Come d'accordo, apro questo nuovo thread.
I primi tre post rimarranno per il momento vuoti, li usero' per mettere in ordine mano a mano le informazioni raccolte.

Per chi non sapesse di cosa si parla, qui di seguito ci sono i link a due discussioni - che verranno a breve chiuse da xcdegasp - dalle quali siamo partiti. Tali link verranno rimossi una volta le informazioni raccolte verranno sistemate qui dentro.

[Admins' toolbox] Scripts per setup automatico account limitato (http://www.hwupgrade.it/forum/showthread.php?t=1523302)
Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc) (http://www.hwupgrade.it/forum/showthread.php?t=1517343)

Buona discussione. :)

Post di servizio 1

Post di servizio 2

Ciao bello. Hai novita' per il tuo AutoIt?
Fra le altre cose che non sto avendo tempo di fare, c'e' anche questo
Fortunatamente nei prossimi giorni dovrei riuscire ad essere un po' piu' libero e riprendere alcune cose.


Ho corretto qualche bacuzzo in unattended (per i link dai un occhio al vecchio 3d) e stavo pensando di implementare la gestione IDuser in modo da poter avere un utente amministrativo per l'uso non in rete e un utente/i limitato/i per l'uso in rete.

Non è il massimo della sicurezza ma ...


Ciao!

p.s. mi interesserebbe sempre sapere come configurare le restrizioni software via registry...

di qua?

posto di quà dato che l'altro thread è stato chiuso


ho beccato qualcosa che riesce a raggirare il tuo firewall integrato in windows più le restrizioni del user senza privilegi.

si tratta dei soliti igfxsvc+spoolsw....però con l'aggiunta di qualche altro componente più "incazzoso":D

posto di quà dato che l'altro thread è stato chiuso


ho beccato qualcosa che riesce a raggirare il tuo firewall integrato in windows più le restrizioni del user senza privilegi.

si tratta dei soliti igfxsvc+spoolsw....però con l'aggiunta di qualche altro componente più "incazzoso":D

Configurazione software PC?
Ciao :)

il solo ICS,è una partizione con cui vado all'arrembaggio :D

Intendi "Condivisione connessione Internet" di XP giusto?
Ma hai "contratto l'infezione" navigando in internet con IE? Le regole del firewall da te utilizzate sono solo quelle suggerite nella guida di Sisupoika?

ICS,il firewall integrato in windows.
si,ho seguito la guida di sisù,contratto navigando in siti zozzi(e il bello è che manco son stato io!:muro: ) con IE....avevo messo da parte dei file di backup con tutti i componenti infetti in uno zippone per poterlo testare successivamente,però ho steccato una chiave debugger da rimettere a default sul registro e mi son fottuto il sistema :D

ah, state attentissimi a non utilizzare gli script (admincmd o adminshell) di amministratore con un account di amministratore!!!
io l'ho fatto dal mio unico utente amministratore (dopo aver giustamente creato l'utente limitato e disabilitato l'admin di default) e ho visto che andava...mi sono sloggato, sono entrato come utente limitato, ma lo script (admincmd) non andava più...chissà perchè...
vabbè...rientro come sysadmin, ma con sommo piacere noto che "sysadmin" non fa + parte del gruppo administrators....quindi avevo un pc con solamente utenti limitati e nessuna possibilità di accesso per l'utente admin (l'unico che c'era era disabilitato!!)

occorre una modifica agli script... (precisamente un if utente che esegue lo script=sysadmin allora eseguo il file senza mettere o togliere l'utente dal gruppo administrator...)


altra cosa...lo script di adminshell mi avvia si una shell, ma essa non ha nessun diritto in + di quella che apro con l'utente normale....dove sbaglio?
sarebbe carino che l'autore del post rimetta online gli script nell'ultima versione che aveva fatto...

nessuno che mi sa dire qualcosa in merito al mio problema con la shell? con admincmd (ovvero il processo cmd.exe o qualsiasi processo io gli metta dentro) funziona...

ciao ciao

Alla fine come hai risolto?
Hai aggiunto un utente amministratore "dall'esterno"?

Ciao a tutti,

perdonate la lunga assenza ma in questo periodo non ho tempo neanche per dormire :D

Rispondo a tutto non appena possibile, promesso.

Intanto, una sorpresina :D

Attivate anche voi il vostro desktop sul web! :D

https://desktoptwo.com

Alla fine come hai risolto?
Hai aggiunto un utente amministratore "dall'esterno"?

purtroppo ho dovuto attivare con un hack l'utente administrator di default (che oramai era l'unico con diritti di admin sul mio picci) con questa (http://home.eunet.no/~pnordahl/ntpasswd/) utility...
d'altronde, non c'era altra soluzione giunti a quel punto....


Attivate anche voi il vostro desktop sul web!

https://desktoptwo.com

grande...appena ho un pò di tempo lo provo sicuramente...sembra mooolto interessante!

purtroppo ho dovuto attivare con un hack l'utente administrator di default (che oramai era l'unico con diritti di admin sul mio picci) con questa (http://home.eunet.no/~pnordahl/ntpasswd/) utility...
d'altronde, non c'era altra soluzione giunti a quel punto....
Infatti mi riferivo a qualcosa del genere.

trovo più idonea quest'area.. :)

ah, state attentissimi a non utilizzare gli script (admincmd o adminshell) di amministratore ...
cut.....
...nessuno che mi sa dire qualcosa in merito al mio problema con la shell? con admincmd (ovvero il processo cmd.exe o qualsiasi processo io gli metta dentro) funziona...
ciao ciao

mi banno da solo. se avessi letto tutto il primo post riguardante gli scripts avrei trovato le soluzioni (anche se quella del "pasticcio" con gli admin non c'era...ma l'ho trovata da solo....sempre un passo in avanti :) )
mi rispondo da solo al secondo problema poichè magari qualcuno ha i miei stessi problemi con adminshell:
basta solamente applicare la spunta in pannello di controllo->opzioni cartella->esegui finestre delle cartelle in processi separati (o qualcosa di simile...anche io ho win in inglese...)
è ovvio...ci sarei pure arrivato da solo, se mi si fosse accesa la lampadina prima...se eseguo explorer nello stesso processo dell'utente limitato è ovvio che avrà gli stessi diritti dell'utente limitato no?

ciao ciao

Prendendo spunto da qui: forum.utorrent.com (http://forum.utorrent.com/viewtopic.php?id=7862) , quali sarebbero le "regole" adatte per far funzionare utorrent con il firewall suggerito da Sisupoika? :confused:

mi banno da solo. se avessi letto tutto il primo post riguardante gli scripts avrei trovato le soluzioni (anche se quella del "pasticcio" con gli admin non c'era...ma l'ho trovata da solo....sempre un passo in avanti :) )
mi rispondo da solo al secondo problema poichè magari qualcuno ha i miei stessi problemi con adminshell:
basta solamente applicare la spunta in pannello di controllo->opzioni cartella->esegui finestre delle cartelle in processi separati (o qualcosa di simile...anche io ho win in inglese...)
è ovvio...ci sarei pure arrivato da solo, se mi si fosse accesa la lampadina prima...se eseguo explorer nello stesso processo dell'utente limitato è ovvio che avrà gli stessi diritti dell'utente limitato no?

ciao ciao

Anche io avevo lo stesso problema e ora l'ho risolto. Grazie per averci infomato:)

In attesa d i qualche novità, ho trovato diversi link interessanti riguardanti l'IPSec: http://labmice.techtarget.com/networking/ipsec.htm ;)

Ho avuto modo di provare lo script automatico di Sisupoika, su un’installazione pulita di WInXP SP2 pro, aggiornato con tute le patch MS uscite fino ad oggi:

Sul sistema, dopo al primo avvio, avevo creato due utenti:
- "Principale" che volevo usare come admin principale, protetto da password.
- "Secondario" destinato ad essere utilizzato come utente limitato, anche lui protetto da password
NB: Ovviamente di default, entrambi gli utenti avevano diritti amministrativi.

Dopo aver avviato QuickSetup.bat (loggato come "principale"), ho seguito le istruzioni indicando "Principale" l'utente che sarà l'amministratore e "Secondario" quello limitato. Inoltre ho disattivato l'utente "Administrator".
Finita la procedura, senza alcun messaggio d’errore, ho riavviato.

Eseguito il riavvio, è venuta fuori una sorpresa, l'utente "Secondario" era scomparso dalla schermata di Log-in.
Per entrare come "Secondario" dovevo usare CRTL+ALT+CANC ed inserire manualmente nome utente e password.
Da "Gestione avanzata utenti" ho scoperto, in pratica, che l'utente "Principale" non faceva più parte del gruppo Users, ma risultava semplicemente "Guest".

Per far tornare tutto nella normalità, ho inserito manualmente l'utente "Secondario" nel gruppo Users. Fatto questo, è ritornato come account limitato e visibile nella schermata di log-in.

Ho sbagliato qualcosa? :confused:

Ciao Sisupoika, sono un utente nuovo in questo forum, mi sono iscritto perché mi piace smanettare al computer anche se non sono tanto bravo ….
Navigando in internet sono capitato su una tua discussione circa la “Sicurezza fai da te!” che mi ha subito incuriosito e successivamente affascinato.
Ho, per questo, eseguito passo passo ogni tua istruzione :read: (senza far uso della pappa pronta) e ha subito tutto funzionato alla perfezione!!! :yeah:
“Per questo voglio ringraziarti e farti i miei complimenti”.
Ad essere sinceri ho avuto un po’ di problemi con Admin-Shell che poi ho quasi subito risolto grazie alle discussioni (viste dal di fuori) del forum stesso.

Avrei, se mi consenti, alcuni quesiti da rivolgerti:
1) Per la rete LAN quali porte bisogna aprire?
2) Anche per la connessione Wireless bisogna aprire delle porte?
3) Inoltre le impostazioni del nuovo firewall proteggono anche durante il collegamento wi-fi?
4) Per il Phishing e il keylogger si è protetti o ci sono degli altri accorgimenti da dover adottare?

Non so se mai avrai tempo per rispondermi comunque ti ringrazio anticipatamente.
E’ bello quello che stai facendo!!!
(You are the best!!!) :winner:

EDIT, ho sbagliato a postare :doh:

Complimenti cmq per le guide dei firewall e antivirus fai-da-te! :D

Raga, pazientate ancora qualche giorno e rimetteremo in up questo thread.
Ho quasi finito il progetto che mi sta portando via quasi tutto il tempo :)

Salve Sisupoika, ho seguito la guida sul firewall e adesso sto seguendo quella sull' account limitato. Sono arrivato alla mparte in cui dici di disabilitare l' Account Administrator. Ma non riesco a capire come... basta cancellare la chiave di registro creata precedentemente??? Ma quella non cancella l' account Administrator... o sì??? Non potresti spiegarlo un po' meglio?? Grazie!!!

Salve Sisupoika, ho seguito la guida sul firewall e adesso sto seguendo quella sull' account limitato. Sono arrivato alla mparte in cui dici di disabilitare l' Account Administrator. Ma non riesco a capire come... basta cancellare la chiave di registro creata precedentemente??? Ma quella non cancella l' account Administrator... o sì??? Non potresti spiegarlo un po' meglio?? Grazie!!!

Io ho fatto cosi':
Pannello di controllo > Strumenti di amministrazione > Gestione computer
- sulla sinistra seleziona: Utenti e gruppi locali > Users
- tasto destro su "Administrator", metti la spunta sulla voce "Account disabilitato".

Ciao :)

Per gli interessati, changelog e links...

Changelog

ExtRunAs v1.01 (build 13/09/2007)
---------------------------------
[-] Bug nella configurazione unattended iniziale: non viene eseguita causa setup keyfile non trovato.
[-] Bug nel parameto /m: in mancanza del setup keyfile nella directory di sistema visualizza errore di file non
trovato e costruisce il keyfile nella cartella di esecuzione.
[-] Bug nell'aggiornamento chiave utente in autologon: se in unattended non viene usato l'asterisco (*) per
mantenere la chiave attuale o in grafica si modifica la chiave proposta, non aggiorna la chiave di autologon
nel registro di sistema con conseguente errore al successivo login.

ExtRunAs v1.02 (build 07/11/2007)
---------------------------------
[+] Aggiunta intercettazione del file bersaglio nei file collegamento (.lnk) normalmente presenti sul desktop.
E’ ora possibile eseguire in modalità amministrativa i bersagli di questi file senza dover risalire manualmente
al relativo eseguibile.
Nota: e’ possibile che alcuni link non vengano intercettati causa loro stessa natura (a mero titolo di
esempio: C:\WINDOWS\Installer\{D0D6AF0F-A943-4295-9A49-B25A2B807C63}\_8372767865.exe non
verrà eseguito).
[+] Aggiunta finestra di avvertimento per la preventiva inabilitazione dei sistemi HIPS (Host Intrusion
Prevention System) o con analoghe funzioni.
[+] Aggiornamento documentazione e piccoli aggiustamenti generali software.
[+] Testato sistema sotto Win2000 con esito positivo.

http://www.megaupload.com/?d=J5T7TAJ0

http://rapidshare.com/files/67915243/ExtRunAs_1.02.zip.html

Ciao Sisupoika, ho seguito con molto interesse la discussione fin dall'inizio, sul post originario.
Volevo proporre un passo avanti, che renderebbe il firewall manuale maggiormente gestibile.
Per evitare di dover inserire le porte manualmente si potrebbe implementare un piccolo programma di monitoraggio/apertura porte che ci dica quali sono le porte richieste dai programmi in esecuzione, e che ci consenta di modificare il firewall (.msc) in maniera semplice, ovvero senza dover immettere tutti i parametri ogni volta. Sostanzialmente una interfaccia semplificativa.
Ovviamente tale programmino si dovrebbe apoggiare sul firewall, modificando il file *.msc, e dovrebbe essere adeguatamente protetto dall'esecuzione non autorizzata.

Questa proposta nasce da esigenze di praticità, o meglio, dalla constatazione che l'utente medio di oggi utilizza di fatto molti/troppi programmi che richiedono l'accesso ad internet oltre al browser (ad es. messenger, p2p, giochi on line multiplayer, widgets, e via dicendo). E' ovvio che inserire manualmente tutti i parametri nel firewall *.msc non è molto pratico, anzi diciamo che molti compreso me, dopo aver provato questo sistema si sono resi conto che ci vuole troppo tempo rispetto a un firewall software per riuscire a settare tutto alla perfezione. Ciò tuttavia è dovuto unicamente alla interfaccia di programmazione che noi utilizziamo ovvero la consolle mmc, che risulta poco pratica per i nostri scopi. Basterebbe anche solo poter inserire tutte le porte da sbloccare in una unica schermata, invece di essere costretti a ripetere tutta la trafila per ciascuna porta.
Cosa ne pensate, possiamo fare questo passo in avanti?
:)

Ciao Sisupoika, ho seguito con molto interesse la discussione fin dall'inizio, sul post originario.
Volevo proporre un passo avanti, che renderebbe il firewall manuale maggiormente gestibile.
Per evitare di dover inserire le porte manualmente si potrebbe implementare un piccolo programma di monitoraggio/apertura porte che ci dica quali sono le porte richieste dai programmi in esecuzione, e che ci consenta di modificare il firewall (.msc) in maniera semplice, ovvero senza dover immettere tutti i parametri ogni volta. Sostanzialmente una interfaccia semplificativa.
Ovviamente tale programmino si dovrebbe apoggiare sul firewall, modificando il file *.msc, e dovrebbe essere adeguatamente protetto dall'esecuzione non autorizzata.

Questa proposta nasce da esigenze di praticità, o meglio, dalla constatazione che l'utente medio di oggi utilizza di fatto molti/troppi programmi che richiedono l'accesso ad internet oltre al browser (ad es. messenger, p2p, giochi on line multiplayer, widgets, e via dicendo). E' ovvio che inserire manualmente tutti i parametri nel firewall *.msc non è molto pratico, anzi diciamo che molti compreso me, dopo aver provato questo sistema si sono resi conto che ci vuole troppo tempo rispetto a un firewall software per riuscire a settare tutto alla perfezione. Ciò tuttavia è dovuto unicamente alla interfaccia di programmazione che noi utilizziamo ovvero la consolle mmc, che risulta poco pratica per i nostri scopi. Basterebbe anche solo poter inserire tutte le porte da sbloccare in una unica schermata, invece di essere costretti a ripetere tutta la trafila per ciascuna porta.
Cosa ne pensate, possiamo fare questo passo in avanti?
:)

in pratica, una sorta i UpNp....bé, sarebbe interessante:)

Ragazzi qualcuno ha il file LimitedUserAccountSetup.zip per il setup automatico?
Lo zip non è raggiungibile!
Per favore se potete upparlo da qualche parte:mc:

Ragazzi qualcuno ha il file LimitedUserAccountSetup.zip per il setup automatico?
Lo zip non è raggiungibile!
Per favore se potete upparlo da qualche parte:mc:

Non e' al momento disponibile online perche' ho dei lavori in corso :D
Se qualcun altro te lo puo' passare per il momento fai prima, cmq non appena possibile rimettero' tutto a posto.

Non e' al momento disponibile online perche' ho dei lavori in corso :D
Se qualcun altro te lo puo' passare per il momento fai prima, cmq non appena possibile rimettero' tutto a posto.

Grazie Sisupoika per la risposta, il tuo lavoro mi ha davvero affascinato!
Se qualcuno può uplodare il file mi farebbe un immenso piacere, grassie:)

é normale ke la porta 88 (quella del kerberos) mi rimanga solamente chiusa e nn sthealted (da grc e pcflank)??
Sinceramente mi pare di aver seguito la guida alla ferfezione, e oltretutto nn riesco ad importare le regole di Sisupoika ma poch'importa me le farò io tanto ora ho trovato il programma che mi fa vedere le connessioni attive, netstat è troppo pacco^^..

p.s:Per il momento mi sono fermato solo al firewall (adesso setto l'accountXD), ma d'altronde nn credo c'entri qualcosa.....

Grazie Sisupoika per la risposta, il tuo lavoro mi ha davvero affascinato!
Se qualcuno può uplodare il file mi farebbe un immenso piacere, grassie:)

Ecco fatto: LimitedUserAccountSetup.zip (http://rapidshare.com/files/68570766/LimitedUserAccountSetup.zip.html) ;)

dy;19557931']Ecco fatto: LimitedUserAccountSetup.zip (http://rapidshare.com/files/68570766/LimitedUserAccountSetup.zip.html) ;)

Grazie mille!!!!:) :) :)

Dunque, ho fatto un macello:D
Ho settato alla perfezione tutti gli account, e le relative restrizioni...
Solo che ora c'è un "piccolo" problema...
L'account SysAdmin ora è diventato limited anche lui....
Non riesco più ad eseguire nessuno script tra quelli postati, mi dà errore di sistema 5 o qualcosa del genere quando provo a lanciarli...
Non c'è un modo per riabilitare da registro di sistema l'acc. administrator????(nn aggiungerlo alla lista degli account da fare il logon, questo l'ho giò provato...), almeno al registro ho accesso se uso windowsPE...

p.s.: se faccio partire in mod. provvisoria nn posso selezionare nessun utente, o meglio nn vedo nessuna scelta!

Ringrazio anticipatamente:D

Dunque, ho fatto un macello:D
Ho settato alla perfezione tutti gli account, e le relative restrizioni...
Solo che ora c'è un "piccolo" problema...
L'account SysAdmin ora è diventato limited anche lui....
Non riesco più ad eseguire nessuno script tra quelli postati, mi dà errore di sistema 5 o qualcosa del genere quando provo a lanciarli...
Non c'è un modo per riabilitare da registro di sistema l'acc. administrator????(nn aggiungerlo alla lista degli account da fare il logon, questo l'ho giò provato...), almeno al registro ho accesso se uso windowsPE...

p.s.: se faccio partire in mod. provvisoria nn posso selezionare nessun utente, o meglio nn vedo nessuna scelta!

Ringrazio anticipatamente:D

ah, state attentissimi a non utilizzare gli script (admincmd o adminshell) di amministratore con un account di amministratore!!!
io l'ho fatto dal mio unico utente amministratore (dopo aver giustamente creato l'utente limitato e disabilitato l'admin di default) e ho visto che andava...mi sono sloggato, sono entrato come utente limitato, ma lo script (admincmd) non andava più...chissà perchè...
vabbè...rientro come sysadmin, ma con sommo piacere noto che "sysadmin" non fa + parte del gruppo administrators....quindi avevo un pc con solamente utenti limitati e nessuna possibilità di accesso per l'utente admin (l'unico che c'era era disabilitato!!)

occorre una modifica agli script... (precisamente un if utente che esegue lo script=sysadmin allora eseguo il file senza mettere o togliere l'utente dal gruppo administrator...)


altra cosa...lo script di adminshell mi avvia si una shell, ma essa non ha nessun diritto in + di quella che apro con l'utente normale....dove sbaglio?
sarebbe carino che l'autore del post rimetta online gli script nell'ultima versione che aveva fatto...

nessuno che mi sa dire qualcosa in merito al mio problema con la shell? con admincmd (ovvero il processo cmd.exe o qualsiasi processo io gli metta dentro) funziona...

ciao ciao

purtroppo ho dovuto attivare con un hack l'utente administrator di default (che oramai era l'unico con diritti di admin sul mio picci) con questa (http://home.eunet.no/~pnordahl/ntpasswd/) utility...
d'altronde, non c'era altra soluzione giunti a quel punto....

;)

Avevo chiesto se si poteva fare da registro di sistema, perchè fare con quel sistema nn mi ispirava più di tanto...

Cmq nn importa, anzi grazie per avermi esortato a usare quel modo xchè sono riuscito a sistemare il tutto...:D

sono ormai 2 ore che tento di far andare la soluzione fai-da-te per la sicurezza ma non sto ottenendo risultati:(

sono riuscito a creare l'IP Security policy, ho creato il filtri firewall, ho impostato Blocca su IMCP e IP ed infatti quando faccio assegna non funziona più niente

Il problema ora è su allow traffic...

Penso di avere fatto tutto giusto ma non riesco a far andare nessun sito :(

l'unica cosa che non sono sicuro è in indirizzo origine che avendo la versione in ita non è My IP Adress ma un generico "Indirizzo IP", penso che voglia dire la stessa cosa ma non sono molto sicuro...

http://img86.imageshack.us/img86/3981/imphn7.th.jpg (http://img86.imageshack.us/my.php?image=imphn7.jpg)


[EDIT] forse ho capito il problema... in pratica bisognava mettere su "operazione filtro" l'opzione autorizza se no con tutti quei bei filtri impostati non ci faceva niente...

ora volevo quindi farvi un altra domandina, x emule che impostazioni devo usare?

Io ho messo x TCP
porta origine: 4662
porta destinazione: qualsiasi
indirizzo origine: Indirizzo IP
indirizzo destinazione: qualsiasi

x UDP tutto uguale e ovviamente ho messo porta 4672, la cosa su cui non sono sicuro è su mirroring, io l'ho messa attiva però funziona anche senza???

P.S: non so se è normale però quando faccio un ping non funziona... internet va ma x i ping mi dice host non raggiungibile

Avevo chiesto se si poteva fare da registro di sistema, perchè fare con quel sistema nn mi ispirava più di tanto...

Cmq nn importa, anzi grazie per avermi esortato a usare quel modo xchè sono riuscito a sistemare il tutto...:D

non ti ispira + di tanto???
da utente limitato devi CRACCARE il sistema per potervi accedere come administrator....cosa credi, che cambiando una riga del registro puff magicamente diventi administrator???
vabbè che windows non è il sistema + sicuro al mondo ma qui si esagera....
cmq mi ha fatto piacere che tu abbia risolto...



cmq..vi segnalo un paio di prodotti già confezionati...
1) SUDOWIN (http://www.lostcreations.com/sudowin/sudowin)
2)SUDOWN (http://sudown.sourceforge.net/)

carini...carini...

allora..ho installato il pacchetto preconfezionato con il quicksetup.bat, creato i 2 utenti, disabilitato l'amministratore...Ma quando vado nell'account limitato il comando "Run as ecc.." sia per quanto riguarda gli eseguibili che le cartelle, non funge. Mi si apre il prompt dei comandi al percorso system32 e nulla più..teoricamente dovrebbe partire il programma selezionato no?
Eppure i 2 utenti sono correttamente creati e così anche le restrizioni sul software (Permessi vietati, restrizioni non applicate solo agli amministratori locali)
Non funziona neanche "l'esegui come" di win.
Idee??
(Win Xp Sp2 2002vers. Professional in ita.)

Io ho riscontrato che nel file "RunAsAdmin.cmd" (presente in C:\WINDOWS), dopo aver eseguito correttamente QuickSetup.bat, rimane questa stringa:
set AdministratorUser=SysAdmin
Pur avendo selezionato, in fase di setup, un amministratore principale con nome diffrente.

ragazzi scusate se mi intrometto con una domanda che esula abbastanza dalla discussione attuale...ma non volevo disturbare nessuno in privato...ho un problema relativo al firewall creato seguendo i consigli utilissimi di sisupoika..non riesco a far viaggiare utorrent...qualcuno può aiutarmi? (tra laltro questa domanda fu posta dall'utente gourmet nell'altra discussione ma mi pare senza ricevere risposta)...

RIngrazio tutti sia per laiuto che potrete fornirmi sia perche siete stati davvero dei buoni insegnanti..:)

penso di aver risolto da me...riesco a scaricare con utorrent con il firewall di sisupoika attivo..(a proposito a quando la risposta a D-3Bo??);) .....ah ragazzi un ultima cosa..non è che ci sarebbe qualche buon anima che rimette l'upload del quicksetup?...mi si verifica lo stesso problema di juninho..non riesco a scrivere la password nei due script...:help: ...ANTICIPATAMENTE GRAZIE:)

dy;19557931']Ecco fatto: LimitedUserAccountSetup.zip (http://rapidshare.com/files/68570766/LimitedUserAccountSetup.zip.html) ;)
:)

Ciao, mi sono messo a smanettare ieri sera con gli script di Sisupoika.
Ho letto i due topic precedenti, non tutti ovviamente, ho provato la procedura manuale e automatica ma ho alcuni problemi/dubbi sui funzionamenti degli script.

-Se clicco col dx su un file ed eseguo "Run with administrative rights", dopo avermi chiesto la password si avvia la shell. E' normale che sia così oppure dovrebbe partire direttamente, ad esempio, l'installer o il programma che voglio avviare?

-Altro dubbio riguarda la navigazione nelle cartelle con diritti di amministratore (Tasto dx -->Explore with Administrative rights).
Mi apre la cartella che voglio (OK) ma dovrei essere in grado ad esempio, di cancellare un file, vero? A me non lo fa, ed ho provato con un file readme, sicuramente non in uso. In particolare si tratta di un readme in una cartella di c:\Programmi\...

-Anche il comando "AdminExplorer" mi apre Windows Explorer ma non posso fare nulla, stessa cosa per il comando "ControlPanel" ( aggiungere ad esempio un utente)

Grazie, attendo un aiuto
Ciao

Per tutti gli interessati: purtroppo ho poco tempo al momento per seguire individualmente domande ecc. Ma come anticipato un paio di settimane fa', ritornero' su questo thread quando avro' finito una bozza di un programmino per gestire questo genere di cose per benino. Abbiate un po' di pazienza :)

Dopo non aver ricevuto conferma o meno della mia confutazione ho eseguito un po' di prove seguendo passo passo la tua guida settando i filtri nel seguente modo:
- Traffico su tutti gli ICMP: bloccato - Speculare (Protocollo ICMP)
- Traffico su tutti gli IP: bloccato - Speculare (Protocollo qualsiasi)
- Traffico autorizzato: autorizzato alle seguenti porte:
-> 80-TCP: non speculare
-> 53-TCP: non speculare
-> 53-UDP: non speculare

ho riscontrato che non riesco a navigare in internet (IE7)... quale potrebbe essere l'errore che commetto?

P.S. se disattivo l'opzione speculare nel traffico IP... navigo tranquillamente ma il test fallisce dandomi quelle porte aperte riportate sopra... In attesa di delucidazioni ringrazio cordialmente Sisupoika

Perdonami il tremendo ritardo, non ricordavo che avevi lasciato delle domande in sospeso. :)

Hai risolto oppure hai ancora lo stesso problema?
In caso negativo possiamo riprendere il discorso. Scusa ancora.

posto di quà dato che l'altro thread è stato chiuso


ho beccato qualcosa che riesce a raggirare il tuo firewall integrato in windows più le restrizioni del user senza privilegi.

si tratta dei soliti igfxsvc+spoolsw....però con l'aggiunta di qualche altro componente più "incazzoso":D

Rimandando rimandando avevo completamente dimenticato di rispondere a diverse cose in questo thread :fagiano:
Di che parlavi di preciso?

ah, state attentissimi a non utilizzare gli script (admincmd o adminshell) di amministratore con un account di amministratore!!!

La prima bozza degli script presentava questo problema, ma se non ricordo male l'avevo corretto negli ultimi.


altra cosa...lo script di adminshell mi avvia si una shell, ma essa non ha nessun diritto in + di quella che apro con l'utente normale....dove sbaglio?
sarebbe carino che l'autore del post rimetta online gli script nell'ultima versione che aveva fatto...

Rimettero' gli scripts appena posso, anche se a dire il vero stavo ormai ignorando gli scripts ecc perche' sto scrivendo (a tempo perso) un programmino molto caruccio :D
Quindi gli scripts sono cosa temporanea (in alternativa potete usare, per ora, altre soluzioni analoghe come RunAs di Retalv).
AdminShell non funziona mai oppure sembra "altalenante"?

mi banno da solo. se avessi letto tutto il primo post riguardante gli scripts avrei trovato le soluzioni (anche se quella del "pasticcio" con gli admin non c'era...ma l'ho trovata da solo....sempre un passo in avanti :) )
mi rispondo da solo al secondo problema poichè magari qualcuno ha i miei stessi problemi con adminshell:
basta solamente applicare la spunta in pannello di controllo->opzioni cartella->esegui finestre delle cartelle in processi separati (o qualcosa di simile...anche io ho win in inglese...)
è ovvio...ci sarei pure arrivato da solo, se mi si fosse accesa la lampadina prima...se eseguo explorer nello stesso processo dell'utente limitato è ovvio che avrà gli stessi diritti dell'utente limitato no?

ciao ciao

Capito. Temo che tu non stessi utilizzando l'ultima versione degli script, perche' avevo aggiunto la modifica al registro per i processi separati ;)

dy;19125278']Prendendo spunto da qui: forum.utorrent.com (http://forum.utorrent.com/viewtopic.php?id=7862) , quali sarebbero le "regole" adatte per far funzionare utorrent con il firewall suggerito da Sisupoika? :confused:

Devi aprire in ingresso le porte richieste da Torrent. Sei riuscito poi?

dy;19328431']Ho avuto modo di provare lo script automatico di Sisupoika, su un’installazione pulita di WInXP SP2 pro, aggiornato con tute le patch MS uscite fino ad oggi:

Sul sistema, dopo al primo avvio, avevo creato due utenti:
- "Principale" che volevo usare come admin principale, protetto da password.
- "Secondario" destinato ad essere utilizzato come utente limitato, anche lui protetto da password
NB: Ovviamente di default, entrambi gli utenti avevano diritti amministrativi.

Dopo aver avviato QuickSetup.bat (loggato come "principale"), ho seguito le istruzioni indicando "Principale" l'utente che sarà l'amministratore e "Secondario" quello limitato. Inoltre ho disattivato l'utente "Administrator".
Finita la procedura, senza alcun messaggio d’errore, ho riavviato.

Eseguito il riavvio, è venuta fuori una sorpresa, l'utente "Secondario" era scomparso dalla schermata di Log-in.
Per entrare come "Secondario" dovevo usare CRTL+ALT+CANC ed inserire manualmente nome utente e password.
Da "Gestione avanzata utenti" ho scoperto, in pratica, che l'utente "Principale" non faceva più parte del gruppo Users, ma risultava semplicemente "Guest".

Per far tornare tutto nella normalità, ho inserito manualmente l'utente "Secondario" nel gruppo Users. Fatto questo, è ritornato come account limitato e visibile nella schermata di log-in.

Ho sbagliato qualcosa? :confused:

Hai eseguito la procedura sotto Administrator?

Salve Sisupoika, ho seguito la guida sul firewall e adesso sto seguendo quella sull' account limitato. Sono arrivato alla mparte in cui dici di disabilitare l' Account Administrator. Ma non riesco a capire come... basta cancellare la chiave di registro creata precedentemente??? Ma quella non cancella l' account Administrator... o sì??? Non potresti spiegarlo un po' meglio?? Grazie!!!

L'utente Administrator viene disattivato, non cancellato, perche' userai un utente creato appositamente per l'utilizzo con diritti amministrativi.
"Administrator" e' un nome utente standard spesso target di malware.

Ciao Sisupoika, ho seguito con molto interesse la discussione fin dall'inizio, sul post originario.
Volevo proporre un passo avanti, che renderebbe il firewall manuale maggiormente gestibile.
Per evitare di dover inserire le porte manualmente si potrebbe implementare un piccolo programma di monitoraggio/apertura porte che ci dica quali sono le porte richieste dai programmi in esecuzione, e che ci consenta di modificare il firewall (.msc) in maniera semplice, ovvero senza dover immettere tutti i parametri ogni volta. Sostanzialmente una interfaccia semplificativa.
Ovviamente tale programmino si dovrebbe apoggiare sul firewall, modificando il file *.msc, e dovrebbe essere adeguatamente protetto dall'esecuzione non autorizzata.

Questa proposta nasce da esigenze di praticità, o meglio, dalla constatazione che l'utente medio di oggi utilizza di fatto molti/troppi programmi che richiedono l'accesso ad internet oltre al browser (ad es. messenger, p2p, giochi on line multiplayer, widgets, e via dicendo). E' ovvio che inserire manualmente tutti i parametri nel firewall *.msc non è molto pratico, anzi diciamo che molti compreso me, dopo aver provato questo sistema si sono resi conto che ci vuole troppo tempo rispetto a un firewall software per riuscire a settare tutto alla perfezione. Ciò tuttavia è dovuto unicamente alla interfaccia di programmazione che noi utilizziamo ovvero la consolle mmc, che risulta poco pratica per i nostri scopi. Basterebbe anche solo poter inserire tutte le porte da sbloccare in una unica schermata, invece di essere costretti a ripetere tutta la trafila per ciascuna porta.
Cosa ne pensate, possiamo fare questo passo in avanti?
:)

Work in progress :D

Ragazzi qualcuno ha il file LimitedUserAccountSetup.zip per il setup automatico?
Lo zip non è raggiungibile!
Per favore se potete upparlo da qualche parte:mc:

Stavo facendo alcune altre prove per cui cambiai delel cose sul server, rimetto a posto appena posso.

sono ormai 2 ore che tento di far andare la soluzione fai-da-te per la sicurezza ma non sto ottenendo risultati:(

sono riuscito a creare l'IP Security policy, ho creato il filtri firewall, ho impostato Blocca su IMCP e IP ed infatti quando faccio assegna non funziona più niente

Il problema ora è su allow traffic...

Penso di avere fatto tutto giusto ma non riesco a far andare nessun sito :(

l'unica cosa che non sono sicuro è in indirizzo origine che avendo la versione in ita non è My IP Adress ma un generico "Indirizzo IP", penso che voglia dire la stessa cosa ma non sono molto sicuro...

http://img86.imageshack.us/img86/3981/imphn7.th.jpg (http://img86.imageshack.us/my.php?image=imphn7.jpg)


[EDIT] forse ho capito il problema... in pratica bisognava mettere su "operazione filtro" l'opzione autorizza se no con tutti quei bei filtri impostati non ci faceva niente...

ora volevo quindi farvi un altra domandina, x emule che impostazioni devo usare?

Io ho messo x TCP
porta origine: 4662
porta destinazione: qualsiasi
indirizzo origine: Indirizzo IP
indirizzo destinazione: qualsiasi

x UDP tutto uguale e ovviamente ho messo porta 4672, la cosa su cui non sono sicuro è su mirroring, io l'ho messa attiva però funziona anche senza???

P.S: non so se è normale però quando faccio un ping non funziona... internet va ma x i ping mi dice host non raggiungibile

Avevo promesso un video tutorial ma non l'ho ancora fatto.
Adesso GIURO che lo faro' nei prossimi giorni :D

dy;19603383']Io ho riscontrato che nel file "RunAsAdmin.cmd" (presente in C:\WINDOWS), dopo aver eseguito correttamente QuickSetup.bat, rimane questa stringa:
set AdministratorUser=SysAdmin
Pur avendo selezionato, in fase di setup, un amministratore principale con nome diffrente.

Piccola dimenticanza. ASAP correggo questa cosina e rimetto i file.

Io ormai ho perso le speranze! L'idea è carina ma l'utente che l'ha proposta ha troppo poco tempo per starci dietro... Peccato

Provero' a starvi dietro un po' di piu' adesso, promesso :stordita:

Ciao, mi sono messo a smanettare ieri sera con gli script di Sisupoika.
Ho letto i due topic precedenti, non tutti ovviamente, ho provato la procedura manuale e automatica ma ho alcuni problemi/dubbi sui funzionamenti degli script.

-Se clicco col dx su un file ed eseguo "Run with administrative rights", dopo avermi chiesto la password si avvia la shell. E' normale che sia così oppure dovrebbe partire direttamente, ad esempio, l'installer o il programma che voglio avviare?

-Altro dubbio riguarda la navigazione nelle cartelle con diritti di amministratore (Tasto dx -->Explore with Administrative rights).
Mi apre la cartella che voglio (OK) ma dovrei essere in grado ad esempio, di cancellare un file, vero? A me non lo fa, ed ho provato con un file readme, sicuramente non in uso. In particolare si tratta di un readme in una cartella di c:\Programmi\...

-Anche il comando "AdminExplorer" mi apre Windows Explorer ma non posso fare nulla, stessa cosa per il comando "ControlPanel" ( aggiungere ad esempio un utente)

Grazie, attendo un aiuto
Ciao

Stai usando gli script vecchi che avevano qualche bugguccio in piu' :D
Scarica gli ultimi.

Rimandando rimandando avevo completamente dimenticato di rispondere a diverse cose in questo thread :fagiano:
Di che parlavi di preciso?
rootkit dialcall,nulla di chè :D

rootkit dialcall,nulla di chè :D

Esplicita, che cosa accade? Non ho ben capito

Esplicita, che cosa accade? Non ho ben capito

non caricava la shell oltre che generare dialer a iosa,inviare mail a destra e a manca e ovviamente pesare sulla cpu :D

non caricava la shell oltre che generare dialer a iosa,inviare mail a destra e a manca e ovviamente pesare sulla cpu :D

Parli di un sistema gia' infetto?

Parli di un sistema gia' infetto?

no,tutta roba creata da questa infezione

no,tutta roba creata da questa infezione

Se non ricordo male te la beccheresti da un sito; e se hai gia' delle restrizioni come quelle suggerite nel sistema, come faresti a beccartela??? :mbe:

Se non ricordo male te la beccheresti da un sito; e se hai gia' delle restrizioni come quelle suggerite nel sistema, come faresti a beccartela??? :mbe:

bella domanda :D
di certo c'è che è l'infezione è stata contratta su dei siti tutt'altro che raccomandabili :D

bella domanda :D
di certo c'è che è l'infezione è stata contratta su dei siti tutt'altro che raccomandabili :D

Dal momento che sono certo che ti sbagli, mi diresti tanto per cominciare come hai configurato la macchina, per prima cosa? ;)

Dal momento che sono certo che ti sbagli, mi diresti tanto per cominciare come hai configurato la macchina, per prima cosa? ;)

se non ricordo male utilizzai gli script automatici,ora però non ricordo,è passato troppo tempo :boh:

Gli script postati da K[o]dy in seconda pagina sono gli ultimi? Io ho scaricato quelli ma ho incontrato i problemi descritti pochi post sopra. Qualcuno mi passa gli ultimi per favore?

No mi piace lasciare il lavoro fatto a metà!:)

Grazie, aspettando il nuovo progetto di Sisupoika!!
Ciao

Gli script postati da K[o]dy in seconda pagina sono gli ultimi? Io ho scaricato quelli ma ho incontrato i problemi descritti pochi post sopra. Qualcuno mi passa gli ultimi per favore?

No mi piace lasciare il lavoro fatto a metà!:)

Grazie, aspettando il nuovo progetto di Sisupoika!!
Ciao

Quando torno a casa vedo se rimetto gli ultimi che ho live ;)

Ma in questo modo dovrei essere sicuro ?

Ipsec firewall
account limitato (creato normalmente)
Sudo for win (per avviare con privilegi di admin) http://www.lostcreations.com/sudowin/sudowin

Ho trovato in rete questo tool, lo sto provando e sembra funzionare bene.
Richiede nome utente e password al primo avvio e poi si può fare di tutto!
Sarà sicuro? Sono scaricabili anche i sorgenti ma io ovviamente non ci capisco niente. Se qualcuno vuole darci un'occhiata...

http://www.stackenbloggen.de/PermaLink,guid,3406fa39-d95e-4ee3-bd64-7f55870b26ff.aspx

http://img219.imageshack.us/img219/1364/admintoolslauncher4sg8.th.jpg (http://img219.imageshack.us/my.php?image=admintoolslauncher4sg8.jpg)

Ciao, fatemi sapere

Ho trovato in rete questo tool, lo sto provando e sembra funzionare bene.
Richiede nome utente e password al primo avvio e poi si può fare di tutto!
Sarà sicuro? Sono scaricabili anche i sorgenti ma io ovviamente non ci capisco niente. Se qualcuno vuole darci un'occhiata...

http://www.stackenbloggen.de/PermaLink,guid,3406fa39-d95e-4ee3-bd64-7f55870b26ff.aspx

http://img219.imageshack.us/img219/1364/admintoolslauncher4sg8.th.jpg (http://img219.imageshack.us/my.php?image=admintoolslauncher4sg8.jpg)

Ciao, fatemi sapere

Devo ammettere che mi hai fatto venire un po' di tristezza...perche' e' molto simile al tool che sto sviluppando :D
Pero' il mio ha diverse funzionalita' aggiuntive, ma meglio non anticipare :D

Come non detto, questo tool - a differenza del mio - esegue i processi nel contesto di un altro utente administrator, non nel contesto dell'utente che si sta usando. ;)
Provate ad aprire explorer dal tool e andare nella cartella Documenti, vedrete la cartella documenti dell'utente administrator, non quella dell'utente che state usando.
Sotto questo punto di vista, i miei script sebbene poco pratici hanno ancora indubbi vantaggi.
E comunque il tool che sto scrivendo offre quanto fornito da questo tool, ma
- nel contesto dell'utente che si sta usando
- con diverse altre funzionalita' aggiuntive inesistenti in questo

Devo ammettere che mi hai fatto venire un po' di tristezza...perche' e' molto simile al tool che sto sviluppando :D
Pero' il mio ha diverse funzionalita' aggiuntive, ma meglio non anticipare :D

...non volevo!

avevo formattato il pc e volevo provare la configurazione da te proposta con gli script ecc. Ma ho avuto problemi (script non aggiornati o errori miei) e dovevo sistemare lan e condivisione internet oltre a reinstallare driver software ecc. Allora ho cercato una soluzione temporanea (sempre usando LUA), in attesa della tua applicazione...

Aspetto (aspettiamo) con fiducia;)
Ciao

Ciao a tutti...mi kiamo @ndres e mi sn appena iscritta http://www.hwupgrade.it/forum/images_hwu/smilies/icon_smile.gif
:)
E'da 1 pò ke seguivo, tra gli altri, anke il vostro forum...sopratutto sezioni sicurezza e how to x windows. ho inizialmente seguito la guida x installazione unattend d windows XP cn nLite x ki ha 1 notebook(cm me) e da lì le ho girate quasi tutte. sto cercando d imparare il possibile: ho ricevuto il mio primo pc a gennaio di quest'anno quindi sn ancora insicura x molti aspetti. Ho letto la guida d Sisupoika (complimenti davvero!) ho deciso d seguirla fino in fondo se riesco! dopo mesi ke ho usato il pc da assoluta inesperta (mio fratello mi ha regalato il suo e...ciao) ho capito ke usarlo (sopratot se devi farlo x lavoro) nn è come..."accendere la tele"! Ora cerco d settare il tutto al meglio x ottenerne il meglio. x questa guida ho cercato d cavarmela leggendo tot i vari 3d collegati ma c sn delle cose x le quali avrei bisogno d kiedervi consigli. ho windows xp pro sp2 cn hd partizionato con 1 zona "lavoro" ke vorrei proteggere senza avere antivirus sempre in funzione....spero c sia qualcuno x risp. e spero d aver postato nel posto giusto...c ho messo 1 pò x farlo xkè questa è la mia prima registrazione in 1 forum...grazie...@. http://www.hwupgrade.it/forum/images_hwu/smilies/icon_smile.gif
:)

Ho letto tot della prima guida...credo...anke i mess. d discussione tra 1 paio d members...nn mi sembrava costruttiva ma io preferisco leggere sempre tutto...cmq nn ho trovato nessuno col mio "problema" principale: x connettermi in rete nn ho adsl o modem vari...solo 1 pc-card: è un problema ke ho 'sempre' avuto ogni volta ke provavo ad usare 1 account limitato: le pc-card nn possono essere usate da + xsone contemporaneamente (tantomeno + account) ho provato mesi fa ad installare il tutto da admin e poi disconnettermi x passare a limitata (nn ti avevo ancora letto Sisupoika...) ma la finestra con i comandi: connessione/disconnessione cambio opzioni etc nn era visibile quindi inutilizzabile...ieri sera xò pensavo d aver risolto grazie a adminshell/cmd:...accedo cm limitata, inserisco cd installazione driver e apro explorer admin da li scelgo le opzioni e termino installazione (xò windows mi ha kiesto conf. x il driver anke se avevo disattivato "opzione firma driver"....) ..nn avevo mai usato 1 metodo del genere x passare da 1 account all'altro: bellissimo metodo anke se all'inizio mi ha spiazzata! Oggi ho provato stesso metodo cn xp home sp2 d mia zia ma nn c sn riuscita in nessun modo...seguendo alla lettera guida e idem modalità ke avevo fatto x il mio...quindi forse il problema connessione è risolto?!?..
:confused: sarà una cosa temporanea o def.va?
Un'altro problemone: ho partizionato mio hd x poter tenere i programmi no-install, arkivio e zona lavoro separati da xp e pensavo così d essere al sicuro anke da eventuali virus ma leggendo una risposta d Sisupoika ad ragazzo ke aveva mia stessa esigenza ho scoperto ke è possibile solo se creo altro admin "DocAdmin"...giusto?!? L'ho fatto e pensavo fosse comodissimo oltre ke sicuro: ero in limitata e, se anke provavo a clikkare su partiz. protetta mi dava "accesso negato" quindi ok ma, vorrei poter tenere attivo download-manager (la pc-card è lenta), magari anke messenger o 1 skeda d firefox x delle ricerke in rete mentre lavoro...proprio nella partiz. inaccessibile!!! http://www.hwupgrade.it/forum/images_hwu/smilies/icon_climb2.gif
:mc:

Ho provato restando in limitata (anke xkè altrimenti nn posso navigare) ad usare adminshell/cmd per accedere da li ma..."accesso negato"...?!?...allora kiudo tot e riavvio accedo cm Docadmin e riesco a entrare..?!? nn capivo cm fosse possibile? Poi poco fa sn arrivata a leggere della differenza ke Sisupoika spiega tra il tool ke sta progettando lui il "Admin Tool Launcher" d queste pagine e ho capito ke cn Adminshell riesco solo a diventare momentaneamente admin nn a "rubare" l'account d DocAdmin...invece penso sia proprio quello d cui avrei bisogno x accedere alla logica protetta e contemp. navigare o lasciar-andare downloader?...no?!? Tra l'altro ho scaricato il tool poco fa (analizzato da Nod32) anke se nn permette personalizzazioni mi sembra semplice e, tra l'altro nn l'ho dovuto installare l'ho estratto cn Universalextractor...sembra funzionare!
Sn 1 pò confusa sul cm organizzarmi...e incasinata sui tempi (devo formattare il note x ricominciare a lavorare) ma vorrei approfittare del format x utilizzare questa soluzione senza programmi esterni in real-time o da installare (sn fan del no-install) grazie in anticipo a tutti quelli ke potranno aiutarmi....ciao..@!

@ndres... confused.gif
:confused: nn vedo risposte...avrò sbagliato a postare?!? Se sisupoika o senior-members possono spiegarmi...resto in attesa...grazie...@!
:stordita:

Intanto, una sorpresina :D

Attivate anche voi il vostro desktop sul web! :D

https://desktoptwo.com

Ma sei un normale utente oppure uno sviluppatore? :D

.

.

Ho letto il tuo interessante post e volevo fare alcune considerazioni.
Ma penso che la prima cosa da fare sia contestualizzare il discorso
Mi spiego
Stiamo parlando di
1- una sorta di esercizio di stile con fini didattico-ludici (smanettamento)
2- una reale alternativa alla protezione del proprio computer
3-una alternativa alla protezione del computer usato da altre persone e che tù devi "sorvegliare"
:confused:

Perchè nel 1 caso nulla da dire se non complimenti!

Nel 2 caso invece ti rimanderei ad alcune delle considerazioni fatte da riverside nel vecchio 3d.

Nel 3 caso penso che la cosa possa essere decisamente interessante

Finito questo importante preambolo dò il mio contributo su quello che ritengo sia la parte più "fattibile" nel caso 2 e 3 citati sopra cioè eliminare l'antivirus in real time
In primo luogo l'uso di un account limitato + restrizioni software è una prassi sicura, abbastanza semplice da implementare ed efficace, ma ha 2 importanti limitazioni.
- non può essere (almeno io non ci sono riuscito) fatta sulla home
- alcuni programmi funzionano male se lanciati da user; confido finalmente in un tool con le caratteristiche da te citate (cioè con interfaccia grafica e che faccia rimanere nel contesto dell'utente)

Ora però mi (e ti) chiedo quali vantaggi ha questa tecnica rispetto a quella di una virtualizzazione del computer con un programma (tipo returnil o sendbox).
P.S.
rileggendo sembra una domanda retorica...ma ti assicuro che non lo è
P.P.S
3 anni fà quando su un altro forum ipotizzavo (cioè mi chiedevo se fosse possibile) fare a meno di un antivirus fui letteralmente lapidato :cry: ...noto con piacere che l'aria è cambiata...

Salve a tutti,
vi seguo sempre con molto interesse anche se non partecipo assiduamente al thread.
Vorrei chiedervi un aiuto riguardante la configurazione del firewall.
Premetto che attualmente mi connetto in internet mediante wi-fi per mezzo di un’antenna posta sul tetto della mia casa dalla quale parte un filo (RJ45) che giunge ad una mezzaluna e dalla quale ne parte un altro che va alla scheda LAN del pc.
Aggiungo inoltre che il mio provider mi ha assegnato un indirizzo IP statico.
Ora il problema è quello che quando giungo a testare la navigazione internet e mi riferisco a questo passaggio:

Provate di nuovo a navigare col vostro browser. Non funziona? Bene! Significa che fin qui tutto e' ok. Nessuna comunicazione di rete e' permessa, in nessuna direzione (inbound/outbound).

Noto che nulla è bloccato e continuo a navigare in internet a differenza di quanto si verificava con la connessione mediante modem a 56k.
Ho sbagliato qualcosa?? :confused:
Qualcuno sa dirmi se bisogna settare in maniera diversa le regole del firewall??

:help:

Scusate l'ennesima "Panzanata" :tapiro: ma evidentemente non bisogna fare queste operazioni dopo la mezzanotte. :coffee:
Ho risolto da me il problema...
Ringrazio lo stesso tutti e confermo la bravura di Sisupoika :sofico:
Ciao a tutti...........

Ciao, ho seguito anch'io le istruzioni di Sisupoika (ma da un altro forum) e dopo con i seguenti passaggi:

bloccato tutto il traffico ICMP
bloccato tutto il traffico IP
permesso il traffico 80 tcp Out (web)
permesso il traffico 53 tcp Out (web)
permesso il traffico 53 tcp In (web)
permesso il traffico 53 udp Out (web)
permesso il traffico 53 udp In (web)
permesso il traffico 443 tcp Out (siti sicuri)
permesso il traffico 25 tcp Out (smtp)
permesso il traffico 110 tcp Out (pop3)
permesso il traffico 2000 tcp Out (freepops x outlook)
permesso il traffico 20 tcp Out (ftp)
permesso il traffico 21 tcp Out (ftp)

quello che non mi funziona è il client FTP Filezilla che mi serve per trasferire i file sul mio sito www.palestrajks.it ed a volte (solo a volte) outlook ...

i passaggi successivi, delle shell per agire da amministratore nell'utente limitato e delle restrizioni sul software mi sembrano superflui se ho capito bene ai fini della sicurezza ... e mi chiedo pure a cosa serve operare da utente limitato se ho bloccato tutti gli accessi al computer ???

grazie

Ora però mi (e ti) chiedo quali vantaggi ha questa tecnica rispetto a quella di una virtualizzazione del computer con un programma (tipo returnil o sendbox).


La prima cosa che mi viene in mente è per le prestazioni:

con i metodi di questo thread si migliorano, nel caso della virtualizzazione si peggiorano, o con di macchine anche leggermente datate non si può quasi fare.

un paio di giorni fà ho visto la vecchia discussione,ho scaricato i file (quelli vecchi adminschell e admincmd) così eseguendo la procedura e osservando il buon funzionamento ho notato che per eseguire i file di qualunque tipo era necessario inviare i comandi da shell,non sò a che livello sono ora i file nuovi,però ho creato un piccolo programma che sfruttando gli script permette di eseguire i file exe,cmd,lnk,ini,bat,msc (per ora..)il prog permette di navigare nei vari dischi,nelle cartelle e scegliere il file da eseguire come admin,sembra che vada tutto bene anche se lo sto testando solo da ieri.
ah una cosa ho notato che l'autorun non funziona è così o è un mio problema?
anzi due...i file nuovi sono LimitedUserAccountSetup.zip?
se posso essere d'aiuto quando mi loggo sono a disposizione e di nuovo complimenti funziona alla grande ;)

Premetto che non ho letto tutta la discussione, ma soltanto il primo post; poi però ho letto pure l'altra discussione (ormai chiusa) dove si spiegava molto bene come configurare Win senza antivirus e Firewall...
Arrivo al punto!! A casa ho una rete, tramite router wi-fi, nella quale vi sono un pc e un portatile (in particolare un MacBook). Quello che vi chiedo è questo: possono esserci problemi nella gestione della rete se effettuo le operazioni elencate nell'altro topic, in particolare quelle che riguardano l'apertura delle porte del router? Non vorrei che effettuando quello che c'è scritto poi mi ritrovo a poter usare soltanto il pc e non il portatile, visto che hanno due sistemi diversi...
Aspetto notizie... Grazie mille!!

Sempre in riferimento alla mia domanda precedente, ve ne pongo un'altra: il pc in questione viene utilizzato soprattutto da mia mamma (utilizza office, livello basilare) e da mie sorelle, le quali navigano e si collegano ad alcuni siti con giochetti vari... Poichè spesso sono costretto a ripulirlo da trojan o da dialer vari (con frequenti formattazioni, anzi, ripristino di immagini del disco), che loro ovviamente si beccano perchè cliccano un po' sbadatamente di qua e di la, mi chiedevo se era il caso di utilizzare (come ho sempre fatto) un antivirus + firewall oppure se era il caso di provare la soluzione suggerita in questa discussione... Voi che mi consigliate??
Aggiungo inoltre che poichè non si tratta del mio pc, cioè quello che devo usare IO quotidianamente, non ho voglia di fare molti "esperimenti"... L'ideale sarebbe perder un po' di tempo la prima volta, e poi stop...

PS:ovviamente le signorine in questione si prendono una bella rata di parole ogni volta che trovo qualcosa di strano nel pc... (questo lo dico per quelli che mi risponderanno, come soluzione ai miei problemi: di a tue sorelle di star più attente) :D

Grazieee

A proposito di IPSEC, vorrei segnalare:

1) Guida (in PDF)
(http://naqernet.iblogr.com/2007/05/15/xp-come-creare-un-firewall-tramite-filtri-ipsec/)

2) Criteri preimpostati (http://www.auditmypc.com/downloads/ipsechome.zip) (a differenza di quelli postati nel post relativo, l'importazione funziona!)

Ipsec policy presi da qui:

http://www.auditmypc.com/ipsec-policy.asp

La password per il file zip è auditmypc.com

Ipsec policy presi da qui:

http://www.auditmypc.com/ipsec-policy.asp

La password per il file zip è auditmypc.com

La sto testando, sembra funzionare bene e senza problemi

Ciao a tutti!

Spero di postare nel thread giusto! Ho letto questo thread e anche i 2 precedenti (bè, non proprio tutto tutto, sono lunghissimi!! :mc: ).

Mi sembra tutto utile e "elegante", e così ho deciso di provare a modificare il sistema, anche se non sono molto pratico (intanto imparo qualcosa).
Allora: ho creato il regole "firewall", chiamiamole così, ed è filato tutto liscio.

Ho avuto parecchi problemi nel gestire gli account. Elenco:
- per prima cosa, sono possessore di WinXP Home Edition SP3. avevo pensato di lavorare cmq come utente limitato e - in assenza di limitazioni software - "arrangiarmi" con un antivirus il più leggero possibile (avira). Novità su questo fronte??

- non sono riuscito a scaricare gli ultimi script. Ho scaricato una versione non aggiornata che qualche utente ha postato, ma mi dà parecchi problemi: l'utente limitato non lavora come admin dopo aver digitato adminexplorer (non riesco ad installare programmi), e quando ci riesce non ritorna ad essere utente limitato dopo la disconnessione; inoltre, se clicko su "run with administrative rights" mi si apre una finestra DOS e non parte nessun eseguibile; mi chiede sempre le passwords, non solo la prima volta.
Insomma, un po' complesso :) E' un problema di WinXP Home, oppure c'è qualche bug negli scripts?

- alla luce dei casini del punto precedente mi sono detto: benissimo, uso l'utente limitato e ogni qual volta devo installare nuovo software mi loggo come SysAdmin: purtroppo però non tutto il sw che installo come SysAdmin me lo ritrovo poi nell'utenza limitata!!! :(


Il "firewall" lo tengo sicuro. Tornare ad utilizzare un utente con privilegi di amministratore per l'utenza di tutti i giorni non è sicuro, però lavorare con i problemi che vi ho esposto sopra è davvero una scocciatura, quindi, in attesa di news da Sisupoika o altri santoni torno mestamente alla mia mediocrità di utente medio. :cry:

EDIT: se digito Esegui>MMC, non compaiono le impostazioni del "firewall": compare una schermata identica a quella della prima immagine del primo thread. Le impostazioni firewall sono cmq attive oppure no? Bisogna inserire qualche comando perchè si attivino all'avvio del computer, tipo inserire "firewall.msc" in esecuzione automatica?

ragazzi la discussione ormai sembra non continuare più...comunque sapete come aprire msconfig con diritti limitati? (uso il LimitedUserAccountSetup.zip)
le ho provate tutte ma non c'è verso:stordita:

Sisupoika ti faccio i miemi complimenti per la guida! :)

spero che questa discussione riprenda al più presto....sembra che Sisupoika abbia di meglio da fare che postare qui, ma se dovesse riprendere mi piacerebbe discutere sul miglior modo di intervenire su un pc ex novo (post formattone, per intenderci) con i settings descritti in queste pagine, così da arrivare ad installare un sistema pulito ed efficiente senza passare per le patch...;)

spero che questa discussione riprenda al più presto....mi piacerebbe discutere sul miglior modo di intervenire su un pc ex novo (post formattone, per intenderci) con i settings descritti in queste pagine

ciao...mi auguro ank'io ke la discussione riprenda o comunque sia aggiornata!:stordita:
In ogni uso, la config proposta da Sisupoika nel primo 3D la uso senza problemi già da quasi 1 anno. Mai preso nulla di nocivo e mai avuto problemi nonostante da qualke mese uso il firewall di XP (invece ke IPSEC quindi in teoria meno sicuro) ed è impostato senza eccezioni tranne ke per il download manager. Inoltre ho eseguito il tutto proprio su PC notebook post-formattone senza utilizzare il setup Automatico del secondo 3D (unica eccezzione i file reg ke ho scaricato e personalizzato). Resto connessa tantissimo con IE7 e Opera e scarico a volte file nn sempre provvisti di firma digitale o hash, in + nn sono comunque un'esperta riguardo sicurezza...anzi se penso a come giravo bardata x il web prima...2 AVirus (1 in real-time e l'altro solo x scansioni) + firewall (non di XP) +3/4 ASpyware + 1HIPS...:eek: ...insomma 1 change dalla notte al giorno!
Mi auguro solo ke riesca a mantenermi con questa config senza problemi: ora il mio povero laptop senza ADSL è velocissimissimo!
Grazie ancora a Sisupoika per la guida...:) ...med

Ho letto la guida di Sisupoika, veramente un bel lavoro, interessantissima ed originale. Mi chiedevo se il nostro amico ha ancora il tempo di dedicarsi a questo argomento ed in particolare è riuscito a finire il tool di cui si parlava? Spero voglia e possa continuare quest'opera e farci il regalo del tool. Comunque vada a finire Sisupoika grazie del bel tutorial e delle preziose infomazioni, semplicemente un must :) :) :) :)

Ciao bello :)

Grazie a te e agli altri che sono intervenuti nel frattempo.
Mi fa piacere che questi thread siano tornati utili, principalmente a chi usa XP.
Il tool e' praticamente abbandonato a meta', principalmente perche' nel frattempo mi sono sposato e ho iniziato un nuovo lavoro che mi tiene mooolto occupato. Il tempo e' libero e' molto poco, e fra l'altro al momento sto iniziando un altro tipo di progetto inerente alcuni servizi web.
Quel tool fa parte di una serie di cose che ho iniziato e lasciato per iniziarne altre :D
Mi sa che la chiamano "sindrome di Leonardo" :D
Al momento non so dirti quando potro' avere il tempo di ritornarvi sopra, anche perche' dipende da quanti ancora usano XP ecc. ;)

Ciao Sisupoika. Grazie mille della risposta e felicitazioni per il tuo matrimonio

La storia del tool mi aveva veramente intrippato :D :D :D , la tua guida è appassionante, comuque capisco benissimo che tu sia molto impegnato e non abbia tempo da dedicargli e quindi non insisto oltre, se ti capita comunque..... :D :D ci sono ancora molte persone che usano xp.

Già che ci sono ti vorrei fare i complimenti anche per il modo garbato e divertente con cui hai portato avanti la discussione.........vabbè basta altrimenti ti imbarazzi....:D :D :D

Ciao Sisupoika. Grazie mille della risposta e felicitazioni per il tuo matrimonio
La storia del tool mi aveva veramente intrippato :D :D :D , la tua guida è appassionante, comuque capisco benissimo che tu sia molto impegnato e non abbia tempo da dedicargli e quindi non insisto oltre, se ti capita comunque..... :D :D ci sono ancora molte persone che usano xp.
Già che ci sono ti vorrei fare i complimenti anche per il modo garbato e divertente con cui hai portato avanti la discussione.........vabbè basta altrimenti ti imbarazzi....:D :D :D

Quoto tutto...in pieno! sopratutto riguardo le persone ke utilizzano XP!

Ciao a tutti da una member del..."Sisupoika-sicurezza-fai-da-te-FAN-CLUB" :D
...med

ciao a chiunque segua ancora il 3D... :)
volevo sapere se qualcuno continua ad utilizzare la config proposta da Sisupioka. Io continuo senza nessun problema (fin'ora) da oltre 1 anno e mai preso nulla...anche facendo 2 passi ogni tanto in zone "proibite" e "pericolose"!
inoltre ho ulteriormente fortificato la configurazione originale utilizzando il software Windows StaedyState (che ho scoperto l'anno scorso e non ho + mollato!) pur essendo l'unica ad utilizzare il mio PC.
Lo tengo attivo su "rimuovi tutte le modifiche al riavvio del PC" mentre navigo e, in più, bloccando gli account per la e-mail e i browser web (ne ho diversi a seconda dei programmi che uso) non ho possibilità di scrivere nulla di malevolo nè sulla partizione dell'SO protetta da "protezione disco di windows" (che fa tabula-rasae) ne su altre partizioni col "blocco account". è un programma molto ben fatto semplice da usare e super-conpatibile con XP dato che è microsoft.
lo consiglio!
un ciao a tutti...med :)

ciao a chiunque segua ancora il 3D... :)
volevo sapere se qualcuno continua ad utilizzare la config proposta da Sisupioka. Io continuo senza nessun problema (fin'ora) da oltre 1 anno e mai preso nulla...anche facendo 2 passi ogni tanto in zone "proibite" e "pericolose"!
inoltre ho ulteriormente fortificato la configurazione originale utilizzando il software Windows StaedyState (che ho scoperto l'anno scorso e non ho + mollato!) pur essendo l'unica ad utilizzare il mio PC.
Lo tengo attivo su "rimuovi tutte le modifiche al riavvio del PC" mentre navigo e, in più, bloccando gli account per la e-mail e i browser web (ne ho diversi a seconda dei programmi che uso) non ho possibilità di scrivere nulla di malevolo nè sulla partizione dell'SO protetta da "protezione disco di windows" (che fa tabula-rasae) ne su altre partizioni col "blocco account". è un programma molto ben fatto semplice da usare e super-conpatibile con XP dato che è microsoft.
lo consiglio!
un ciao a tutti...med :)

Io sono una "pecora nera" devo dire che nonostante a suo tempo l'ho letta con attenzione non ho mai avuto alcun interesse a seguire la guida.
Senza soft di terze parti per la sicurezza mi sento a disagio come uscire senza il mio orologio al polso........

Ciao a tutti,
io uso da oltre un anno la configurazione consigliata da Sisupoika (scritta da me, senza recuperare il file dal thread), con Xp Pro, ma ho continuato a mantenere Avast antivirus e faccio periodicamente controlli con Hijackthis, AVG e Spybot ...
I virus entrano ugualmente, ma MOLTO meno di prima ... per intenderci ero stato costretto a formattare tutto due volte in passato ... e non mi faccio scrupolo di visitare siti "pericolosi" ... non uso firewall e sono soddisfatto del risultato rispetto al passato ...

Mi unisco alle felicitazioni ed ai ringraziamenti a Sisupoika!

H

Ciao a tutti,
io uso da oltre un anno la configurazione consigliata da Sisupoika (scritta da me, senza recuperare il file dal thread), con Xp Pro, ma ho continuato a mantenere Avast antivirus e faccio periodicamente controlli con Hijackthis, AVG e Spybot ...
I virus entrano ugualmente, ma MOLTO meno di prima ... per intenderci ero stato costretto a formattare tutto due volte in passato ... e non mi faccio scrupolo di visitare siti "pericolosi" ... non uso firewall e sono soddisfatto del risultato rispetto al passato ...

Mi unisco alle felicitazioni ed ai ringraziamenti a Sisupoika!

H
Come mai non usi firewall? Secondo me è l'unico componente per la sicurezza davvero fondamentale se associato a un account limitato.

Il firewall di windows mi ha creato spesso problemi su molti pc e con diverse connessioni ... inoltre ho il firewall hardware sul router ...

non avendo le conoscenze ed il tempo per studiare i firewalls, avendo tra l'altro recepito da svariate letture e diversi forum, che i firewalls software sono prevalentemente un problema ho preferito limitarmi a quello hardware che (credo) se ben configurato (ma io non lo so fare) risolverebbe il 99% dei problemi ...

non sono in grado di dare consigli validi sull'argomento, non ne ho le competenze ...

H

Il firewall di windows mi ha creato spesso problemi su molti pc e con diverse connessioni ... inoltre ho il firewall hardware sul router ...

non avendo le conoscenze ed il tempo per studiare i firewalls, avendo tra l'altro recepito da svariate letture e diversi forum, che i firewalls software sono prevalentemente un problema ho preferito limitarmi a quello hardware che (credo) se ben configurato (ma io non lo so fare) risolverebbe il 99% dei problemi ...

non sono in grado di dare consigli validi sull'argomento, non ne ho le competenze ...

H
Se hai il firewall hardware allora dovresti essere a posto.

Il firewall di windows mi ha creato spesso problemi su molti pc e con diverse connessioni ... inoltre ho il firewall hardware sul router ...

non avendo le conoscenze ed il tempo per studiare i firewalls, avendo tra l'altro recepito da svariate letture e diversi forum, che i firewalls software sono prevalentemente un problema ho preferito limitarmi a quello hardware che (credo) se ben configurato (ma io non lo so fare) risolverebbe il 99% dei problemi ...

non sono in grado di dare consigli validi sull'argomento, non ne ho le competenze ...

H

Hai provato ad usare il firewall consigliato da Sisupoika, integrato in windows (non il solito che conoscono tutti)?

E' vero comunque che un firewall hardware esterno ben configurato è addirittura meglio di uno software.

fanno 2 cose molto diverse e i loro compiti sono ben distinti...
solo attraverso un firewall software puoi bloccare una connessione in uscita di un malware, cosa che non puoi fare con un firewall hw (che ti fa solo apparire stealth dall'esterno)...

in sostanza per monitorare le azioni di un singolo pc il firewall hw non basta, è meglio affiancare un firewall software, per quanto banale sia, che ci informi sulle connessioni in uscita...

fanno 2 cose molto diverse e i loro compiti sono ben distinti...
solo attraverso un firewall software puoi bloccare una connessione in uscita di un malware, cosa che non puoi fare con un firewall hw (che ti fa solo apparire stealth dall'esterno)...

in sostanza per monitorare le azioni di un singolo pc il firewall hw non basta, è meglio affiancare un firewall software, per quanto banale sia, che ci informi sulle connessioni in uscita...
Certo, però con la sua configurazione ha protezione dagli attacchi provenienti da internet e si suppone (con buona certezza) che non abbia malware sul sul PC. Ovviamente il firewall software male non fa, però già così non mi sembra messo male, anzi.

Hai provato ad usare il firewall consigliato da Sisupoika, integrato in windows (non il solito che conoscono tutti)?

E' vero comunque che un firewall hardware esterno ben configurato è addirittura meglio di uno software.

Se intendi la configurazione originariamente consigliata da Sisupoika ... ho detto che la uso da più di un anno ... però è pure molto tempo che non seguo il forum e non so se ci sono stati sviluppi ...

Per il firewall hardware ... non sono capace di configurarlo ... e non ho il tempo e la voglia di studiarmi il problema ...

H

Certo, però con la sua configurazione ha protezione dagli attacchi provenienti da internet e si suppone (con buona certezza) che non abbia malware sul sul PC.

risulta invisibile dall'esterno per chi lo cerca, questo non vuol dire che è immune dagli attacchi..;)
se l'attacco viene dall'esterno ok, ma se viene dall'interno?
uno dei pochi modi per bloccare l'infezione (escluso l'hips, che in pochi sanno usare decentemente) è bloccare le connessioni che può creare...

metti che, con firewall hw, lui volutamente navigando visiti un sito malevolo che gli crea una connessione su una porta (magari critica e aperta)...la fritatta è fatta, non puoi gestire e bloccare le sue azioni...

invece con un firewall software, se le regole create per il browser non sono ad minchiam, dovrebbe avvertirci della nuova connessione sulla nuova porta (fornendoci anche l'indirizzo, di modo che possiamo controllare)...

questo tipo di controllo non lo puoi avere con un semplice router...

partire dal presupposto che il pc sia pulito è un utopia, il 95% delle volte l'infezione ce la si va a cercare e quindi parte dall'interno (l'utente scarica il software craccato o accetta un plugin o usa il player "apparso" mentre si navigava)...

alzi la mano, invece, chi è stato vittima di un attacco dall'esterno da parte di un hacker:p
(altro che il 5% rimanente, son stato abbondante nelle stime:D)

fanno 2 cose molto diverse e i loro compiti sono ben distinti...
solo attraverso un firewall software puoi bloccare una connessione in uscita di un malware, cosa che non puoi fare con un firewall hw (che ti fa solo apparire stealth dall'esterno)...

in sostanza per monitorare le azioni di un singolo pc il firewall hw non basta, è meglio affiancare un firewall software, per quanto banale sia, che ci informi sulle connessioni in uscita...

Da quanto ne so, qui si potrebbe aprire una discussione infinita. :D

Non è sbagliato quanto dici, ma è anche vero che un firewall software è più facilmente bypassabile rispetto ad un firewall hardware, e mi fermo qui.

Se intendi la configurazione originariamente consigliata da Sisupoika ... ho detto che la uso da più di un anno ... però è pure molto tempo che non seguo il forum e non so se ci sono stati sviluppi ...

Per il firewall hardware ... non sono capace di configurarlo ... e non ho il tempo e la voglia di studiarmi il problema ...

H

Sviluppi recenti non ce ne sono stati. Nel tuo post hai parlato di virus e antivirus, e poi hai detto che non usi il firewall se non quello hardware (neanche configurato). Il firewall di windows, quello raggiungibile da pannello di controllo, che ti dava problemi, è una cosa, quello di Sisupoika è un'altra. Penso però che se hai configurato quest'ultimo, sapresti configurare quello hardware.

risulta invisibile dall'esterno per chi lo cerca, questo non vuol dire che è immune dagli attacchi..;)
se l'attacco viene dall'esterno ok, ma se viene dall'interno?
uno dei pochi modi per bloccare l'infezione (escluso l'hips, che in pochi sanno usare decentemente) è bloccare le connessioni che può creare...

metti che, con firewall hw, lui volutamente navigando visiti un sito malevolo che gli crea una connessione su una porta (magari critica e aperta)...la fritatta è fatta, non puoi gestire e bloccare le sue azioni...

invece con un firewall software, se le regole create per il browser non sono ad minchiam, dovrebbe avvertirci della nuova connessione sulla nuova porta (fornendoci anche l'indirizzo, di modo che possiamo controllare)...

questo tipo di controllo non lo puoi avere con un semplice router...

partire dal presupposto che il pc sia pulito è un utopia, il 95% delle volte l'infezione ce la si va a cercare e quindi parte dall'interno (l'utente scarica il software craccato o accetta un plugin o usa il player "apparso" mentre si navigava)...

alzi la mano, invece, chi è stato vittima di un attacco dall'esterno da parte di un hacker:p
(altro che il 5% rimanente, son stato abbondante nelle stime:D)
Un utente che è in grado di seguire questa discussione non penso che si metta a eseguire tutto il software sconosciuto che trova online.
Per evitare gli exploit del browser penso che sia sufficiente tenerlo aggiornato ed evitare di navigare su siti poco raccomandabili.

risulta invisibile dall'esterno per chi lo cerca, questo non vuol dire che è immune dagli attacchi..;)
se l'attacco viene dall'esterno ok, ma se viene dall'interno?
uno dei pochi modi per bloccare l'infezione (escluso l'hips, che in pochi sanno usare decentemente) è bloccare le connessioni che può creare...

metti che, con firewall hw, lui volutamente navigando visiti un sito malevolo che gli crea una connessione su una porta (magari critica e aperta)...la fritatta è fatta, non puoi gestire e bloccare le sue azioni...

invece con un firewall software, se le regole create per il browser non sono ad minchiam, dovrebbe avvertirci della nuova connessione sulla nuova porta (fornendoci anche l'indirizzo, di modo che possiamo controllare)...

questo tipo di controllo non lo puoi avere con un semplice router...

partire dal presupposto che il pc sia pulito è un utopia, il 95% delle volte l'infezione ce la si va a cercare e quindi parte dall'interno (l'utente scarica il software craccato o accetta un plugin o usa il player "apparso" mentre si navigava)...

alzi la mano, invece, chi è stato vittima di un attacco dall'esterno da parte di un hacker:p
(altro che il 5% rimanente, son stato abbondante nelle stime:D)

Ciao Cloutz,hai scritto una frase simpatica !! ;)

Come ho scritto spesso, secondo me, un pc è pulito quando dopo aver fatto i vari scan non si reperisce nemmeno un tracking cookie !!!

Devo ammettere che nella quotidianità non ho mai verificato una ideale condizione siffatta........a parte il mio pc naturalmente !! :D :D :D

Ciao Cloutz,hai scritto una frase simpatica !! ;)

Come ho scritto spesso, secondo me, un pc è pulito quando dopo aver fatto i vari scan non si reperisce nemmeno un tracking cookie !!!

Devo ammettere che nella quotidianità non ho mai verificato una ideale condizione siffatta........a parte il mio pc naturalmente !! :D :D :D

bè per quello basterebbe usare una sandbox per la navigazione:p

confermo che ormai da mesi (sul mio pc) non trovo neanche quel povero traking cookie:D

quando vedo i computer dei miei amici invece mi spavento, altro che cookie:rolleyes: :muro:

Complimenti x la guida Sisupoika, ma vorrei sollevarti dei problemi che ho riscontrato,penso fondamentali.
Anche io come altri ho lo stesso problema. ho impostato:
- Traffico su tutti gli ICMP: bloccato - Speculare (Protocollo ICMP)
- Traffico su tutti gli IP: bloccato - Speculare (Protocollo qualsiasi)
- Traffico autorizzato: autorizzato alle seguenti porte:
-> 80-TCP: non speculare
-> 53-TCP: non speculare
-> 53-UDP: non speculare

ho riscontrato che non riesco a navigare in internet.Se disattivo l'opzione speculare nel traffico IP navigo tranquillamente. Questo perchè settando 'Traffico su tutti gli IP: bloccato - Speculare o Mirrored (Protocollo qualsiasi)' blocca il traffico in ingresso e in uscita. E se abilito '80-TCP: non speculare' ho la possibilità di inviare pacchetti a qualunque server che utilizza la porta 80 ma non potro riceve risposta poiche tutto il traffico in ingresso è bloccato.
Se invece setto 'Traffico su tutti gli IP: bloccato - NON Speculare (Protocollo qualsiasi)' blocco solo tutto il traffico in uscita, mentre in traffico in ingresso non viene bloccato e ci si riesce a connettere a internet ricevendo la risposta del server.
Quindi correggimi se sbaglio ma non è vero quello che dici 'Sisupoika' sulla guida ovvero che
"rimane un punto: questi filtri proteggono il traffico in entrata, e per il traffico in uscita servono solo a restringere i servizi che le applicazioni possono utilizzare collegandosi alla rete.". Il traffico in entrata NON viene protetto.
Ovvero per proteggere il traffico in entrata occorre settare 'Traffico su tutti gli IP: bloccato - Speculare (Protocollo qualsiasi)' ma ovviamente non si puo navigare in internet.Rimane il problema, se navigo allora non ho protetto il traffico in entrata e NON è un buon criterio di SICUREZZA. Sto sbagliando qualcosa?fatemi sapere.

Salve a tutti,
ho seguito con entusiasmo la guida fatta da Sisupoika, e più che il suo metodo in se, ho imparato tante belle cose su windowsXp.
Volevo fare alcune considerazione, e infine una domanda.

1. Spesso alcuni programmi hanno la necessita di avere più porte aperte per loro, e secondo il metodo esposto, sarebbe frustrante aggiungerle tutte a mano.
2. Windows sarà pure sicuro così, ma certo non è user-friendly, base portante di tutta la filosofia microsoft secondo me.

Infine la domanda:

Sono un apprendista sviluppatore java, e trovo non poche complicazioni a far partire le applicazioni (anche scritte da terzi) dall'utente senza permessi.
Per ovviare a ciò mi sono loggato con il SysAdmin, ho tolto la maledetta Condivisione Semplice e ho dato i permessi di lettura e scrittura prima alle directory contententi tali applicazioni, poi a tutta la JDK.
Senza risultati.
Poi mi sono accorto che non mi legge la variabile d'ambiente che è correttamente settata, infatti dal SysAdmin parte tutto tranquillamente.

Come fare?

4ever niubbo...

joke...

Complimenti per la guida

però mi sembra di capire tra le righe che il firewall non permetta poi l'utilizzo dei programmi p2p come emule giusto?

Complimenti per la guida

però mi sembra di capire tra le righe che il firewall non permetta poi l'utilizzo dei programmi p2p come emule giusto?

Anche io ho lo stesso dubbio. Sono inesperta, ma ho il mio compagno che e' un appassionato come voi. Poiche' si trattava del mio computer, dopo aver installato XP, ha trovato questa guida e mi ha detto di seguirla. anche se sono inesperta, uso parecchio il computer e diciamo che ho imparato qualcosa con questa guida. L'ho provata 3 volte sia la guida per il firewall che per l'account limitato. La guida del firewall l'ho eseguita bene, mentre quella dell'account limitato sicuramente ho sbagliato qualcosa, che sia con l'utente limitato che col sysadmin, se voglio installare dei programmi, non mi funziona il RUN AS (cioe' inserisco la password e mi dice che il nome utente o la password sono sbagliati) e non mi funzionano nemmeno i comandi AdminShell e AdminCmd dal command prompt.
Allora all'ultimo tentativo di installazione, ho rifatto la guida firewall, escludendo quella dell'account limitato, ma aggiungendo un antivirus.
Allora, prima se aprivo utorrent, mi funzionava anche senza settare la porta in uscita, mentre adesso no, pur settando la porta.
Vorrei capire come impostare questo programma ed emule, cioe' che tipo di protocolli deve utilizzare etc etc.
grazie a tutti.

Non c'e' proprio nessuno che mi puo' aiutare a impostare le porte di utorrent?

Non c'e' proprio nessuno che mi puo' aiutare a impostare le porte di utorrent?

ciao...purtroppo nn uso utorrent o simili quindi nn saprei proprio come consigliarti. hai provato comunque a leggere tutti i 3D di sisupoika l'autore della guida? sono in tutto tre...molto lunghi è vero...ma oltre a essere istruttivi credo tu possa trovare una soluzione sopratutto tra le domande fatte all'autore. se non ricordo male più di un member ha chiesto qualcosa del genere. ti conviene iniziare dalla prima guida: "Windows Built-In Security: Sicurezza fai da te! (e senza Antivirus, Firewall, ecc)" http://www.hwupgrade.it/forum/showthread.php?t=1517343 e seguire con attenzione i link alle guide successive
ciao...med

ciao a tutti... :)
ultimamente mi sono "imbarcata" in una config ulteriore nell'utilizzo dell'originale proposta da sisupoika. In pratica, stuzzicata da come in microsoft hanno combinato il Windows firewall con IPSec e leggendo alcune guide in rete sto provando ad usare la stessa conbinazione in XP SP3. Inoltre il tutto è iniziato perchè usando solo IPSec avevo un problema (più di comodità personale che tecnico): IPSec non mostra nessun avviso se blocca richieste di connessioni come invece fa (a volte) il WF inoltre leggendo sul web sembrerebbe una tecnica utile a fortificare la protezione.
Problemone!!!: è per me un'impresa allucinante (anche se la sto usando) nel senso che bisogna agire contemp su tutti e due i firewall quindi se si devono aprire molte porte diventa.....:muro: :muro: :muro:
comunque...qualcuno a già provato o pensato di fare lo stesso?
grazie med

Grazie medus, avevo gia' guardato i tre thread, ho trovato qualcosa, ma niente che per me fosse piu' specifico. Ho trovato per emule spiegato molto bene, ma per utorrent ho ancora problemi a impostare la porta, visto che nei settings del programma c'e' solo una porta specificata.
Comunque non ho ancora risolto, ogni consiglio e' ben accetto.:)

Allora, prima se aprivo utorrent, mi funzionava anche senza settare la porta in uscita, mentre adesso no, pur settando la porta.
Vorrei capire come impostare questo programma ed emule, cioe' che tipo di protocolli deve utilizzare etc etc.
grazie a tutti.

Se hai applicato le regole base di questa discussione adesso tutte le porte in uscita tranne quelle previste sono chiuse e quindi il traffico p2p è bloccato.

Supponendo di mantenere invariate le porte predefinite dei client devi aprire almeno quelle che ti servono.
Verifica nelle impostazioni dei programmi che non siano utilizzate porte random/UPnP ma sempre le stesse.
Quindi crea delle regole ad hoc:
- µTorrent, TCP da porta 6889, UDP da porta 6889;
- eMule, TCP da porta 4662, UDP da porta 4672.
In questo modo dovresti aver sbloccato il p2p però se hai un router devi provvedere a fare forward delle porte in questione.

Probabilmente avrai bisogno di aprire anche le porte per i tracker torrent (TCP a porta ####, dipende dal tracker ma con una decina dovresti cavartela, comunque le vedi nella scheda "Tracker" delle proprietà dei torrent) e quelle dei server eMule (TCP a porta 4661 tipicamente, le vedi nell'elenco dei server).

Tutte le regole ovviamente NON speculari.

Non so se è il modo giusto ma così dovrebbe funzionare credo, prova un po` e se avete suggerimenti fatevi avanti :)

Ovvero per proteggere il traffico in entrata occorre settare 'Traffico su tutti gli IP: bloccato - Speculare (Protocollo qualsiasi)' ma ovviamente non si puo navigare in internet.Rimane il problema, se navigo allora non ho protetto il traffico in entrata e NON è un buon criterio di SICUREZZA. Sto sbagliando qualcosa?fatemi sapere.

Per come l'ho intepretata se tu imposti 'Traffico su tutti gli IP: bloccato - NON speculare' stai già bloccando anche il traffico in entrata.

Quindi aprendo le porte TCP 80 - 443 - 53 ed UDP 53 NON speculari dovresti essere nella situazione di traffico entrante bloccato, uscente bloccato tranne per la navigazione HTTP, HTTPS e DNS.

Almeno leggendo il primo post di guida mi sembra di capire questo, se invece le cose stanno come dici tu il tutto diventa un po' inutile perché l'idea di base è impedire le connessioni dall'esterno e limitare quelle dall'interno facendo affidamento sul buon senso e sulla limitazione dei permessi dell'utente.

In mancanza di riscontri se hai a disposizione due PC, una prova veloce dovrebbe chiarire come funziona.

Se hai applicato le regole base di questa discussione adesso tutte le porte in uscita tranne quelle previste sono chiuse e quindi il traffico p2p è bloccato.

Supponendo di mantenere invariate le porte predefinite dei client devi aprire almeno quelle che ti servono.
Verifica nelle impostazioni dei programmi che non siano utilizzate porte random/UPnP ma sempre le stesse.
Quindi crea delle regole ad hoc:
- µTorrent, TCP da porta 6889, UDP da porta 6889;
- eMule, TCP da porta 4662, UDP da porta 4672.
In questo modo dovresti aver sbloccato il p2p però se hai un router devi provvedere a fare forward delle porte in questione.

Probabilmente avrai bisogno di aprire anche le porte per i tracker torrent (TCP a porta ####, dipende dal tracker ma con una decina dovresti cavartela, comunque le vedi nella scheda "Tracker" delle proprietà dei torrent) e quelle dei server eMule (TCP a porta 4661 tipicamente, le vedi nell'elenco dei server).

Tutte le regole ovviamente NON speculari.

Non so se è il modo giusto ma così dovrebbe funzionare credo, prova un po` e se avete suggerimenti fatevi avanti :)

Ciao Battle_Angel_Alita, essendo la parte iniziale del tuo post il mio caso, ho seguito alla lettera nel settaggio della porta di utorrent. Ho aperto anche quella del tracker del torrent che sto scaricando (entrambe non speculari.), ma non va.
Di seguito e' quello che faccio per settare le due porte: Start->Run-> secpol.msc->doppio click sul firewall->doppio click allowed traffic->doppio click allowed traffic di nuovo -> add->next->my IP address->any IP address-> TCP-> from any port to "porta utorrent"-> finish. Deseleziono il mirroring.
Che fare? Dove sbaglio?

Di seguito e' quello che faccio per settare le due porte: Start->Run-> secpol.msc->doppio click sul firewall->doppio click allowed traffic->doppio click allowed traffic di nuovo -> add->next->my IP address->any IP address-> TCP-> from any port to "porta utorrent"-> finish. Deseleziono il mirroring.
Che fare? Dove sbaglio?

Uhm, scusa dovevo scriverlo per esteso in modo che fosse più chiaro, attenzione alle preposizioni :)

La regola che ho scritto è diversa, hai scambiato la direzione delle porte:
- µTorrent, TCP da porta 6889, UDP da porta 6889.

Quindi: from "porta µTorrent" to any port.

Per il tracker prova prima senza regole, se comunica sulla stessa porta in uscita non serve nulla altrimenti provvedi.

Scusa Battle_Angel_Alita, e' stat colpa mia non avevo letto bene le proposizioni. Cosi' ho corretto le due porte utorrent, e non scarica. Se vado nelle proprieta' del file utorrent per vedere che porta ha il tracker, trovo questo link (ho inserito i trattini nel link, perche' non so se posto postarlo completo): http://i-------o.d------d.com:3399/announce
Deduco che la porta del tracker sia 3399, quindi faccio la stessa cosa che ho fatto con la porta utorren, da te suggerito, ma non scarica.
Scusami sono ignorante in materia, ma potresti spiegarmi meglio questa tua frase : "Per il tracker prova prima senza regole, se comunica sulla stessa porta in uscita non serve nulla altrimenti provvedi."?
Grazie ancora.

Deduco che la porta del tracker sia 3399, quindi faccio la stessa cosa che ho fatto con la porta utorren, da te suggerito, ma non scarica.
Scusami sono ignorante in materia, ma potresti spiegarmi meglio questa tua frase : "Per il tracker prova prima senza regole, se comunica sulla stessa porta in uscita non serve nulla altrimenti provvedi."?
Grazie ancora.

Vuol dire prima prova senza mettere un regola specifica e se non funziona solo con quella del traffico p2p allora prova ad aggiungere anche quella del tracker.

Come ho scritto nel primo post però, che non è uguale all'altra: "TCP a porta" quindi la devi fare come nel tuo primo esempio.

Vuol dire prima prova senza mettere un regola specifica e se non funziona solo con quella del traffico p2p allora prova ad aggiungere anche quella del tracker.

Come ho scritto nel primo post però, che non è uguale all'altra: "TCP a porta" quindi la devi fare come nel tuo primo esempio.

fatto come hai detto, ma non funziona nemmeno emule. Vado a rivedermi la guida, magari ho sbagliato qualcosa.
Grazie mille per l'aiuto!

Ciao Battle_Angel_Alita, ho riletto la guida, ma l'unico modo per farsi' che funzioni il p2p e' delesezionando nelle proprieta' del firewall i filtri All Ip Traffic e All IMCP Traffic, che sono quelli che bloccano. Ma se li deseleziono, e lascio selezionato solo il traffico permesso, e' come se quest'ultimo fosse deselezionato giusto? Quindi non ho risolto niente cosi', giusto?

Non riuscendo a risolvere il problema, ho installato comodo. Quindi volevo ringraziarti Battle_Angel_Alita per il supporto!:D

Ciao Battle_Angel_Alita, ho riletto la guida, ma l'unico modo per farsi' che funzioni il p2p e' delesezionando nelle proprieta' del firewall i filtri All Ip Traffic e All IMCP Traffic, che sono quelli che bloccano. Ma se li deseleziono, e lascio selezionato solo il traffico permesso, e' come se quest'ultimo fosse deselezionato giusto? Quindi non ho risolto niente cosi', giusto?

Devi aver applicato male qualche regola di base, ho provato la configurazione e funziona.

Non riuscendo a risolvere il problema, ho installato comodo. Quindi volevo ringraziarti Battle_Angel_Alita per il supporto!:D

Se cercavi una soluzione firewall semplice e gratuita questa discussione non faceva per te dall'inizio :)

Ma ExtRunAs di Retalv non l'ha provato nessuno?

link?

link?

Qui (http://www.hwupgrade.it/forum/showthread.php?t=1561908&page=2) .. post 28 ;)

ciao! :)

ciao a tutti sono nuovo dl forum..
Ho letto con molta attenzione il thread di windows built-in, almeno fino al firewall, ed applicato tutti passaggi spiegati...ma ...con il firewall attivo non riesco a navigare su internet...:muro:
premetto che nn ho abilitato l'ipsec... anche xkè nn so cm si fa e nn so nemmeno se è quello il problema...
se qlcn me lo spiegasse gli sarei grato.. :help:

un grosso grazie a sisupoika x il lavoro fatto... io con un amd1200 cn winxp sento proprio la differenza senza firewall!:D

P.S. anche scaricando il file nn risolvo niente..anche se nn sn sicuro che me lo carichi, mi sembra piuttosto la mia configurazione...

ciao a tutti sono nuovo dl forum..
Ho letto con molta attenzione il thread di windows built-in, almeno fino al firewall, ed applicato tutti passaggi spiegati...ma ...con il firewall attivo non riesco a navigare su internet...:muro:
premetto che nn ho abilitato l'ipsec... anche xkè nn so cm si fa e nn so nemmeno se è quello il problema...
se qlcn me lo spiegasse gli sarei grato.. :help:

un grosso grazie a sisupoika x il lavoro fatto... io con un amd1200 cn winxp sento proprio la differenza senza firewall!:D

P.S. anche scaricando il file nn risolvo niente..anche se nn sn sicuro che me lo carichi, mi sembra piuttosto la mia configurazione...

ciao :)
scusa ma...non sn sicura di aver capito il problema:
...con il firewall attivo non riesco a navigare su internet...
se hai attivato l'IPSec senza abilitare correttamente i filtri tutto il traffico è bloccato.
devi seguire con attenzione sopratutto il primo post (e gli screenshot) dell'autore del 3d sisupoika.

inoltre:
'premetto che nn ho abilitato l'ipsec...anche xkè nn so cm si fa...'
quindi con quale firewall attivo nn riesci a navigare?

...P.S. anche scaricando il file nn risolvo niente...
ti riferisci al file "pappa-pronta" per IPSec linkato dall'autore per importare una config predefinita?

prova a seguire nuovamente tutti i passaggi del primo post con attenzione, io al secondo tentativo (eseguiti prima in virtual PC) sn riuscita a configurare tutto a dovere e da oltre 1 anno mai avuto problemi

unica accortezza aggiuntiva alla configurazione originale del 3D: utilizzo un soft della microsoft stessa (con il benestare di sisupoika :D ) utilizzato di solito negli internet-point o similari: Windows SteadyState. ad ogni riavvio del PC o, se si preferisce, ad ogni disconnesione dell'account, ripristina l'intera partizione di sistema pre-...prove d'install o pre-navigazione web o pre-...qualsiasi altro cosa!
comunque se hai problemi con IPSec e utilizzi un solo pc senza LAN o altro, secondo me poi utilizzare anche il windows firewall di XP avendo xò l'accortezza di modificare con attenzione le impostazioni predefinite se configuri accessi...ciao

ciao :)
volevo sapere se qualcuno può confermarmi se questo Howto della Microsoft...
http://support.microsoft.com/kb/811832/it
è un articolo ancora valido da seguire come guida su IPSec
ci sono dei settaggi da abilitare nel registro di sistema ma nn riesco a capire se sono ancora corretti.
l'articolo infatti ha data di revisione del 2008 (quindi in teoria le info dovrebbero essere aggiornate) ma ci sono dei riferimenti anche su ICF (internet connection firewall) che credo sia il predecessore del windows firewall pre SP2....o forse l'articolo si riferisce semplicemente al nome del servizio attivo col Windows firewall?!?
grazie a chiunque può rispondermi
ciao med :)

Scusate la domanda cretina ma non ho avuto tempo di leggere tutto il post: avete già preso in considerazione queste vulnerabilità di ipsec:
http://support.microsoft.com/default.aspx?scid=kb;en-us;811832.

COMPLIMENTI.
Sono thread come questi che mi incentivano a cercare di capire "cio' che le finestre di Windows nascondono"...
ma come cavolo io uso un qualcosa (Windows) e no so nemmeno quelli che sono gli strumenti a disposizione...non è possibile!...vorreicapire/scoprire/imparare...e grazie a te ho fatto un passo in più in questa direzione...sarà pure un millimetro ma l'ho fatto!!!
Bravo SISU!
Ah e un altra cosa,io uso Home...chi vuole imparare si arrangia con cio' che ha!
Saluti a tutti.




Non saprai mai realmente fin dove potrai arrivare se non ti sarai spinto un pò oltre volevi arrivare

Mi fa piacere che ancora - oggi dopo un bel po' di tempo - chi legge questi vecchi thread ne tragga beneficio (spesso ricevo anche pvts in proposito).
Anche se, confesso, non ricordo neanche io che cosa avevo scritto di preciso in un thread o nell'altro...LOL dovrei rileggerli io stesso per ricordare :D

Mi fa piacere che ancora - oggi dopo un bel po' di tempo - chi legge questi vecchi thread ne tragga beneficio (spesso ricevo anche pvts in proposito).
Anche se, confesso, non ricordo neanche io che cosa avevo scritto di preciso in un thread o nell'altro...LOL dovrei rileggerli io stesso per ricordare :D

e intanto uso ancora questa configurazione (AdminCMD e AdminShell) più altri software, e non riesco più ad abbandonare i diritti limitati:D

:read: :D e intanto uso ancora questa configurazione (AdminCMD e AdminShell) più altri software, e non riesco più ad abbandonare i diritti limitati:D

Sto provando a configurare il mio xp home nel modo decritto da Sisu,
non mi piace la pappa bella e pronta e quindi sto cercando di fare tutto manualmente,in Gestione account non vi era nessun account Administrator ma solo un account appartenente al gruppo administrators che è quello che utilizzo normalmente...da quel che ho capito la cosa comportava un passaggio in meno nella procedura...tuttavia in un primo momento ,credendo fosse necessario avere l'account Administrator presente ma disabilitato,tramite oppurtuna creazione di una DWORD nel registro,ho ricreato l'account Administrator;nel tentativo di loggarmi con quest'ultimo mi veniva chiesta la relativa pwd,non conoscendola mi sono loggato tramite l'account che utilizzavo normalmente,ho cambiato la pwd all'Administrator e ho seguito tutta la procedura fino alla disabilitazione di quest'ultimo.Da profano quale sono domando:l'aver fatto questi passaggi in più determina un qualche problema?
E un altra cosa Sisu:non che non mi fidi del tuo lavoro (tutt'altro!) ma per cercare di capire il tuo lavoro,che strumenti/conoscenze dovrei possedere per analizzare i due scripts?
Grazie per l'attenzione e saluti a tutti.

e intanto uso ancora questa configurazione (AdminCMD e AdminShell) più altri software, e non riesco più ad abbandonare i diritti limitati:D

Quoto :D

Peccato solo che su uno dei 2 pc che utilizzo ho Xp Media Center che non salva le psw e quindi devo inserirle ogni volta .... ma va bene così ;)

ciao a tutti...su 'notageek.it' (link)
http://www.notageek.it/windows-xp-software-restriction-policies-runas-bypass.html

ho letto e visto (allegato all'articolo c'è un video)
un metodo banalissimo e non documentato altrove (per quello che ho potuto vedere fin'ora) riguardo una 'voragine' (IMHO) nella configurazione che attualmente utilizzo su XP, proposta qui da sisupoika.
si consiglia di disabilitare l'esecuzione di runas per evitare il bypass di ben due delle soluzioni proposte (Criteri di restrizione software e LUA) che consentono il "lockDown di windows"
ho seguito alla lettera l'articolo e sono SEMPRE riuscita ad eseguire un qualsiasi programma installato o setup d'installazione SENZA mai fornire le credenziali amministrative e senza dover neanche richiamare nessuno script.
è sufficente avviare un prompt e digitare:
runas /trustlevel:"Senza restrizioni" Programma_Bloccato.exe

per poter avviare o installare qualsiasi applicazione in barba a tutto!
qualcuno sa, x cortesia se e comè possibile rimediare?!?
tra l'altro disabilitando runas come si potrebbe continuare ad utilizzare la config proposta da sisupoika???
btw...sisupoika help! :help:

ciao a tutti...su 'notageek.it' (link)
http://www.notageek.it/windows-xp-software-restriction-policies-runas-bypass.html

ho letto e visto (allegato all'articolo c'è un video)
un metodo "banalissimo" e non documentato altrove (per quello che ho potuto vedere fin'ora) riguardo una voragine (IMHO) nella configurazione che attualmente utilizzo su XP, proposta qui da sisupoika.
si consiglia di disabilitare l'esecuzione di runas per evitare il bypass di ben due delle soluzioni proposte qui:
'Criteri di restrizione software' e 'LUA' che consentono il "lockDown di windows"
ho seguito alla lettera l'articolo e sono sempre riuscita ad eseguire un qualsiasi programma installato o setup d'installazione senza mai fornire le credenziali amministrative e senza dover richiamare nessuno script.
è sufficente avviare un prompt e digitare:
runas /trustlevel:"Senza restrizioni" Programma_bloccato.exe

per poter avviare o installare qualsiasi applicazione in barba a tutto!
qualcuno sa, x cortesia se e comè possibile rimediare?!?
tra l'altro disabilitando runas come si potrebbe continuare ad utilizzare la config proposta da sisupoika???
btw...mi auguro che sisupoika faccia presto un salto qui!!! :help:

ciao a tutti...su 'notageek.it' (link)
http://www.notageek.it/windows-xp-software-restriction-policies-runas-bypass.html

ho letto e visto (allegato all'articolo c'è un video)
un metodo banalissimo e non documentato altrove (per quello che ho potuto vedere fin'ora) riguardo una 'voragine' (IMHO) nella configurazione che attualmente utilizzo su XP, proposta qui da sisupoika.
si consiglia di disabilitare l'esecuzione di runas per evitare il bypass di ben due delle soluzioni proposte (Criteri di restrizione software e LUA) che consentono il "lockDown di windows"
ho seguito alla lettera l'articolo e sono SEMPRE riuscita ad eseguire un qualsiasi programma installato o setup d'installazione SENZA mai fornire le credenziali amministrative e senza dover neanche richiamare nessuno script.
è sufficente avviare un prompt e digitare:
runas /trustlevel:"Senza restrizioni" Programma_Bloccato.exe

per poter avviare o installare qualsiasi applicazione in barba a tutto!
qualcuno sa, x cortesia se e comè possibile rimediare?!?
tra l'altro disabilitando runas come si potrebbe continuare ad utilizzare la config proposta da sisupoika???
btw...sisupoika help! :help:

Ciaps

Vedo della confusione: i miei posts si ponevano l'obiettivo di fare hardening di Windows contro malware.

Il trustlevel nel caso di RunAs ha piu' rilevanza quando si vuole evitare a tutti i costi che altri utenti umani (PC multiutente) possano accedere a delle applicazioni.

Sebbene quanto suggerito nell'articolo sia corretto, devi tenere conto di

- contesto in cui una applicazione viene eseguita, cioe' la combinazione ruolo utente + come SRP e' configurato.

- i diritti (di scrittura in determinati folders, per esempio) permessi all'applicazione eseguita, disponibili appunto nel contesto in cui essa viene eseguita.

- i permessi a livello di file system (esecuzione, scrittura, lettura, ecc)

Proseguendo, nella mia vecchia guida non menzionavo il discorso del trust level (cosi' come dimenticai quello sui trusted publishers ed altra roba) forse perche' lo dimenticai oppure omisi perche' il post era gia' troppo lungo :D

Comunque, e' proprio il trust level la ragione per cui suggerivo di attivare SRP su tutti i files e per tutti gli utenti non amministratori, senza escludere le librerie:

(vecchia immagine)

http://img516.imageshack.us/img516/2253/antimalware1vj6.jpg

Suggerivo poi di consentire soltanto i .lnk cosi' che i collegamenti sul desktop funzionino.

Infatti la cazzatina di RunAs funziona - che io sappia - soltanto se di excludono le DDLs da SRP.

In breve, seguendo quelle vecchie istruzioni un'applicazione diciamo maligna non sarebbe in grado di fare danni poiche' normalmente non potrebbe avviare "qualsiasi" altra applicazione o scrivere in cartelle di sistema a causa dell'account limitato, neanche con quel trucchetto se SRP e' configurato come suggerivo.

Proseguendo:

1) Supponendo che SRP excluda le libraries/DLLs (dunque contrariamente a quanto da me suggerito):

Un malware che esegui una applicazione in quel modo sarebbe pressocche innocuo, perche' non potrebbe recare danno al sistema perche', ripeto, nel contesto di un account limitato. E non potrebbe, viceversa, eseguire applicazioni di sistema che potrebbero invece consentirgli di far danni, ma sono inacessibili ad utenti limitati.


2) Se continuiamo a parlare di malware (che era l'oggetto dei miei posts), se vuoi - per qualunque ragione - evitare "a tutti i costi" anche l'accesso alle applicazioni comunque consentite ad un utente limitato (senza pensare alla distinzione malware/utenti), anche se non ci sarebbe la possibilita' di far danni, hai diverse strade, tra cui:

a) Se hai eseguito tutto alla lettera, in uno di quei posts avevo anche suggerito di utilizzare per esempio un utente dedicato al browser che usi, dopo aver eliminato i diritti di esecuzione in certe cartelle e i diritti di scrittura per determinate cartelle, per quello specifico utente (un esempio che avevo fornito: se crei un utente limitato di nome "BrowserUser" e lo usi con RunAs per eseguire il tuo browser, consentiresti solo la scrittura in folders come cache and downloads, ma non l'esecuzione, cosi' da non consentire l'esecuzione di qualcosa scaricata).
Queste restrizioni, che suggerivo, sono a livello di ACL e non hanno nulla a che vedere con SRP, alle queli si affiancano.

b) Configurare SRP per bloccare RunAs stesso o il Secondary Logon (che e' usato da RunAs per avviare applicazioni con credenziali diverse da quelle dell'utente corrente), perdendo parte della configurazione coi suoi pregi/difetti.



3) Quando esegui una applicazione con RunAs, a quell'applicazione e' assegnato un token di diverso tipo a seconda del ruolo/gruppo dell'utente nel cui contesto RunAs esegue l'applicazione.
Qui vale la sottolineatura: RunAs non assegna diritti di amministratore ad un utente limitato anche qualora tale utente che esegua una applicazione col giochetto del trust level.

L'enforcement delle restrizioni a livello utente sono rispettate comunque.

Da cui cio' che dicevo prima: cio' puo essere un problema se hai bisogno a "tutti i costi" di evitare l'accesso a determinate applicazioni da parte di altri utenti, ma difficilmente costituisce un problema per malware, contro i quali le necessita' sono, se vogliamo, un po' diverse.


Per chiudere: nel caso non si fosse capito dalle mie vecchie guide, per essere effettive SRP devono andare a braccetto con ACL. ;)

Ho dimenticato di dire, aggiungo, che per le ragioni esposte parlare di

bypass di ben due delle soluzioni proposte (Criteri di restrizione software e LUA)

ovviamente non e' corretto.

1) Criteri di restrizione software:

L'unico bypass possibile per avviare applicazioni attraverso il trust level e' quello fornito dalla esclusione delle librerie dalle SRP, chiaramente un bug.

2) LUA:
non c'entra assolutamente nulla ed anzi e' cio' che rende SRP utile. Ripeto ancora una volta: anche qualora SRP sia misconfigurato a proposito di librerie, i diritti e i permessi in fase di esecuzione rimangono in alterati. Se essi sono limitati, rimarranno tali.

ciao sisupoika...è sempre 1 piacere leggerti. :)
anzitutto però voglio subito chiarire 1 cosa:
forse il mio post è potuto sembrar polemico o chissà cos'altro ma (ci tengo molto a precisarlo) la mia 'richiesta di help' non era assolutamente per mettere in dubbio le tue conoscenze, tutto ciò che hai proposto in queste pagine e le reali potenzialità di una corretta config windows-utenza.
se è passato questo...scusami, non era assolutamente mia intenzione!
i tuoi posts sono tra i pochi (su HWU) che trovo utili, ed è proprio grazie al tuo howto "windows-hardening" che mi sono iscritta qui.
quindi sarebbe oltretutto come 'sputare' nel piatto in cui mangio dal 2007...
ero solo preoccupata di un comando che sembra essere sfuggito un pò ovunque:
ma sai quanto ho dovuto leggere x trovare dettagli sul parametro 'trustlevel' del runas?
tra l'altro sai benissimo (leggi pvt) da quanto tempo utilizzo, senza ripensamenti e con successo, la config proposta da te e utilizzata (senza troppe pubblicità) anche da molte aziende/professionisti.
ti dirò di più...da ca. 1 anno utilizzo, al posto dell'ottimo IPSec, 'solo' il Windows firewall di XP che ho sempre ritenuto un buon prodotto a patto di essere ben configurato (come da guida che ti ho linkato tempo fa) e, quando posso, utilizzo il Pc per svago girovagando anche su siti non proprio 'ortodossi'....emh...se il mio "lui" legge:mi riferisco alle volte che l'abbiamo fatto insieme...logico... :D

tutto ciò x ribadire che ho seguito (a parte il firewall ultimamente) alla lettera la config senza mai beccare nulla nonostante a volte mi sia messa in situazioni pericolose. premesso ciò...



....Il trustlevel nel caso di RunAs ha piu' rilevanza quando si vuole evitare a tutti i costi che altri utenti umani (PC multiutente) possano accedere a delle applicazioni.

pensavo invece che potesse essere sfruttato (e.g. da remoto) e comunque penso sia un'opzione che dovrebbe essere limitata, magari con un'update dell'exe rilasciato da Microsoft (runas è uno dei pochi componenti del mio XP SP3 ad essere ancora di versione 5.1.2600 XPclient)
l'opzioni così accessibile mi è sembrata un bug tra i tanti (o presunti tali) di windows anche perchè, sarà utile per gli amministratori che vogliono eseguire un'applicazione bloccata senza restizioni, ma perchè lasciare il parametro pienamente accessibile all'utenza limitata?




Comunque, e' proprio il trust level la ragione per cui suggerivo di attivare SRP su tutti i files e per tutti gli utenti non amministratori, senza escludere le librerie:

(vecchia immagine)

Suggerivo poi di consentire soltanto i .lnk cosi' che i collegamenti sul desktop funzionino.
Infatti la cazzatina di RunAs funziona - che io sappia - soltanto se di excludono le DDLs da SRP.


ripeto...ho seguito alla lettera il tuo tutorial e quindi anche l'enforcement sulle DLL ma il comando trustlevel funziona tranquillamente...cioè permette di eseguire qualsiasi setup senza richieste di password o restrizioni!
è per questo ci sono rimasta secca provando la cosa + volte...probabilemnte non conoscendo i dettagli del trustlevel mi son anche sorpresa: essendo un'opzione di runas per nulla indicata nella guida '/?' da prompt e poco chiara nella guida in linea di xp, come invece imho dovrebbe essere.
naturalmente, come da te ricordato, se si gestiscono i permessi correttamente su determinate folders nn si possono comunque portare a termine installazioni o accedere a determinati file, però in sistemi non perfettamente protetti è pericoloso..no?



a) Se hai eseguito tutto alla lettera, in uno di quei posts avevo anche suggerito di utilizzare per esempio un utente dedicato al browser che usi, dopo aver eliminato i diritti di esecuzione in certe cartelle e i diritti di scrittura per determinate cartelle, per quello specifico utente (un esempio che avevo fornito: se crei un utente limitato di nome "BrowserUser" e lo usi con RunAs per eseguire il tuo browser, consentiresti solo la scrittura in folders come cache and downloads, ma non l'esecuzione, cosi' da non consentire l'esecuzione di qualcosa scaricata).
Queste restrizioni, che suggerivo, sono a livello di ACL e non hanno nulla a che vedere con SRP, alle queli si affiancano.

b) Configurare SRP per bloccare RunAs stesso o il Secondary Logon (che e' usato da RunAs per avviare applicazioni con credenziali diverse da quelle dell'utente corrente), perdendo parte della configurazione coi suoi pregi/difetti.

a) di utenti "No-change" (come consigliato dal tuo 'Sandbox fai-da-te') ne ho ben 2, uno per eseguire i browser e scaricare file, uno per mail-chat (come consigliato anche in "Running vista every day" di Joanna Rutkowska.
b) non vorrei proprio disabilitare runas tramite le policies...

stanote invece ho pensato ad una soluzione, forse banale, ma efficace:
ho negato l'accesso per runas a tutti gli altri account del PC, tranne all'account (sempre limitato) che utilizzo per accedere fisicamente e con cui, tramite 'MakeMeAdmin', eseguo i programmi pericolosi tramite le altre utenze.
clic destro sull'eseguibile in system32 e messo i flag su "Nega" in Controllo completo.
in questo modo con laccount con cui ti sto fisicamente scrivendo (da desktop) posso eseguire il runas per avviare l'utenza con cui invio "tutto l'ambaradan" tramite IE, ma che a sua volta nn può eseguire il runas perchè
"...risulta bloccato. Rivolgersi all'amministratore."
poter bloccare i programmi, è un'opzione presente anche nel programma Windows StaedyState che (come sai) utilizzo, ma ho preferito fare a manina perchè ho notato che non viene bloccato l'accesso anche a: "Esegui come..." da menu destro.
tu cosa ne pensi? fatto bene?!? ;-)

ciao sisupoika...è sempre 1 piacere leggerti. :)
anzitutto però voglio subito chiarire 1 cosa:
forse il mio post è potuto sembrar polemico o chissà cos'altro ma (ci tengo molto a precisarlo) la mia 'richiesta di help' non era assolutamente per mettere in dubbio le tue conoscenze, tutto ciò che hai proposto in queste pagine e le reali potenzialità di una corretta config windows-utenza.
se è passato questo...scusami, non era assolutamente mia intenzione!
i tuoi posts sono tra i pochi (su HWU) che trovo utili, ed è proprio grazie al tuo howto "windows-hardening" che mi sono iscritta qui.
quindi sarebbe oltretutto come 'sputare' nel piatto in cui mangio dal 2007...
ero solo preoccupata di un comando che sembra essere sfuggito un pò ovunque:
ma sai quanto ho dovuto leggere x trovare dettagli sul parametro 'trustlevel' del runas?
tra l'altro sai benissimo (leggi pvt) da quanto tempo utilizzo, senza ripensamenti e con successo, la config proposta da te e utilizzata (senza troppe pubblicità) anche da molte aziende/professionisti.
ti dirò di più...da ca. 1 anno utilizzo, al posto dell'ottimo IPSec, 'solo' il Windows firewall di XP che ho sempre ritenuto un buon prodotto a patto di essere ben configurato (come da guida che ti ho linkato tempo fa) e, quando posso, utilizzo il Pc per svago girovagando anche su siti non proprio 'ortodossi'....emh...se il mio "lui" legge:mi riferisco alle volte che l'abbiamo fatto insieme...logico... :D

tutto ciò x ribadire che ho seguito (a parte il firewall ultimamente) alla lettera la config senza mai beccare nulla nonostante a volte mi sia messa in situazioni pericolose. premesso ciò...



pensavo invece che potesse essere sfruttato (e.g. da remoto) e comunque penso sia un'opzione che dovrebbe essere limitata, magari con un'update dell'exe rilasciato da Microsoft (runas è uno dei pochi componenti del mio XP SP3 ad essere ancora di versione 5.1.2600 XPclient)
l'opzioni così accessibile mi è sembrata un bug tra i tanti (o presunti tali) di windows anche perchè, sarà utile per gli amministratori che vogliono eseguire un'applicazione bloccata senza restizioni, ma perchè lasciare il parametro pienamente accessibile all'utenza limitata?





ripeto...ho seguito alla lettera il tuo tutorial e quindi anche l'enforcement sulle DLL ma il comando trustlevel funziona tranquillamente...cioè permette di eseguire qualsiasi setup senza richieste di password o restrizioni!
è per questo ci sono rimasta secca provando la cosa + volte...probabilemnte non conoscendo i dettagli del trustlevel mi son anche sorpresa: essendo un'opzione di runas per nulla indicata nella guida '/?' da prompt e poco chiara nella guida in linea di xp, come invece imho dovrebbe essere.
naturalmente, come da te ricordato, se si gestiscono i permessi correttamente su determinate folders nn si possono comunque portare a termine installazioni o accedere a determinati file, però in sistemi non perfettamente protetti è pericoloso..no?



a) di utenti "No-change" (come consigliato dal tuo 'Sandbox fai-da-te') ne ho ben 2, uno per eseguire i browser e scaricare file, uno per mail-chat (come consigliato anche in "Running vista every day" di Joanna Rutkowska.
b) non vorrei proprio disabilitare runas tramite le policies...

stanote invece ho pensato ad una soluzione, forse banale, ma efficace:
ho negato l'accesso per runas a tutti gli altri account del PC, tranne all'account (sempre limitato) che utilizzo per accedere fisicamente e con cui, tramite 'MakeMeAdmin', eseguo i programmi pericolosi tramite le altre utenze.
clic destro sull'eseguibile in system32 e messo i flag su "Nega" in Controllo completo.
in questo modo con laccount con cui ti sto fisicamente scrivendo (da desktop) posso eseguire il runas per avviare l'utenza con cui invio "tutto l'ambaradan" tramite IE, ma che a sua volta nn può eseguire il runas perchè
"...risulta bloccato. Rivolgersi all'amministratore."
poter bloccare i programmi, è un'opzione presente anche nel programma Windows StaedyState che (come sai) utilizzo, ma ho preferito fare a manina perchè ho notato che non viene bloccato l'accesso anche a: "Esegui come..." da menu destro.
tu cosa ne pensi? fatto bene?!? ;-)


Certo, suona funzionale anche se forse forse alla fine e' una esagerazione :D
L'importante e' che un sistema rimanga funzionale mentre e' anche sicuro.
Se delle possibili soluzioni (come appunto questa citata da te) non limitano la tua esperienza come utente, allora perche' no?
Certo, puoi sempre passare a Linux/BSD come passo successivo :D

Certo, suona funzionale anche se forse forse alla fine e' una esagerazione

dici?!? eppure è una configurazione xfetta x me...sopratutto pensando a come proteggevo il mio pc prima....un tot (non dico quanti perchè allora sì che rusulterei esagerata) di programmi in background che comunque non mi hanno risparmiata nel tempo:
2 dialer, qualche spyware ed altri "allegri simpaticoni" :D
ora invece ho 1 PC sicuro che si avvia in 1 lampo, è molto più reattivo ed anche + funzionale: ogni account ha una sua funzione e un suo profilo che avvio con 2 clic.
tra l'altro, disabilitando l'accesso a runas, ho notato che IIS Lockdown Wizard lo aveva già disabilitato per determinati account (tipo internet-guest) quindi non mi è stato difficele replicare il tutto.
in finale xò devo ammettere che la protezione xfetta la ottengo anche grazie a Windows SS che blinda il disco rigido e a frequenti backup


Certo, puoi sempre passare a Linux/BSD come passo successivo

:Prrr: :D

btw...una tua conferma a proposito di...

http://www.hwupgrade.it/forum/showthread.php?t=1608341&page=2

no?!? :)

Prima di tutto ringrazio Sisupoika per le bellissime e molto interessanti guide.
Volevo cortesemente chiedere come adattare le policy firewall a Win Vista/7 dato che nei nuovi sistemi ms e' cambiato davvero parecchio e il post di Sisupoika mostra la procedura per WinXp.

Salve a tutti!
Dopo i doverosi ringraziamenti a Sisu per la guida (che ho letto solo pochi mesi fa, e subito implementata nel pc di casa) chiedo un aiutino (perdonate se è già stato chiesto ma nemmeno la funzione di ricerca mi ha aiutato).
Ho di recente reinstallato xp sul mio macbook, mi servirà per utilizzare allplan e autocad. Per il primo non ho problemi, il secondo invece parte solo se lo eseguo come amministratore. Nello specifico è autocad 2008, windows xp sp3.

In realtà non ho bisogno di così tanta sicurezza, dato che la partizione è solo per utilizzare queste due applicazioni e cercare in internet informazioni su siti "sicuri" (tramite firefox con noscript,adblock e WOT; DNS di opendns)... mi piacerebbe comunque riuscire a far funzionare tutto come da copione :)

grazie in anticipo a chi mi sa aiutare!

Salve a tutti!
il secondo invece parte solo se lo eseguo come amministratore. Nello specifico è autocad 2008, windows xp sp3.

peccato che il thread non sia così seguito, ma forse sono fuori tempo masismo dato che sono indietro di due sistemi operativi :)
ho risolto passando a acad 2011, che mi è più congeniale per alcune features aggiuntive (non di certo per la pesantezza dell'interfaccia grafica).
Ho un problemino sul computer di casa alla quale ho applicato lo stesso sistema: il driver della mia stampante (canon MP560) sono in italiano per l'amminstratore e inglese per gli utenti limitati.
C'è la possibilità di capire il perché e di conseguenza intervenire?
Grazie in anticipo a chi mi può aiutare

ciao a tutti, riporto in auge questo thread con un paio di domande
1- con xp home credo che non sia possibile disattivare l'utente built-in Amministrator o sbaglio?
2- anche le restrizioni software non sono implementabili, giusto?

nel caso sia fattibile...... non lapidatemi.

PS per la maggior parte del tempo uso linux, quindi la mia conoscenza di xp è un "pò" limitata

Quando tento di esportare le regole IPsec ottengo questo messaggio di errore:
Si è verificato l'errore seguente durante il salvataggio dei dati di protezione IP
Accesso negato
80070005
Conoscete una soluzione?

è possibile bloccare con IPsec un icmp-type (p.e.: echo, echo requeste, ...)?
Gli esempli che ho trovato bloccavano l'icmp nella sua interezza.
Vorrei bloccare solo i ping in entrata e permettere i ping in uscita.

Su grc.com consigliano di bloccare la porta 0.
Però se provo con IPsec le blocca tutte, agendo come carattere jolly.
Come si blocca allora?

A voi funziona Adminshell?

A voi funziona Adminshell?

Io lo utilizzo su un pc desktop con Xp Professional e funziona benissimo. Che problemi hai?

Io lo utilizzo su un pc desktop con Xp Professional e funziona benissimo. Che problemi hai?

Cool, da ora in poi forward di tutte le richieste in proposito a te :D

Quando apro l'esplora risorse con adminshell continua a dirmi che non ho i permessi per aprire un eseguibile

Quando apro l'esplora risorse con adminshell continua a dirmi che non ho i permessi per aprire un eseguibile

Se usi XP, vorra' dire senz'altro che non hai seguito alla lettera qualche punto :stordita:

L'unico punto al riguardo era di mettere questo file nella cartella di Windows e l'ho fatto

Cool, da ora in poi forward di tutte le richieste in proposito a te :D

ahahahahah guarda, se avessi le tue competenze lo farei ben volentieri ...

L'unico punto al riguardo era di mettere questo file nella cartella di Windows e l'ho fatto

Ma quando lanci Adminshell ti eleva i privilegi dell'account limitato a priviliegi amministrativi?

Un saluto a tutti, ho trovato la guida originale per caso, cercando di informarmi su una configurazione abbastanza idonea per evitare alcune spiacevoli situazioni a cui sono andato incontro e sono giunto a questo thread :)

Mi chiedevo... So che è passato molto tempo dal post originale e dall'ultimo post, infatti spero che qualcuno possa ancora rispondermi, ma... c'è la possibilità di applicare la stessa configurazione per un windows 7 64?

Più che altro ho tentato già di applicare la configurazione visto che le opzioni sono praticamente le stesse ma mi ritrovo con l'account di amministratore con le stesse limitazioni dell'account limitato e di conseguenza AdminCMD e Adminshell che mi segnalano che i programmi che vorrei far partire non posso essere eseguiti per via delle restrizioni.

Non so... i passagi gli ho rieseguiti più volte per conferma, dipende quindi da windows 7 secondo voi? Un grazie a chiunque mi saprà / vorrà rispondere.

Ciao a tutti.
Sono nuovo nel forum, mi sono appena letto le due discussioni interessantissime relativamente all'hardening di windows.
Complimentissimi a Sisupoika per l'eccezionale lavoro svolto.
Peccato siano diventate leggermente obsolete vista l'evoluzione dei nuovi sistemi win7 e 8.
Ho cercato sul forum qualche topic simili a questi basati sugli ultimi SO di MS ma non mi riesce di trovarli.
Qualcuno ha delle news al riguardo?
Grazie mille!

So che il thread è un po' obsoleto, ma visto che ultimamente ho avuto a che fare con pc vecchi (quindi con xp e non 7 o 8) ho dovuto vedere in dettaglio tutte le procedure nel primo post in modo da garantire una buona sicurezza ai pc senza per questo appensantire la macchina con antivirus & co. E mi sembra giusto condividere con il thread quello che ho scoperto, potrebbe essere sempre utile per qualcuno.

In particolare, per quanto riguarda le software restrictions, bisogna fare attenzione ad una cosa fondamentale: tutta la sicurezza si basa sul rispetto delle windows ACL (access control list), cioè, i permessi di lettura/scrittura/esecuzione/proprietà dei file/cartelle/chiavi del registro di windows. Un'errata configurazione delle ACL fa sì che un qualsiasi utente possa disabilitare le software restriction policies.

gpedit.msc salva tutta la configurazione nel path c:\windows\system32\GroupPolicy, controllate che il proprietario di questa cartella e delle sottocartelle sia il gruppo Administrators (e molto probabilmente non lo è!!!!! - in xp la cartella non esiste di default ed è creata col primo accesso a gpedit.msc, e quindi l'owner è l'utente che esegue gpedit... :doh: ) e che i permessi siano settati per Administrators e SYSTEM come controllo completo mentre per Authorized Users come lettura/esecuzione (ma non scrittura!). Solo in questo modo tutta la configurazione spiegata da Sisupoika funzionerà.

Altra cosa, consiglio di eliminare /savecred dagli script...mi sembra un po' un controsenso aumentare la sicurezza e poi salvare la password di amministratore...

Piacerebbe anche a me recuperara questi script...

Piacerebbe anche a me recuperara questi script...
Li ho scaricati poco tempo fa dal forum, da un'altra discussione dove qualcuno li aveva uppati...solo che non riesco più a trovarla :muro:

Comunque avevano un paio di errori che ne pregiudicavano il funzionamento. Appena ho un po' di tempo se vuoi li riuppo qui con le modifiche che ho apportato.

Comunque, nella configurazione indicata da Sisupoika c'è un bug (per xp, non funziona con 7): copiate un exe sul desktop (pippo.exe) e provate ad eseguire da utente limitato il seguente comando

runas /trustlevel:"Senza restrizioni" Desktop\pippo.exe

oppure se avete la versione inglese

runas /trustlevel:Unrestricted Desktop\pippo.exe

Magia, parte (e credo pure con i permessi di amministratore :eek: )!

Incredibile, dopo più di sei anni c'e' chi trova la mia guida ancora utile :eek:

Incredibile, dopo più di sei anni c'e' chi trova la mia guida ancora utile :eek:

peccato non vederti più sul forum :( ...


Se hai altro da condividere, sappi che diversi sarebbero interessati a raccogliere i tuoi trasferimenti di conoscenza, ciao :)

Piacerebbe anche a me recuperara questi script...

Allegati. Però con le mie modifiche:

1) Ho rimosso /savecred (al momento per ogni comando devi inserire tre password - 2 quelle dell'admin, 1 quella utente, credo si possa scendere a due ma ancora non ho modificato lo script)

2) ho aggiunto un delay tra ogni runas (a volte mi capitava che partiva il comando successivo senza che il precedente fosse terminato)

3) Ho corretto un bug nell'integrazione nel menu di explorer.


https://app.box.com/s/aj0b6pnnkg2om9ex22l0

Incredibile, dopo più di sei anni c'e' chi trova la mia guida ancora utile :eek:

c'è chi ha il pc più vecchio di 6 anni...

Ho aggiornato il runasadmin in modo che chieda solo due password (prima l'admin poi l'user) invece che tre come nella versione originale.

https://app.box.com/s/aj0b6pnnkg2om9ex22l0

Ho aggiornato il runasadmin in modo che chieda solo due password (prima l'admin poi l'user) invece che tre come nella versione originale.

https://app.box.com/s/aj0b6pnnkg2om9ex22l0

C'era un bug che non permetteva l'esecuzione di un file con i privilegi di amministratore col tasto dx. Ho anche eliminato cmdow che mi sembrava fosse più un fastidio che una comodità... :D

https://app.box.com/s/aj0b6pnnkg2om9ex22l0

Purtroppo questi script non sono compatibili con l'UAC di windows Vista e successivi. Questo perché runas.exe non acquisce il token per l'esecuzione come amministratore, si può però ovviare tramite uno script in visual basic. Ci sto lavorando su...

C'era un bug che non permetteva l'esecuzione di un file con i privilegi di amministratore col tasto dx. Ho anche eliminato cmdow che mi sembrava fosse più un fastidio che una comodità... :D

https://app.box.com/s/aj0b6pnnkg2om9ex22l0

Sarebbe utile avere una guida completa e aggiornata concentrata in un post dato che a chi si è appena addentrato nell'ottica serve un bel po' di tempo per racimolare le informazioni dai vari thread sparsi qua e là, peraltro diluiti.

Un'altra cosa: purtroppo l'account standard non permette (https://www.privateinternetaccess.com/forum/discussion/2209/pia-windows-client-does-not-work-for-non-admin-windows-users) l'uso di alcune VPN come quella nel titolo del post.
OpenVPN spiega (http://openvpn.net/index.php/open-source/faq/79-client/275-why-cant-i-run-openvpn-on-windows-from-a-non-admin-user-account.html) il perché e fornisce una soluzione, ahimè non applicabile a PIA.

Qualche anima pia che mi aggiusti PIA? :D

Purtroppo questi script non sono compatibili con l'UAC di windows Vista e successivi. Questo perché runas.exe non acquisce il token per l'esecuzione come amministratore, si può però ovviare tramite uno script in visual basic. Ci sto lavorando su...

in vista e successivi c'è davvero bisogno di questi script?

usi un account standard e se proprio devi fai esegui come amministratore

in vista e successivi c'è davvero bisogno di questi script?

usi un account standard e se proprio devi fai esegui come amministratoregli script servono solo ad agevolarsi il lavoro una volta che le impostazioni di sicurezza sono state configurate (SRP+LUA secondo le indicazioni fornite da Sisupoika nel primo post).

Se invece intendi che in Win Vista e successivi l'utilizzo di queste impostazioni sia in qualche modo superfluo visto l'UAC, beh, funzionano in modo diverso, direi che sono complementari. Ti faccio un esempio:
SRP evita che vengano eseguiti, anche con i privilegi da semplice utente, software in percorsi non autorizzati...pensa ad un eseguibile che venga scaricato ed eseguito più o meno subdolo dentro la cartella Temp e che cancelli tutto il contenuto della cartella Documenti...non c'è bisogno del token di amministratore per eseguire un applicativo del genere, quindi col solo UAC abilitato ti troveresti con la cartella Documenti vuota senza colpo ferire...:muro:


P.S.

Utilizzando Visual Basic e modificando alcuni settaggi del registro di Windows 7 sono riuscito a far funzionare (o meglio a ricreare) gli script...non ho più caricato nulla perché li sto ancora testando, per controllare che non ci siano problemi.

script per windows Vista/7:
https://app.box.com/s/nd7z790lwnvg8hwdzr6gpq0qfg6t0cx7
Ora comparirà l'UAC (tre volte purtroppo) per eseguire il comando con il token da amministratore...


WINDOWS 7:
Su windows 7 (ma non vista), per poter far funzionare il "explore with administrative rights" bisogna seguire la procedure indicata in questo forum:

https://social.technet.microsoft.com/Forums/windows/en-US/1798a1a7-bd2e-4e42-8e98-0bc715e7f641/unable-to-open-an-elevated-windows-explorer-window

in particolare il post di Guy.Incognito.



Ho scoperto un bug (presente anche nella versione originale di Sisupoika) che non permette esecuzioni di file/cartelle che hanno nel path in carattere &, che in DOS è un carattere speciale (es: c:\programmi\spybot search & destroy\...) e non ho trovato alcun modo per disabilitare questa feature passando il path con %*...probabilmente è irrisolvibile.