Finalmente hanno sistemato il link in Italiano (su mia segnalazione):
http://technet.microsoft.com/it-it/magazine/cc138019.aspx

Spiega bene in dettaglio come funziona e perché è stato introdotto l'UAC su Vista.

N.B.:
Su Windows 7 l'UAC a livello default non è sicuro (http://www.istartedsomething.com/20090613/windows-7-uac-code-injection-vulnerability-video-demonstration-source-code-released/)! Và reimpostato al massimo livello (più "fastidioso"), come era su Vista!

Link utili:
Vista/7 - Far funzionare tutti i programmi (anche quelli che hanno problemi) (http://www.hwupgrade.it/forum/showthread.php?t=1746889)

questa discussione me l'ero persa... interessante!

Eccomi approdato a questa interessante discussione.

Tanto per iniziare volevo chiedere se i possono impostare la richiesta di permessi solo prima volta che si lancia lo stesso programma.

Grazie

Eccomi approdato a questa interessante discussione.

Tanto per iniziare volevo chiedere se i possono impostare la richiesta di permessi solo prima volta che si lancia lo stesso programma.

Grazie

Uhm... questa discussione è mooolto vecchia. In realtà l'argomento è stato successivamente approfondito in vari thread...

Di default no, perché abbasserebbe la sicurezza (se poi un eseguibile a cui hai dato il permesso venisse rimpiazzato con uno infetto, che non chiederebbe alcun permesso ma sarebbe automaticamente elevato ad amministratore?).
Se proprio vuoi però esistono soluzioni di 3ze parti, come quella della Norton o un'altra di cui non ricordo bene il nome. Non so infine se queste soluzioni applichino comunque dei check (MD5 o CRC32 ad esempio) per verificare che l'exe non sia mai stato cambiato da quando era stato concesso il permesso automatico...

Esiste però anche un'altro modo pulito, creandosi un'icona collegamento ad hoc e usando l'Utilità di pianificazione: http://www.hwupgrade.it/forum/showthread.php?t=1949697

Una serie di botte & risposte per sfatare luoghi comuni errati sulla (in)sicurezza dell'UAC applicato a IE7/8/9 su Vista/7 :O
Fa capire molte cose sul funzionamento dell'UAC e della Modalità Protetta dei nuovi IE:

link8583 says:
June 20, 2009 at 1:37 pm (http://www.istartedsomething.com/20090613/windows-7-uac-code-injection-vulnerability-video-demonstration-source-code-released/#comment-76069)
“It is an extremely exposed, public face and needs to be kept as separate from the underlying OS as possible”

You’re wrong.
The fact that the IE engine is included in windows and is used in many programs is actually more secure, because if there is a flaw in IE, there need to be only one update, provided by windows update, to fix the flaw in the IE engine for every program that use it. If IE was not included in windows, software developpers would have to use another rendering engine, and it would be their responsability to issue updates when this rendering engine suffers from a security flaw. And most developper don’t care about this kind of flaw…
With the mozilla approach, each program that needs gecko engine includes the whole gecko engine. Then, when a flaw is discovered in gecko, every application that uses gecko must be updated, making the customers more exposed to the flaw. Look at thunderbird, it is often updated one week only after Firefox when there are flaws discovered in Gecko.

“Internet Explorer provides many system files, as you noted with regard to the HTML rendering engine, for example, and is therefore less of a “web browser” and more of a “system” application.”

Think of IE engine as a shared library. That does not make it more dangerous than firefox.

“When a system-level application is compromised, it is far more dangerous to the system than when a userland application is compromised”

as I said earlier, that’s absolutely wrong.
IE does not run with higher privileges than firefox. It’s even the opposite since windows vista. Firefox has more privileges than IE, and can do more damage if it is exploited by a malware.

“It is common to “compromise” (exploit a vulnerability that leads to a successful attack on) any computer by using a vector into system-level files and processes, and, since you brought it up, under Windows there is an excellent chance of compromising the kernel, too, because other system files tie into it so heavily. (Another big difference in security models.)”

wrong again.
You confused system services (on windows) or daemons (on linux) with system files and processes that are run within a user account context.
Exploiting a windows service give you the same privileges as the service. In the case of IIS7 webserver, you will get low privileges and won’t be able to do much damage.
You won’t get any admin rights by compromising IE. You won’t even get the current users rights, since IE runs in Low IL.

“A buffer overflow attack is a typical example. This is exactly the reason why MSIE is a low-priority process.”

integrity, not priority

“It’s a sort of additional protection after so many attacks got through to the system level in earlier versions.”

you’re wrong again.
Attacks under IE on windows xp used to go through the system level because most users ran as administrator.
Firefox users running as administrator also face the same risk, even if firefox is stored in the user profile : if this user has admin rights, once firefox is exploited by a malware, it gets admin rights.

“It is trivial to overflow a program that accesses web pages by using something as simple as a rigged JPEG image, including MSIE and Firefox, and if that program were privileged enough, then it could easily be used to “compromise” the system.”

indeed, but not on windows vista and current linux kernels thanks to ASLR and DEP.

“MSIE does not run exclusively in userland, and on Windows, neither does Firefox, due to the reuse of code that you mentioned earlier.”

IE and firefox, on windows xp, run with exactly the same privileges. In limited user account, they can’t harm the system if they get exploited.

“However it is possible that building a web browser for Microsoft REQUIRES system-level files, because there is no alternative provided or allowed, so that would let a few developers off the hook.”

that’s again completely wrong.
Where did you get that idea that firefox or IE runs with some special privileges??

“Under Linux, if Firefox were compromised by an exploit, then the worst that could happen is that that user’s files could be modified by the attacker and/or the attacker could add/remove stuff in that user’s restricted space.”

that’s the same with windows, under limited user account
but remember that even under linux, with limited rights, a malware can still send spam, show unwanted ads, steal users data, credit card number, be part of a botnet and participate to DDoS attacks. No need for root privileges to do that!

“To repair even the most screwed up profile requires removing the compromised userspace and establishing a clean one. The rest of the system remains untouched. Compromising the MODERN kernel is unheard of. (Find a validated example regarding a 2.x Linux kernel and I’ll eat my words with mustard.)”

Last year, there had been a critical 0day flaw that allowed any limited user account to get root privileges, and many shared web servers with C based CGI allowed or ssh servers have been hacked through this flaw by users who had limited accounts. This flaw did allow the hackers to compromise the kernel, since a root user could do anything.
But there are flaw in windows and linux kernel in a regular basis. This one was just widely used because its exploitation details have been widely known before sysadmins had the time to patch their system.

“Compromising the Windows kernel is not only heard of, it’s how the most recent Windows rootkits are evading detection. Hell, they can even get through to the BIOS on a Windows system!”

rootkits have been existing on linux systems since the 90′s. There is no need to exploit a security flaw to install a rootkit. A rootkit is just a kernel module that hiddens its presence by altering some api outputs.
There’s nothing than a system can do to prevent rootkit from existing.
Once the user give root rights to a program, it can install as a rootkit. No flaw here, it’s just a feature, in windows/linux/osx.

“Also don’t get me started on how Windows is compromised so often by viruses and rootkits and other malware because it is so popular. That is one reason, definitely it’s a big target, but if that were the primary reason, then Linux would be experiencing similar rates of compromise, as it is the number one platform for web servers in the world and you’d better believe that hackers are very anxious to penetrate them.”

Linux server are often compromised, at least the websites that runs onto them.
More than IIS webservers, since there have been really not much flaws in IIS and ASP.net these last years, compared to Apache/PHP and the popular php based solutions that are often deployed on top of them.

“Not to gain access to the databases and whatnot stored on them, which happens all the time due to poor application design, but to gain access to the SYSTEMS from where they could both hide and control a far greater range of activity. The difference comes down to the security model.”

I advise you to update your knowledge about IIS. Security has changed since IIS4, and it’s now very secure. Not to mention that ASP.net is also a very secure platform, that has rarely suffered from security flaws.
Websites built using asp.net are less likely to be hacked than php based websites, because asp.net eliminates many of the common attack vectors that bad developpers are often responsible of (sql injection, script/html injection due to lack of input validation, server side includes

Adesso traduco tutto e poi leggo, però posso ipotizzare che il sitema può essere protetto adeguatamente anche con Antivirus free+ UAC, senza per forza acquistare la licenza di uno tuttofare e anti tutto.

E' un'ipotesi condivisibile o conviene sempre un'antivirus completo?

l'antivirus "di terze parti a pagamento" lo userei SOLO dove ci sono dati talmente sensibili che al primo problema faccio rispondere la terza ditta.
per il resto, ora come ora, tra Avira, Avast, AVG, io sto preferendo di gran lunga MS security essential (su Vista). sotto XP sto usando ancora Avira. mi dite di mettere l'essential anche sotto Xp?

Io da diversi mesi (quasi un anno) l'AV l'ho prorio eliminato, e il sistema viaggia ancora meglio (sì, si vede la differenza, anche se metti un AV "leggero"...).

Non scarico crack e warez (e se non mi fido di un file uso servizi online come http://jotti.org )
giro sul WEB solo in modalità protetta con IE8/9
e nessun'altro mette le mani sul mio portatile, quindi... ;)
Non facevo un controllo AV da quasi 1 anno ormai, l'ho fatto proprio qualche giorno fa con Free ESET Online Scanner (http://www.eset.com/online-scanner) che è preciso quanto il vero NOD32 inclusa la ricerca rootkit etc. ed è risultato pulitissimo (dopo 2:40h di scan!).

Io da diversi mesi (quasi un anno) l'AV l'ho prorio eliminato, e il sistema viaggia ancora meglio (sì, si vede la differenza, anche se metti un AV "leggero"...).
:asd:
Non facevo un controllo AV da quasi 1 anno ormai, l'ho fatto proprio qualche giorno fa con Free ESET Online Scanner (http://www.eset.com/online-scanner) che è preciso quanto il vero NOD32 inclusa la ricerca rootkit etc. ed è risultato pulitissimo (dopo 2:40h di scan!).
Ti installa prima qualche porcheria oppure fa solo la scansione?

Ti installa prima qualche porcheria oppure fa solo la scansione?
Ovviamente ti installa un ActiveX per IE (che va lanciato da admin) per scansionare il tuo HD locale. Non c'è scambio di dati in rete durante la scansione, scarica all'inizio l'ultima definizione dei virus. È un po' come fosse solo l'engine di scansione installato...

EDIT: ho appena controllato in C:\Program Files\ESET e la cartella non è proprio piccolissima: 96MB! Quanto occupa NOD32 installato completamente? ;)
In alternativa c'è anche il Panda Online (http://www.pandasecurity.com/activescan/index/) che dicono sia molto veloce, ma trova solo e non elimina eventuale malware a differenza del servizio ESET che alla fine presenta una GUI dove scegliere cosa fare...

Ovviamente ti installa un ActiveX per IE (che va lanciato da admin) per scansionare il tuo HD locale. Non c'è scambio di dati in rete durante la scansione, scarica all'inizio l'ultima definizione dei virus. È un po' come fosse solo l'engine di scansione installato...

EDIT: ho appena controllato in C:\Program Files\ESET e la cartella non è proprio piccolissima: 96MB! Quanto occupa NOD32 installato completamente? ;)
In alternativa c'è anche il Panda Online (http://www.pandasecurity.com/activescan/index/) che dicono sia molto veloce, ma trova solo e non elimina eventuale malware a differenza del servizio ESET che alla fine presenta una GUI dove scegliere cosa fare...
Ok, è come sospettavo, peccato per panda online; qualche annetto fa eseguiva anche l'eventuale rimozione

tempo cpu, ram, swap, di Avira a fronte di 10 ore di sessione attiva (a pezzi, ibernazione usata) con Firefox in navigazione, World of Warcraft per almeno la metà di quelle 10 ore e... null'altro, navigazione cartelle con la gui di explorer.
http://www.pctunerup.com/up/results/_201010/th_20101017204252_Immagine.jpg (http://www.pctunerup.com/up/image.php?src=_201010/20101017204252_Immagine.jpg)
non è molto leggero in effetti ma è come se non esistesse... no, non ho assoluto bisogno di metterci MSE per ora, qui. però su Vista MSE va benissimo uguale. ^^

Ma alla fine il peso reale di un AV non lo valuti e senti solo dal task (che pure conta naturalmente), ma all'avvio del sistema e durante l'utilizzo del pc, perchè ogni cosa che fai, ogni attività in corso viene sempre filtrata dall'AV con una conseguente perdita di velocità. Alla fine di una giornata penso che la somma si possa quantificare in svariati minuti...per non contare l'aggiunta di consumo di risorse che alla fine si traduce anche in maggiore consumo HW.
Per metterla in parole povere un pc con l'AV è come una ferrari che va col freno a mano tirato :D

La lancio così!

Perchè non fare un bel tutorial o guida su come impostare e sfruttare al meglio l'UAC che molti cononoscono per nome, ma pochi sanno apprezzarne i reali vantagi?

Se ci fosse più conoscenza in merito, penso che molti non lo scarterebbero solo per il fatto del fastidio delle continue richieste, ad esempio io non conosco a fondo le reali potenzialità. Come accennato qualche post fa, se ben "calibrato" si potrebbe far a meno di antivirus "pesanti" e addiritura velocizzare il sistema, quindi togliamolo "sto freno a mano" :D

Che dite qualche buon anima potrebbe prendere in considerazione questa possibilità? :rolleyes:

Attualmente utilizzo AVG, avevo AVAST 5 ma mi dava problemi con RT 7 Lite.

Tankiu

...È solo dal 2008 almeno che io e altri qui su HWUP tentiamo di illustrare e far capire come sia importante l'UAC e quanto è realmente efficace una protezione basata sui least privileges anche per Windows! :asd:

...È solo dal 2008
Evidentemente due anni sono pochi :D
Insistere

Beh! diciamo che, almeno io, avendo fatto la migrazione diretta XP>Seven, l'interessamento per l'UAC è solo dallo scorso autunno.

Comunque non è mai troppo tardi per apprenderere e rivedere le propie posizioni.

Beh! diciamo che, almeno io, avendo fatto la migrazione diretta XP>Seven, l'interessamento per l'UAC è solo dallo scorso autunno.

Comunque non è mai troppo tardi per apprenderere e rivedere le propie posizioni.

Ce ne fossero tanti come te...
Purtroppo l'utente medio non capisce e non ascolta e soprattutto non ha voglia di capire e imparare. Il risultato sono 2 milioni di BOTnet solo negli USA (http://www.webnews.it/2010/10/14/2-milioni-di-pc-infetti-negli-usa/) e in Italia «circa due computer e mezzo infetti ogni 1000»... e la cosa bella è che non lo sanno e si sentiranno pure al sicuro con 10 anti-quellochetipare installati, quando invece già solo usando una semplice impostazione di sistema tagli le gambe a 7-9 malware su 10 (e da remoto direi quasi 10/10)! :doh:

Bè, un antivirus si tiene sempre per beccare ad esempio infezioni provenienti da penne usb non "sicure".

Sicuramente 2 è meglio che uno, però unitamente all'UAC ci si può affiaccarne uno leggero o free.

Bè, un antivirus si tiene sempre per beccare ad esempio infezioni provenienti da penne usb non "sicure".

Se ti capita spesso di dover scambiare dati con archivi di massa non sicuri...
Però il fatto che ipoteticamente ci sia un malware non vuol dire che te lo prendi se non hai antivirus quando hai l'UAC attivo (= minor privilegi di esecuzione)...

Ah, ho ridato un'occhiata ad http://av-comparatives.org e ho notato (Retrospective/Proactive Test) che MSE risulta dotato di un buon (~60%) componente per l'analisi euristica (= quando non c'è una definizione valida, in base al comportamento e quindi anche in caso di nuovo malware), nettamente superiore a quello di Avast (meno del 30%) ad esempio... MSE IMHO è veramente consigliato tra tanti AV.

Se ti capita spesso di dover scambiare dati con archivi di massa non sicuri...
Però il fatto che ipoteticamente ci sia un malware non vuol dire che te lo prendi se non hai antivirus quando hai l'UAC attivo (= minor privilegi di esecuzione)...

Ah, ho ridato un'occhiata ad http://av-comparatives.org e ho notato (Retrospective/Proactive Test) che MSE risulta dotato di un buon (~60%) componente per l'analisi euristica (= quando non c'è una definizione valida, in base al comportamento e quindi anche in caso di nuovo malware), nettamente superiore a quello di Avast (meno del 30%) ad esempio... MSE IMHO è veramente consigliato tra tanti AV.

certamente, visto che verrebbe bloccato dai permessi limitati. Solo per sapere di che roba si tratta ed eventualmente rimuoverlo. MSSE per l'appunto ha spesso individuato minacce di questo tipo.