutto le aggiunte al menu contestuale.
Appena ho un pò di tempo provo anche questo script. :cincin:

Adesso prova lo script, ma tieni sott'occhio questo thread, tra non molto ci sara' ben piu' di uno script, ma una applicazione che fara' (molto meglio) tutto cio' assieme a molte altre belle cose, ma non voglio anticipare troppo :D
Tutto e' posticipato a quando torno dalle vacanze.

juninho85
01-08-2007, 19:18
:oink: ...non dico altro:D

oirad87
01-08-2007, 20:08
Ottima l'idea dello script :D
Appena ho tempo creo un'altra macchina virtuale e lo provo..
Grazie per tutto il lavoro che stai facendo ;)

Sisupoika
01-08-2007, 20:39
:oink: ...non dico altro:D

Tieniti pronto, perche' sei fra quelli che mi daranno una mano con un bel po' di testing di alcune cosette :D

Ottima l'idea dello script :D
Appena ho tempo creo un'altra macchina virtuale e lo provo..
Grazie per tutto il lavoro che stai facendo ;)

Cerco solo di rendere un po' piu' semplici queste cose, perche' altrimenti piu' sono macchinose piu' - purtroppo - gli utenti se ne allontanano e la situazione con Windows fa fatica a migliorare in termini di sicurezza.
Automatizzando qualche processino ecc ecc le cose diventano un po' piu' semplici e quindi accessibili. ;)

juninho85
01-08-2007, 20:43
Tieniti pronto, perche' sei fra quelli che mi daranno una mano con un bel po' di testing di alcune cosette :D

:D
ora che ci penso...possibile che lo script non funge perchè l'ho eseguito dal profilo sysadmin?:yeah:

Sisupoika
01-08-2007, 21:01
:D
ora che ci penso...possibile che lo script non funge perchè l'ho eseguito dal profilo sysadmin?:yeah:

Intendi gli script vecchi nell'altro thread? Si', puoi starne certo che quella e' la ragione :D

Purtroppo avrei dovuto prevederlo prima che qualcuno, domendo, come te, avrebbe commesso quell'errore :asd:

I nuovi script verificano prima se l'utente e' gia' amministratore, in tal caso eseguono il processo voluto senza toccare i gruppi utente, quindi nessun casino possibile in caso di errori ;)

Al momento (dimenticavo) c'e' solo un possibile problema, che potrebbe verificarsi ma solo in sfortunate circostanze:
se dopo aver elevato temporaneamente l'utente ad amministratore, qualcosa va storto con l'esecuzione del programma desiderato o con lo stesso script (o interruzione della sessione di Windows, ecc), potrebbe accadere (mai accaduto a me, sinora) che l'utente rimanga nel gruppo Administrators perche' il comando che successivamente lo rimuove da li' potrebbe non essere eseguito.
E' raro che capiti, comunque per evitare che l'utente settato come "limitato" rimanga nel gruppo Administrators (che non deve accadere), almeno fino all'esecuzione del prossimo script-command.
Si potrebbe aggiungere, per ora, un controllo ad ogni login dell'utente (o riavvio di Windows) che ri-limiti l'utente che sia rimasto eventualmente come Administrator in una sessione precedente nella quale non siano stati utilizzati altri admin scripts.

Dico "per ora", perche' nell'applicazione vera e propria ci sara' un altro tipo di controllo molto figo che eliminera' questo possibile, anche se raro, problema.

juninho85
01-08-2007, 21:43
quel weekend provo i nuovi script,ti fò sapere ;)

palinur
02-08-2007, 20:06
ciao a tutti!
Io ho provato questi script con windows xp home, ho seguito la procedura come spiegato nel post di Sisupoika creando un nuovo utente da windows, gli ho dato i diritti d'amministrazione e poi ho to trasformato l'utente che usavo come amministratore in utente limitato ho confermato questi dati nel setup ma il problema che ho è che quando mi loggo come utente limitato e voglio eseguire explore with administrative rights o command prompt non mi accetta la passwd dell' utente amministratore, praticamente mi disconosce la passwd anche se posso loggarmi normalmente come utente amministratore in windows.
preciso che ho disattivato nel setup admin di default built in, comunque se voglio disinstallare i programmi da utente limitato mi funziona se eseguo i programmi da click destro esegui come utente amministratore e a quel punto mi accetta la passwd e mi fa eseguire i programmi come utente amministratore, altra cosa se setto l'utente limitato con una passwd riesco ad aprire le cartelle ma solo dopo aver digitato la passwd di utente limitato dopo che lo script mi rifiuta per un paio di volte la passwd dell'admin.
Se invece non setto nessuna passwd per l'account limitato con gli script non riesco ad esplorare nessuna cartella nemmeno come utente limitato.
comunque sono contento di questa configurazione continuo a testare e poi vi faccio sapere un grazie a Sisupoika per il suo impegno a questa ottima alternativa alla classica sicurezza che avevo usato finora.

Sisupoika
02-08-2007, 22:02
ciao a tutti!
Io ho provato questi script con windows xp home, ho seguito la procedura come spiegato nel post di Sisupoika creando un nuovo utente da windows, gli ho dato i diritti d'amministrazione e poi ho to trasformato l'utente che usavo come amministratore in utente limitato ho confermato questi dati nel setup ma il problema che ho è che quando mi loggo come utente limitato e voglio eseguire explore with administrative rights o command prompt non mi accetta la passwd dell' utente amministratore, praticamente mi disconosce la passwd anche se posso loggarmi normalmente come utente amministratore in windows.
preciso che ho disattivato nel setup admin di default built in, comunque se voglio disinstallare i programmi da utente limitato mi funziona se eseguo i programmi da click destro esegui come utente amministratore e a quel punto mi accetta la passwd e mi fa eseguire i programmi come utente amministratore, altra cosa se setto l'utente limitato con una passwd riesco ad aprire le cartelle ma solo dopo aver digitato la passwd di utente limitato dopo che lo script mi rifiuta per un paio di volte la passwd dell'admin.
Se invece non setto nessuna passwd per l'account limitato con gli script non riesco ad esplorare nessuna cartella nemmeno come utente limitato.
comunque sono contento di questa configurazione continuo a testare e poi vi faccio sapere un grazie a Sisupoika per il suo impegno a questa ottima alternativa alla classica sicurezza che avevo usato finora.

Ciao palinur,

la password e' obbligatoria, motivo per cui non funziona senza.
Se per esempio scegli un utente gia' esistente come amministratore oppure utente limitato, e quell'utente non aveva password, non funzionera', perche' il comando RunAs esige che l'account abbia una password.
Prova dunque a impostare una password per entrambi gli account se questo e' il caso, e poi prova di nuovo l'esecuzione con diritti amministrativi.
Per semplicita', se non hai problemi a cancellare gli utenti esistenti, cancellali; poi lancia nuovamente il setup e di' a lui il nome utente che vuoi usare come amministratore, e quello che vuoi usare come limitato. Poiche' dovra' creare automaticamente nuovi accounts, ti chiedera' di digitare la nuova password per ciascuno di essi. Prova cosi'.

Attenzione alla fretta: le password che ti vengono chieste (solo la prima volta se con successo) sono due, e non si riferiscono allo stesso account.
La prima volta infatti ti viene chiesta la password dell'utente amministratore, poi quella dell'utente limitato.
Forse nella fretta non te ne sei accorto e hai messo sempre l'una o l'altra in entrambi i casi.

palinur
03-08-2007, 05:50
ok Sisupoika stasera riprovo come tu hai detto e ti farò sapere, credo che hai centrato il problema:p
ciao e grazie

Sisupoika
03-08-2007, 09:11
ok Sisupoika stasera riprovo come tu hai detto e ti farò sapere, credo che hai centrato il problema:p
ciao e grazie

figurati :)

y4mon
03-08-2007, 11:15
...

Con le modifiche apportate dalla procedura in oggetto, invece, si puo' utilizzare Windows in un account limitato praticamente allo stesso modo di quando lo si usa con un account amministratore, con i vantaggi in termini di sicurezza che piu' volte sono stati citati (si rimanda all'altro thread).
...

veramente molto interessante...

complimenti x l'impegno e lo spirito...

sono solito usare (e consigliare l'uso) di iexplorer7 con privilegi limitati (con psexec), monitorandolo proprio con privbar e devo dire che la procedura ha reso meno frequenti gli interventi di pulizia presso i pc degli amici...:D ed il mio pc al riparo dall'inesperienza di moglie e figlio...

penso che l'approccio da te suggerito possa aiutare ad aumentare la sicurezza nella gestione del pc.

Non appena avrò un pò di tempo proverò senz'altro i tuoi script, nel frattempo complimenti ancora...

ciao

Sisupoika
03-08-2007, 11:23
veramente molto interessante...

complimenti x l'impegno e lo spirito...

sono solito usare (e consigliare l'uso) di iexplorer7 con privilegi limitati (con psexec), monitorandolo proprio con privbar e devo dire che la procedura ha reso meno frequenti gli interventi di pulizia presso i pc degli amici...:D ed il mio pc al riparo dall'inesperienza di moglie e figlio...

penso che l'approccio da te suggerito possa aiutare ad aumentare la sicurezza nella gestione del pc.

Non appena avrò un pò di tempo proverò senz'altro i tuoi script, nel frattempo complimenti ancora...

ciao

Merci ;)

palinur
03-08-2007, 19:06
ciao a tutti!
niente da fare non mi accetta la passwd di sysadmin pur avendo impostato una passwd sia per amministratore che per utente limitato, comunque continuo a testare questa configurazione, in ogni caso riesco ad installare i programmi cliccando esegui come e da lì metto la il nome e la passwd dell'utente amministratore e funge!
probabilmente sarà perchè la mia versione è windows xp home, non sò ma lascio così il tutto perchè adesso il mio pc è una scheggia senza tutti quei sw di sicurezza caricati all'avvio!

retalv
13-08-2007, 09:32
In poche parole... complimenti per tutto il lavoro!

Solo una domanda... e volendo configurare il tutto in unattend?

Alias:
La procedura richiede la definizione dei criteri per ipsec: una volta definiti possono essere salvati in un file .ipsec per poi essere reimportati in una installazione ex-novo o attraverso MMC o con ipseccmd.exe (WindowsXP-KB838079-SupportTools-ENU.exe)... il mio problema e' che devono anche essere attivate e personalmente non conosco altri sistemi al di la della GUI MMC :(

Quasi la stessa cosa per il lock down software...

C'e' modo di fare il tutto in automatico tramite command line (vorrei integrarlo nel post-login HFSLIP ( http://hfslip.org/ ), nLite non mi sfagiola...) ?

Spero che la risposta non sia AutoIT .... ;)

Ciao!

p.s. Forse ho capito che il modo per importare ed attivare e' con il parametro -x di ipseccmd.exe ... comunque, per ora, rimane il problema del lock down...

:importa un file criteri IPSEC creato con MMC
ipseccmd import REG criteri_firewall.ipsec

;rende assegnato il criterio "Firewall"
ipseccmd -w REG -p Firewall -x

Per il lock down continuo a cercare e ... aspetto il ritono dalla Finlandia... :)

Ciao!

Sisupoika
15-08-2007, 11:41
ciao a tutti!
niente da fare non mi accetta la passwd di sysadmin pur avendo impostato una passwd sia per amministratore che per utente limitato, comunque continuo a testare questa configurazione, in ogni caso riesco ad installare i programmi cliccando esegui come e da lì metto la il nome e la passwd dell'utente amministratore e funge!
probabilmente sarà perchè la mia versione è windows xp home, non sò ma lascio così il tutto perchè adesso il mio pc è una scheggia senza tutti quei sw di sicurezza caricati all'avvio!

Come non detto... ho appena postato nelläaltro thread prima di leggere questo tuo post. La cosa strana eä che se da esegui come (RunAs) ti funziona non dovrebbero esserci problemi, perche' anche gli script batch usano RunAs anche se in maniera diversa. Rimane l'interrogativo a proposito della versione home di Windows XP. Boh, non credo sia quello il problema, ma devo provare.
Qualcun altro ha riscontrato lo stesso tipo di problema?

In poche parole... complimenti per tutto il lavoro!

Solo una domanda... e volendo configurare il tutto in unattend?


Prima di andare in vacanza avevo iniziato a vedere come fare per una procedura automatica da includere come addon in nLite, per crearsi una instasllazione di Windows che apportasse giaä automaticament equesto genere di modifiche, cmq avevo appena iniziato la cosa e incontrato alcuni problemi. Appena posso tornero' a rivedere öla cosa ma piu' che come addon di nLite, credo sia appunto meglio vedere un po' di automatizzare una installazione di tipo unattended percheä potrebbe essere usata sia in un custom Windows fatto con nlite e simili, sia per eseguire il tutto su una installazione di Windows gia' esistente.



Alias:
La procedura richiede la definizione dei criteri per ipsec: una volta definiti possono essere salvati in un file .ipsec per poi essere reimportati in una installazione ex-novo o attraverso MMC o con ipseccmd.exe (WindowsXP-KB838079-SupportTools-ENU.exe)... il mio problema e' che devono anche essere attivate e personalmente non conosco altri sistemi al di la della GUI MMC :(

Quasi la stessa cosa per il lock down software...

C'e' modo di fare il tutto in automatico tramite command line (vorrei integrarlo nel post-login HFSLIP ( http://hfslip.org/ ), nLite non mi sfagiola...) ?

Spero che la risposta non sia AutoIT .... ;)

Ciao!

p.s. Forse ho capito che il modo per importare ed attivare e' con il parametro -x di ipseccmd.exe ... comunque, per ora, rimane il problema del lock down...

:importa un file criteri IPSEC creato con MMC
ipseccmd import REG criteri_firewall.ipsec

;rende assegnato il criterio "Firewall"
ipseccmd -w REG -p Firewall -x

Per il lock down continuo a cercare e ... aspetto il ritono dalla Finlandia... :)

Ciao!

Non ti preoccupare, con il setup automatico di cui parlavo che sostituira' gli script, non ci sara' bisogno di eseguire alcun comando. Pazienta :D

retalv
16-08-2007, 17:19
Non ti preoccupare, con il setup automatico di cui parlavo che sostituira' gli script, non ci sara' bisogno di eseguire alcun comando. Pazienta :D

Pazienteremo... ;) , ma per favore, sia quello che sia, un sistema "aperto"... in modo da poterci mettere le mani alla bisogna, perche' come tu ben sai le installazioni unattended hanno diverse sfaccettature e basta (ad esempio) attivare il registro per visualizzare l'utente Administrator (come notavi nell'altro thread) per farti bloccare l'installazione con una bella pausa senza fine al Welcome Screen che aspetta un semplice click sull'unico utente visualizzato (XP Home). ;)

p.s. ma e' poi vero che "ciucciano" tanto xilitolo in Finlandia? :D

(Se non vivi in Italia forse non vedi un maledetto spot di una gomma da masticare che ci sta massacrando gli zebedei da MOLTO tempo con questo xilitolo e i denti dei finlandesi...)

Ciao!

gulligulli@lycos.it
19-08-2007, 12:21
Provati gli scripts perfettamente funzionanti su Xp (professional)
Continuo a preferire il settaggio manuale e in genere la procedura proposta
nel thread aperto dal mitico Sisupoika sulla sicurezza built-in.Questo perchè l'approccio in automatico è da preferire solo nel momento in cui lo si sa fare in manuale e non viceversa.
Per il resto un vero must!!!!
Da questi due post di Sisupoika ho imparato tanto GRAZIE!!!!

GogetaSSJ
19-08-2007, 18:23
Ma stavo pensando... invece di installare tutti gli scripts, perchè non basterebbe fare un "Esegui come..." e poi selezionare l'account amministratore? (non Administrator di default)

Cosa cambia? Sicuramente mi sfugge qualcosa ma non ci arrivo, sorry :muro:

Ps: come mai in Vista non c'è "Esegui come..."? Con account limitato non riesco ad accedere con le credenziali di amministratore :muro:


Edit: ho riattivato UAC ma questa volta in modalità Quiet (così mi esce il prompt per elevare i permessi solo con account limitato). Ma se ad esempio voglio avviare un setup.exe, sono costretto a mettere la password di admin o annullare, non posso eseguirlo come utente limitato... come posso fare?

retalv
19-08-2007, 20:53
Ma stavo pensando... invece di installare tutti gli scripts, perchè non basterebbe fare un "Esegui come..." e poi selezionare l'account amministratore? (non Administrator di default)

Cosa cambia? Sicuramente mi sfugge qualcosa ma non ci arrivo, sorry :muro:


Per Vista non so cosa risponderti (mai avuto sotto mano, aspetto almeno il SP1 se non il 2) ma se guardi attentamente nello script giusto vedrai che la motivazione c'e'...

In pratica: RunAsAdmin.cmd reimposta per il tempo di utilizzo dell'applicazione lanciata l'utente corrente come amministratore e questo per permettere anche ai soft, che lo richiedono in fase di installazione e non, di avere pieno accesso al sistema.

Se un soft (per qualche suo motivo o perche' non proprio ben fatto ) ha ad esempio bisogno di scrivere in determinate locazioni (magari nascoste) del sistema anche DOPO l'installazione, essendo stato installato con le credenziali di un altro utente puo' non avere accesso a dette locazioni nel futuro.

Se invece viene installato con le credenziali dell'utente che lo usera' in seguito, anche se questo ha subito delle limitazioni potra' continuare ad avere accesso a quelle locazioni o risorse in futuro, in quando dette risorse gli sono state accreditate per quella specifica applicazione.

Per quel poco che puo' interessare a chi legge, ho cominciato a scrivere un unico eseguibile che permettera' sia la configurazione sia l'utilizzo del sistema (senza bisogno di alcun script) e di fare le stesse cose anche in XP Home (che non supporta il salvataggio delle credenziali utente). Visto che pero' non so come implementare il lockdown software (bisogna forzatamente lavorare sui registri, e non ho la certezza di aver inquadrato tutti quelli indispensabili) non postero' nulla se non prima di aver visto il lavoro promesso dal nostro amico qualche post addietro... e comunque solo se lo riterro' migliorativo del suo... ;)

Ciao!

g@amAT
23-08-2007, 13:31
http://img250.imageshack.us/img250/6706/immaginesm2.jpg

a me spesso esce questo errore quando uso "Run with admin..."

Sisupoika
23-08-2007, 13:59
Ciao a tutti, come detto nell'altro thread sono un po' incasinato ma procedero' con queste cose asap.

Pazienteremo... ;) , ma per favore, sia quello che sia, un sistema "aperto"... in modo da poterci mettere le mani alla bisogna, perche' come tu ben sai le installazioni unattended hanno diverse sfaccettature e basta (ad esempio) attivare il registro per visualizzare l'utente Administrator (come notavi nell'altro thread) per farti bloccare l'installazione con una bella pausa senza fine al Welcome Screen che aspetta un semplice click sull'unico utente visualizzato (XP Home). ;)

Cosa intendi per aperto, nel caso specifico? Prova ad essere piu' chiaro, magari anche con proposte e suggerimenti, se ne hai. :)


p.s. ma e' poi vero che "ciucciano" tanto xilitolo in Finlandia? :D

(Se non vivi in Italia forse non vedi un maledetto spot di una gomma da masticare che ci sta massacrando gli zebedei da MOLTO tempo con questo xilitolo e i denti dei finlandesi...)

Ciao!

No, non vivo in Italia ma mi avevano segnalato quello spot e l'ho pure visto :D

Provati gli scripts perfettamente funzionanti su Xp (professional)
Continuo a preferire il settaggio manuale e in genere la procedura proposta
nel thread aperto dal mitico Sisupoika sulla sicurezza built-in.Questo perchè l'approccio in automatico è da preferire solo nel momento in cui lo si sa fare in manuale e non viceversa.
Per il resto un vero must!!!!
Da questi due post di Sisupoika ho imparato tanto GRAZIE!!!!

Grazie a te per l'interesse e il tuo approccio a questo genere di proposte.


Ma stavo pensando... invece di installare tutti gli scripts, perchè non basterebbe fare un "Esegui come..." e poi selezionare l'account amministratore? (non Administrator di default)
Cosa cambia? Sicuramente mi sfugge qualcosa ma non ci arrivo, sorry :muro:

Quando esegui un oggetto con RunAs (Esegui come), esso viene eseguito con quell'utente, quindi impostazioni, percorsi, ecc. delle eventuali modifiche saranno relative a quello specifico utente amministratore. Quindi c'e' spesso una discordanza tra l'utente che ha fatto logon al sistema, e quello usato per eseguire applicazioni come amministratore. Per questo motivo, troppo spesso EseguiCome non funziona come atteso.

La mia soluzione e' una versione molto migliorata di uno spunto tratto da Aaron Margosis (http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/193721.aspx) (Microsoft), che consente di eseguire le applicazioni nel contesto dell'utente limitato stesso, risolvendo i problemi su citati.
I miei script (che saranno trasformati in leggerissimi addon per il sistema, appena ho tempo) inoltre rendono l'utilizzo di un account limitato hasslefree, il piu' simile possibile all'utilizzo classico di Windows con solo account amministratore.

Ps: come mai in Vista non c'è "Esegui come..."? Con account limitato non riesco ad accedere con le credenziali di amministratore :muro:


Edit: ho riattivato UAC ma questa volta in modalità Quiet (così mi esce il prompt per elevare i permessi solo con account limitato). Ma se ad esempio voglio avviare un setup.exe, sono costretto a mettere la password di admin o annullare, non posso eseguirlo come utente limitato... come posso fare?

Credo che la nuova funzionalita' di Vista non sia cosi' buona come si e' creduto... ma non ho ancora avuto molto tempo per studiarla e sperimentarla a fondo.

Per Vista non so cosa risponderti (mai avuto sotto mano, aspetto almeno il SP1 se non il 2) ma se guardi attentamente nello script giusto vedrai che la motivazione c'e'...

In pratica: RunAsAdmin.cmd reimposta per il tempo di utilizzo dell'applicazione lanciata l'utente corrente come amministratore e questo per permettere anche ai soft, che lo richiedono in fase di installazione e non, di avere pieno accesso al sistema.

Se un soft (per qualche suo motivo o perche' non proprio ben fatto ) ha ad esempio bisogno di scrivere in determinate locazioni (magari nascoste) del sistema anche DOPO l'installazione, essendo stato installato con le credenziali di un altro utente puo' non avere accesso a dette locazioni nel futuro.

Se invece viene installato con le credenziali dell'utente che lo usera' in seguito, anche se questo ha subito delle limitazioni potra' continuare ad avere accesso a quelle locazioni o risorse in futuro, in quando dette risorse gli sono state accreditate per quella specifica applicazione.

Non avevo notato il tuo post mentre scrivevo. Grazie

Per quel poco che puo' interessare a chi legge, ho cominciato a scrivere un unico eseguibile che permettera' sia la configurazione sia l'utilizzo del sistema (senza bisogno di alcun script) e di fare le stesse cose anche in XP Home (che non supporta il salvataggio delle credenziali utente). Visto che pero' non so come implementare il lockdown software (bisogna forzatamente lavorare sui registri, e non ho la certezza di aver inquadrato tutti quelli indispensabili) non postero' nulla se non prima di aver visto il lavoro promesso dal nostro amico qualche post addietro... e comunque solo se lo riterro' migliorativo del suo... ;)

Ciao!

Invece penso che sia una buona idea, qualunque contributo sara' certamente apprezzato da tutti. Anche perche' cio' che ho in mente e' abbastanza complesso e richiedera' purtroppo del tempo, trattandosi di una nuova sorta di
suite di sicurezza - la piu' leggera che si possa immaginare :D - basata sullo stesso sistema operativo invece che su aggiunte pesanti.
Postalo, magari puo' essere un ottimo contributo anche per cio' che io sto facendo, e si potrebbe collaborare. :)

http://img250.imageshack.us/img250/6706/immaginesm2.jpg

a me spesso esce questo errore quando uso "Run with admin..."

Si', lo so, e' facilmente correggibile e lo faro' asap. E' dovuto ad un parametro circa il percorso dell'eseguibile; il problema e' causato da spazi ecc.
E' una cazzatina, percio' abbiate un po' di pazienza :D

g@amAT
23-08-2007, 14:22
tranquillo fai con calma...hai già fatto abbastanza :)

retalv
24-08-2007, 10:00
Cosa intendi per aperto, nel caso specifico? Prova ad essere piu' chiaro, magari anche con proposte e suggerimenti, se ne hai. :)

Invece penso che sia una buona idea, qualunque contributo sara' certamente apprezzato da tutti. Anche perche' cio' che ho in mente e' abbastanza complesso e richiedera' purtroppo del tempo, trattandosi di una nuova sorta di
suite di sicurezza - la piu' leggera che si possa immaginare :D - basata sullo stesso sistema operativo invece che su aggiunte pesanti.
Postalo, magari puo' essere un ottimo contributo anche per cio' che io sto facendo, e si potrebbe collaborare. :)

Per aperto intendo: sorgenti in un linguaggio a medio-alto livello diponibile gratuitamente ed abbastanza accessibile anche a chi non è programmatore "di professione".

Personalmente conosco un pochetto il C, ma so anche che non e' di facile comprensione a tutti, soprattutto quando leggi un sorgente che non e' il tuo.

Una (a mio parere) valida alternativa per questo caso (anche se non ti permette di fare proprio tutto quello che ti pare e piace) è quell'ammasso di script di AutoIT: gratuito, molto semplice (ti permette di lavorare anche sui registri in modo scontato) e basato sul linguaggio C.

Io per ora ho quasi finito la gestione del RunAs, non prendendo in considerazione firewall e lockdown (anche perche' francamente per il primo c'è poco da fare [appprrroposito... pur avendo aperto le porte 21 e 20 in uscita il client FTP non funziona... suggerimenti?], mentre per il secondo ho dubbi su quali registri impostare).


p.s. ho dato un occhio a ftp e... in modalita' passiva l'assegnazione delle porte per il flusso dati (remota e locale) è dinamico, quindi non gestibile da IPSEC se non aprendo tutte le porte in entrata ed in uscita su TCP (il che non mi sembra il massimo della sicurezza!). Questo vale per tutti i browser e i per i client ftp impostati appunto in modalita' passiva.
In modalita' attiva, teoricamente dovebbe andare aprendo in entrata su tutte le trasmissioni tcp provenienti da qualsiasi indirizzo che trasmette dalla porta 20... peccato che anche cosi' non funziona...
Ftp e' quasi indispensabile e se nessuno ha qualche dritta rimarro' al mio caro firewall utilizzando tutti i rimanenti suggerimenti.

Bye

retalv
26-08-2007, 12:33
Questa la prima beta abbondantemente rimaneggiata...

Se la volete provare ecco il link.

http://rapidshare.com/files/51375365/ExtRunAs_b1.zip.html

Ciao!

retalv
28-08-2007, 09:16
Consiglio la lettura di questa pagina...

http://blogs.msdn.com/aaron_margosis/archive/2005/03/11/394244.aspx

Ciao!

Tra poco tempo la RC1 di ExtRunAs: se pero' (come sembra visto l'altro traffico di messaggi sull'oggetto ;) ) non interessa, non perdo nemmeno tempo a postarla...

Ciao!

g@amAT
28-08-2007, 11:58
Consiglio la lettura di questa pagina...

http://blogs.msdn.com/aaron_margosis/archive/2005/03/11/394244.aspx

Ciao!

Tra poco tempo la RC1 di ExtRunAs: se pero' (come sembra visto l'altro traffico di messaggi sull'oggetto ;) ) non interessa, non perdo nemmeno tempo a postarla...

Ciao!

A me interessa solo che rapidshare mi da problemi... la puoi mettere anche da qualche altra parte?

Sisupoika
28-08-2007, 12:50
Per aperto intendo: sorgenti in un linguaggio a medio-alto livello diponibile gratuitamente ed abbastanza accessibile anche a chi non è programmatore "di professione".

Beh, dipende, al momento non so. Non che io non sia per l'open source, ma sto progettando una applicazione con alcuni servizi veri e propri, quindi e' da vedere sotto quale forma essi verranno rilasciati.

Io per ora ho quasi finito la gestione del RunAs, non prendendo in considerazione firewall e lockdown (anche perche' francamente per il primo c'è poco da fare [appprrroposito... pur avendo aperto le porte 21 e 20 in uscita il client FTP non funziona... suggerimenti?], mentre per il secondo ho dubbi su quali registri impostare).

Per il momento suggerirei di lasciare il firewall IPSEC e le restrizioni software al di fuori di questo genere di utility, perche' non e' cosi' semplice implementare per bene le cose senza evitare possibili casini nel sistema :D
La mia applicazione prevedera' diverse funzioni come una sorta di "plugins", ma solo in uno step successivo. La cosa prioritaria al momento e' rendere l'uso di un account limitato il piu' possibile indolore.
Poi un po' per volta si possono aggiungere le altre cose, IMHO.

Quella che segue una semplice alpha ... vedi tu...

Grazie per il contributo, mi fa piacere che anche altri contribuiscano in questo modo.
Cmq l'ho provato molto velocemente (molto) senza guardare il codice perche' sono a lavoro e ho poco tempo, su una macchina con Windows installato e su un Windows in una macchina virtuale appena installato (vuoto), e sinceramente non sono riuscito a farlo funzionare.
Errori vari, mancata esecuzione, inoltre la password nei textbox e' in chiaro, non crittografata e non nascosta dalla visione di altri, ne' da keyloggers.
In questo modo e' molto semplice anche sniffare una password dell'amministratore che usi.


p.s. ho dato un occhio a ftp e... in modalita' passiva l'assegnazione delle porte per il flusso dati (remota e locale) è dinamico, quindi non gestibile da IPSEC se non aprendo tutte le porte in entrata ed in uscita su TCP (il che non mi sembra il massimo della sicurezza!). Questo vale per tutti i browser e i per i client ftp impostati appunto in modalita' passiva.
In modalita' attiva, teoricamente dovebbe andare aprendo in entrata su tutte le trasmissioni tcp provenienti da qualsiasi indirizzo che trasmette dalla porta 20... peccato che anche cosi' non funziona...
Ftp e' quasi indispensabile e se nessuno ha qualche dritta rimarro' al mio caro firewall utilizzando tutti i rimanenti suggerimenti.

Bye

Uso FTP, come le altre funzioni, senza problemi. Forse c'e' qualcosa che non va, ricontrolla :)

Consiglio la lettura di questa pagina...

http://blogs.msdn.com/aaron_margosis/archive/2005/03/11/394244.aspx

Ciao!

L'avevo linkato nel mio thread, come premessa. Sono partito da quel semplice script iniziale, per poi creare questo gruppo di comandi ed ed estensioni.

Tra poco tempo la RC1 di ExtRunAs: se pero' (come sembra visto l'altro traffico di messaggi sull'oggetto ;) ) non interessa, non perdo nemmeno tempo a postarla...

Ciao!

Certo che interessa, forse siamo solo tutti un po' incasinati in questi giorni :D

____________

@all,

ho aggiornato il file Zip, per risolvere qualche problemino e rendere un po' piu' "smooth" l'uso del nostro account limitato.
Per ora si tratta sempre del solito sistema con script che, pur non essendo esteticamente la soluzione piu' elegante, e' secondo la mia esperienza l'unica funzionante al 100% in praticamente tutti i casi, a differenza di tutti gli script, tools, ecc trovati in rete e provati.
Per il momento suggerisco di continuare ad utilizzarli finche' rendero' disponibile una applicazione che, spero, troverete interessante. ;)

Trovate qui (http://www.stealthmeasures.com/LimitedUserAccountSetup.zip) il nuovo zip

Bugfixes ( :D )

- piccolo bugfix per la esecuzione di programmi con percorsi contenenti spazi ecc., quando avviati da un explorer col menu contestuale (tasto dx). Adesso dovrebbe eseguire qualunque applicazione da qualunque percorso, senza alcun errore.

Aggiunte
Per rendere piu' comodo e veloce l'uso dei comandi, ho aggiunto questi shortcuts per avviare gli elementi piu' usati con diritti amministrativi, senza digitare i comandi piu' lunghi

- Gpedit.cmd: equivalente a AdminMMC gpedit.msc

- Secpol.cmd: equivalente a AdminMMC secpol.msc

- Services.cmd: equivalente a AdminMMC services.msc

- ControlPanel.cmd: per avviare direttamente il control panel come amministratore, senza passare per un explorer amministrativo.

Notare l'estensione .cmd.

:)

retalv
29-08-2007, 22:24
Cmq l'ho provato molto velocemente (molto) senza guardare il codice perche' sono a lavoro e ho poco tempo, su una macchina con Windows installato e su un Windows in una macchina virtuale appena installato (vuoto), e sinceramente non sono riuscito a farlo funzionare.
Errori vari, mancata esecuzione, inoltre la password nei textbox e' in chiaro, non crittografata e non nascosta dalla visione di altri, ne' da keyloggers.
In questo modo e' molto semplice anche sniffare una password dell'amministratore che usi.

Gia messo a posto, comunque considerando che l'utente di partenza è amministrativo quasiasi sniffer (serio) sul buffer di tastiera continuera' a leggere quello che vuole... mi pareva implicito che tutte le azioni di cui si parla in questo spazio debbano forzatamente partire da un sistema pulito e scollegato dalla rete... se prima si ha visitato siti di cani porci, intallato soft "non sicuro" (e mi limito a definirlo cosi'...) e poi speri di risolvere tutto limitando l'utenza... comunque è gia buggato...

Uso FTP, come le altre funzioni, senza problemi. Forse c'e' qualcosa che non va, ricontrolla :)

Puo' essere, ma fancamente dopo aver riscritto tutto per la 4a volta collegandomi senza problemi sia sulla 80 sia sulla 443, avendo usato un lettore sulle porte, avendo verificato che l'errore e' di mancata apertura del canale dati ftp non saprei proprio dove andare a pescare "l'errore"...

g@amAT, tu un qualsiasi client ftp lo riesci ad usare ??

- piccolo bugfix per la esecuzione di programmi con percorsi contenenti spazi ecc., quando avviati da un explorer col menu contestuale (tasto dx). Adesso dovrebbe eseguire qualunque applicazione da qualunque percorso, senza alcun errore.

- Gpedit.cmd: equivalente a AdminMMC gpedit.msc

- Secpol.cmd: equivalente a AdminMMC secpol.msc

- Services.cmd: equivalente a AdminMMC services.msc

- ControlPanel.cmd: per avviare direttamente il control panel come amministratore, senza passare per un explorer amministrativo.

Tutto questo gia ora con ExtRunAs e' superfluo... ;)

retalv
29-08-2007, 22:26
A me interessa solo che rapidshare mi da problemi... la puoi mettere anche da qualche altra parte?

Ad esempio?

(FTP a te funziona ?)

Ciao!

8alex4
31-08-2007, 12:05
Ciao Sisupoika. Ho creato l'account limitato sia manualmente, per imparare qualcosa, e sia automaticamente con i tuoi script. Entrambi casi tutto funziona per fortuna:p Ma La configurazione sia del firewalll che le restrizioni software le devo fare nell'account limitato giusto?

retalv
01-09-2007, 21:51
La relase candidate 1 di ExtRunAs la trovate al link qui sotto... se non avete capito cosa è, scaricatela e leggete il piccolo manuale in pdf incluso.

http://www.megaupload.com/?d=8V3RXZTT

Ciao

g@amAT
01-09-2007, 23:33
Ad esempio?

(FTP a te funziona ?)

Ciao!

Provato il client ftp ieri..funziona!

retalv
02-09-2007, 09:12
Provato il client ftp ieri..funziona!

Allora alzo le mani... comunque da me non vuol saperne... c'e' comunque qualcosa che non quadra a livello di sistema... la configurazione IPSEC di Sisupoika non viene nemmeno importata... sopravviverò...

Ciao e grazie

Sisupoika
02-09-2007, 11:35
Ciao Sisupoika. Ho creato l'account limitato sia manualmente, per imparare qualcosa, e sia automaticamente con i tuoi script. Entrambi casi tutto funziona per fortuna:p Ma La configurazione sia del firewalll che le restrizioni software le devo fare nell'account limitato giusto?

le devi fare come amministratore, poiche' non hai quel genere di diritti con l'account limitato :)

La relase candidate 1 di ExtRunAs la trovate al link qui sotto... se non avete capito cosa è, scaricatela e leggete il piccolo manuale in pdf incluso.

http://www.megaupload.com/?d=8V3RXZTT

Ciao


LA provo asap, grazie :)

g@amAT
02-09-2007, 12:42
La relase candidate 1 di ExtRunAs la trovate al link qui sotto... se non avete capito cosa è, scaricatela e leggete il piccolo manuale in pdf incluso.

http://www.megaupload.com/?d=8V3RXZTT

Ciao

Ciao, adesso lo provo. Mi sono permesso di upparlo sul mio spazio web almeno gli utenti di questa discussione faranno prima a scaricalo.

ECCO IL LINK DIRETTO (http://manuc3.netsons.org/ExtRunAs.zip)

retalv
02-09-2007, 23:02
Ciao, adesso lo provo. Mi sono permesso di upparlo sul mio spazio web almeno gli utenti di questa discussione faranno prima a scaricalo.

Non c'è nessun problema, anzi...

Provatela solo in utenze non in uso, perchè...

1) Implementando la multiutenza (che sarà dispoinibile dalla RC2 e seguenti) ho trovato un paio di inesattezze che ho gia messo a posto (e che difficilmente mi avreste segnalato).

2) Con la multiutenza non mi è conveniente usare un file di appoggio e lavoro sui registri, quindi il file ExtRunAs.ra4 ed il suo backup nascosto nella home utente non esisteranno piu e verranno perse le configurazioni. (!)

3) ... non essendo una finale....

La nuova versione dovrebbe essere pronta (salvo i bugs che mi segnalerete) entro 2-3 giorni (se mi lasciano un poco in pace)... a presto!

Ciao!

Sisupoika
02-09-2007, 23:58
Provatela solo in utenze non in uso

in che senso? non ti seguo

retalv
03-09-2007, 09:37
in che senso? non ti seguo

Nel senso che non vorrei sentire qualcuno che salta fuori dicendo ...

"mi ha rovonato la... " o "non riesco più ad usare il..."

Create un'utenza NON di lavoro o gioco (che ne sò... una utenza "Prova") lanciatelo in quell'utenza, create l'utenza amministrativa alternativa e fate tutte le prove che potete in quell'utenza resa limitata.

Ancora meglio se usate un virtualizzatore di sistema, con il confinamento tutti gli eventuali "guai" rimangono lì e non possono fare danni. Ho provato + volte ad usarla proprio per evitare questo, ma non metto la mano sul fuoco...

La cosa che al momento mi interessa maggiormente (dopo la correttezza dell'esecuzione) è avere suggerimenti su come renderla + user friendly.

Ad esempio stavo pensando di aggiungere un piccolo sub menu per la personalizzazione delle stringhe per le chiamate da Explorer (quelle sul genere "SHELL nella cartella come amministratore...") e di rendere la pw di setup (è indispensabile per prevenire accessi non consentiti) slegata dalla compilazione e definibile dall'utente.

Quest'ultimo è lo scoglio + grande. Non posso legarla semplicemente a "firme" di sistema in quanto non note all'utente e quindi non utilizzabili in unattended.

L'unica alternativa che mi è venuta in mente è di non utilizzare la chiave interna (che è univoca da sistema a sistema) per codificare la password di setup, ma utilizzare un generatore che consideri parametri di sistema definiti dall'utente in installazione, creando poi un contenitore (file) da accoppiare all'eseguibile.

Usando questo sistema c'è però di negativo che devo legarlo a parametri come (ad esempio) il nome macchina che però può essere facilmente modificato rendendo il setup non più utilizzabile dall'utente, ma c'è però di positivo che facendo in questo modo ho la sicurezza di poter inibire l'uso del setup a chiunque semplicemente modificando questi parametri dopo l'arrangiamento del sistema per rimetterli poi a posto non appena avrò nuovamente bisogno del setup, creando in questo modo una sorta di doppia o tripla chiave sul setup stesso.


Ciao!

retalv
09-09-2007, 15:10
Sono ancora vivo ... ;)

Finale pronta.

Finisco di scrivere il manualetto e la metto da qualche parte...

Ciao!

retalv
10-09-2007, 16:12
Come promesso, ecco i nuovi link per chi è interessato...

http://www.megaupload.com/?d=G4KQD3ZI

http://rapidshare.com/files/54700257/ExtRunAs_1.0.zip.html

Ciao!

Sisupoika
10-09-2007, 17:38
Come promesso, ecco i nuovi link per chi è interessato...

http://www.megaupload.com/?d=G4KQD3ZI

http://rapidshare.com/files/54700257/ExtRunAs_1.0.zip.html

Ciao!

Grazie retalv della partecipazione cosi' attiva e del contributo.
Purtroppo in questo periodo sono incasinato, ma non appena ho tempo lo provero' di sicuro, e magari - non trovo problemi - potrei usarlo fino a quando ho tempo per continuare sul mio progetto.

A presto,
S.

Sar3voK
11-09-2007, 20:05
Prima di tutto ti faccio i mie complimenti Sisupoika! grazie a te ho scoperto cose di winxp che prima, da utonto quale sono, nemmeno immaginavo.
Cmq, scrivo dopo aver letto entrambi i thread perchè non ho trovato risposta a due domande: la prima è, avendo moddato winxp come da te descritto nella vecchia discussione, per implementare tutti i nuovi comandi mi basta applicarli dal quicksetup, o devo novamente partire da una nuova installazione di win?

La seconda è: alcuni programmi, fra i quali emule, the kmplayer e super funzionano malissimo sotto utente limitato.
Per esempio kmplayer avvia si i filmati ma è lentissimo ad avviarli e non tiene in memoria le proprietà dei file, emule non salva parte delle opzioni, e super non parte proprio, una sola volta è partito dicendo che servivano diritti di amministratore per funzionare.

Pur avendo letto tutto magari non ho ben inteso come fare quindi se potessi darmi una mano l'accetteri volentieri (ovviamente l'accetto l'aiuto di tutti:D )

retalv
11-09-2007, 21:11
avendo moddato winxp come da te descritto nella vecchia discussione, per implementare tutti i nuovi comandi mi basta applicarli dal quicksetup, o devo novamente partire da una nuova installazione di win?

Ti rispondo io, perchè lui per un po' dovrà tacere (credo) ... ;)

Va benissimo l'installazione corrente.

alcuni programmi, fra i quali emule, the kmplayer e super funzionano malissimo sotto utente limitato.
Per esempio kmplayer avvia si i filmati ma è lentissimo ad avviarli e non tiene in memoria le proprietà dei file, emule non salva parte delle opzioni, e super non parte proprio, una sola volta è partito dicendo che servivano diritti di amministratore per funzionare.

Kmplayer ... strano...

Emule e compagnia probabilmente (non li uso, ma... MOLTO probabilmente) devono essere avviati in ambiente amministrativo, quindi "a mano" devi aggiungere ai link di avvio di detti programmi l'istruzione che li avvii in modalità amministrativa. Alias: uno degli script del nostro amico. Mi sembra...

RunAsAdmin.cmd [tuoapplicativo].exe

Se ne hai voglia prova a reinstallarli usando gli script del benemerito, ma il prg. che ti dice che si avvia solo con credenziali amministrative continuerà a darti errore: devi per forza modificare manualmente il link in modo da lanciarlo in un ambiente "amministrativo".

Ciao!

xcdegasp
12-09-2007, 10:50
Sisupoika è solo impossibilitato ma è questione di qualche giorno..

Se Kmplayer da problemi si può optare per il più duttile VLC che è l'unico che si può installare senza essere amministratore di sistema.

in eMule togli il flag a "forza l'uso di un account limitato", in questo modo userà l'account in uso essendo già un account limitato; tale voce si trova in "opzioni -> sicurezza".

Sar3voK
12-09-2007, 11:08
Grazie a entrambi per le risposte veloci!
proverò a fare come dite.
Riguardo a VLC, è come Kmplayer? cioè apre gli stessi file con codec propri oppure ha bisogno del divx codec e compagnia?

xcdegasp
12-09-2007, 11:20
VLC è già pronto all'uso con tutto di suo :)
se non sbaglio ci dovrebbe essere anche la versione per chiavetta usb...
http://www.videolan.org/vlc/

puoi sbizzarirti anche con le skin usabili :)

Sar3voK
12-09-2007, 11:34
Niente da fare con kmplayer, ma forse ho sbagliato la procedura, comunque sto scaricando vlc e vedo se mi piace di più e funziona.
Emule non ne vuole sapere, bho!

xcdegasp
12-09-2007, 11:38
Niente da fare con kmplayer, ma forse ho sbagliato la procedura, comunque sto scaricando vlc e vedo se mi piace di più e funziona.
Emule non ne vuole sapere, bho!

loggati come amministratore e metti il permesso a tutti nella directory e subdirectories di eMule.. ;)

Sar3voK
12-09-2007, 11:55
Ti ricordo che sono un pò niubbo con queste cose:D
per amministratore intendi sysadmin oppure il built in di windows?
e poi come faccio a modificare questi diritti?

xcdegasp
12-09-2007, 12:06
Ti ricordo che sono un pò niubbo con queste cose:D
per amministratore intendi sysadmin oppure il built in di windows?
e poi come faccio a modificare questi diritti?

sì il sysadmin dovrebbe essere l'utente che ha i privilegi più alti nel tuo pc, quindi poi sulla cartella di emule fai il tasto destro e scegli "proprietà", lì potrai avere visualizzate tutte le informazioni su quel determinato oggetto :)

Sar3voK
12-09-2007, 12:33
Grande xcdegasp!!!:sofico:
Ho risolto trasportando un collegamento dell'intera cartella in condivisi di tutti gli utenti! emule finalmente funge!
Proverò anche con super.
Grazie per l'aiuto! Sei un mito:D !

Sar3voK
12-09-2007, 18:35
Correggo, invece che diminuire i problemi aumentano:cry:
emule sicuramente funziona meglio di prima ma molti settaggi non li salva e sembra avere problemi con i file in hash e super non ne vuole sapere, ma il vero problema che vorrei risolvere è capire come posso cancellare files ed installare programmi senza tornare ogni volta all'account sysadmin:(
Help! (senza nulla togliere all'aiuto di xcdegasp!)

retalv
13-09-2007, 00:10
Bugfix release.

ExtRunAs v1.01 (build 13/09/2007)
---------------------------------
[-] Bug nella configurazione unattended iniziale: non viene eseguita causa setup keyfile non trovato.
[-] Bug nel parameto /m: in mancanza del setup keyfile nella directory di sistema visualizza errore di file non
trovato e costruisce il keyfile nella cartella di esecuzione.
[-] Bug nell'aggiornamento chiave utente in autologon: se in unattended non viene usato l'asterisco (*) per
mantenere la chiave attuale o in grafica si modifica la chiave proposta, non aggiorna la chiave di autologon
nel registro di sistema con conseguente errore al successivo login.


http://www.megaupload.com/?d=RTV97KKK

http://rapidshare.com/files/55257454/ExtRunAs_1.01.zip.html

Ciao!

retalv
13-09-2007, 00:16
super non ne vuole sapere, ma il vero problema che vorrei risolvere è capire come posso cancellare files ed installare programmi senza tornare ogni volta all'account sysadmin:(

Su "super" hai provato a fare come ti ho detto ?

Comunque ti sei saltato a piè pari la lettura di tutta la parte della guida riguardante il "dopo" utente limitato. Ricomincia la lettura...

Ciao!

xcdegasp
13-09-2007, 00:25
Correggo, invece che diminuire i problemi aumentano:cry:
emule sicuramente funziona meglio di prima ma molti settaggi non li salva e sembra avere problemi con i file in hash e super non ne vuole sapere, ma il vero problema che vorrei risolvere è capire come posso cancellare files ed installare programmi senza tornare ogni volta all'account sysadmin:(
Help! (senza nulla togliere all'aiuto di xcdegasp!)

ti devo notificare la firma irregolare, correggila in base al regolamento ;)


1.5 - Avatar, signature e sito personale
b) Signature: 3 righe a 1024 solo testo con un massimo di 3 smiles dell'Hardware Upgrade Forum oppure un'immagine 100 X 50 X 5KB e una riga di testo (non deve andare a capo).

Sar3voK
13-09-2007, 11:48
Devo essermi perso durante la lettura:D , cmq vedrò di rileggere tutto perchè mi sembra una configurazione veramente interessante! In caso vi romperò ancora le scatole:p

Sar3voK
13-09-2007, 16:16
Un'altra cosa... ma è normale che nella sessione di utente limitato, se faccio tasto destro->run with administrative rights mi apre una finestra dos nera?
ma in utente limitato non doveva essere rossa? o mi sono perso qualche passaggio?
e poi se vado su una cartella e clicco su explore with administrative rights mi dovrebbe aprire una finestra di explorer con diritti amministrativi giusto? da cui cioè posso cliccare su qualunque exe e farlo partire, o no?
Scusate ma sono piuttosto confuso, tralasciando che probabilmente ho saltato parte dei post de vecchio thread.

K[o]dy
24-09-2007, 20:35
Dunque, scaricate da qui (http://www.stealthmeasures.com/LimitedUserAccountSetup.zip) il file zip (~156kb) contenente il setup batch e i file necessari, e avviate QuickSetup.bat.
Prima di tutto, grazie :)
Poi, credo che non sia più disponibile il file zip... potresti rimetterlo?

Sisupoika
24-09-2007, 23:59
dy;18852049']Prima di tutto, grazie :)
Poi, credo che non sia più disponibile il file zip... potresti rimetterlo?

ciao, ho fatto alcune operazioni di manutenzione sull'hosting, provo a sistemare domani se riesco :)

retalv
25-09-2007, 11:11
ciao, ho fatto alcune operazioni di manutenzione sull'hosting, provo a sistemare domani se riesco :)

Chi non muore si rilegge... :)

Ciao!

Sisupoika
25-09-2007, 21:01
Chi non muore si rilegge... :)

Ciao!

Ciao bello. Hai novita' per il tuo AutoIt? :)
Fra le altre cose che non sto avendo tempo di fare, c'e' anche questo :muro:
Fortunatamente nei prossimi giorni dovrei riuscire ad essere un po' piu' libero e riprendere alcune cose. :)

Sisupoika
25-09-2007, 22:05
Si continua qui (http://www.hwupgrade.it/forum/showthread.php?p=18870893#post18870893).

juninho85
29-09-2007, 22:22
edit

nV 25
07-10-2007, 17:34
dy;18852049']Prima di tutto, grazie :)
Poi, credo che non sia più disponibile il file zip... potresti rimetterlo?

ciao, ho fatto alcune operazioni di manutenzione sull'hosting, provo a sistemare domani se riesco :)

Lo zip continua ad essere latitante....:(

Qualcuno che lo ha potrebbe upparlo da qualche parte?
Txs...:)

xcdegasp
11-10-2007, 13:24
spostato in area Tutorial :)

8alex4
23-10-2007, 23:06
Ciao Sisu. Io uso i primi due script che hai creato. Adminshell e admincmd. Volevo provare su virtualizzatore il setup automatico. Vado per scaricare e mi esce sto sito: http://www.stealthmeasures.com/LimitedUserAccountSetup.zip ma il setup dove sta? Poi ho un problema con il firewall. Ho impostato il traffico permesso come l'hai descritto tu sulla tua prima guida. e fin qui tutto ok. poi siccome uso bitorren emule e msn ho aperto le loro porte. Solo che invece di aprirle sempre nel traffico permesso ho creato dei filtri apposta per loro. Uno per emule uno per bittorn e uno per msn così potrei bloccare un singolo programma. solo che mi sono accorto che se blocco il traffico permesso si bloccano tutte le porte, mentre se blocco ad es. quelle di msn msn funziona lo stesso...Come mai?

K[o]dy
23-10-2007, 23:28
Ciao 8alex4, come hai impostato la "regola" per BitTorrent?

8alex4
25-10-2007, 12:57
dy;19289035']Ciao 8alex4, come hai impostato la "regola" per BitTorrent?

Ciao. Allora le porte per il Bitorrent le ho impostate in questo modo:

Speculare: No
Protocollo: TCP
Porta di origine: 6881
Porta di destinazione: 6889

delomare
18-04-2008, 20:48
Premetto che non ho letto tutta la discussione, ma soltanto il primo post; poi però ho letto pure l'altra discussione (ormai chiusa) dove si spiegava molto bene come configurare Win senza antivirus e Firewall...
Arrivo al punto!! A casa ho una rete, tramite router wi-fi, nella quale vi sono un pc e un portatile (in particolare un MacBook). Quello che vi chiedo è questo: possono esserci problemi nella gestione della rete se effettuo le operazioni elencate nell'altro topic, in particolare quelle che riguardano l'apertura delle porte del router? Non vorrei che effettuando quello che c'è scritto poi mi ritrovo a poter usare soltanto il pc e non il portatile, visto che hanno due sistemi diversi...
Aspetto notizie... Grazie mille!!

tokas
21-04-2008, 12:07
Innanzitutto complimenti a Sisupoika e tutti quelli che stanno collaborando. Lavoro in una scuola e sto testando questa configurazione in un'aula informatica per rendere più scattanti i computer e risparmiare le licenze degli antivirus.
Ho due domande e un problema:
1- E' vero quello che dice questo sito riguardo al comando /savecred:
http://www.derkeiler.com/Mailing-Lists/NT-Bugtraq/2003-07/0069.html
2- Ci sono alcuni percorsi sotto la cartella di windows in cui anche un utente limitato può creare file, quindi anche eseguibili di virus.
Per trovarli scaricate accessenum da questo sito
http://www.microsoft.com/technet/sysinternals/security/accessenum.mspx
Credo che basti reimpostare le autorizzazioni su quei percorsi per rendere sicuro il sistema. Che ne pensate?
3- Qualcuno ha provato AutoCad con questa configurazione? A me dà un problema il server della licenza, che tenta di eseguire dei file in una cartella temporanea utente.

tokas
21-04-2008, 14:01
Sto indagando ancora su AutoCad, il problema è che facendolo partire come amministratore, nelle finestre di dialogo Apri/Salva ho accesso a tutto l'hard disk, e gli alunni potrebbero copiare emule o altri programmi tramite questa schermata. Qualche suggerimento?

juninho85
21-04-2008, 14:39
facevi prima a usare il quote

teox_48
18-06-2008, 17:30
ho letto solo adesso questa discussione...c'è qualcuno che ha lo zip (156kb) contenente il setup batch?...xk il link nn mi funziona

cloutz
25-08-2008, 13:20
il 3d è ufficialmente morto?
se non sbaglio si stava aspettando un programmino creato da Sisupoika che facesse tutto automaticamente, ma non se ne era saputo più nulla...

chiedo perchè potrei essere interessato all'eventuale uscita di tale installer...:)

Darkboy91
10-11-2008, 17:30
Questa è il mio problema: http://www.hwupgrade.it/forum/showthread.php?p=24942954&posted=1#post24942954

sapete aiutarmi?????

AxW3b
09-12-2008, 10:05
progetto morto?

Jestat
12-02-2010, 11:54
era molto interessante...inoltre i link del primo post non funzionano più.....

ma Sisupoika è stato "fatto fuori" dalle ditte produttrici di antimalware??? :D

xcdegasp
18-05-2010, 10:02
Ciao.

Con riferimento a questo thread (http://www.hwupgrade.it/forum/showthread.php?t=1517343), ecco qui la procedura di cui parlavo per configurare in maniera automatica una coppia Administrator/utente limitato, con gli script e le modifiche al registro necessari per rendere l'utilizzo di una configurazione di questo tipo (si rimanda al thread linkato per maggiori dettagli) il piu' simile possibile a quello di una installazione di Windows nella sua configurazione di default.

Tutto cio', per venire incontro agli utenti che abbiano trovato difficolta' nel fare tutto "manualmente", come spiegato nell'altro thread.

Se ci si limita ad utilizzare Windows XP con un account limitato cosi' come viene offerto, come e' noto si possono incontrare alcune difficolta' nell'utilizzo del sistema che lo rendono un po' troppo "macchinoso" e a volte poco confortevole.

Con le modifiche apportate dalla procedura in oggetto, invece, si puo' utilizzare Windows in un account limitato praticamente allo stesso modo di quando lo si usa con un account amministratore, con i vantaggi in termini di sicurezza che piu' volte sono stati citati (si rimanda all'altro thread).

In realta' avevo pianificato di scrivere una applicazione in .NET che applicasse queste modifiche in maniera piu' elegante, con un setup vero e proprio; ma purtroppo avrei avuto bisogno di piu' tempo e comunque ad ogni modo lo scopo e' raggiunto. Appena torno dalle vacanze, se ho tempo, provo a scrivere comunque una applicazione che sostituisca le semplici procedure batch allegate.

Avevo anche pianificato di creare una sorta di addon per nLite, ma per il momento potreste integrare i files allegati al vostro custom cd di Windows, e far si' che lo script venga eseguito al termine o durante l'installazione di Windows (si rimanda alla sezione opportuna per questo).
Anche per nLite, non appena avro' tempo creero' un addon per rendere questo setup gia' pronto al termine dell'installazione di Windows da un custom cd.

Per ora accontentatevi :D

Dunque, scaricate da qui (http://www.stealthmeasures.com/LimitedUserAccountSetup.zip) il file zip (~156kb) contenente il setup batch e i file necessari, e avviate QuickSetup.bat.

http://img211.imageshack.us/img211/3190/quicksetupya3.th.jpg (http://img211.imageshack.us/my.php?image=quicksetupya3.jpg)

Vi verra' chiesto il nome dell'utente amministratore che volete utilizzare come, appunto, amministratore predefinito del vostro Windows. NON scegliete l'utente Administrator (cioe' l'amministratore predefinito, quello built-in di Windows). Potete scegliere un utente esistente qualunque (verra' elevato automaticamente ad Administrator se necessario), oppure scegliere di crearne uno nuovo, nel qual caso dovrete digitare un nome utente non ancora utilizzato.
Scelto l'utente che vorrete utilizzare come administrator, per le operazioni straordinarie sul vostro Windows, allo stesso modo dovrete scegliere l'utente "limitato" che sara' l'account col quale utilizzerete Windows normalmente, per la maggior parte del tempo (in realta' l'administrator potrebbe non servirvi mai, come nel mio caso, grazie agli script che vedrete :fagiano: ). Anche qui, potrete scegliere un utente esistente o un nuovo utente.
Nel primo caso, se l'utente selezionato appartiene al gruppo Administrators, gli verranno rimossi i diritti di amministratore, in modo da trasformarlo in utente limitati. Se scegliete un nuovo nome utente, quell'utente verra' creato senza i privilegi di amministratore.
Non sara' ovviamente consentito di selezionare lo stesso utente come amministratore e limitato.
Scelti i due utenti, vi verra' suggerito di disabilitare l'Administrator built-in di Windows, poiche' e' spesso vittima di alcuni tentativi di vario tipo da parte di malware o estranei che cerchino di forzare il logon del vostro Windows dall'esterno. Vi suggerisco di farlo.
Fatto cio', verranno copiati gli script e altri file necessari.

La procedura, in tutto, richiede 10 secondi.

Quando terminato, fate log off e log on con l'utente limitato che avevate scelto, e provate ad usare il sistema.

Funzionalita' aggiunte dagli script all'account limitato:

- AdminCMD: qualcuno di voi avra' gia' provato i precedenti script che avevo postato nell'altro thread.
Questo comando (Start->Run->AdminCMD) esegue un prompt dei comandi, con privilegi di amministratore, ma usando l'utente corrente, cioe' quello limitato.
Gia' questo di per se' vi evita di loggarvi come amministratore nel caso dobbiate fare qualche modifica al sistema. Cmq e' poco pratico, per cui vi sono altri comandi aggiunti che migliorano le cose.

http://img526.imageshack.us/img526/7199/admincmdra4.th.jpg (http://img526.imageshack.us/my.php?image=admincmdra4.jpg)http://img410.imageshack.us/img410/9462/admincmd2fd0.th.jpg (http://img410.imageshack.us/my.php?image=admincmd2fd0.jpg)

- AdminExplorer: Start->Run->AdminExplorer.
Avvia un Windows Explorer con privilegi di amministratore, analogamente con il comando precedente.
Rimpiazza il vecchio comando AdminShell.
NOTA: dietro suggerimento di M@tt82 (http://www.hwupgrade.it/forum/showpost.php?p=18102832&postcount=155), che ringrazio, ho aggiunto al setup automatico una barra (leggi qui (http://blogs.msdn.com/aaron_margosis/archive/2004/07/24/195350.aspx))che in Explorer/Internet Explorer vi indichera' al volo se Explorer e' eseguito come amministratore, oppure come utente limitato.
Il semaforo rosso indichera' che la finestra e' eseguita in modalita' amministratore, mentre il semaforo verde comparira' quando eseguirete Explorer/Internet EXplorer come utente limitato.
La comodita' di questa shell e' enorme. Potete fare di tutto, senza dovervi loggare come amministratore.

http://img46.imageshack.us/img46/9489/explorerasuserdt5.th.jpg (http://img46.imageshack.us/my.php?image=explorerasuserdt5.jpg)http://img74.imageshack.us/img74/7210/explorerasadminzk3.th.jpg (http://img74.imageshack.us/my.php?image=explorerasadminzk3.jpg)

- AmIAdmin: da avviare in un prompt dei comandi, verifica se esso e' eseguito in modalita' limited user o amministratore.

http://img180.imageshack.us/img180/7567/amiadmin1rh4.th.jpg (http://img180.imageshack.us/my.php?image=amiadmin1rh4.jpg)http://img62.imageshack.us/img62/7326/amiadmin2se7.th.jpg (http://img62.imageshack.us/my.php?image=amiadmin2se7.jpg)

- AdminMMC: Start->Run->AdminMMC <nome management console file>

Esegue MMC come amministratore :D

Es.
AdminMMC Gpedit.msc, avvia group policies editor
AdminMMC SecPol.msc, avvia la gestione delle security policies
AdminMMC CompMgmt.msc, computer management
ecc ecc

http://img171.imageshack.us/img171/2258/adminmmcca7.th.jpg (http://img171.imageshack.us/my.php?image=adminmmcca7.jpg)

- RunAsAdmin: Start->Run->RunAsAdmin <nome e percorso programma, file, ecc>
Avvia il programma o file richiesto, naturalmente con privilegi di amministratore.

Attenzione:
per ridurre i flash delle schermate necessarie alla modifica temporanea dell'utente e al lancio dei processi come amministratore, ho utilizzato una piccola utility chiamata cmdow.exe che consente di nascondere e minimizzare le schermate.
Per le funzioni di cui dispone, questo file e' a volte erroneamente identificato da alcuni antivirus come pericoloso.
Semplicemente: ignorate. Non e' affatto pericoloso, e' una semplice utility. (rif. leggere qui (http://www.commandline.co.uk/cmdow/))

(aggiornamento)

Attenzione: leggete qui (http://www.hwupgrade.it/forum/showpost.php?p=18135673&postcount=3) in merito a cmdow.exe nel caso il vostro Antivirus vi segnali la presenza di un virus (che, ripeto, virus non e').

(aggiornamento)

Ho reso disponibile anche un altro zip praticamente uguale, ma senza cmdow.exe nel caso preferiate non utilizzarlo sul vostro sistema.
Potete scaricarlo qui (http://www.stealthmeasures.com/LimitedUserAccountSetupNoCMDOW.zip).



A parte i comandi, ora viene il bello :D

Ho aggiunto al setup delle chiavi di registro che vi consentono di avviare programmi, esplorare cartelle, ecc ecc, con privilegi di amministratore, con un semplice click del pulsante destro del vostro mouse sulla cartella o programma cui volete accedere o che volete eseguire come amministratore (specie se attivate le restrizioni sul software e non potete eseguire, con account limitato, setup di programmi legittimi che vogliate installare nel sistema).

Folders:

Facendo click col pulsante destro del mouse, vi compariranno due nuove voci.

- Command prompt with administrative rights: avvia il prompt dei comandi come amministratore, con il solito sfondo rosso, nella cartella da noi selezionata

- Explore with administrative rights: avvia Windows Explorer, come amministratore, nella cartella da noi selezionata. Utilissimo per installare programmi ecc ecc senza cambiare utente e neanche usare i comandi :D

http://www.stealthmeasures.com/Folders.jpg


Files:

Facendo click col destro sui files (es programmi, documenti, ecc), quel programma o file verra' eseguito con privilegi di amministratore, direttamente, e automaticamente.
Utile per installare programmi anche da un Explorer con privilegi limitati :D
Questo comando contestuale risolve i problemi del RunAs gia' presente in Windows.


Nota: gli scripts richiederanno la password dell'amministratore e dell'utente limitato soltanto la prima volta. ;)

http://www.stealthmeasures.com/Files.jpg


Per ora e' tutto. Sicuramente ci saranno aggiornamenti ecc, ma per ora dovrebbe bastare :D

In seguito aggiungero' la procedura per configurare automaticamente anche restrizioni del software e firewall IPSEC. Stay tuned!:D

Rimando comunque gli interessati all'altro thread per ulteriori informazioni, anche su come applicare manualmente questa configurazione.


Ho scritto e testato la procedura in Windows XP nella versione Professional inglese, ma non dovrebbero esserci problemi con la Home (attendo conferme, purtroppo non ho la possibilita' di verificare di persona perche' mi manca), ne' con Windows localizzato in altre lingue quale l'italiana.

Ovviamente, pur avendo testato gli script per un po' prima di postare il tutto, vi invito a fare dei test su una macchina di prova o virtual machine, prima di eseguire la procedura sulla installazione di Windows che usate normalmente.

Se non modificate gli script, leggete attentamente le istruzioni a video e pensate prima di confermare una azione, non dovreste avere problemi e al termine il tutto dovrebbe funzionare egregiamente.

Naturalmente, sono qui sempre a disposizione nel caso incontriate difficolta'.

Buon setup :)

ps: perdonatemi se non ho scritto anche una copia in italiano, ma ho scritto questi script in inglese per abitudine e perche' li possa utilizzare anche al lavoro, cosi' da evitare procedure manuali.
Cmq non e' che ci vuole molto a tradurre, se proprio ne avete bisogno.

Update 28/08/2007

Bugfixes

- piccolo bugfix per la esecuzione di programmi con percorsi contenenti spazi ecc., quando avviati da un explorer col menu contestuale (tasto dx). Adesso dovrebbe eseguire qualunque applicazione da qualunque percorso, senza alcun errore.

Aggiunte
Per rendere piu' comodo e veloce l'uso dei comandi, ho aggiunto questi shortcuts per avviare gli elementi piu' usati con diritti amministrativi, senza digitare i comandi piu' lunghi

- Gpedit.cmd: equivalente a AdminMMC gpedit.msc

- Secpol.cmd: equivalente a AdminMMC secpol.msc

- Services.cmd: equivalente a AdminMMC services.msc

- ControlPanel.cmd: per avviare direttamente il control panel come amministratore, senza passare per un explorer amministrativo.

Piccola nota informativa:
http://www.hwupgrade.it/forum/showpost.php?p=32012331&postcount=635

Scalk3
21-07-2010, 10:55
Dove si può scaricare QuickSetup.bat ?
Il link nel thread non funziona.

buscale
27-11-2012, 20:14
Lo script è ancora disponible da qualche parte?

Il link non funziona più