Il report di BeyondTrust, fonte ZDNet:

http://blogs.zdnet.com/security/?p=2517


92% of Critical Microsoft vulnerabilities are mitigated by configuring users to operate without administrator rights
Of the total published Microsoft vulnerabilities, 69% are mitigated by removing administrator rights
By removing administrator rights companies will be better protected against exploitation of 94% of Microsoft Office, 89% of Internet Explorer, and 53% of Microsoft Windows vulnerabilities
87% of vulnerabilities categorized as Remote Code Execution vulnerabilities are mitigated by removing administrator rights


Tradotto:

- il 92% delle vulnerabilità critico è reso inoffensivo configurando gli utenti senza diritti amministrativi

- Il 70% di tutte le vulnerabilità che Microsoft ha pubblicato, sono rese inoffensive dall'uso di account senza diritti amministrativi

- Senza diritti amministrativi le aziende sono protette contro exploit il 94% di Office, 89% Internet Explorer e 53% Windows (percentuali di vulnerabilità)

- L'87% delle vulnerabilità del tipo Esecuzione di Codice Remota sono rese inoffensive usando account senza privilegi amministrativi

Questo conferma quanto sia importante usare account con privilegi limitati.

Viva viva lo UAC :cincin: :winner:

Meglio però configurare lo UAC in modo che chieda la password invece di un banale "Continue - Cancel"..così facendo attira maggiormente l'attenzione e allo stesso tempo rende impossibile a chi non amministra il computer di fare danni seri.
Così come già accade con il Sudo (super user do) in ambiente Linux..per esempio.

Quanti siti e blog di "espertoni informatici" che hanno pubblicato le ottimizzazioni di Vista, dovrebbero aprire invece un blog di giardinaggio... :)

In parte concordo con XSIM, alla MS dovrebbero fare una schermata che spiega perché UAC è indispensabile e poi dare la possibilità alla gente di configurarlo subito dopo l'installazione, possibilmente rendendolo difficile da disattivare (quantomeno in prima battuta).

Cmq vale la pena ricordare che UAC interviene su richiesta per elevare i privilegi, e si poggia sulla gestione già esistente da Windows NT degli account.

dovrebbero fare una schermata che spiega perché UAC è indispensabile

gli utonti non la leggeranno comunque.

Quindi, paradossalmente, gli utonti certificati farebbero bene ad usare Linux (diciamo Ubuntu, così..per dirne una) invece del Windows per il semplice motivo che su tale sistema operativo virus & company sono così pochi che rischierebbero quasi nulla.
Tuttavia..se ci si sposta in massa su Linux allora questo verrà preso di mira dagli sviluppatori "malevoli"..e quindi Windows sarà meno bersagliato e quindi più sicuro. :D
Alla fine il sistema operativo più sicuro è quello meno bersagliato..questo aldilà delle proprie intrinseche qualità architetturali in ambiente di sicurezza informatica (che comunque gli "utonti" mettono in ogni caso in seria crisi). ^_^
La sfida certamente più grande è quella di impedire "all'utonto" di fare danni senza che questo cambi sistema operativo perchè si è rotto le pelotas di troppa invasività (insomma..una richiesta eccessiva del proprio cervello single neuron).
La verità è che se gli utonti (notare che ormai lo scrivo senza virgolette) vogliono essere DAVVERO sicuri o si aggiornano..o è meglio se mettono i dindi sotto il materasso e staccano il PC dalla rete.

gli utonti non la leggeranno comunque.

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo :asd:

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile. :sofico:

Oppure gli scrivi, chi legge questo testo diventa miliardario :asd:

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo :asd:

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile. :sofico:

Oppure gli scrivi, chi legge questo testo diventa miliardario :asd:
E così tornano all'XP e sputano (a torto) anche sul Windows 7, 8 e 9. :D

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo :asd:

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile. :sofico:

Oppure gli scrivi, chi legge questo testo diventa miliardario :asd:

Ma LOL!!!! :D

Aspettavo l'arrivo di un sistema di privilegi automatico e immediato, già attivo e integrato nel sistema operativo. Come ho scritto in un altro thread, l'UAC è secondo me migliorabile ma la sua utilità mi sembra evidente.

Appunto: miraccomando ragazzi, niente flame windows/linux, battute spinte e via discorrendo. Grazie in anticipo a tutti :)

Secondo me basta impostare già di default, quando le case produttrici preinstallano l'OS, l'utente normale per tutti i giorni e poi alla prima installazione di un programma si crea un utente con privilegi superiori (ma inaccessibile all'utonto) che serve esclusivamente per questo. Dite che sto sognando ad occhi aperti?

Secondo me basta impostare già di default, quando le case produttrici preinstallano l'OS, l'utente normale per tutti i giorni e poi alla prima installazione di un programma si crea un utente con privilegi superiori (ma inaccessibile all'utonto) che serve esclusivamente per questo. Dite che sto sognando ad occhi aperti?

Il problema è che l'utente medio Windows non è abituato a vedersi comparire una schermata nella quale mettere la password dell'account amministratore... ad ogni modo penso che tra un po' di tempo ci arriveremo, sempre che Windows 7 si sarà diffuso abbastanza.

Il report di BeyondTrust, fonte ZDNet:

http://blogs.zdnet.com/security/?p=2517


92% of Critical Microsoft vulnerabilities are mitigated by configuring users to operate without administrator rights
Of the total published Microsoft vulnerabilities, 69% are mitigated by removing administrator rights
By removing administrator rights companies will be better protected against exploitation of 94% of Microsoft Office, 89% of Internet Explorer, and 53% of Microsoft Windows vulnerabilities
87% of vulnerabilities categorized as Remote Code Execution vulnerabilities are mitigated by removing administrator rights


Tradotto:

- il 92% delle vulnerabilità critico è reso inoffensivo configurando gli utenti senza diritti amministrativi

- Il 70% di tutte le vulnerabilità che Microsoft ha pubblicato, sono rese inoffensive dall'uso di account senza diritti amministrativi

- Senza diritti amministrativi le aziende sono protette contro exploit il 94% di Office, 89% Internet Explorer e 53% Windows (percentuali di vulnerabilità)

- L'87% delle vulnerabilità del tipo Esecuzione di Codice Remota sono rese inoffensive usando account senza privilegi amministrativi

Questo conferma quanto sia importante usare account con privilegi limitati.

Grande articolo! Finalmente la prova provata... :cool:

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo :asd:

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile. :sofico:

Oppure gli scrivi, chi legge questo testo diventa miliardario :asd:

XXX sex for free activating UAC!
Vedi come lo attivano...! ;)

Io continuo a sostenere la tesi della video-guida che spieghi l'UAC durante l'installazione (=mentre intanto procede in background dato che ci mette almeno mezz'ora) di Seven. Sarebbe ben più utile della auto-pubblicità "Con Windows la produttività migliora..." etc. etc.

Per attivare in più anche la richiesta password con UAC la chiave da modificare è:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= il tipico requester Continua, Annulla (default); 1= chiedi in più login/pass)

Il problema è che l'utente medio Windows non è abituato a vedersi comparire una schermata nella quale mettere la password dell'account amministratore... ad ogni modo penso che tra un po' di tempo ci arriveremo, sempre che Windows 7 si sarà diffuso abbastanza.

Se il sistema definitivo è come la beta bè si diffonderà velocemente :D

si diffonderà, ma con uac disattivato :muro:

si diffonderà, ma con uac disattivato :muro:

Non credo, MS correggerà i problemi che attualmente affliggono UAC su Win7, quindi si potrà tornare ad usarlo come prima senza richieste per le impostazioni di Windows.

Non credo, MS correggerà i problemi che attualmente affliggono UAC su Win7, quindi si potrà tornare ad usarlo come prima senza richieste per le impostazioni di Windows.

Correggerà gli exploit attualmente usciti allo scoperto, ma il concetto di fondo, ovvero che un root che interviene solo su programmi esterni, oltre che essere didatticamente errato per l'utente, continua ad esporre il sistema ad exploit simili, in cui script e altre applicazioni malware simulano l'azione utente.

Correggerà gli exploit attualmente usciti allo scoperto, ma il concetto di fondo, ovvero che un root che interviene solo su programmi esterni, oltre che essere didatticamente errato per l'utente, continua ad esporre il sistema ad exploit simili, in cui script e altre applicazioni malware simulano l'azione utente.

Concordo e ribadisco che UAC ha senso solo al max livello su Windows. E così continuerò ad usarlo anche in 7.
Sono azioni di competenza dell'Admin e tali devono restare, senza sciocche "comodità"...

Correggerà gli exploit attualmente usciti allo scoperto, ma il concetto di fondo, ovvero che un root che interviene solo su programmi esterni, oltre che essere didatticamente errato per l'utente, continua ad esporre il sistema ad exploit simili, in cui script e altre applicazioni malware simulano l'azione utente.

Ma infatti il problema di fondo a cui nessuno ha dato peso, sono le troppe API che Microsoft mette a disposizione del programmatore, vedi SendKeys.

Cmq una volta corretti quei due comportamenti che sono usciti fuori non ci saranno ulteriori problemi, specialmente se Microsoft ha la volontà di disattivare quelle chiamate di sistema.

Fortunatamente AppLocker mette a disposizione dell'utente la possibilità di bloccare gli script e soprattutto di bloccare il caricamento delle DLL.

L'unica pecca è che AppLocker sarà a disposizione solo sulla Ultimate.

Ma infatti il problema di fondo a cui nessuno ha dato peso, sono le troppe API che Microsoft mette a disposizione del programmatore, vedi SendKeys.

Cmq una volta corretti quei due comportamenti che sono usciti fuori non ci saranno ulteriori problemi, specialmente se Microsoft ha la volontà di disattivare quelle chiamate di sistema.

Fortunatamente AppLocker mette a disposizione dell'utente la possibilità di bloccare gli script e soprattutto di bloccare il caricamento delle DLL.

L'unica pecca è che AppLocker sarà a disposizione solo sulla Ultimate.Al diavolo applocker, è il sistema a non dover permettere facilmente all'utenza ignorante di interagire alla cazzo con i settaggi di sistema, tatomeno fornire un root inutile. Guardacaso le impostazioni di vista sono il minimo indispensabile per non usare alcun sistema antimalware, compreso quellamerda di defender (sì è una merda, come tutti gli antispy e continuerò a dirlo), con vista si è al limite, in nt 6.1 si è invece nella futilità. Sembrava avessero iniziato anche a copiare le cose buone degli altri sistemi ma evidentemente mi sbagliavo, o erano troppo ubriacchi per capire che il solo uac di vista è in grado di rendere futile qualsiasi antimalware, specie se si usa un account limitato... ma ivece no, si continuerà a lasciare l'utente a cazzeggiare con l'os, come se fosse un giocattolo (cosa che non è), ad usare sempre l'account admin come acocunt predefinito, la cosa più grave in assoluto, e si continuerà ad aggiungere una miriade di antiminkiate e poi ci si lamenta se le prestazioni fanno schifo, se ci sono incompatibilità con i programmi ecc... manca solo che nella rtm il terminale ps verrà lanciat automatiamente @ ring0 e si ritorna ad xp -_-

Ma infatti il problema di fondo a cui nessuno ha dato peso, sono le troppe API che Microsoft mette a disposizione del programmatore, vedi SendKeys.

Come ti dicevo un SendKeys esiste per qualsiasi OS, inclusi Linux etc. Non è quello che deve "bloccare" MS, ma è una normale feature che tutti i sistemi operativi hanno quasi da sempre (la ricordo persino su AmigaOS nel 1990).

Sono d'accordo con la linea dura espressa da Ghost Of Christmas Past io.
Basta cazzatine! Con Vista avevano preso una direzione seria, ma per colpa di un'utenza in maggioranza (evidentemente) utonta adesso fa retro marcia MS invece di educare all'utilizzo dell'account con minori privilegi come sarebbe giusto che fosse!
L'utonto è l'eterno problema di Windows. :rolleyes:

Ma infatti il problema di fondo a cui nessuno ha dato peso, sono le troppe API che Microsoft mette a disposizione del programmatore, vedi SendKeys.

le API non centrano niente perchè il malware se vuole può agire sulla tastiera e sul mouse utilizzando del codice proprio in assembler o in C, anche senza usare le funzioni già belle pronte messe a disposizione dal sistema operativo. E comunque le API agiscono nel contesto di sicurezza in cui ci si trova, quindi è impossibile che un programma che gira con privilegi limitati riesca ad usare una sendkeys con successo su un processo che esegue con privilegi elevati, il contesto di sicurezza lo impedisce. Oltre a questo, esiste una protezione aggiuntiva introdotta con Vista ossia nessun processo con livello di integrità basso può agire sui processi con livello di integrità più alto, in particolare nessun tasto può essere ricevuto dalla finestra dello UAC perchè c'è questa barriera protettiva dei livelli di integrità che blocca anche tutti i Window Messages (pressione di tasti, click di mouse, ecc.) che sono diretti alle finestre con livello di integrità più alta.
L'unica possibilità per un malware di riuscire ad inviare un tasto alla finestra dello UAC è quella di ottenere i privilegi elevati, ma per farlo deve passare per lo UAC stesso che chiede l'autorizzazione; in Win7 sono riusciti ad inviare i tasti perchè Microsoft ha abbassato il livello di sicurezza permettendo a certe operazioni di avere l'elevamento dei privilegi automaticamente senza richiedere l'autorizzazione. Piccola battuta, esagerata, ma che ha qualcosa di vero: Win7 is "unsafe" by design, made for utonts, for people live in the new Mojave v2.0 experiment

in Win7 sono riusciti ad inviare i tasti perchè Microsoft ha abbassato il livello di sicurezza permettendo a certe operazioni di avere l'elevamento dei privilegi automaticamente senza richiedere l'autorizzazione. Piccola battuta, esagerata, ma che ha qualcosa di vero: Win7 is "unsafe" by design, made for utonts, for people live in the new Mojave v2.0 experiment
Ricordo che Win7 è ancora in fase beta, non è detto che le attuali impostazioni di UAC restino tali nella release finale del sistema operativo.

io spero proprio che tornino sui loro passi e facciano un uac draconico come quello di vista.

e quegli idioti che vogliono tornare ad xp con privilegi admin perchè non vogliono imparare una cosa nuova che restino nel loro ghetto pieni di worm e virus...

si potrebbe pure pensare ad una internet "b" solo per loro... internet sarebbe senza botnet e senza spam :)

io spero proprio che tornino sui loro passi e facciano un uac draconico come quello di vista.

##########################
Siamo liberi di fare le nostre scelte, ciascuno ha le proprie ragioni e idee.
Evitiamo certi commenti.

Per ora sei solo richiamato, continuando la discussione su toni pacifici e non provocatori ne guadagneremo tutti ;)
Eventuali repliche in pvt, grazie in anticipo.

Ciao :)

Al diavolo applocker, è il sistema a non dover permettere facilmente all'utenza ignorante di interagire alla cazzo con i settaggi di sistema, tatomeno fornire un root inutile.


Administrator di Windows Vista/Seven non è minimanente paragonabile a root.
Il famoso Super-Administrator è disattivato di default.

La vostra "linea dura" non tiene minimamente conto delle interazioni che è possibile fare da quei programmi che hanno appunto la possibilità di elevarsi automaticamente, interazioni che sono totalmente a cura dell'utente visto che l'interfaccia di suo non offre alcun tipo di funzione all'esterno e quindi nessuno script può inviare messaggi all'interfaccia, tranne appunto che emulando il comportamento dell'utente o sfruttando effettivamente l'unica vera debolezza fin qui riscontrata (quella che consente di caricare una DLL da rundll32 che si autoeleva).

Per questo reputo il sistema Microsoft abbastanza buono, chiaramente privandolo dei punti deboli (mi sembra ovvio e scontato).


Guardacaso le impostazioni di vista sono il minimo indispensabile per non usare alcun sistema antimalware, compreso quellamerda di defender (sì è una merda, come tutti gli antispy e continuerò a dirlo), con vista si è al limite, in nt 6.1 si è invece nella futilità. Sembrava avessero iniziato anche a copiare le cose buone degli altri sistemi ma evidentemente mi sbagliavo, o erano troppo ubriacchi per capire che il solo uac di vista è in grado di rendere futile qualsiasi antimalware, specie se si usa un account limitato... ma ivece no, si continuerà a lasciare l'utente a cazzeggiare con l'os, come se fosse un giocattolo (cosa che non è), ad usare sempre l'account admin come acocunt predefinito, la cosa più grave in assoluto, e si continuerà ad aggiungere una miriade di antiminkiate e poi ci si lamenta se le prestazioni fanno schifo, se ci sono incompatibilità con i programmi ecc... manca solo che nella rtm il terminale ps verrà lanciat automatiamente @ ring0 e si ritorna ad xp -_-

Dal punto di vista tecnico, tramite i livelli di integrità e le richieste di UAC non cambia nulla da un account Administrator ed un account limitato.

Di default i processi girano a Medium Integrity Level, ed in ogni caso l'elevazione da luogo a processi High Integrity Level.

Tra l'altro è possibile impostare la richiesta della password di UAC anche per account Administrator.

La differenza si vedrebbe maggiormente con UAC disattivato, e in effetti in quel caso si andrebbe in contro ad un comportamento che sarebbe tipico di XP e Linux, nel quale un comando che non ha i privilegi necessari semplicemente non viene eseguito.

le API non centrano niente perchè il malware se vuole può agire sulla tastiera e sul mouse utilizzando del codice proprio in assembler o in C, anche senza usare le funzioni già belle pronte messe a disposizione dal sistema operativo.

Non credo sia possibile quello che dici, probabilmente c'è un certo grado di sicurezza che non consente di far accedere liberamente all'hardware (in questo caso il driver della tastiera non dovrebbe consentire tale tipo di interazione).


E comunque le API agiscono nel contesto di sicurezza in cui ci si trova, quindi è impossibile che un programma che gira con privilegi limitati riesca ad usare una sendkeys con successo su un processo che esegue con privilegi elevati, il contesto di sicurezza lo impedisce. Oltre a questo, esiste una protezione aggiuntiva introdotta con Vista ossia nessun processo con livello di integrità basso può agire sui processi con livello di integrità più alto, in particolare nessun tasto può essere ricevuto dalla finestra dello UAC perchè c'è questa barriera protettiva dei livelli di integrità che blocca anche tutti i Window Messages (pressione di tasti, click di mouse, ecc.) che sono diretti alle finestre con livello di integrità più alta.


So come funzionano gli integrity level ma non sono sicuro che l'emulazione degli input sia limitata da questi ultimi.


L'unica possibilità per un malware di riuscire ad inviare un tasto alla finestra dello UAC è quella di ottenere i privilegi elevati, ma per farlo deve passare per lo UAC stesso che chiede l'autorizzazione;


Se non fosse in Desktop Protetto sono quasi sicuro che cmq sarebbe bypassabile lo stesso.


in Win7 sono riusciti ad inviare i tasti perchè Microsoft ha abbassato il livello di sicurezza permettendo a certe operazioni di avere l'elevamento dei privilegi automaticamente senza richiedere l'autorizzazione. Piccola battuta, esagerata, ma che ha qualcosa di vero: Win7 is "unsafe" by design, made for utonts, for people live in the new Mojave v2.0 experiment
[/QUOTE]

Il problema in quel caso è riconducibile al fatto di non aver chiesto l'autorizzazione per la modifica delle impostazioni di UAC stesso.

La RC di Windows 7 cmq sarà adeguatamente corretta ;) come ha detto lo stesso Sinofsky sul blog.

non sono sicuro che l'emulazione degli input sia limitata da questi ultimi.

Leggiti un po' di documentazione tecnica che spiega bene come in Vista siano bloccati tali attacchi:
http://msdn.microsoft.com/en-us/library/bb625963.aspx
"User Interface Privilege Isolation (UIPI) implements restrictions in the windows subsystem that prevents lower-privilege applications from sending window messages or installing hooks in higher-privilege processes. Higher-privilege applications are permitted to send window messages to lower-privilege processes. The restrictions are implemented in the SendMessage and related window message functions"

UIPI prevents lower-privilege processes from accessing higher-privilege processes by blocking the following behavior.
A lower-privilege process cannot:
- Perform a window handle validation of a process running with higher rights.
- Use SendMessage or PostMessage to application windows running with higher rights. These APIs return success but silently drop the window message.
- Use thread hooks to attach to a process running with higher rights.
- Use journal hooks to monitor a process running with higher rights.
- Perform dynamic link library (DLL) injection to a process running with higher rights.

Ottimo allora, cmq non sarebbe un problema neanche con Windows 7 configurato in quel modo dal momento che appunto auto-elevandosi quei processi girerebbero con High Level Integrity.

Il punto è: perché complicarsi la vita?
Perché non lasciare una separazione netta (come guarda caso fanno gli altri sistemi) invece di queste inutili "comodità" per l'utonto che poi si rivelano pericolose perché i furbi hacker trovano sempre dei modi poi per scavalcarle impersonificando questo e quel processo?
Il giorno in cui, fixato questo problema delle rundll32 tramite una più attenta gestione degli IL, gli hacker troveranno qualcos'altro di scoperto (e in un OS complesso come Windows ci sono sempre) MS perderà credibilità anche sull'UAC, buttando a mare quella che era un'ottima soluzione. Tutto per poter far agire l'utonto come se fosse Admin, a tutti i costi...
Non condivido affatto questo compromesso.

Il punto è: perché complicarsi la vita?
Perché non lasciare una separazione netta (come guarda caso fanno gli altri sistemi) invece di queste inutili "comodità" per l'utonto che poi si rivelano pericolose perché i furbi hacker trovano sempre dei modi poi per scavalcarle impersonificando questo e quel processo?


Se è fatto bene non è una comodità inutile, ma un sistema molto ben fatto... imho andrebbero riviste molte cose comunque, e secondo me è un peccato che AppLocker sia disponibile solo nella versione Ultimate.

Cioè con AppLocker magari integrato in una interfaccia nel panello di controllo a quel punto sarebbe veramente facile da gestire la sicurezza del pc, disattivando cose pericolose come gli script.

Già di default la strategia di Vista rappresenta un compromesso:

1) Administrator di default
2) Installazione di applicazioni come Administrator (con tutte le conseguenze che comporta)

Il confine a questo punto tra cosa deve girare e cosa no lo decide l'utente, ciò chiaramente non impedisce potenziali problemi.

Quello che mi piacerebbe vedere sarebbe:
1) Standard user default
2) Installazione di applicazioni demandata ad un utente/servizio ad esempio chiamato Installer che consente appunto di toccare SOLO locazioni di registro e/o disco adibite ai programmi.
3) Separazione netta tra il registro di sistema e quello relativo alle applicazioni, con possibilità per le applicazioni di scrivere nel registro solo quando effettivamente c'è bisogno che tutti gli utenti della macchina dispongano di un programma o di una configurazione in comune, il resto file di testo come l'XML.

Per il terzo punto sarebbe meglio avere un installer unico (Windows Installer ad esempio) in modo tale da poter distinguere gli eseguibili delle applicazioni (gli EXE a quel punto ristretti al loro campo di utilizzo) dai file di installazione tipo MSI che vengono gestiti ad esempio dal servizio Installer. Utopia?

A questo punto le seguenti limitazioni per il registro di sistema:
- Forte tipizzazione dei parametri (se serve un numero intero non devo poter scrivere una stringa).
- Parametri numerici definiti entro un range consentito o cmq limitato (non devo poter scrivere numeri negativi dove non ce n'è bisogno).

Per il registro applicazioni:
- dotarlo di un "garbage collector" configurabile che analizzi i processi che usano quelle chiave di registro e nel caso il programma risulti disinstallato elimini automaticamente le chiavi dopo un tot di tempo.

Aggiungo che visto che il registro fondamentalmente è contenuto in un file, l'uso di XML anche qui con una implementazione dei permessi renderebbe la gestione di gran lunga più flessibile IMHO.


Il giorno in cui, fixato questo problema delle rundll32 tramite una più attenta gestione degli IL, gli hacker troveranno qualcos'altro di scoperto (e in un OS complesso come Windows ci sono sempre) MS perderà credibilità anche sull'UAC, buttando a mare quella che era un'ottima soluzione. Tutto per poter far agire l'utonto come se fosse Admin, a tutti i costi...
Non condivido affatto questo compromesso.

Sono del parere che Windows è un compromesso di per se, ma cmq ripeto se il sistema sarà ben fatto non ci saranno possibili exploit, così come non ci sono stati con UAC al massimo livello.

Cmq volevo aggiungere che è uscito un report annuale di IBM riguardo la sicurezza in generale:

http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf

Curiosi i dati nella sezione relativa alle vulnerabilità dei SO (escluderei Linux perché è stato preso in considerazione il solo kernel).

Se è fatto bene non è una comodità inutile, ma un sistema molto ben fatto...
...
Già di default la strategia di Vista rappresenta un compromesso:

1) Administrator di default
2) Installazione di applicazioni come Administrator (con tutte le conseguenze che comporta)

Il confine a questo punto tra cosa deve girare e cosa no lo decide l'utente, ciò chiaramente non impedisce potenziali problemi.

Quello che mi piacerebbe vedere sarebbe:
1) Standard user default
2) Installazione di applicazioni demandata ad un utente/servizio ad esempio chiamato Installer che consente appunto di toccare SOLO locazioni di registro e/o disco adibite ai programmi.
3) Separazione netta tra il registro di sistema e quello relativo alle applicazioni, con possibilità per le applicazioni di scrivere nel registro solo quando effettivamente c'è bisogno che tutti gli utenti della macchina dispongano di un programma o di una configurazione in comune, il resto file di testo come l'XML.

Per il terzo punto sarebbe meglio avere un installer unico (Windows Installer ad esempio) in modo tale da poter distinguere gli eseguibili delle applicazioni (gli EXE a quel punto ristretti al loro campo di utilizzo) dai file di installazione tipo MSI che vengono gestiti ad esempio dal servizio Installer. Utopia?

A questo punto le seguenti limitazioni per il registro di sistema:
- Forte tipizzazione dei parametri (se serve un numero intero non devo poter scrivere una stringa).
- Parametri numerici definiti entro un range consentito o cmq limitato (non devo poter scrivere numeri negativi dove non ce n'è bisogno).

Per il registro applicazioni:
- dotarlo di un "garbage collector" configurabile che analizzi i processi che usano quelle chiave di registro e nel caso il programma risulti disinstallato elimini automaticamente le chiavi dopo un tot di tempo.

Aggiungo che visto che il registro fondamentalmente è contenuto in un file, l'uso di XML anche qui con una implementazione dei permessi renderebbe la gestione di gran lunga più flessibile IMHO.



Sono del parere che Windows è un compromesso di per se, ma cmq ripeto se il sistema sarà ben fatto non ci saranno possibili exploit, così come non ci sono stati con UAC al massimo livello.

Cmq volevo aggiungere che è uscito un report annuale di IBM riguardo la sicurezza in generale:

http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf

Curiosi i dati nella sezione relativa alle vulnerabilità dei SO (escluderei Linux perché è stato preso in considerazione il solo kernel).

Mi sembra un discorso un po' incoerente però pretendere l'account user come standard (ma in fondo i token per il passaggio da admin a Admin tramite UAC funzionano un po' allo stesso modo) etc. e poi però dire che Win 7's UAC ti andrebbe bene se ben fatto sfruttando a dovere gli IL.... ;)

L'idea dell'Installer Task (2) non credo sia applicabile, seppur interessante... Limitarne la scrittura solo nel registry e C:\Program Files sarebbe una protezione sì, ma sotto Windows le app. fanno un mucchio di casini quando si installano ;) disseminando temp-dir, dest-dir, invia-a etc. etc. per cui è necessaria maggiore libertà...

L'XML potrebbero implementarlo un giorno, ma credo che comprometterebbe la rapidità di accesso rispetto ad un sistema compilato (più compatto) e con l'uso di hash tables come l'attuale registry che è diviso in 3 file su HD (di cui uno proprio per HKCU come dicevi)...
Dovrebbero potenziare un po' il Regedit IMHO.

In Win 7 cmq diceva Sinofsky che hanno migliorato anche la gestione del registry... ma non è chiaro cosa abbiano fatto....

Decisamente interessante (?) la lista sulle vulnerabilità rilevate dei vari OS nel 2008:

Operating System Percentage

Apple Mac OS X Server 14.3%
Apple Mac OS X 14.3%
Linux Kernel 10.9%
Sun Solaris 7.3%
Microsoft Windows XP 5.5%
Microsoft Windows 2003 Server 5.2%
Microsoft Windows Vista 5.1%
Microsoft Windows 2000 4.8%
Microsoft Windows 2008 4.1%
IBM AIX 3.7%
Others 24.9%

Mi sembra un discorso un po' incoerente però pretendere l'account user come standard (ma in fondo i token per il passaggio da admin a Admin tramite UAC funzionano un po' allo stesso modo) etc. e poi però dire che Win 7's UAC ti andrebbe bene se ben fatto sfruttando a dovere gli IL.... ;)


Si diciamo che il discorso che ho fatto io è riguardo allo stato attuale delle cose dal momento che già di per se questo sistema ad oggi rappresenta un compromesso... e proprio perché come hai detto la gestione dei token da admin ad Admin è simile a quella da user ad Admin, reputo l'attuale sistema abbastanza intelligente per un account di tipo admin.

Per il resto quella era più una mia fantasia su come mi piacerebbe fosse fatto il sistema.


L'idea dell'Installer Task (2) non credo sia applicabile, seppur interessante... Limitarne la scrittura solo nel registry e C:\Program Files sarebbe una protezione sì, ma sotto Windows le app. fanno un mucchio di casini quando si installano ;) disseminando temp-dir, dest-dir, invia-a etc. etc. per cui è necessaria maggiore libertà...


Si ma non come oggi in cui praticamente con gli installer come NSIS puoi fare letteralmente delle applicazioni a parte. E cmq installare le applicazioni col massimo dei privilegi SEMPRE è cmq concettualmente sbagliato ai fini del famoso principle of least privilege.

Tra l'altro riguardo la cartella temporanea MS prevede che si usi la cartella specificata dalla variabile utente %Temp%.

Ci sono moltissimi risvolti e molti punti di miglioramento secondo me che si possono fare, ad esempio mi piacerebbe poter definire a livello di sistema DOVE una singola applicazione possa andare a scrivere/leggere.

Immagina di avere un registro delle applicazioni (dedicato solo alle applicazioni) in cui appunto una voce di tipo Applicazione sia un oggetto (inteso come nei linguaggi di programmazione ad oggetti), che ha ad esempio:

- Nome Applicazione e Percorso dell'eseguibile
- Contesto di esecuzione, ovvero la cartella in cui è presente l'eseguibile ed eventuali le librerie necessarie.
- Permessi globali sul sistema sottoforma di regole configurabili dall'utente, ad esempio l'applicazione può leggere/scrivere solo nella cartella utente, può leggere/scrivere nella propria cartella e può leggere solo il registro "applicazioni" (non quello di sistema, non quello della configurazione utente corrente).

A quel punto basterebbe appunto avere un'installer intelligente che installi fisso in C:\Programmi, magari con il nome della cartella che vuoi tu, ma tenendo fisso il path globale, che ti chiede durante l'installazione quali permessi vuoi dare all'applicazione...

L'installer naturalmente non potrebbe accedere a parti critiche del sistema. A supporto di questo si potrebbe pensare di dividere anche la tipologia dei servizi installati (di sistema e/o di supporto alle applicazioni).

A quel punto nessun eseguibile non registrato può intaccare il sistema e non solo, non intaccherebbe neanche i dati, si può immaginare per non limitare troppo l'utente di consentire agli eseguibili non registrati di accedere solo alla directory corrente in cui si trovano (naturalmente scartando quelle che sono cartelle sensibili come ad esempio la cartella documenti).


L'XML potrebbero implementarlo un giorno, ma credo che comprometterebbe la rapidità di accesso rispetto ad un sistema compilato (più compatto) e con l'uso di hash tables come l'attuale registry che è diviso in 3 file su HD (di cui uno proprio per HKCU come dicevi)...
Dovrebbero potenziare un po' il Regedit IMHO.

In Win 7 cmq diceva Sinofsky che hanno migliorato anche la gestione del registry... ma non è chiaro cosa abbiano fatto....

Decisamente interessante (?) la lista sulle vulnerabilità rilevate dei vari OS nel 2008


Chiaramente erano ipotesi che mi sono venute sul momento, in quanto XML ha una strutturazione abbastanza rigida e si possono usare i tipi di dato definiti ad esempio in XML Schema o crearne di nuovi (come ti dicevo ad esempio l'oggetto "Applicazione" o ancora l'oggetto "Estensione di file" che contenga l'estensione e l'applicazione associata...).

Io credo che più che altro questo richieda notevoli sforzi dal punto di vista della compatibilità soprattutto adesso come adesso dopo appunto gli NT6.x che sono già stati stravolti parecchio rispetto ai precedenti NT.

Non credo che ora come ora MS voglia introdurre modifiche sostanziali in tal senso, anche se potrebbe già fare qualcosina con AppLocker.

Sono d'accordo un po' su tutto quello che hai detto ;) e sul fatto che in linea teorica si potrebbero proavare nuove strade per gestire/organizzare le installazioni che sono in effetti un tallone di Achille da sempre per Win. A volte basta che uno script sia fatto male e in modo stupido per compromettere il funzionamento di parte del sistema (cosa non infrequente ahimé!)...

In linea teorica anche il sistema attuale funzionerebbe già benino, se solo i programmatori scrivessero script di installazione fatti bene, usando %variabili% invece che percorsi assoluti, stando attenti in fase di disinstallazione di pulire a fondo il registry, etc. ma purtroppo.... :rolleyes:

..L'utonto è l'eterno problema di Windows. :rolleyes:
hexaee.. però io non ho ancora capito chi sono gli "utonti" :confused: .. me lo spieghi ? :)

Perchè leggendo il forum vedo tanti esperti o pseudo tali che "insegnano" ai novizi che l'UAC è una stupidaggine oltre che una inutile rottura di scatole... dove si aggiunge anche da parte di alcuni che i sistemi operativi Microsoft sono il male assoluto.

Ne è pieno il forum di tali "insegnamenti"... e quindi conseguentemente mi sfugge il concetto e mi pongo la domanda: chi sarebbero gli utonti !? Chi sono questi mitici personaggi nominati da tutti ma in cui nessuno ci si identifica !? :boh:

Non sono di certo i "Junior Member" o mia sorella che non capendoci assolutamente nulla di computer (un po' come me, insomma) :D sta molto ben attenta a non prendere.. malware, troiani ed infezioni varie.. e l'UAC lo usa eccome, come usa anche anche un leggero, ma efficace antivirus per la scansione preventiva.

Quindi ritornando alla tua affermazione quotata: chi sono, in effetti, gli "eterni problemi" di Windows..e di conseguenza un po' di tutti quelli che usano la rete ?

E l'altra domanda è: chi viene su un forum per imparare qualcosa.. e quindi in chiave positiva anche educarsi all'uso del computer.. che cosa impara !?

Decisamente interessante (?) la lista sulle vulnerabilità rilevate dei vari OS nel 2008:

Operating System Percentage

Apple Mac OS X Server 14.3%
Apple Mac OS X 14.3%
Linux Kernel 10.9%
Sun Solaris 7.3%
Microsoft Windows XP 5.5%
Microsoft Windows 2003 Server 5.2%
Microsoft Windows Vista 5.1%
Microsoft Windows 2000 4.8%
Microsoft Windows 2008 4.1%
IBM AIX 3.7%
Others 24.9%

Fonte?

Fonte?

http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf

http://www-935.ibm.com/services/us/iss/xforce/trendreports/xforce-2008-annual-report.pdf

Grazie mille.

hexaee.. però io non ho ancora capito chi sono gli "utonti" :confused: .. me lo spieghi ? :)


http://aovestdipaperino.com/posts/a-volte-ritornano.aspx ad esempio ;)

http://aovestdipaperino.com/posts/a-volte-ritornano.aspx ad esempio ;)

grazie hexaae.. chiaro, semplice, efficace e puntuale .. come sempre :)

cazz...se quel link sulle vulnerabilità è affidabile lo posto in ogni news dove c'è scritto microsoft :asd:

cazz...se quel link sulle vulnerabilità è affidabile lo posto in ogni news dove c'è scritto microsoft :asd:

Bah... in realtà penso che analizzi solo il numero assoluto delle falle... quindi se vedi su Secunia ad esempio un confronto fra Vista e MacOS X:
http://secunia.com/advisories/product/13223/
http://secunia.com/advisories/product/96/

Vista 82 vulnerabilities, MacOS X 861 (!!!). Penso che quel grafico dica la stessa cosa, analizzando il numero di falle scoperte nel solo 2008...
Parlando di Linux, non so a che distro si riferisca (Linux è solo un kernel) o fa un calcolo complessivo.... andrebbe letto tutto per bene. Sempre da Secunia:
http://secunia.com/advisories/product/530/ 1215 Secunia advisories, 2170 Vulnerabilities (Debian GNU/Linux testing/unstable)

...insomma il dato và preso un po' con le molle pensando ai vari contesti... evitando flame...

cazz...se quel link sulle vulnerabilità è affidabile lo posto in ogni news dove c'è scritto microsoft :asd:

Ad essere affidabile credo che lo sia visto che c'è una certa IBM dietro :D.

Più che altro credo che bisogna scartare il risultato riguardo Linux dal momento che appunto non è una distribuzione ma si parla solo del kernel.

Molto spesso poi nelle distribuzioni il kernel viene appunto patchato.

cazz...se quel link sulle vulnerabilità è affidabile lo posto in ogni news dove c'è scritto microsoft :asd:

Previsione?
Si scatenerà la solita guerra a chi c'è l'ha più lungo rendendo impossibile capire oggettivamente quale possa essere un buon sistema per le proprie esigenze.

Ad ogni modo IBM dovrebbe dare una certa sicurezza sull'attendibilità dei risultati.

XXX sex for free activating UAC!
Vedi come lo attivano...! ;)
questa è da PREMIO OSCAR :D :D
Per attivare in più anche la richiesta password con UAC la chiave da modificare è:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2
(2= il tipico requester Continua, Annulla (default); 1= chiedi in più login/pass)
utilissimo ;) grazie ;)

Sposto in rilievo in Trucchi e consigli ;)

Ecco uno dei tanti esempi: http://www.webnews.it/news/leggi/10218/pericolo-estremo-excel-nel-mirino/1/ (falla critica di Excel, ma solo se in uso con privilegi da Admin)

Non ho mai usato account limitati su windows, quindi mi chiedo: ci sono cose particolari da sapere a riguardo, guide etc, o si tratta semplicemente di crearne uno ed utilizzarlo? Come si fa poi a prendersi i diritti di amministratore, ad esempio quando si deve installare qualcosa etc?

Non ho mai usato account limitati su windows, quindi mi chiedo: ci sono cose particolari da sapere a riguardo, guide etc, o si tratta semplicemente di crearne uno ed utilizzarlo? Come si fa poi a prendersi i diritti di amministratore, ad esempio quando si deve installare qualcosa etc?
Con Vista c'è UAC che interviene quando necessario o quando l'utente decide di eseguire un programa come amministratore. Su XP e precedenti la questione è un po' più complessa.

Non ho mai usato account limitati su windows, quindi mi chiedo: ci sono cose particolari da sapere a riguardo, guide etc, o si tratta semplicemente di crearne uno ed utilizzarlo? Come si fa poi a prendersi i diritti di amministratore, ad esempio quando si deve installare qualcosa etc?

Quando installi vista l'account che crei è un admin quindi quando devi eseguire qualche operazione con privilegi elevati l'uac compare ed è lui che "si prende i diritti" quando servono tu non devi fare altro.
Sul sito di vista microsoft consiglia di creare un account limitato protetto da password dopo aver configurato il pc. In questo caso quando accedi all'account limitato (con nome utente e password) e devi eseguire operazioni da amministratore devi inserire la password (che hai assegnato all'account amministratore) per poterle portare a termine.
Se ci sono più utenti nello stesso pc solo chi è amministratore (e quindi sa la password) può eseguire particolari operazioni, gli altri utilizzaranno solo il pc senza il rischio di "creare danni" perchè non conoscendo la password non riescono a dare i privilegi elevati allo uac.

Se usi solo tu il pc non so se sia meglio avere in ogni caso admin+utente limitato o solo admin, chi ha maggiori informazioni magari potrebbe consigliarti a riguardo.

Leggendo la prima pagina si dice che eseguendo i programmi non da amministratore si riducono i rischi.
Ok ma se accedo con un account amministratore i programmi in che maniera vengono eseguiti? Come amministratore o no?
Chiedo perchè pur accedendo come admin facendo clic destro sull'icona di un programma (Paint o calcolatrice ad es.) rimane l'opzione "Esegui come amministratore".

Qui è spiegato come funziona l'account amministratore di default in Vista/Seven:

Account amministratore di Windows (http://www.hwupgrade.it/forum/showpost.php?p=26404828&postcount=60)

Qui è spiegato come funziona l'account amministratore di default in Vista/Seven:


Se non ho capito male (nel link si riporta che: "salvo appunto elevazione dei privilegi che lo fa diventare un admin del secondo tipo") ogni volta che compare l'uac (sia da utente standard che da admin) e confermo l'operazione divento temporaneamente admin-elevato e posso portare a termine l'operazione che avevo iniziato.
Quindi se accedo come admin ed eseguo un programma senza dare "Esegui come amministratore" è come se lo eseguissi da un utente standard?

Inoltre admin-elevato ha qualche "parentela" con il super-Admin (cioè quando elevo i privilegi dell'admin divento super-Admin) o sono proprio due cose differenti?

I miei dubbi sorgono perchè nei vari articoli si legge indistintamente admin, Admin ecc...

[..]
Quindi se accedo come admin ed eseguo un programma senza dare "Esegui come amministratore" è come se lo eseguissi da un utente standard?


Esattamente.


Inoltre admin-elevato ha qualche "parentela" con il super-Admin (cioè quando elevo i privilegi dell'admin divento super-Admin) o sono proprio due cose differenti?


Che io sappia alcune operazioni non le puoi fare cmq senza essere super-Admin, per cui dovrebbero essere diversi.

Esattamente.


Forse per i non addetti era più chiaro un "Esegui con privilegi elevati" così da differenziarlo ulteriormente dall'admin che come hai detto esegue comunque (giustamente) i programmi come utente standard.

Chiedevo perchè sarei intenzionato alla prossima installazione (quando esce sp2 ne approfitto) di tenere solo l'admin essendo solo io il proprietario del pc.

Grazie per i chiarimenti :)

Che io sappia alcune operazioni non le puoi fare cmq senza essere super-Admin, per cui dovrebbero essere diversi.

Dovrebbero essere la stessa cosa invece, una volta confermato l'UAC per quell'azione sei il cosiddetto "Super-Admin" temporaneamente. In realtà è che avrebbero dovuto chiamare l'account di default User-priviliged o qualcosa del genere invece di generare confusione chiamandolo Admin e Super-Admin il vero Admin...
Ancora oggi ci sono utenti che si chiedono "Se sono Admin perché non mi fa fare quelle cose???" e non li si può biasimare più di tanto se non sanno bene la distinzione...

Ancora una volta... grazie all'UAC e privilegi ridotti anche i bug di Adobe fanno un baffo a Vista: http://www.webnews.it/news/leggi/11238/falla-critica-travolge-reader-acrobat-e-flash/

La cosa buona in 7 è che si può disattivare completamente l'UAC...in vista era troppo fastidioso...servirà anche agli utonti ma se uno ha un minimo di testa e sa dove mettere mani senza cliccare da tutte le parti sconsideratamente direi che era solo un peso...

La cosa buona in 7 è che si può disattivare completamente l'UAC...in vista era troppo fastidioso...servirà anche agli utonti ma se uno ha un minimo di testa e sa dove mettere mani senza cliccare da tutte le parti sconsideratamente direi che era solo un peso...
Si poteva disattivare completamente anche in Vista, comunque a parte questo l'UAC comporta tutta una serie di sistemi di sicurezza (modalità protetta di IE ad esempio) o di gestione di cartelle virtuali (Virtual Store) dove vengono scritti files da diversi software che altrimenti finirebbero nelle cartelle di sistema (il che si traduce in maggiore pulizia generale visto che così facendo cartelle come System32 o Windows o Programmi non vengono incaccolate da files .ini o -cfg di ogni tipo), che il disabilitarlo è una grande sciocchezza anche se si sa dove mettere le mani...

Poi ognuno è libero di fare ciò che preferisce anche trasformare Vista e 7 in Windows 98!

La cosa buona in 7 è che si può disattivare completamente l'UAC...in vista era troppo fastidioso...servirà anche agli utonti ma se uno ha un minimo di testa e sa dove mettere mani senza cliccare da tutte le parti sconsideratamente direi che era solo un peso...

Mi sa tanto che non hai letto il thread interamente... :rolleyes:

Cmq UAC è una comodità più che altro, ma c'è chi non lo capisce. Provate ad usare un account con privilegi limitati senza UAC.

La cosa buona in 7 è che si può disattivare completamente l'UAC...in vista era troppo fastidioso...servirà anche agli utonti ma se uno ha un minimo di testa e sa dove mettere mani senza cliccare da tutte le parti sconsideratamente direi che era solo un peso...

No guarda... l'UAC fa tutt'altro rispetto a quello che immagini e reputi fastidioso ed è molto efficace e comodo.
I requester UAC non sono del tipo noiosamente ridondante "Sei sicuro?" ma c'è ben altro sotto... vedi privilegi utente/amministratore, vedi Integrity Levels etc. etc.

arrivando da win xp e avendo provato vista limitatamente in quanto lo trovavo "scomodo" posso dire che in svariati anni (tanti) di uso del pc non ho mai preso un virus, pur non avendo l'UAC che (lo ammetto ne conosco limitatamente le funzioni, posso limitarmi solo agli avvisi visivi) sono sicuro possa essere un bene...però se voglio modificare un file di sistema, aprire un programma con firma non riconosciuta o qualsiasi altra operazione "critica"...voglio poterlo fare senza troppi avvertimenti!
mi informerò comunque meglio sulle sue funzioni complete ;)

ragazzi, scusate, sono il niubbo di turno..

mi fate un breve riassunto di questo post?
io ho sempre pensato che il contrtollo utente fosse una bella rottura di balle e basta, uno spreco di click direi..
mi sbagliavo, vero?
cosa consigliate di fare?
ho letto che manco gli utenti admin andrebbero usati..
chi mi aiuta!?
grazie grazie

ragazzi, scusate, sono il niubbo di turno..

mi fate un breve riassunto di questo post?
io ho sempre pensato che il contrtollo utente fosse una bella rottura di balle e basta, uno spreco di click direi..
mi sbagliavo, vero?
cosa consigliate di fare?
ho letto che manco gli utenti admin andrebbero usati..
chi mi aiuta!?
grazie grazie

http://www.hwupgrade.it/forum/showthread.php?t=1746889&page=7
http://technet.microsoft.com/it-it/magazine/cc138019.aspx

Non è palloso un'avvertimento del tipo "Vuoi continuare, sei sicuro?" ma ti sta dicendo che quell'azione va eseguita con i diritti da Amministratore (in realtà di default su Vista anche se segna che sei admin hai per le azioni comuni solo i diritti di semplice utente) con tutte le conseguenze del caso...

Uno dei tanti esempi per cui vale la pena... recentissimo nell'ultima ondata di patch di MS:
http://www.microsoft.com/technet/security/bulletin/MS09-045.mspx
Un bug nel JScript (usato in IE7/8) con UAC attivo sei cmq al sicuro perché non stai usando il sistema (e IE) con diritti da amministratore...

http://www.hwupgrade.it/forum/showthread.php?t=1746889&page=7
http://technet.microsoft.com/it-it/magazine/cc138019.aspx

Non è palloso un'avvertimento del tipo "Vuoi continuare, sei sicuro?" ma ti sta dicendo che quell'azione va eseguita con i diritti da Amministratore (in realtà di default su Vista anche se segna che sei admin hai per le azioni comuni solo i diritti di semplice utente) con tutte le conseguenze del caso...

Uno dei tanti esempi per cui vale la pena... recentissimo nell'ultima ondata di patch di MS:
http://www.microsoft.com/technet/security/bulletin/MS09-045.mspx
Un bug nel JScript (usato in IE7/8) con UAC attivo sei cmq al sicuro perché non stai usando il sistema (e IE) con diritti da amministratore...

quindi corro a riattivare la UAC....
:d

quindi corro a riattivare la UAC....
:d
Fai proprio bene!

"Il cane è il miglior amico dell'uomo" cit.


"L'UAC è il miglior amico di quel cane d'utonto" :D

"Il cane è il miglior amico dell'uomo" cit.


"L'UAC è il miglior amico di quel cane d'utonto" :D

No per niente. Sei utonto se non lo usi semmai... rileggi quello che è stato scritto su cosa fa e a cosa serve l'UAC :doh:

No per niente. Sei utonto se non lo usi semmai... rileggi quello che è stato scritto su cosa fa e a cosa serve l'UAC :doh:

Allora non hai capito la battuta.... Ovvio che è utile l'UAC ci mancherebbe!!! Infatti è il miglior amico dell'utonto.... lo protegge dalle cavolate che potrebbe farsi. Non l'ho mai disattivato una volta da quando ho vista/7

OT: ho visto che hai una scheda video simile alla mia (9650M GT) che mai monti i 177? quelli nuovi per caso danno errore anche a te?

Allora non hai capito la battuta.... Ovvio che è utile l'UAC ci mancherebbe!!! Infatti è il miglior amico dell'utonto.... lo protegge dalle cavolate che potrebbe farsi. Non l'ho mai disattivato una volta da quando ho vista/7

OT: ho visto che hai una scheda video simile alla mia (9650M GT) che mai monti i 177? quelli nuovi per caso danno errore anche a te?

Beh come l'hai detta suona come UAC = serve all'utonto, invece serve proprio a tutti... ;)

OT
Sì, danno un problema troppo fastidioso per me dai 179.xx in su: http://forums.nvidia.com/index.php?showtopic=99814
Vergognoso sia così vecchio il bug e ancora non lo fixino. Abbandonerò nVidia perché lo sviluppo dei driver è davvero penoso e ogni nuova versione causa problemi, senza fixare mai quelli precedenti vecchi anche di 1 anno o più... :rolleyes:

Beh come l'hai detta suona come UAC = serve all'utonto, invece serve proprio a tutti... ;)

OT
Sì, danno un problema troppo fastidioso per me dai 179.xx in su: http://forums.nvidia.com/index.php?showtopic=99814
Vergognoso sia così vecchio il bug e ancora non lo fixino. Abbandonerò nVidia perché lo sviluppo dei driver è davvero penoso e ogni nuova versione causa problemi, senza fixare mai quelli precedenti vecchi anche di 1 anno o più... :rolleyes:

Si mi sono espresso male dovevo aggiungere un bell'anche :D a volte non so scrivere l'italiano :doh: cmq per i driver anche io montavo i 179. poi sono riuscito a passare per miracolo ai 186.31 /OT

Si mi sono espresso male dovevo aggiungere un bell'anche :D a volte non so scrivere l'italiano :doh: cmq per i driver anche io montavo i 179. poi sono riuscito a passare per miracolo ai 186.31 /OT

...che soffrono ancora del problema purtroppo. Leggi il link (http://forums.nvidia.com/index.php?showtopic=99814) e fai la prova con il giochino freeware µCade... Chiudo l'OT

Meglio però configurare lo UAC in modo che chieda la password invece di un banale "Continue - Cancel"..così facendo attira maggiormente l'attenzione e allo stesso tempo rende impossibile a chi non amministra il computer di fare danni seri.
Così come già accade con il Sudo (super user do) in ambiente Linux..per esempio.

infatti, come sul Mac OSx , a me chiede sempre la passw. anche se sono loggato, non si sa mai;)

Dopo il testo ci metti un quiz e chi sa rispondere bene accede al sistema operativo :asd:

Se UAC viene disattivato allora gli ripresenti il quiz, dopo 3 volte UAC non è più disattivabile. :sofico:

Oppure gli scrivi, chi legge questo testo diventa miliardario :asd:

ciao, a me su Vista 64 l'UAC richiede SOLO di pigiare, NON richiede la password ogni volta, come si fà a farla richiedere?

ciao, a me su Vista 64 l'UAC richiede SOLO di pigiare, NON richiede la password ogni volta, come si fà a farla richiedere?

Su Vista/Win7 non serve perché non è una sicurezza in più nel senso che l'UAC compare già su Secure Desktop isolato, quindi inattaccabile da keylogger o simili o da tentativi di far premere automaticamente Continua da parte di qualche malware emulando magari la pressione dei tasti. Per questo motivo l'ulteriore sicurezza dell'immissione password è superflua.

Puoi cmq attivarla così:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= requester Continua, Annulla; 1= chiedi login/pass)

Inoltre per il 3-fingers-salute:
'netplwiz' da Start e poi tab Avanzate...

Su Vista/Win7 non serve perché non è una sicurezza in più nel senso che l'UAC compare già su Secure Desktop isolato, quindi inattaccabile da keylogger o simili o da tentativi di far premere automaticamente Continua da parte di qualche malware emulando magari la pressione dei tasti. Per questo motivo l'ulteriore sicurezza dell'immissione password è superflua.

Puoi cmq attivarla così:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= requester Continua, Annulla; 1= chiedi login/pass)

Inoltre per il 3-fingers-salute:
'netplwiz' da Start e poi tab Avanzate...

grazie mille,su Windows 7 lo avevo già messo al massimo su Vista invece è già alto:)

grazie mille,su Windows 7 lo avevo già messo al massimo su Vista invece è già alto:)

...Facessero tutti così! http://forumtgmonline.futuregamer.it/images/smilies/sisi1xy.gif

grazie mille,su Windows 7 lo avevo già messo al massimo su Vista invece è già alto:)

scusami, ma che significa messo al massimo? significa che si può settare l'UAC secondo in base a una gradazione? Massimo,minimo,ecc?


Puoi cmq attivarla così:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= requester Continua, Annulla; 1= chiedi login/pass)

Inoltre per il 3-fingers-salute:
'netplwiz' da Start e poi tab Avanzate...

Mi consigli di attivare la pass x maggiore sicurezza?

Inoltre vorrei chiederti se con Vista è consigliabile creare un account limitato x navigare in internet come era consigliato in XP,oppure avendo l'UAC non c'è bisogno

scusami, ma che significa messo al massimo? significa che si può settare l'UAC secondo in base a una gradazione? Massimo,minimo,ecc?



Mi consigli di attivare la pass x maggiore sicurezza?

Inoltre vorrei chiederti se con Vista è consigliabile creare un account limitato x navigare in internet come era consigliato in XP,oppure avendo l'UAC non c'è bisogno
Si puoi impostare il livello sul modello di IE con livello di sicurezza zero-min-medio-max :D

Si puoi impostare il livello sul modello di IE con livello di sicurezza zero-min-medio-max :D

mi dici come farlo su vista?

Nemmeno io ho trovato questa opzione :rolleyes:

mi dici come farlo su vista?

Su Vista fortunatamente non puoi. Usi la vera sicurezza, senza giochini per niubbi per abbassarla (corrisponde al massimo livello di sicurezza con Win7).

http://www.hwupgrade.it/forum/showthread.php?t=1746889&page=7
UAC: http://technet.microsoft.com/it-it/magazine/cc138019.aspx

Su Vista fortunatamente non puoi. Usi la vera sicurezza, senza giochini per niubbi per abbassarla (corrisponde al massimo livello di sicurezza con Win7).

http://www.hwupgrade.it/forum/showthread.php?t=1746889&page=7
UAC: http://technet.microsoft.com/it-it/magazine/cc138019.aspx

ti ringrazio hexaae...ma la password si puo mettere? o non serve a un granchè?

inoltre tu con vista consiglieresti un account limitato x navigare in internet come è consigliato in xp..oppure non c'è bisogno?

ti ringrazio hexaae...ma la password si puo mettere? o non serve a un granchè?
Non serve a un granché con UAC + Secure Desktop (default) come dicevo al commento #77. Il Secure Desktop su cui compare è portettissimo: viene aperto in una sessione di un utente speciale e su schermo a parte impedendo quindi a qualsiasi keylogger, screenshot-capturer etc. di poter fare il furbo.
Lasciala ad altri sistemi operativi dove questo intelligente accorgimento manca... ma se proprio vuoi puoi sempre attivarla...

inoltre tu con vista consiglieresti un account limitato x navigare in internet come è consigliato in xp..oppure non c'è bisogno?
Non è necessario perché basta appunto l'UAC, che è già un modo per degradare l'utente admin di default con diritti che in realtà sono da semplice User, non da vero (completo) admin. Proprio per questo operazioni che richiedono invece tali diritti fanno comparire l'UAC requester...
In pratica è un modo comodo per girare con privilegi ridotti e non dover uscire, cambiare utente (user -> admin), rientrare etc. Prova a farlo capire però all'ignorante che denigra l'UAC "perché dà fastidio e mi chiede cosa fare, mentre tanto ho l'antivirus!" ;)

Non serve a un granché con UAC + Secure Desktop (default) come dicevo al commento #77. Il Secure Desktop su cui compare è portettissimo: viene aperto in una sessione di un utente speciale e su schermo a parte impedendo quindi a qualsiasi keylogger, screenshot-capturer etc. di poter fare il furbo.
Lasciala ad altri sistemi operativi dove questo intelligente accorgimento manca... ma se proprio vuoi puoi sempre attivarla...


Non è necessario perché basta appunto l'UAC, che è già un modo per degradare l'utente admin di default con diritti che in realtà sono da semplice User, non da vero (completo) admin. Proprio per questo operazioni che richiedono invece tali diritti fanno comparire l'UAC requester...
In pratica è un modo comodo per girare con privilegi ridotti e non dover uscire, cambiare utente (user -> admin), rientrare etc. Prova a farlo capire però all'ignorante che denigra l'UAC "perché dà fastidio e mi chiede cosa fare, mentre tanto ho l'antivirus!" ;)

Ma il secure desktop è gia attivato?

Comunque concordo con te...ho da qualche mese vista, ma non riesco proprio a capire quelle persone che si lamentano dell'UAC,a me non da alcun fastidio anzi mi da un senso di sicurezza maggiore ;)

Ma il secure desktop è gia attivato?
Sì, è tutto al massimo su Vista. Potresti disattivarlo se vuoi (!?) editando il registro...

Comunque concordo con te...ho da qualche mese vista, ma non riesco proprio a capire quelle persone che si lamentano dell'UAC,a me non da alcun fastidio anzi mi da un senso di sicurezza maggiore ;)

Semplicemente sai quando le singole azioni sono da amministratore.
Credo che molti usino Vista ancora come XP manipolando in continuazione file in C:\Program files, per cui servono diritti da admin :rolleyes: senza avere idea di concetti come la multi-utenza e che non devi buttare tutto lì dentro (specialmente senza permessi adeguati)... Avevo anche aperto un thread "per fare andare i vecchi programmi su Vista (http://www.hwupgrade.it/forum/showthread.php?t=1746889)"...

mi dici come farlo su vista?

io su Vista lo vedo o da Enhance My Vista oppure da Vista Manager,cè la barra che puoi spostare;)

Sì, è tutto al massimo su Vista. Potresti disattivarlo se vuoi (!?) editando il registro...

no no non voglio disattivarlo :D voglio rimanere abbottonato dal punto di vista della sicurezza:p
quindi se dal pannello di controllo, vedo che l'uac è attivato, significa che è attivato tutto anche il secure desktop?

no no non voglio disattivarlo :D voglio rimanere abbottonato dal punto di vista della sicurezza:p
quindi se dal pannello di controllo, vedo che l'uac è attivato, significa che è attivato tutto anche il secure desktop?

Sì.. l'UAC di default si apre sempre su Secure Desktop, se non modifichi il registo...

Sì.. l'UAC di default si apre sempre su Secure Desktop, se non modifichi il registo...

ti ringrazio x le delucidazioni ;)

Mi accodo al ringraziamento ;)

Più uso Vista e mi informo su di esso e più sono contento di essermi deciso ad installarlo.

UAC ha sempre senso anche quando a gestire il computer è solo l'utente "valido"?

Direi proprio di si..anche perchè è proprio quando ci si sente tranquilli che....ZAC!!!

Alla fine poi non è che sia un gran rompiscatole,nell'uso di tutti i giorni non esce praticamente mai.

UAC ha sempre senso anche quando a gestire il computer è solo l'utente "valido"?

...Un esempio a caso...
Navighi tranquillamente in rete e tramite FireFox ti becchi un bel malware che si autoinstalla e modifica certi file di sistema in System32. Senza UAC tu continui tranquillamente a girare con FireFox, intanto l'eventuale rootkit si è già installato!
Con UAC attivo (e magari IE7-8 che grazie all'UAC sfruttano anche gli Integrity Levels e sandboxano bene il browser) non può che comparire una richiesta di elevazione dei privilegi per il tentativo di eseguire azioni da amministratore (= l'UAC requester!) a cui ovviamente capirai da solo che è il caso di rispondere NO dato che non hai fatto niente e il nome/percorso dell'exe in questione è chiaramente sospetto!

Non è che uno usa UAC quando è inesperto con l'idea che sia come un Antivirus di guardia. Non fa niente di ciò e non è neppure un'applicazione! È un layer di sicurezza nel kernel che per azioni che necessitano di diritti da admin (ad es. installazioni, modifiche di file in C:\Program Files o Windows o System32, o modifiche al registro, etc.) chiede all'utente (che con UAC attivo è in realtà un admin che gira con diritti da user!) se deve concedere tali diritti all'azione in questione, con tutti i rischi del caso....
È la cosa migliore che potessero fare per Windows da decenni a questa parte. Ora è finalmente "sicuro" come OS. Così come lo sono tanti altri OS come le famose distro Linux etc. etc. XP e precedenti erano un colabrodo, e non solo per la questione admin vs user ma perché mancavano completamente anche tecnologie come l'ASLR, il DEP etc. etc. presenti solo da Vista in poi. Non è la stessa cosa girare come user su XP, era comunque molto meno sicuro...
Che c'è di sbagliato a girare da user ed elevare ad amministratore solo le azioni che giustamente gli competono? Ciò automaticamente crea una barriera quasi invalicabile per il malware che persino se eseguito avrà le gambe tagliate.

P.S.
Ovviamente poi non tenete password importanti e conti bancari in un .txt nella vostra dir Documenti! Lì nemmeno l'UAC può fare molto dato che un exe con semplici diritti utente può ovviamente accedere ai dati utente come i file in Documenti. Per certe cose consiglio vivamente KeePass (freeware)...

Un piccolo chiarimento per tutti: hai detto come giusto esempio dei rischi nell'installazione nascosta di malware durante la navigazione, che invece con UAC attivato non esistono venendo avvertito l'utente. Questa sarebbe la modalità protetta di IE giusto?

http://img714.imageshack.us/img714/8711/catturaaj.th.png (http://img714.imageshack.us/i/catturaaj.png/)

Quindi con UAC disattivato questo tipo di messaggi non vengono più mostrati sia in caso di installazione volontaria che nascosta. Quindi il vero punto cruciale dell'UAC è questo.

non credo...ci sono dei virus oggi che tyutte le versioni di windows sono a rischio e nessun antivirus li può fermare...leggete matusec.........;) puoi metterci anche utente.....infante invece che ridotto è lo stesso....

Bè nessuno mi sembra abbia parlato di sicurezza al 100%...esisterà sempre qualcuno più furbo ;)

Però possiamo dire tranquillamente che disabilitando UAC..non ci vuole chissà quale furbizia per farci il :ciapet: ..............concordi? :D

Un piccolo chiarimento per tutti: hai detto come giusto esempio dei rischi nell'installazione nascosta di malware durante la navigazione, che invece con UAC attivato non esistono venendo avvertito l'utente. Questa sarebbe la modalità protetta di IE giusto?
No. Con la Modalità Protetta in pratica crea una sandbox per IE che girerà con diritti addirittura al di sotto di quelli user... È molto complessa la sua gestione e passa anche attraverso gli Integrity Levels. Quello che basta sapere è che in questo modo un eventuale malware eseguito dal browser non potrà fare molto (al max qualche danno in Documenti...) perché non ha i diritti di esecuzione per fare quasi niente. Come ho detto gira con diritti più bassi di quelli utente quindi un exe lanciato dal menu di Windows è più "pericoloso" in quel senso...

non credo...ci sono dei virus oggi che tyutte le versioni di windows sono a rischio e nessun antivirus li può fermare...
Infatti gli AV sono il più basso livello di difesa esistente perché aggirabilissimi e solo dei "poliziotti molto distratti".... Lo scoglio dei diritti limitati è ben più difficile da superare, se non tramite bug veri e propri nei componenti dell'OS che permettano una Escalation Of Privileges. Persino il vincitore del Pw2Own consiglia di usare Vista/Win7 con UAC attivo e IE7-8 o Chrome (che ha la modalità protetta ma leggermente meno raffinata e sicura, nella gestione dei plugin, rispetto a IE. Firefox invece non ha ancora niente ed è il meno sicuro)...

...Un esempio a caso...
Navighi ecc......

hexaae GRAZIE! ;)

Un piccolo chiarimento per tutti: hai detto come giusto esempio dei rischi nell'installazione nascosta di malware durante la navigazione, che invece con UAC attivato non esistono venendo avvertito l'utente. Questa sarebbe la modalità protetta di IE giusto?

http://img714.imageshack.us/img714/8711/catturaaj.th.png (http://img714.imageshack.us/i/catturaaj.png/)


Questa cosa compare anche su XP e dipende dal fatto che l'eseguibile provenga o meno dalla propria macchina.

Un file di provenienza esterna viene marcato dal SO come "esterno" appunto, e quindi compare quella finestra.

Nei sistemi *nix più o meno viene fatta la stessa cosa, solo che viene disabilitata di default l'esecuzione (è possibile farlo anche in Windows, creando una cartella di default in cui scaricare e modificando ad-hoc i permessi).

Di fatto quell'avviso costituisce un layer di protezione in più.

Su windows se clicco si lascio al file la possibilità di fare tutto quello che vuole, su linux se non sono root no.

Su windows se clicco si lascio al file la possibilità di fare tutto quello che vuole, su linux se non sono root no.

è un motivo perchè linux è più sicuro.;) uno dei tanti

Su windows se clicco si lascio al file la possibilità di fare tutto quello che vuole, su linux se non sono root no.

Forse mi sbaglio io ma se su linux alla richiesta di privilegi acconsento non lascio via libera al file?
E' qualche tempo che uso esclusivamente macchina Win e mi sfugge...

Forse mi sbaglio io ma se su linux alla richiesta di privilegi acconsento non lascio via libera al file?
E' qualche tempo che uso esclusivamente macchina Win e mi sfugge...

devi acconsentire e dare la password di root :) in pratica dai consenso come administrator..ma chiedendo la password non klikki avanti senza pensare come fanno in tanti e nessuno che ti si intrufoli senza password fà nulla ;)

devi acconsentire e dare la password di root :) in pratica dai consenso come administrator..ma chiedendo la password non klikki avanti senza pensare come fanno in tanti e nessuno che ti si intrufoli senza password fà nulla ;)

A parte che non sai forse che anche in Vista/Win7 puoi impostare di chiedere la password (che NON serve per aumentare la sicurezza, dato che esiste il Secure Desktop) all'UAC....

http://i.technet.microsoft.com/cc160882.fig03(it-it).gif

...ma comunque è un problema dell'utente sciocco, non un deficit dell'OS. L'UAC rende Vista/Win7 tranquillamente sicuro quanto un sistema Linux. Se non erro uno di quelli che ha lavorato all'UAC di Windows viene proprio da Apparmour, famoso in ambiente sicurezza Linux, con cui condivide molti concetti...

Non sarà un caso infatti che ai tempi di XP ricordo che qualche problema di malware l'avevo avuto, mentre da Vista in poi non ho più avuto di questi problemi, sicuramente l'UAC è stato un notevole passo avanti nella sicurezza in ambiente windows

devi acconsentire e dare la password di root :) in pratica dai consenso come administrator..ma chiedendo la password non klikki avanti senza pensare come fanno in tanti e nessuno che ti si intrufoli senza password fà nulla ;)

Si,come ti hanno fatto già notare il problema è dell'utente...se memorizzi le credenziali con linux e poi confermi senza pensarci è la stessa cosa.
Oltretutto come dicea hexaae puoi far chiedere la password anzichè un semplice si/no e se crei un utente limitato la password viene chiesta di default ad ogni comparsa di UAC.

devi acconsentire e dare la password di root :) in pratica dai consenso come administrator..ma chiedendo la password non klikki avanti senza pensare come fanno in tanti e nessuno che ti si intrufoli senza password fà nulla ;)

Questo è tutto da dimostrare.

UAC è un layer che vi consente di passare da privilegi limitati a privilegi superiori, esattamente come gk-sudo.

Con UAC disattivato e account user, al posto della finestra di UAC sarebbe comparso un "Accesso negato": di fatto la stessa cosa che sarebbe capitata con XP nelle medesime condizioni (ovvero account user).

Bisogna quindi considerare UAC come una comodità, in quanto ove siano richiesti i privilegi viene fatta richiesta all'utente.

Vista ha introdotto inoltre il sistema degli integrity level, ovvero una serie di permessi che ha l'eseguibile sul sistema:

- low
- medium
- high
- system

Notare che un processo con IL più basso NON PUO' INTERFERIRE con uno di IL più alto.

Di default (UAC abilitato) tutti i processi utente girano come medium integrity level.

Faccio degli esempi:
Se si lancia Internet Explorer, il processo padre è a medium IL, mentre i figli sono a low IL (la famosa modalità protetta, questo significa che non può modificare in alcun modo strutture a medium IL).

Se dite "Si" ad UAC, il processo acquisirà dei token e passerà a High IL.

Ancora una volta un processo a Medium level non potrà interagire con uno High IL, questo significa che un processo utente normale non potrà interferire ad esempio con una installazione.

E c'è di più: molti file di sistema girano a System IL, il livello più alto, questo significa che un processo elevato (che vi ricordo essere ad High IL) non potrà modificare quei file.

Faccio notare inoltre che da Vista in poi i servizi di sistema e i processi utente sono in due sessioni diverse (mentre in XP erano nella stessa sessione del primo utente loggato).

Tutto per dirvi di come questi interventi siano stati decisivi a livello di sicurezza, i fatti lo dimostrano.

Forse mi sbaglio io ma se su linux alla richiesta di privilegi acconsento non lascio via libera al file?
E' qualche tempo che uso esclusivamente macchina Win e mi sfugge...

si ma solo per operazioni non richiedenti essere root, a meno che non diventi root momentaneamente. In ogni caso questa caratteristica credo sia presente solo in ubuntu (quello con gnome), se metti gnome di mano tua su una distro spartana le policikyt sono diverse e poi su ubuntu di default non puoi essere root.

Si,come ti hanno fatto già notare il problema è dell'utente...se memorizzi le credenziali con linux e poi confermi senza pensarci è la stessa cosa.
Oltretutto come dicea hexaae puoi far chiedere la password anzichè un semplice si/no e se crei un utente limitato la password viene chiesta di default ad ogni comparsa di UAC.


Penso che qui si prenda spunto/esempio sempre da ubuntu... a parte che è un pò macchinoso col portachiavi... dovresti memorizzare nessuna password, in ogni caso non puoi memorizzare quella di root che è anche un'altro user

Questo è tutto da dimostrare.
UAC è un layer che vi consente di passare da privilegi limitati a privilegi superiori, esattamente come gk-sudo.


A me sembra solo un si/no, anche portato al massimo livello di sicurezza

A parte che non sai forse che anche in Vista/Win7 puoi impostare di chiedere la password all'UAC (che NON serve, dato che esiste il Secure Desktop).... ma comunque è un problema dell'utente sciocco, non un deficit dell'OS. L'UAC rende Vista/Win7 tranquillamente sicuro quanto un sistema Linux. Se non erro uno di quelli che ha lavorato all'UAC di Windows viene proprio da Apparmour, famoso in ambiente sicurezza Linux, con cui condivide molti concetti...

si come questo script fortunatamente "innocuo" in questo caso che spegne il pc pulito pulito senza dire nulla.

http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/

provatelo

Beh magari questo ulteriore livello di sicurezza nell'esecuzione del prompt(programma/utente) sarà introdotto nel prossimo futuro

si come questo script fortunatamente "innocuo" in questo caso che spegne il pc pulito pulito senza dire nulla.

http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/

provatelo

...Mi sembri cascare dalle nuvole... Allora non hai seguito i precedenti post qui e negli altri thread dove io per primo ho postato i famosi exploit di Win7 quando UAC è A LIVELLO DEFAULT. C'è un motivo per cui ho sempre detto di alzarlo al massimo livello (come è su Vista). Non è una falla dell'UAC, ma by design un effetto collaterale.
Reimposta l'UAC al massimo livello su Win7, non a default, e non funzionerà.

...e NO UAC non è un Sì e No, e stiamo tentando di spiegarlo da mesi/anni su questo forum agli utenti non ancora informati. Se poi non si vuol fare nemmeno la fatica di leggere una 50ina di righe di spiegazione e IMPARARE qualcosa... beh...

L'unica vera critica da fare a MS secondo me è il non essere stata abbastanza chiara sull'UAC spiegando anche con video introduttivi questo punto cardine della sicurezza dei nuovi Winodws, dettagliatamente. Ma d'altra parte, quando il 60% dell'utenza di Vista si lamentò per dover "cliccare 2 volte" :rolleyes: chi può biasimarli fino in fondo? È il motivo principale che li ha purtroppo spinti all'UAC "regolabile", per accontentare il cosiddetto utonto ahimé. UAC in realtà ha senso solo al max livello su Win7.

Su quali fondamenta puòi dire che non l'ho alzato al massimo e non funziona se impostato al massimo ?

...Mi sembri cascare dalle nuvole... Allora non hai seguito i precedenti post qui e negli altri thread dove io per primo ho postato i famosi exploit di Win7 quando UAC è A LIVELLO DEFAULT. C'è un motivo per cui ho sempre detto di alzarlo al massimo livello (come è su Vista). Non è una falla dell'UAC, ma by design un effetto collaterale.
Reimposta l'UAC al massimo livello su Win7, non a default, e non funzionerà.

...e NO UAC non è un Sì e No, e stiamo tentando di spiegarlo da mesi/anni su questo forum agli utenti non ancora informati. Se poi non si vuol fare nemmeno la fatica di leggere una 50ina di righe di spiegazione e IMPARARE qualcosa... beh...

L'unica vera critica da fare a MS secondo me è il non essere stata abbastanza chiara sull'UAC spiegando anche con video introduttivi questo punto cardine della sicurezza dei nuovi Winodws, dettagliatamente. Ma d'altra parte, quando il 60% dell'utenza di Vista si lamentò per dover "cliccare 2 volte" :rolleyes: chi può biasimarli fino in fondo? È il motivo principale che li ha purtroppo spinti all'UAC "regolabile", per accontentare il cosiddetto utonto ahimé. UAC in realtà ha senso solo al max livello su Win7.
l'UAC di Vista è molto più potente di quello di 7....:O e se microsoft avesse voluto fare una cosa...normale doveva essere al massimo di default poi uno se voleva poteva abbassarlo e non il contrario...perchè i newbie sono quelli che ci cascano sempre quindi meglio proteggerli da subito no?

massimo, minimo o medio quell'exploit funziona ugualmente, alla faccia dell'inutilità dell'uac.
L'unica roba che funziona sul serio è l'utente davanti il monitor.

l'UAC di Vista è molto più potente di quello di 7....:O e se microsoft avesse voluto fare una cosa...normale doveva essere al massimo di default poi uno se voleva poteva abbassarlo e non il contrario...perchè i newbie sono quelli che ci cascano sempre quindi meglio proteggerli da subito no?
Oooh... su questo hai perfettamente ragione!

Gli errori di Microsoft riguardo all'UAC sono stati 2:

1) non spiegare BENE all'uscita di Vista che cos'era davvero UAC (quindi discorso privilegi, virtualstorage ecc...) e non lasciare che la gente lo interpretasse come un semplice SI/NO;

2) sulla spinta della cattiva reputazione (sbagliata) che s'era fatto Vista implementare una sorta di personalizzazione dello UAC in Windows 7. Non solo doveva non farlo e lasciarlo come su Vista, ma (sbagliando due volte) l'ha impostato su un livello più basso di com'era su Vista!

massimo, minimo o medio quell'exploit funziona ugualmente, alla faccia dell'inutilità dell'uac.
L'unica roba che funziona sul serio è l'utente davanti il monitor.
E io ti ripeto che qualunque utente un minimo accorto e non quello che va nella sezione Computer di Donna Moderna, che quindi sapesse davvero cos'è UAC, non lo disabiliterebbe MAI!

Poi uno può fare ciò che vuole, anche trasformare Vista e 7 in Windows 3.1, ma almeno lo facesse sapendo bene cos'ha disabilitato!

Oooh... su questo hai perfettamente ragione!

Gli errori di Microsoft riguardo all'UAC sono stati 2:

1) non spiegare BENE all'uscita di Vista che cos'era davvero UAC (quindi discorso privilegi, virtualstorage ecc...) e non lasciare che la gente lo interpretasse come un semplice SI/NO;

2) sulla spinta della cattiva reputazione (sbagliata) che s'era fatto Vista implementare una sorta di personalizzazione dello UAC in Windows 7. Non solo doveva non farlo e lasciarlo come su Vista, ma (sbagliando due volte) l'ha impostato su un livello più basso di com'era su Vista!

questa volta siamo d'accordo :)

E io ti ripeto che qualunque utente un minimo accorto e non quello che va nella sezione Computer di Donna Moderna, che quindi sapesse davvero cos'è UAC, non lo disabiliterebbe MAI!

Poi uno può fare ciò che vuole, anche trasformare Vista e 7 in Windows 3.1, ma almeno lo facesse sapendo bene cos'ha disabilitato!

L'ho totalmente eliminato e non ho mai preso porcate nemmeno su xp, per me ste robe non servono a niente

L'ho totalmente eliminato e non ho mai preso porcate nemmeno su xp, per me ste robe non servono a niente

mossa astuta...ognuno è libero di suicidarsi come vuole ;)

ma a che serve tenerlo attivo quando anche un semplice script come quello, in questo caso innocuo, te lo disattiva ?
allora io se sono un'utente con un minimo di cervello... se non so cosa sto facendo non lancio quel file... se poi sono ancora + esperto me lo edito e ne controllo il codice e cosi via....

edit:

correggo non con un minimo di cervello, diciamo con una certa praticità. Non vorrei offendere chi giustamente non è proprio esperto per svariati motivi e poi magari ne ha tanto di cervello.

l'UAC di Vista è molto più potente di quello di 7....:O e se microsoft avesse voluto fare una cosa...normale doveva essere al massimo di default poi uno se voleva poteva abbassarlo e non il contrario...perchè i newbie sono quelli che ci cascano sempre quindi meglio proteggerli da subito no?

[risposta poco seria]
D'accordissimo ma ahimé, i newbie hanno protestato in massa contro Vista e persino Apple ha fatto campagne pubblicitarie sfottendo il nuovo OS di MS che chiedeva per qualunque cosa (uh?) il permesso... (http://youtube.com/watch?v=VuqZ8AqmLPY) per questo hanno accontentato la plebaglia ignorante (scusate ma è la verità, chiamiamo le cose con il loro nome ;)). Questa è la verità dietro le quinte.
Pensa se avessero anche introdotto di default la richiesta password all'UAC (e invece hanno inventato il Secure Desktop per semplificare almeno le cose)! Partivano già a bombardare Redmond... :doh:
Mi piace cmq la risposta di MS alla storia dell'exploit già pubblico sull'UAC a default di Win7: fatti vostri, MS consiglia il massimo livello di protezione e non interverrà in nessun modo (come non ha fatto) per coprire la "falla". Della serie vi abbiamo accontentato, ora pedalate o girate realmente sicuri (= UAC al massimo) come era in Vista.
[/risposta poco seria]

si come questo script fortunatamente "innocuo" in questo caso che spegne il pc pulito pulito senza dire nulla.

http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/

provatelo

Provato e non funziona...o meglio cosa dovrebbe fare esattamente?
Hai detto che dovrebbe spegnere il PC giusto?
L'unica cosa che fa è aprire il menu start e scrivere "change UAC" nella barra di ricerca ma il pc resta attivo e funzionante e l'UAC e settato regolarmente come prima...

D'accordissimo ma ahimé, i newbie hanno protestato in massa contro Vista e persino Apple ha fatto campagne pubblicitarie sfottendo il nuovo OS di MS che chiedeva per qualunque cosa (uh?) il permesso... per questo hanno accontentato la plebaglia ignorante (scusate ma è la verità, chiamiamo le cose con il loro nome ;)). Questa è la verità dietro le quinte.
Pensa se avessero anche introdotto di default la richiesta password all'UAC (e invece hanno inventato il Secure Desktop per semplificare almeno le cose)! Partivano già a bombardare Redmond... :doh:

I tuoi atteggiamenti sono un tantinello presuntuosi e basati solo suoi tuoi modi di vedere. Qui hai la stessa voce in capitolo di qualsiasi altro utente e lo stesso vale per quello che dici.

Mi piace cmq la risposta di MS alla storia dell'exploit già pubblico sull'UAC a default di Win7: fatti vostri, MS consiglia il massimo livello di protezione e non interverrà in nessun modo (come non ha fatto) per coprire la "falla". Della serie vi abbiamo accontentato, ora pedalate o girate realmente sicuri (= UAC al massimo) come era in Vista.
Al massimo, è ovvio. Altrimenti non si potrebbe parlare e dire cose basate solo sull'intuito, sul sentito dire e sulle supposizioni personali.

A me sembra solo un si/no, anche portato al massimo livello di sicurezza

Questo è vero se giri come Amministratore.

Se crei un account utente ti viene chiesta la password dell'amministratore.

si come questo script fortunatamente "innocuo" in questo caso che spegne il pc pulito pulito senza dire nulla.

http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/

provatelo

Il bug in questione era stato trovato nella beta e risolto nella RC, inoltre con UAC al massimo livello non sarebbe stato possibile.

Per spegnere il pc non serve un bug, basta fare uno script col comando shutdown con appositi parametri di comando.

La stessa cosa può essere fatta su una qualsiasi distro *nix (oltre a varie cose carine che uno può fare anche con privilegi user).

Provato e non funziona...o meglio cosa dovrebbe fare esattamente?
Hai detto che dovrebbe spegnere il PC giusto?
L'unica cosa che fa è aprire il menu start e scrivere "change UAC" nella barra di ricerca ma il pc resta attivo e funzionante e l'UAC e settato regolarmente come prima...

E lo sottoscrivp o avviarti programmi a caso, adobe, paint.... questo non lo so perchè lo fà.
L'uac penso lo disabiliti momentaneamente, infatti si dalle opzioni rimane settato al massimo.

Bè leggendo lo script (e anche quanto scritto dall'autore) dovrebbe riavviare il pc....:rolleyes:

Questo è vero se giri come Amministratore.

Se crei un account utente ti viene chiesta la password dell'amministratore.

L'account di default di win, come utente non limitato o quasi.


Il bug in questione era stato trovato nella beta e risolto nella RC, inoltre con UAC al massimo livello non sarebbe stato possibile.

Per spegnere il pc non serve un bug, basta fare uno script col comando shutdown con appositi parametri di comando.

La stessa cosa può essere fatta su una qualsiasi distro *nix.

Trovo odiosa anche ubuntu.

ma a che serve tenerlo attivo quando anche un semplice script come quello, in questo caso innocuo, te lo disattiva ?
allora io se sono un'utente con un minimo di cervello... se non so cosa sto facendo non lancio quel file... se poi sono ancora + esperto me lo edito e ne controllo il codice e cosi via....

edit:

correggo non con un minimo di cervello, diciamo con una certa praticità. Non vorrei offendere chi giustamente non è proprio esperto per svariati motivi e poi magari ne ha tanto di cervello.

Senti Pincox... forse non hai capito o è solo trolling anti-UAC il tuo: quello script disattiva l'UAC quando l'UAC è a default su Win7. Se l'UAC lo imposti al max anche su Win7, come era su Vista quel VB script non può aprire le prefs di sistema e cambiarti le impostazioni automaticamente.
Mi sa che ancora non hai capito cos'è l'UAC e quello che ci gira attorno...

Bè leggendo lo script (e anche quanto scritto dall'autore) dovrebbe riavviare il pc....:rolleyes:

Si infatti non comprendo perchè avvia anche programmi a caso.
L'ho provato anche su xp e mi pare aprisse solo il menù start.

Senti Pincox... forse non hai capito o è solo trolling anti-UAC il tuo: quello script disattiva l'UAC quando l'UAC è a default su Win7. Se l'UAC lo imposti al max anche su Win7, come era su Vista quel VB script non può aprire le prefs di sistema e cambiarti le impostazioni automaticamente.
Mi sa che ancora non hai capito cos'è l'UAC e quello che ci gira attorno...

ah si scusa. Vero. :rolleyes:

L'account di default di win, come utente non limitato o quasi.


Si e spero che quando la gente si sarà abituata verrà impostato di default un account di tipo non amministrativo.

Ad ogni modo, i token con i quali gira l'amministratore limitato sono gli stessi di un utente normale (Si/No a parte).

Tuttavia, lo scopo di UAC rimane sempre quello che ho citato in precedenza.


Trovo odiosa anche ubuntu.

Non si parla di Ubuntu, si parla di qualsiasi altro sistema *nix based.

Anche da utente normale puoi far girare una serie di comandi che potenzialmente potrebbero essere dannosi per i dati dell'utente.

Questo per dire che l'intelligenza dovrebbe essere nell'utente, non si può (E NON SI DEVE) in alcun modo delegarla al sistema.

Cmq ripeto ancora una volta: UAC non può essere disattivato neanche a default da uno script, dal momento che il bug presente nella beta è stato risolto con la RC.

I tuoi atteggiamenti sono un tantinello presuntuosi e basati solo suoi tuoi modi di vedere.No. Sono basati su fatti e documentazioni, non su commenti dell'ultimo arrivato (che ha tutti i dirtti di questo mondo di dire cose sensate se basate su fatti e documentazioni)... Scusa per aver distrutto la tua bolla di sapone.

P.S.
Rileggi quello che dice WarDuck: era per di più un vecchio bug prima della RC...

Non si parla di Ubuntu, si parla di qualsiasi altro sistema *nix based.

Anche da utente normale puoi far girare una serie di comandi che potenzialmente potrebbero essere dannosi per i dati dell'utente.


...assolutamente sì. Sia su Vista/Win7 che su sistemi *nix puoi con un semplice script eseguito anche a livello utente (quindi anche con UAC attivo su Win, o su una distro Linux) cancellargli vari file nella home...

Visto che c'è chi mette in dubbio quanto da me detto o mi crede poco, ho girato un video, purtroppo la qualità è scarsa (la fotocamera è quella che è) e qualcuno potrebbe mettere in discussione il contenuto del file aperto col notepad o della versione di windows in uso, che non vengono proprio visti in modo dettagliato. Questa volta per quante volte abbia provato non si è spento ma, come detto prima si aprivano solo programmi a caso, ma sottoscrivo ancora una volta che si è spento. Se aspettate la fine vedrete che lo uac era attivo al massimo, ho ripreso anche la fase di boot cosi che non si possa pensare che lo abbia alzato di livello prima e poi non abbia riavviato il pc.

http://www.youtube.com/watch?v=Dpah-0lHZQs

...Scusa per aver distrutto la tua bolla di sapone.


Figurati, mi fa piacere che una volta distruttasi tu possa avere la possibilità di scendere dalle nuvole. Attento a non atterrare di deretano

Figurati, mi fa piacere che una volta distruttasi tu possa avere la possibilità di scendere dalle nuvole.

:rotfl: :rotfl: :rotfl: forte la battuta ! :D

Visto che c'è chi mette in dubbio quanto da me detto o mi crede poco, ho girato un video, purtroppo la qualità è scarsa (la fotocamera è quella che è) e qualcuno potrebbe mettere in discussione il contenuto del file aperto col notepad o della versione di windows in uso, che non vengono proprio visti in modo dettagliato. Questa volta per quante volte abbia provato non si è spento ma, come detto prima si aprivano solo programmi a caso, ma sottoscrivo ancora una volta che si è spento. Se aspettate la fine vedrete che lo uac era attivo al massimo, ho ripreso anche la fase di boot cosi che non si possa pensare che lo abbia alzato di livello prima e poi non abbia riavviato il pc.

http://www.youtube.com/watch?v=Dpah-0lHZQs

...beh? È uno script eseguito come utente che compie azioni utente come lanciare quei programmi. Se vuoi te ne scrivo uno che ti cancella tutta Documenti :) sia per Vista/Win7 con UAC attivo ma anche per Ubuntu o altra distro Linux... Continuo a dire che non hai capito cosa è l'UAC e cosa voglia dire averlo attivo e che ragioni forse nell'ottica "antivirus che mi deve bloccare certe azioni".
Uno spreco di pagine su questo bel thread... Il tuo sta diventando quasi futile trolling. Se LEGGESSI quello che ti viene scritto non solo da me avresti già imparato molto su l'UAC, come fanno tutti e come feci anch'io anni fa accostandomi per la prima volta a Vista.

Quello che mi dà fastidio è l'arroganza e la presunzione senza sapere le cose (oltre a fare lo gnorri)... e un'incomprensibile suscettibilità se viene fatto notare che le cose dette sono inesatte. Io se sono nuovo di qualcosa prima mi informo, ascolto, mi documento e poi critico se devo senza alcuna spocchia o sparate a zero.

Byez, discussione inutile da cui esco volentieri. Tranquillo che la nuvola sui cui sto è talmente alta nel cielo che manco la vedi mentre ti piove in testa :)

P.S.
Forse ti ha impressionato il riavvio inaspettato, ma se apri il prompt comandi e scrivi shutdown /p (un semplice comando, eseguito con diritti utente) rivivrai esattamente quella stupefacente emozione! Senza nemmeno scomodare il Visual Basic basta un semplice .BAT che manco ti fa apparire l'avviso se vuoi eseguire lo script o no... ;)

Visto che c'è chi mette in dubbio quanto da me detto o mi crede poco, ho girato un video, purtroppo la qualità è scarsa (la fotocamera è quella che è) e qualcuno potrebbe mettere in discussione il contenuto del file aperto col notepad o della versione di windows in uso, che non vengono proprio visti in modo dettagliato. Questa volta per quante volte abbia provato non si è spento ma, come detto prima si aprivano solo programmi a caso, ma sottoscrivo ancora una volta che si è spento. Se aspettate la fine vedrete che lo uac era attivo al massimo, ho ripreso anche la fase di boot cosi che non si possa pensare che lo abbia alzato di livello prima e poi non abbia riavviato il pc.

http://www.youtube.com/watch?v=Dpah-0lHZQs

Cosa dovrebbe stare a dimostrare questo video?

Io vedo programmi che si aprono a caso e UAC che è sempre rimasto al massimo livello (come tu stesso hai affermato).

E soprattutto cosa non capisci del fatto che il bug che disattivava UAC era presente nella beta e risolto nella release candidate di 7?

Cosa dovrebbe stare a dimostrare questo video?

Io vedo programmi che si aprono a caso e UAC che è sempre rimasto al massimo livello (come tu stesso hai affermato).

E soprattutto cosa non capisci del fatto che il bug che disattivava UAC era presente nella beta e risolto nella release candidate di 7?

Senza alcuna offesa per pincox ma credo che non sapesse cosa sono gli script e sia semplicemente rimasto impressionato da azioni remote senza passare per un'interfaccia grafica, e che si può comandare anche l'OS con semplici script in VB, eseguiti con diritti utente per compiere SOLO azioni utente (non certo disattivare l'UAC, scrivere in C:\Windows, modificare chiavi in HKLM etc.)... tutto qui...

...assolutamente sì. Sia su Vista/Win7 che su sistemi *nix puoi con un semplice script eseguito anche a livello utente (quindi anche con UAC attivo su Win, o su una distro Linux) cancellargli vari file nella home...

già.
semplicemente perchè non si è ancora capito un semplicissimo concetto.
UAC, privilegi elevati e via dicendo, impediscono la distruzione del sistema operativo.
il sistema operativo così facendo ha vita lunga. funzionerà sempre, sarà sempre acceso o si accenderà sempre.
ossia, è diventato veramente un sistema
OPERATIVO.
i TUOI dati devi proteggerli te, sono nella parte del computer dove appunto non c'è alcun controllo (visto che ci si lamenta che il mondo ti controlla, che loro ti controllano, che gli alieni ti guardano e che bill gates raccoglie informazioni sulle tue partite di campo minato, qui c'è la conferma. il sistema non si accorge di nessun cambiamento nei file della cartella utente, se ne frega. se li perdi, il sistema parte comunque, semplicemente te non vedi le tue cartelle che hanno fatto PUF),
e quindi la gente dice "UAC non mi protegge a me, quindi per me è inutile".

ciao

Byez, discussione inutile da cui esco volentieri.

no dai hexaae, lascia stare ma non mollare il 3d ;)

Pincox basta pungere per favore ;)

..... Tranquillo che la nuvola sui cui sto è talmente alta nel cielo che manco la vedi mentre ti piove in testa :)


cosi in alto il vento potrebbe portarti via, fino a divenire un puntino lontanto lontano tanto da essere insignificante.
P.S.
Non sei nessuno per criticare e usare toni offensivi su chi non usa lo uac.

Purtroppo è vero,è la mentalità della gente ad essere sbagliata,non l'UAC (sia che parliamo di Windows sia di altri sitemi operativi).
Ne conosco vari che la prima cosa che fanno è disattivare UAC perchè è uno stress inutile che non ti fa girare bene i programmi ( :muro: )
Inutile insistere...io ho il mio bel UAC al massimo livello e non mi rompe le scatole più di tanto.
Oltretutto quei pochi che capiscono poi si lamentano dicendo che tanto non ci vuole nulla a scavalcare uac perchè è solo una conferma ad una finestra.
Invece grazie a questo thread spero sia chiaro che non si tratta di una sola finestra ma c'è un sistema ben più complesso dietro....

Poi siamo tutti consapevoli che nulla sarà mai sicuro al 100%..ma se iniziamo a lasciare alla porta il 92% direi che molto probabilmente il restante 8% a noi non ci si fila :cool:

Non trasformiamo un thread interessante nella solita flammata per piacere: una volta tanto che Windows ha attinto quello che c'è di buono nei sistemi *nix di cosa ci lamentiamo? Dei mulini a vento?

Non sei nessuno per criticare e usare toni offensivi su chi non usa lo uac.

baaaaasta...... nn serve a niente quello che fai, anzi serve a mandare in cacca il 3d :mbe:

no dai hexaae, lascia stare ma non mollare il 3d ;)

Pincox basta pungere per favore ;)

..... per questo hanno accontentato la plebaglia ignorante (scusate ma è la verità, chiamiamo le cose con il loro nome ;)).


Io mi sono sentito punto ok ? se io non voglio usare uac sono fatti miei e nessuno deve giudicare

Libero di non usarlo,sono fatti tuoi. Abbi la gentilezza di non rovinare il thread che è molto interessante per noi che usiamo UAC.

Se ti sei sentito punto esistono gli MP.

Grazie.

Libero di non usarlo,sono fatti tuoi.

Appunto

Io mi sono sentito punto ok ? se io non voglio usare uac sono fatti miei e nessuno deve giudicare
Questo è giustissimo, come già detto!

Il discorso è che per due pagine la gente ha cercato di spiegarti che benchè fosse tuo diritto farlo, non sapevi quasi nulla di ciò che hai disattivato, hai pure portato un ridicolo esempio che cerca di dimostrare gli effetti di un bug per altro già risolto e stra risolto ancora prima dell'uscita della RTM! :rolleyes:

Poi, magari, un giorno se vorrai informati su cos'è il virtual storage... quella simpatica funzione che viene attivata dall'UAC e che permette alle cartelle di sistema (c:\windows\system32, c:\windows, c:\programmi...) di rimanere sempre PULITE come erano al momento dell'installazione del sistema operativo! Tutti i softwares, i drivers e qualsiasi cosa abbia necessità di scrivere files .ini, o .cgf o qualsiasi altro files dentro quelle cartelle viene invitato a farlo all'interno di cartelle "virtuali" solitamente Local e LocalLow (insomma le temporanee) nel profilo utente!

La comodità? Che una volta disinstallato quel programma non devi impazzire a cercare rimasugli di installazione dentro cartelle di sistema ma vai a cercarli nelle cartelle local e locallow del profilo utente!

Disattiva pure UAC, che è solo un SI/NO (per te però)! :D

Poi, magari, un giorno se vorrai informati su cos'è il virtual storage... quella simpatica funzione che viene attivata dall'UAC e che permette alle cartelle di sistema (system32, windows, programmi...) di rimanere sempre PULITE come erano al momento dell'installazione del sistema operativo! Tutti i software che devono scrivere files .ini, o .cgf o qualsiasi altro files dentro quele cartelle viene invitato a farlo all'interno di cartelle "virtuali"!

La comodità? Che una volta disinstallato quel programma non devi impazzire a cercare rimasugli di installazione dentro cartelle di sistema ma vai a cercarli nelle cartelle local e locallow del profilo utente!!

wow questo nn lo sapevo ma immaginavo, perchè è troppo performante dopo mesi di installa e disinstalla! :D

Io mi sono sentito punto ok ? se io non voglio usare uac sono fatti miei e nessuno deve giudicare

Questo nessuno lo mette in dubbio, ma le motivazioni per cui lo fai, forse, potrebbero essere sbagliate o frutto di considerazioni sbagliate.

Bisogna comprendere a pieno ciò di cui si sta parlando, altrimenti è inutile starne a discutere tentando di dimostrare qualcosa che non esiste, non trovi?

Hai cercato di smontare UAC portando ad esempio uno script che non fa nient'altro che aprire i programmi, come se UAC dovesse impedirlo, segno che forse non hai appreso pienamente la sua utilità.

Ci sono voluti diversi post per farti capire che forse quello che stavi mostrando non era niente di eccezionale, ma anzi, si può replicare anche su sistemi *nix.

Nessuno ce l'ha con te, figurarsi, però sono del parere che (anche per se stessi) bisogna sapere quello di cui si parla.

Nessuno è nato imparato, come si dice, tuttavia si può fare un piccolo sforzo per cercare di comprendere cosa ci troviamo di fronte.

Altrimenti vanno tutti per la loro strada, senza curarsi degli altri, il che renderebbe vano l'uso di un forum come questo.

.., hai pure portato un ridicolo esempio che cerca di dimostrare gli effetti di un bug per altro già risolto e stra risolto ancora prima dell'uscita della RTM!

cosa ha risolto ? spiega dettagliatamente cortesemente.

Disattiva pure UAC, che è solo un SI/NO (per te però)! :D

come è altro per te del resto e siccome tu hai la mia stessa voce in capitolo perchè non sei nessuno quello che dici vale tanto quanto, dopotutto siamo in molti ad amare lo uac come a non amarlo, in molti a paragonarlo a sudo e in molti a decretarne le differenze.

Questo nessuno lo mette in dubbio, ma le motivazioni per cui lo fai, forse, potrebbero essere sbagliate o frutto di considerazioni sbagliate.

Bisogna comprendere a pieno ciò di cui si sta parlando, altrimenti è inutile starne a discutere tentando di dimostrare qualcosa che non esiste, non trovi?

Hai cercato di smontare UAC portando ad esempio uno script che non fa nient'altro che aprire i programmi, come se UAC dovesse impedirlo, segno che forse non hai appreso pienamente la sua utilità.

Ci sono voluti diversi post per farti capire che forse quello che stavi mostrando non era niente di eccezionale, ma anzi, si può replicare anche su sistemi *nix.

Nessuno ce l'ha con te, figurarsi, però sono del parere che (anche per se stessi) bisogna sapere quello di cui si parla.

Nessuno è nato imparato, come si dice, tuttavia si può fare un piccolo sforzo per cercare di comprendere cosa ci troviamo di fronte.

Altrimenti vanno tutti per la loro strada, senza curarsi degli altri, il che renderebbe vano l'uso di un forum come questo.

Ho ancora con sta palla, e per di + sei tra quelli che mi paragono lo uac ai sistemi unix like, ripeto non serve a nulla sto uac, quando qualunque cosa può essere avviata senza problemi o spegnere addirittura il pc, è sola una pezza inutile che non c'entra nulla con sudo.
In ogni caso adesso non è perchè vi siete aggregati in questa combriccola di guru... basta voltare pagina per leggere commenti totalmente opposti.

Fai un po quello che vuoi Pincox! ;)

quando qualunque cosa può essere avviata senza problemi o spegnere addirittura il pc, è sola una pezza inutile che non c'entra nulla con sudo.


O hai una RC mai aggiornata oppure non hai capito una mazza di quello che c'è scritto nelle righe sopra...

A me quello script non fa partire nulla se non il menu start e basta...

Ho ancora con sta palla, e per di + sei tra quelli che mi paragono lo uac ai sistemi unix like, ripeto non serve a nulla sto uac, quando qualunque cosa può essere avviata senza problemi o spegnere addirittura il pc, è sola una pezza inutile che non c'entra nulla con sudo.
In ogni caso adesso non è perchè vi siete aggregati in questa combriccola di guru... basta voltare pagina per leggere commenti totalmente opposti.

UAC è una semplice interfaccia per commutare da privilegi user a privilegi admin, come GK-SUDO, se proprio vogliamo fare un paragone 1:1.

Quello che può fare l'utente con i suoi privilegi, lo può fare anche uno script (http://en.wikipedia.org/wiki/Script_%28computing%29) (di default).

Questo vale su Windows, su Mac, su una qualsiasi distro Linux (consumer).

Uno script non è nient'altro che una sequenza di istruzioni, il cui confine è quello stesso dell'utente.

Un utente può avviare paint? Può farlo anche lo script.
Un utente può avviare notepad? Può farlo anche lo script.
Un utente può operare nella sua cartella utente? Può farlo anche lo script.

Questo vale paro paro anche nei sistemi *nix.

Negare questo significa solo prendere in giro gli altri.

In ogni caso adesso non è perchè vi siete aggregati in questa combriccola di guru...

ADESSO BASTA........ ESCI DA QUESTO 3D CHE SEI COMPLETAMENTE FUORI LUOGO! :mbe:

Siccome non ho mai segnalato nessuno ai mod... qualcuno per favore lo faccia per salvare il 3d :muro:

cosi in alto il vento potrebbe portarti via, fino a divenire un puntino lontanto lontano tanto da essere insignificante.
P.S.
Non sei nessuno per criticare e usare toni offensivi su chi non usa lo uac.

Nessuno qui si vuole atteggiare da grande GURU, semplicemente sono mesi/anni che discutiamo già, ci siamo già confrontati e documentati umilmente (anche sbagliando) nel tempo perché nessuno nasce "imparato".
Te l'ho detto... io (e credo anche altri qui) semplicemente non sopporto chi da newbie entra in un thread, spara a zero e dimostra per giunta di non conoscere le cose di cui parla e su cui vuole assolutamente avere ragione; la ciliegina sulla torta poi è fare lo gnorri ignorando volutamente o per pigrizia le spiegazioni TECNICHE E DOCUMENTATE che gli vengono fornite come smentita alle proprie debole tesi.

Io ho 34 anni, utilizzo computer dal lontano 1982 (Spectrum 48K), quando forse non eri ancora nato. Sono passato per vari OS, principalmente di impronta *nix, inclusi l'eterno AmigaOS, MacOS7-8 e distro Linux, e uso Windows (che prima non avevo mai amato) stabilmente solo dal 2007 col primo portatile tutto mio, proprio con Vista. Nel frattempo dato che ho sempre avuto come hobby questo dell'informatica ho detto "beh, vediamo...", mi sono documentato e ho cercato di istruirmi... Questo mi ha portato tra l'altro a diventare uno dei betatester di Win7 ufficiali e ho contribuito, nel mio piccolissimo, in prima linea (e continuo a farlo inviando bug e commenti direttamente all'interno di MS) all'uscita di questo OS e ho 2 copie gratuite di Win7 Ultimate offerte da MS Italia come riconoscimento che ha invitato me e gli altri betatester a Milano qualche mese fa dopo l'uscita ufficiale... Non per questo voglio darmi delle arie, ma non credo di essere il primo pincopallino che puoi incontrare nei forum a parlare senza cognizione di causa di Vista o Win7, quindi scusa se alle volte sembro arrogante ma se vuoi scendere ad un discorso più tecnico e "dall'interno" di Vista/Win7 e dell'UAC accomodati, ma se vuoi solo fare sparate e insistere a dire che "non serve a niente!" (molto scientifico e molto tecnico non c'è che dire...) quando ti è stato anche spiegata la sua enorme utilità, beh... sono fatti tuoi che fai lo gnorri.

Ci sono delle regole in un forum e il tuo atteggiamento è diventato ormai quasi (?) trolling proprio perché non stai nemmeno a sentire le risposte che ti vengono fornite ma continui a fare battutine e ripetere le stesse, smentite, cose.
A questo punto può intervenire solo un moderatore io credo...

Io mi sono sentito punto ok ? se io non voglio usare uac sono fatti miei e nessuno deve giudicare

Liberissimo, ma non libero di dire cose sbagliate e inesatte con tanto di spiegazione che bellamente da te viene ignorata...

@ Pincox ed hexaee: evitate entrambi battute e punzecchiature.
si come questo script fortunatamente "innocuo" in questo caso che spegne il pc pulito pulito senza dire nulla.
http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/
provatelo
cosa ha risolto ? spiega dettagliatamente cortesemente.
Il forum è fatto per discutere e, perchè no, colmare le proprie lacune in merito agli argomenti trattati.
Ti è stato fatto notare, anche con l'apporto di documenti tecnici, che lo script da te postato non è in grado di far spegnere o riavviare il sistema con UAC impostato al livello massimo.
In questa situazione è solo in grado di compiere azioni da utente standard, cosa possibile anche su altri sistemi operativi.

Però continui a sostenere, senza base alcuna, che non è così (quindi che il sistema è riavviabile tramite script). Eppure basta provare di persona, chiunque può verificarlo.
Un conto è il voler giustamente e utilmente evidenziare i difetti di questo sistema di protezione, com'era inizialmente nel tuo intento, un conto è continuare a restare della propria idea nonostante i temi siano stati smentiti da prove dirette sul campo e relativa documentazione.

Se vuoi continuare ad analizzare aspetti positivi e negativi di UAC, scopo del thread, sei il benvenuto nella discussione, se invece intendi proseguire su questa strada non va assolutamente bene, nè per te che scrivi nè per chi vuole informarsi perchè inesperto in materia o semplicemente per cultura personale, dall'utente alle prime armi sino alla persona più esperta di PC sulla faccia della terra.

Figurati, mi fa piacere che una volta distruttasi tu possa avere la possibilità di scendere dalle nuvole. Attento a non atterrare di deretano
cosi in alto il vento potrebbe portarti via, fino a divenire un puntino lontanto lontano tanto da essere insignificante.
Ho ancora con sta palla, e per di + sei tra quelli che mi paragono lo uac ai sistemi unix like, ripeto non serve a nulla sto uac, quando qualunque cosa può essere avviata senza problemi o spegnere addirittura il pc, è sola una pezza inutile che non c'entra nulla con sudo.
In ogni caso adesso non è perchè vi siete aggregati in questa combriccola di guru...
Come detto sopra, se posti solo per affermare "UAC no" senza ascoltare le argomentazioni e le spiegazioni dei tuoi interlocutori (la convinzione che lo script funzioni anche sulle versioni successive alla RC di Windows lo conferma), non ci siamo.
E nota bene, questo non significa che tu debba dare sempre ragione al prossimo, ma quando ti si pongono informazioni certe e spiegate con prove e documenti, utili a smentire quanto affermi, non puoi continuare a dire il contrario facendo finta di non leggere e, soprattutto, senza controbbattere con ulteriori argomenti validi ma solo con frasi tipo "no, per me è così e basta".
Altrimenti non è più una discussione tra due parti, ma tra te e te.

Sei sospeso 1 giorno, in modo che tu possa rileggere i tuoi interventi e al termine del quale mi auguro tu abbia capito lo scopo del mio richiamo e lo spirito con cui si dovrebbe partecipare ad una discussione ;)

EDIT

Vista Home Premium 32bit user.
mi son preso la libertà di scaricare e modificare quello script, dato che è scritto per sistemi inglesi (e per Seven).
ovviamente, sul mio vista, il comando
WshShell.SendKeys("change uac")
faceva solo il solletico.
lo script successivamente mi apriva una cartella a caso (trovata con le parole "change uac") e, non contento, coi comandi successivi mi lanciava l'ibernazione, perchè scendeva con tanti DOWN verso il tastino di ibernazione del menu start.

il mio è questo. spero che già nei commenti vi sia chiara la situazione.
'// 1337H4x Written by _____________ and modified by an italian user
'// (12 year old)

Set WshShell = WScript.CreateObject("WScript.Shell")

'//1 Entro nel menu start.
WshShell.SendKeys("^{ESC}")
WScript.Sleep(500)

'//2 cerco di entrare nella gestione dell'account utente
WshShell.SendKeys("account utente")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)

'//3 aperto il pannello, tento di modificare UAC.
WshShell.SendKeys("{TAB}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{DOWN}")
WshShell.SendKeys("{ENTER}")
WScript.Sleep(2000)


'//4 che strano, lo schermo diventa nero. mi ha chiesto di continuare...
'// anche se tento di dargli i comandi hardware per cliccare su continua, nulla accade.
WshShell.SendKeys("{LEFT}")
WshShell.SendKeys("{ENTER}")

allo stesso modo, al punto 2, potevo scrivere

WshShell.SendKeys("shutdown -s -f -t 00")
e qui la "beffa".
al contrario dei sistemi linux, il comando di shutdown di sistema sotto windows NON è protetto da UAC.
il sistema inizia la procedura di spegnimento con forzatura, al volo.
poco male, la macchina dopo può ripartire senza mezzo problema.
UAC non protegge proprio tutto (e non so perchè, purtroppo) ma dove è stato messo, lo fa molto bene.

noto comunque una cosa abbastanza semplice da capire.
questo script non fa niente di nascosto, è come se usasse la tastiera a schermo, e vedo tutto quello che fa. mentre lo fa posso interferire col suo operato.

allo stesso modo potrei fare uno script in linux che mi spegne il pc senza usare "shutdown -h now" (che necessita di superuser) semplicemente muovendomi nell'interfaccia grafica e andando a cercare il pulsante di spegnimento.
dopo sotto linux devo dare i permessi per eseguire lo script.
dopo sotto linux l'interfaccia grafica non è mai uguale.
, bla bla.
una protezione in più. qui ho dovuto solo togliere ".txt" e lo script è diventato eseguibile (tuttavia il sistema mi ha chiesto se volevo veramente eseguirlo (avviso di protezione file scaricati da internet)).
il resto è aria fritta.


ciao.

Provato e non funziona...o meglio cosa dovrebbe fare esattamente?
Hai detto che dovrebbe spegnere il PC giusto?
L'unica cosa che fa è aprire il menu start e scrivere "change UAC" nella barra di ricerca ma il pc resta attivo e funzionante e l'UAC e settato regolarmente come prima...

Forse non avete ben capito, che per disabilitare L'UAC non serve un semplice script.. non potrebbe mai eseguire questa operazione ' per disattivare l'uac servono i diritti di amministratore (livello max ) e c'è bisogno di un riavvio del sistema per disabilitare il processo in esecuzione.

Vista Home Premium 32bit user.
mi son preso la libertà di scaricare e modificare quello script, dato che è scritto per sistemi inglesi (e per Seven).
ovviamente, sul mio vista, il comando
Finalmente un po' di chiarezza, grazie Kro ;)

Si può impedire agli utenti lo spegnimento della macchina, ad esempio tramite Local Security Policy (secpol.msc).

Si può creare un nuovo gruppo e fare in modo che solo gli utenti in quel gruppo possano spegnere il pc.

Si può impedire anche l'accesso al file shutdown.exe tramite le ACLs.

Tuttavia restrizioni di questo tipo sono abbastanza inutili in ambito domestico.

UAC si spiega in questi 2 semplici screen. ;)
http://img443.imageshack.us/img443/2621/promt1.th.jpg (http://img443.imageshack.us/i/promt1.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

http://img692.imageshack.us/img692/8416/promt2.th.jpg (http://img692.imageshack.us/i/promt2.jpg/)

Non c'è bisogno di aggiungere altro.

UAC si spiega in questi 2 semplici screen. ;)
http://img443.imageshack.us/img443/2621/promt1.th.jpg (http://img443.imageshack.us/i/promt1.jpg/)

Uploaded with ImageShack.us (http://imageshack.us)

http://img692.imageshack.us/img692/8416/promt2.th.jpg (http://img692.imageshack.us/i/promt2.jpg/)

Non c'è bisogno di aggiungere altro.

piccolo ot...ammazza a vedere dalle icone hai un sacco di €...adobe suite,,,corel suite...o emule? :D

piccolo ot...ammazza a vedere dalle icone hai un sacco di €...adobe suite,,,corel suite...o emule? :D

original :D

si come questo script fortunatamente "innocuo" in questo caso che spegne il pc pulito pulito senza dire nulla.

http://www.withinwindows.com/2009/01/30/malware-can-turn-off-uac-in-windows-7-by-design-says-microsoft/

provatelo

Questo script va modificato in quanto cercando "change uac" nelle versioni italiane di 7 non trova nulla (bisogna cercare solo "uac" e non premere "Down" 2 volte, in quanto è il primo risultato).

Detto questo, ho appena provato su Win7 RTM Professional che uso sul netbook e posso raccontare la mia esperienza: lo script funziona SOLO se UAC è DISATTIVATO (quindi è totalmente inutile). Se UAC è attivato (pure la prima tacca, quella che disabilita il Secure Desktop) la finestra si apre ma lo script non riesce a interagire (non succede nulla all'interno). Al contrario se UAC è disattivato si può tranquillamente interagire (ma a cosa serve a sto punto? :stordita: )

EDIT: noto solo ora che Khronos aveva già raccontato tutto :stordita:

piccolo ot...ammazza a vedere dalle icone hai un sacco di €...adobe suite,,,corel suite...o emule? :D
Semmai Bittorrent :D

Bello Avatar? :D

Pardon...fine OT

Bello Avatar? :D

Pardon...fine OT

eheh sisi :cool: :D
fine OT

MA il discorso dello apegnimento forzato che sotto Win non è protetto da UAC...come mai? C'è una motivazione tecnica?
Alla fine uno non potrebbe creare uno script che esegue lo spegnimento ad ogni avvio?

MA il discorso dello apegnimento forzato che sotto Win non è protetto da UAC...come mai? C'è una motivazione tecnica?
Alla fine uno non potrebbe creare uno script che esegue lo spegnimento ad ogni avvio?

Non c'è una motivazione tecnica, come ho detto si può tranquillamente fare in modo di bloccarlo (a prescindere da UAC).

In ambito consumer probabilmente non ha senso bloccarlo.

Cmq si si può fare uno script del genere.

Ad ogni modo ribadisco per l'ennesima volta, UAC non controlla di per se gli accessi ma chiede solo all'utente se autorizzarli o meno.

al contrario dei sistemi linux, il comando di shutdown di sistema sotto windows NON è protetto da UAC.

puoi spiegare meglio che nn ho capito?
Intendi che durante lo spegnimento il sistema resta indifeso?

puoi spiegare meglio che nn ho capito?
Intendi che durante lo spegnimento il sistema resta indifeso?

No, intende dire che se dai il comando halt oppure reboot da terminale sotto i sistemi *nix, ti vengono chiesti i privilegi di root, quindi dovresti usare sudo.

Questo non accade su Windows (anche se come ho detto è possibile impedire lo spegnimento da console modificando i permessi del file shutdown.exe).

No, intende dire che se dai il comando halt oppure reboot da terminale sotto i sistemi *nix, ti vengono chiesti i privilegi di root, quindi dovresti usare sudo.

Questo non accade su Windows (anche se come ho detto è possibile impedire lo spegnimento da console modificando i permessi del file shutdown.exe).

non su tutti gli unix cè sudo...anzi in pochissimi ,e se uno vuole spengerlo e ..o fare altro certo non lo fa vedere all'interessato no? ;)

vabè, calcola che c'è gente che usa il computer 15 min al giorno quando lo usa tanto... sai che gliene frega dell' uac

certo ma non si devono lamentare se il sistema operativo và giu' con un semplice trojan.... è anche colpa di microsoft che non ha spiegato a dovere l'integrazione di protezione dell'account.

certo ma non si devono lamentare se il sistema operativo và giu' con un semplice trojan.... è anche colpa di microsoft che non ha spiegato a dovere l'integrazione di protezione dell'account.

Infatti. Come ho detto più volte anch'io non ho mai condiviso il quasi-silenzio sull'UAC da parte di MS, forse per non spaventare gli utenti poco esperti, invece di creare addirittura un piccolo video carino e pensato per tutti al primo avvio per spiegare questa feature fondamentale dei nuovi Windows :rolleyes:
Ad essere onesti persino il messaggio che compare nell'UAC requester non è affatto chiaro e lo fa sembrare davvero un Sì/No invece di dire chiaramente e semplicemente: "je voi dà 'sti diritti da admin o nno? Pensace prima...". Era tanto semplice, ma forse le parole "diritti" "admin" "user" già spaventano troppo l'utente inesperto... E specificare meglio anche il fatto che normalmente si è admin ma con diritti da user (o tutti si chiederebbero, come avviene puntualmente, "ma io non sono già admin e unico padrone&signoreassolutodellamacchina?!"). Insomma MS pecca sicuramente di chiarezza, anche in Win7. Altro che ballot screen per il browser... tsk..

Post OT e pvt pubblicato da pincoxx cestinati, account clone bannato e account principale (Pincox) sospeso 15gg.
A tutti: segnalate e non replicate, altrimenti si inquina solamente il thread.

Curiosità:
1) lavorando canonicamente da un account amministrativo con UAC impostato al massimo ci si può ritenere sufficientemente sicuri?
2) esiste un modo per "dire" all'UAC che un'applicazione di cui mi è canonicamente chiesta l'affidabilità è sicura?
3) su un account amministrativo è possibile fare in modo che l'UAC richieda la password per apportare le modifiche segnalate?

Curiosità:
1) lavorando canonicamente da un account amministrativo con UAC impostato al massimo ci si può ritenere sufficientemente sicuri?
Se intendi l'account standard creato di default da Vista/Win7 (descritto come Amministratore, anche se non sei un admin completo...), sì...

2) esiste un modo per "dire" all'UAC che un'applicazione di cui mi è canonicamente chiesta l'affidabilità è sicura?
UAC non chiede se un'applicazione è affidabile o meno all'utente. UAC compare perché quell'applicazione/azione necessita di privilegi da admin completo. La cosa perciò dipende da come è scritta l'applicazione. Se vuoi lanciare delle applicazioni all'avvio senza UAC c'è un thread apposito che spiega come fare. Puoi infine configurare dei link (shortcut) che automaticamente lancino certe applicazioni già con privilegi da admin completo, quindi senza comparsa dell'UAC requester.

3) su un account amministrativo è possibile fare in modo che l'UAC richieda la password per apportare le modifiche segnalate?
È stato già detto: sì modificando la chiave di registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= default: Continua, Annulla; 1= chiedi pass)

È però inutile dal punto di vista della sicurezza perché il Secure Desktop (lo schermo annerito) su cui compare l'UAC è già sicurissimo. È perciò una comodità dover solo cliccare un tasto rispetto a dover digitare una password.

conviene usare ugualmente l'antivirus???? :confused:

conviene usare ugualmente l'antivirus???? :confused:

Visto che il 92% del malware ha comunque le mani legate senza privilegi di esecuzione adeguati... È solo un piccolo strumento di controllo in più l'AV, ma di importanza e efficacia molto limitata quindi opinabile.
Considera che gli AV introducono una seire di potenziali problemi e incompatibilità e rallentamenti di sistema (anche minimi), a fronte di un pizzico di sicurezza in più (parliamo di Vista/Win7 con UAC. Su XP ad es. l'AV era più che utile)... Se sei attento a non introdurre potenziali programmi pericolosi, usi browser con sandbox (ad es. Chrome e IE7-8 con modalità protetta) allora puoi farne a meno.

Chrome e IE7-8 con modalità protetta

cosa intendi con modalità protetta?

Visto che il 92% del malware ha comunque le mani legate senza privilegi di esecuzione adeguati... È solo un piccolo strumento di controllo in più l'AV, ma di importanza e efficacia molto limitata quindi opinabile.
Considera che gli AV introducono una seire di potenziali problemi e incompatibilità e rallentamenti di sistema (anche minimi), a fronte di un pizzico di sicurezza in più (parliamo di Vista/Win7 con UAC. Su XP ad es. l'AV era più che utile)... Se sei attento a non introdurre potenziali programmi pericolosi, usi browser con sandbox (ad es. Chrome e IE7-8 con modalità protetta) allora puoi farne a meno.
Straquoto, non solo, ma aggiungo che le incompatibilità tra AV (non MS) non riguardano solo il SO, ma anche molti software, inoltre a volte si tratta di gravi incompatibilità, che possono compromettere in maniera irreparabile il SO o i software stessi.

cosa intendi con modalità protetta?
In pratica questo:

La Modalità Protetta in pratica crea una sandbox per IE che girerà con diritti addirittura al di sotto di quelli user... È molto complessa la sua gestione e passa anche attraverso gli Integrity Levels. Quello che basta sapere è che in questo modo un eventuale malware eseguito dal browser non potrà fare molto (al max qualche danno in Documenti...) perché non ha i diritti di esecuzione per fare quasi niente. Come ho detto gira con diritti più bassi di quelli utente quindi un exe lanciato dal menu di Windows è più "pericoloso" in quel senso...


Infatti gli AV sono il più basso livello di difesa esistente perché aggirabilissimi e solo dei "poliziotti molto distratti".... Lo scoglio dei diritti limitati è ben più difficile da superare, se non tramite bug veri e propri nei componenti dell'OS che permettano una Escalation Of Privileges

Io da Vista in poi non ho più usato antivirus... così come firewall di terze parti... e così come diverse altre cose! :)

e se si deve controllare un file sospetto?

Invece per la mod protetta come si attiva e quando conviene usarla? :fagiano:

e se si deve controllare un file sospetto?
Per quello di cui ho avuto bisogno il Defender mi è sempre bastato e avanzato!

Ovvio che se uno è tutto il giorno su emule, beh conviene invece che ne metta su uno robusto!

Per quello di cui ho avuto bisogno il Defender mi è sempre bastato e avanzato!

Ovvio che se uno è tutto il giorno su emule, beh conviene invece che ne metta su uno robusto!

be quello è ovvio. Però a me non interessa per emule. Mi serve solo per controllare file che mi danno per il lavoro... visto che non sempre sò chi li manda esattamente.

Non sò nemmeno io che fare, se disinstallarlo oppure no.

Invece per la mod protetta come si attiva e quando conviene usarla? :fagiano:

Così:

http://img267.imageshack.us/img267/3043/catturalo.png (http://img267.imageshack.us/i/catturalo.png/)

La usi sempre.
Per l'AV se proprio vuoi metterne uno usa quello MS: Microsoft Security Essentials ;)

Mi associo ad Eress,metti MSE ;)

grazie a voi.... :D

ma chrome ha mod protetta di default?

Mi associo ad Eress,metti MSE ;)

Per controlli saltuari (magari 1 volta al mese) si può usare una soluzione online come quella offerta da ESET (http://www.eset.com/onlinescan/scanner.php)...
Per check di singoli file puoi usare siti come http://www.virustotal.com/it/
Come AV fisso MSE è un po' pesantino a dire il vero (te ne accorgi particolarmente in fase di installazione dei programmi e come tempi di scan dell'HD...) e mi sento di consigliare l'Avast 5.x nuovo che è molto leggero e potente, se proprio vuoi un AV installato.
Se la paura è di infezioni da chiavette di colleghi/amici, beh, è una falsa paura, nel senso che vale il solito discorso: fossero anche infettate, il malware per installarsi e fare danni seri sul proprio PC sicuramente farebbe comparire un UAC requester...

Prova tranquillamente ad usare Vista/Win7 SENZA AV per alcuni mesi e non te ne pentirai, è solo questione di abbandonare certe "abitudini" e superare la paura iniziale... Il PC in compenso sarà più veloce. Perché rallentarlo h24 per qualche file sospetto ogni tanto? Finalmente, da Vista in poi, si può...

grazie a voi.... :D

ma chrome ha mod protetta di default?

si ha anche una sua sandboxie di default

si ha anche una sua sandboxie di default

Su Vista/Win7 con UAC attivo di default usa un po' gli stessi accorgimenti di IE7/8 quindi è analoga come modalità protetta.

sapete se si possa avere l'elenco delle autorizzazioni negate/date con ora, giorno ecc...?

sapete se si possa avere l'elenco delle autorizzazioni negate/date con ora, giorno ecc...?

http://a.imagehost.org/t/0628/Immagine_9.jpg (http://a.imagehost.org/view/0628/Immagine_9)

http://a.imagehost.org/t/0628/Immagine_9.jpg (http://a.imagehost.org/view/0628/Immagine_9)

grazie hexaae.
Ne sai sempre ;)

grazie hexaae.
Ne sai sempre ;)

Veramente non sono sicuro che sia quello che chiedevi... :)
Non mostra selettivamente le richieste UAC confermate o meno... ma gli accessi al sistema.

Se la paura è di infezioni da chiavette di colleghi/amici, beh, è una falsa paura, nel senso che vale il solito discorso: fossero anche infettate, il malware per installarsi e fare danni seri sul proprio PC sicuramente farebbe comparire un UAC requester...



Attenzione a non propagandare false illusioni. Già almeno un paio di trojan che si installano e funzionano con i privilegi utente limitato e quindi non facendo scattare l'UAC mi sono capitatati. In entrambi i casi si copiano nei temp dell'utente, scrivono sul registro nella sezione per avviarsi automaticamente al login dell'utente. Ogni volta che l'utente accede al sistema si carica in memoria l'eseguibile che apre connessioni TCP con server remoti, ed in un caso faceva aprire finestre di Internet Explorer con contenuto pubblicitario.

L'altro eri me ne è capitato un esemplare non riconosciuto da Antivir mentre lo era da altri AV, l'ho sottoposto ai laboratori di Avira che lo hanno denominato TR/Agent.185344 ed inserito nelle loro ultime definizioni.

[Cito dal sito di Avira]
The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.



Io li ho visti e ho lavorato per eliminarli, per cui so che esistono e fanno danno. Voi fate come vi pare, ma per favore evitate di generare false illusioni di sicurezza. L'UAC è importante, ma non è la panacea sul versante sicurezza. E con Windows un buon AV può solo far comodo.



Saluti.

Che non facciano scattare l'UAC al loro avvio (una volta installati) posso anche capirlo, ma come lo facciano al momento dell'installazione è meno chiaro :rolleyes:

Che non facciano scattare l'UAC al loro avvio (una volta installati) posso anche capirlo, ma come lo facciano al momento dell'installazione è meno chiaro :rolleyes:

Cosa c'è di poco chiaro in "che si installano e funzionano con i privilegi utente limitato"? :)


Presente i programmi "portable"?


Saluti.

Infatti, uso moltissimi portable quando li apri scatta sempre l'UAC, sempre meno chiaro...:D

Attenzione a non propagandare false illusioni. Già almeno un paio di trojan che si installano e funzionano con i privilegi utente limitato e quindi non facendo scattare l'UAC mi sono capitatati. In entrambi i casi si copiano nei temp dell'utente, scrivono sul registro nella sezione per avviarsi automaticamente al login dell'utente. Ogni volta che l'utente accede al sistema si carica in memoria l'eseguibile che apre connessioni TCP con server remoti, ed in un caso faceva aprire finestre di Internet Explorer con contenuto pubblicitario.


Defender in genere è sufficiente perché individua proprio quel genere di malware e monitora eventuali accessi a chiavi di AutoRun anche con diritti utente.

Come li hai presi quei trojan? Devi aver scaricato crack o simili perché per es. tramite WEB browser sandboxati come IE7-8 o Chrome con UAC attivo è molto improbabile che possano essere eseguiti automaticamente e correttamente semplicemente navigando... Nè l'uso di AV nè la barriera dei diritti utente può essere disgiunta dal buon senso dell'utente.
Infine, come tu stesso hai ammesso, nemmeno l'AV lo riconosceva: attenzione, non facciamo nemmeno false illusioni sugli AV che proteggono realmente e 100% efficacemente i sistemi come si propagandano...

Infatti, uso moltissimi portable quando li apri scatta sempre l'UAC, sempre meno chiaro...:D


Certo, è molto poco chiaro il perché ti scatti sempre l'UAC (cioè la richiesta di elevazione privilegi utente) per dei portable, direi decisamente misterioso.

Fossi in te me lo chiederei il perché.

Tranne che non si tratti di utility che devono appositamente agire in zone del sistema operativo precluse all'utente con bassi privilegi, ma non si sta discutendo di questo.


Saluti.

Defender in genere è sufficiente perché individua proprio quel genere di malware e monitora eventuali accessi a chiavi di AutoRun anche con diritti utente.

Come li hai presi quei trojan? Devi aver scaricato crack o simili perché per es. tramite WEB browser sandboxati come IE7-8 o Chrome con UAC attivo è molto improbabile che possano essere eseguiti automaticamente e correttamente semplicemente navigando...


Non li ho preso io, ma un utente che ha a disposizione solo l'accesso come utente "standard", la password amministrativa non la possiede. Cosa abbia scaricato, se defender è intervenuto o meno ecc. ecc. non lo so e non glielo chiedo perché la risposta sarà sicuramente del tipo "nenti sacciu, nenti vitti, nenti fici"¹. Però la realtà è che il malware che lavora con i privilegi dell'utente limitato esiste, è in circolazione già da tempo, e fa danno. Bisogna quindi fare attenzione e non dare per scontato che i bassi privilegi dell'utente in uso lo garantiscano dal malware.

Il resto per me non conta.



¹ traduzione dal siculo: non so nulla, non ho visto nulla, non ho fatto nulla



Saluti.

Tranne che non si tratti di utility che devono appositamente agire in zone del sistema operativo precluse all'utente con bassi privilegi, ma non si sta discutendo di questo.

...come sappiamo, purtroppo, un'altro problema a monte è che non c'è la cultura informatica nemmeno da parte dei programmatori Windows riguardo alla sicurezza. Troppe applicazioni sono scritte e concepite in monoutenza e richiedono diritti elevati per cose che potrebbero fare in ben altro modo senza rischi di sicurezza, a cominciare dall'usare %appdata% invece della propria homedir per banali file temporanei e di config...

Fossi in te me lo chiederei il perché.
Me lo chiederei se non scattasse mai :D
Programmi normalissimi come CCleaner, Revo, FixWin, Core temp , bluescreenview ecc., non vedo quale sia il problema. Tutti posizionati nella seconda partizione, fuori quindi dalle directory protette del SO naturalmente, per questo penso scatti sempre l'uac, ma il discorso non cambia lo stesso, qualsiasi programma si installi in qualsiasi directory viene segnalato sempre dall'uac

Bisogna quindi fare attenzione e non dare per scontato che i bassi privilegi dell'utente in uso lo garantiscano dal malware.

Nessuno qui ha affermato che UAC attivo = 100% no malware perché la sicurezza 100% non esiste per nessun sistema al mondo... L'utente ha SEMPRE voce in capitolo riguardo alla sicurezza e perciò scaricare ed eseguire spesso software sospetto non è proprio il modo migliore per stare in sicurezza... Gli AV come abbiamo visto e come hai detto tu stesso non sono nemmeno una soluzione definitiva (che non esiste), cosa che invece passa per la maggiore purtroppo ("...tanto ho l'antivirus!" fa molti, moltissimi danni e accentua un comportamento scorretto da parte dell'utente non circospetto :rolleyes:). FireFox infine è molto usato, e non ha nessuna modalità protetta sotto Win7/Vista + UAC.

P.S.
Il titolo stesso del thread è chiaro: il 92% del malware, non il 100%...

...come sappiamo, purtroppo, un'altro problema a monte è che non c'è la cultura informatica nemmeno da parte dei programmatori Windows riguardo alla sicurezza. Troppe applicazioni sono scritte e concepite in monoutenza e richiedono diritti elevati per cose che potrebbero fare in ben altro modo senza rischi di sicurezza, a cominciare dall'usare %appdata% invece della propria homedir per banali file temporanei e di config...


Quoto, fortissimamente quoto. :mano:


Comunque, seppur lentamente, qualcosa sta cambiando in meglio.


Integro i miei post precedenti scrivendo che c'è di buono che il malware concepito per lavorare con i diritti dell'utente è facilmente scovabile ed eliminabile. Non può nascondersi nelle directory di sistema, non può "patchare" file di sistema o di altri programmi, non può installare rootkit.

Mi è bastato usare Tcpviev per vedere il processo in connessione TCP (quattro connessioni a IP diversi), Processexplorer per vedere e killare il processo in esecuzione (ma sarebbe bastato anche il solo taskmanager), Autoruns per eliminare la chiave di avvio automatica dal registro. Quindi svuotare C:\Users\nome_utente\AppData\Local\Temp e addio.


Saluti.

qualsiasi programma si installi in qualsiasi directory viene segnalato sempre dall'uac

Non è vero.



Saluti.

E' vero a patto che si setti , il livello di protezione a max, L'UAC scatta sempre

Microsoft adotta un sistema euristico per la rivelazione degli installer.

Quasi sempre gli installer richiedono privilegi admin per l'esecuzione, a prescindere dalla cartella in cui verrà installato il programma (e a prescindere dai diritti necessari per eseguirlo).

Diciamo che quando ci si trova davanti ad un installer la maggior parte delle volte scatta UAC (anche in casi in cui potrebbe non essere necessario).

Comunque vorrei far notare anche che Microsoft ha rilasciato una patch per disattivare l'autorun dei dispositivi USB.

Nel caso di Windows 7 questo avviene di default ;).

E' vero a patto che si setti , il livello di protezione a max, L'UAC scatta sempre

Scusate ma come siete finiti agli installer, e al settaggio dell'UAC? Io avevo scritto "presenti i portable"?

Oh... sono quelli che non richiedono tradizionale installazione, ma nel peggiore dei casi semplice estrazione di un archivio compresso. E sono belli e pronti per funzionare. Sono fatti apposta per non richiedere tradizionale installazione ed essere usati da HD o supporti rimovibili, portandoteli appresso dove vuoi. E tranne il caso di utility di manutenzione o setting che per loro ragione necessitano di privilegi elevati per effettuare il loro compito, normalmente non provocano l'intervento dell'UAC né per la copia sul supporto di storage (se ovviamente non li si installa in directory negate all'utente in questione), né tanto meno per il funzionamento.



Che centra l'installazione, l'UAC, la luna piena e pratiche esoteriche con i programmi "portable"? :)



Saluti.

Non è vero

Mi riferivo, chiaramente, a tutti i programmi che ho installato personalmente da tre anni a questa parte, cioè da Vista/UAC in poi, 100%

Per controlli saltuari (magari 1 volta al mese) si può usare una soluzione online come quella offerta da ESET (http://www.eset.com/onlinescan/scanner.php)...
Per check di singoli file puoi usare siti come http://www.virustotal.com/it/
Come AV fisso MSE è un po' pesantino a dire il vero (te ne accorgi particolarmente in fase di installazione dei programmi e come tempi di scan dell'HD...) e mi sento di consigliare l'Avast 5.x nuovo che è molto leggero e potente, se proprio vuoi un AV installato.
Se la paura è di infezioni da chiavette di colleghi/amici, beh, è una falsa paura, nel senso che vale il solito discorso: fossero anche infettate, il malware per installarsi e fare danni seri sul proprio PC sicuramente farebbe comparire un UAC requester...

Prova tranquillamente ad usare Vista/Win7 SENZA AV per alcuni mesi e non te ne pentirai, è solo questione di abbandonare certe "abitudini" e superare la paura iniziale... Il PC in compenso sarà più veloce. Perché rallentarlo h24 per qualche file sospetto ogni tanto? Finalmente, da Vista in poi, si può...

Bè sulla scansione completa sono d'accordo in effetti è un pò lento però è una scansione che fai una volta al mese..perlomeno io.
Se fai una scansione online con il tool eset non credo sia tanto veloce (mia supposizione visto che non ho mai eseguito tali procedure).

Per il resto io non faccio testo sulla pesantezza perchè con il nuovo pc che puoi vedere in firma per ora la pesantezza è un problema relativo :D

Per controlli saltuari (magari 1 volta al mese) si può usare una soluzione online come quella offerta da ESET (http://www.eset.com/onlinescan/scanner.php)...
Per check di singoli file puoi usare siti come http://www.virustotal.com/it/
Come AV fisso MSE è un po' pesantino a dire il vero (te ne accorgi particolarmente in fase di installazione dei programmi e come tempi di scan dell'HD...
Mi dissocio :D da quando uso Windows cioè dal '95 non ho mai trovato un av così leggero come MSE, ne ho provati tanti freeware e non; KIS, AVG, Avira, Nod, a-squared, bit defender, ma nessuno leggero e semplice come MSE. Inoltre MSE è l'unico AV che abbia mai provato, che durante la scansione completa o meno che sia, non impalla il pc, mentre con tutti gli altri era meglio andarsi a prendere un tea o una camomilla :D I tempi di scan sono all'incirca quelli degli altri più famosi o più costosi...
Non conosco avast, l'unico tra i più conosciuti che non ho mai provato, anche perchè l'ho sempre considerato un vero cesso di software :D ma se ci assicuri che è migliorato molto possiamo fidarci ;) Ma resta il fatto che per me MSE è tuttora l'AV più adatto per i sistemi windows

MSE prima era più leggero secondo me... Confrontato con il nuovo Avast 5 è leggermente più pesante. Avast 5 o Antivir 9 usano un avanzato sistema di cache per i file già controllati che manca (almeno credo dato che non ho mai letto nulla a riguardo) in MSE. MSE mi piace molto (e funziona bene persino il controllo WEB, dove ogni tanto blocca pagine con script .js maligni!) ma questa è la mia impressione negli ultimi mesi... Sicuramente poi MSE non interferisce affatto con l'OS o applicazioni installate, il che è un'altro punto a favore. Va benissimo MSE insomma anche secondo me...

Ribadisco che anche secondo me MSE non è dei più leggeri perlomeno quando si parla di scansioni complete..ciò non toglie che essendo un'operazione che viene svolta saltuariamente la cosa è accettabile.

Oltretutto MSE si interfaccia meglio di qualsiasi altro antivirus ed è quindi,secondo me,il compromesso migliore.

Avast...a me personalmente non ispira molta fiducia. Sarà perchè con la versione precedente ha un pò,diciamo,ingannato i propri utenti presentandosi come ottimo prodotto inizialmente ma andando poi mutilando le proprie prestazioni nella versione free a favore di quella a pagamento (la professional).

Poi magari adesso la versione 5 è fenomenale,ammetto di non averla usata approfonditamente se non qualche giorno ;)

Veramente non sono sicuro che sia quello che chiedevi... :)
Non mostra selettivamente le richieste UAC confermate o meno... ma gli accessi al sistema.

giusto.... ma per caso sai se si possono trovare anche quelle?

Mi riferivo, chiaramente, a tutti i programmi che ho installato personalmente da tre anni a questa parte, cioè da Vista/UAC in poi, 100%


Si vede che non hai mai installato google chrome ad esempio :)

Fallo e vedrai che è possibile ritrovarsi programmi installati, con tutti i santi crismi (collegamento nel menu start, inserimento in "disinstalla un programma" nel pannello di controllo, importazione di segnalibri o preferiti ecc. ecc.) senza che l'UAC intervenga minimamente. E la cosa ha il suo bravo senso: non c'è nessuna ragione perché debba mettere il becco su attività che riguardano solo l'utente loggato. Non è uno HIPS né un antimalware.



Saluti.

Si vede che non hai mai installato google chrome ad esempio :) Saluti.
Vero mai installata quella roba, essendo sostanzialmente un purista tendo a mantenere sempre i programmi di default già presenti e integrati nel OS :D o ad aggiungerne pochi e quelli meglio integrabili. Tra l'altro in passato ho usato vari browser esterni e alla fine sono tornato di corsa a IE (con o senza add-on), che per me resta il meglio nel panorama browser internet. Chrome invece, non lo reggo proprio :D

Per quale motivo la comparsa di UAC alle volte risulta più lenta?

Non so se capita solo a me ma alle volte la comparsa è istantanea mentre altre volte passano alcuni secondi. HO fatto delle prove e questa differenza è presente anch econ lo stesso eseguibile :mbe:

Per quale motivo la comparsa di UAC alle volte risulta più lenta?

Non so se capita solo a me ma alle volte la comparsa è istantanea mentre altre volte passano alcuni secondi. HO fatto delle prove e questa differenza è presente anch econ lo stesso eseguibile :mbe:

A volte può dipendere dai driver. Per esempio uno strano problema col mio portatile avviene se installo gli Intel Matrix (il chipset è Intel) e come dici tu l'UAC solo a volte ci mette alcuni noiosi secondi prima di comparire. Levando gli Intel Matrix e usando i driver di default che trova Vista questo problema non si verifica mai. Strano ma vero.

Se intendi l'account standard creato di default da Vista/Win7 (descritto come Amministratore, anche se non sei un admin completo...), sì...


UAC non chiede se un'applicazione è affidabile o meno all'utente. UAC compare perché quell'applicazione/azione necessita di privilegi da admin completo. La cosa perciò dipende da come è scritta l'applicazione. Se vuoi lanciare delle applicazioni all'avvio senza UAC c'è un thread apposito che spiega come fare. Puoi infine configurare dei link (shortcut) che automaticamente lancino certe applicazioni già con privilegi da admin completo, quindi senza comparsa dell'UAC requester.


È stato già detto: sì modificando la chiave di registro

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]
ConsentPromptBehaviorAdmin REG_DWORD 0x2

(2= default: Continua, Annulla; 1= chiedi pass)

È però inutile dal punto di vista della sicurezza perché il Secure Desktop (lo schermo annerito) su cui compare l'UAC è già sicurissimo. È perciò una comodità dover solo cliccare un tasto rispetto a dover digitare una password.
Grazie per la risposta, soprattutto alla domanda ciclica.
La lettura delle ultime pagine mi hanno seriamente invogliato a stravolgere i consueti canoni operativi che ho seguito fino a oggi. Mi sa che dopo la formattazione di ieri, eviterò di reinstallare il firewall/antivirus (al massimo proverò il Microsoft Security Essentials).

ma perché il puntatore ogni volta è in posto diverso quando si deve confermare UAC?

ma perché il puntatore ogni volta è in posto diverso quando si deve confermare UAC?

Non c'è un motivo vero. Di certo NON è fatto per evitare che del malware "faccia cliccare" OK perché il Secure Desktop evita automaticamente tutto ciò e nasce apposta... l'unica vera innovazione nel panorama degli OS multiutente, se vogliamo... ben pensata da MS, e ovviamente criticata :rolleyes: da quelli che non hannno capito cos'è e chiedono l'inserimento password. Lo schermo annerito è in realtà solo uno snapshot dello schermo al momento della sua comparsa, però il Secure Desktop su cui si apre è in una sessione completamente a parte, non quella utente (e di conseguenze qualsiasi cosa stesse facendo girare l'utente non vi può interagire)...
Sbagliatissimo disattivare il SD infatti per questioni di sicurezza ed evitare che malware che intercetti le azioni di input possa loggare o peggio inserire autonomamente la conferma.

Eliminati i post totalmente OT sui browser, con annessi piccoli trollaggi.
E' la seconda volta che intervengo in questo senso, in un thread che dovrebbe rappresentare una risorsa preziosa per tutti, per chi ritiene UAC un sistema valido e chi no. Se collaborate e discutete senza andare off topic evitando discorsi in stile "X è meglio di Y perchè secondo me è così", la discussione resterà costruttiva e utile per voi che partecipate e per tutti coloro che leggono i post.
Spero di non dover ripetere richiami di questo tipo, è la cosa che odio di più in thread che si poggiano esclusivamente sulla volontà di discutere e scrivere informazioni in modo collaborativo e sereno. Thread che se proseguono sulla strada giusta valgono più di tutti gli altri, in qualsiasi forum ;)

Forse vi ricorderete di quel pezzo che ha scritto Joanna Rutkowska a proposito di UAC, beh m'è ricapitato sottomano e mi sono soffermato su un paragrafo in particolare:


Many people complain about UAC, saying that it’s very annoying for them to see UAC consent dialog box to appear every few minutes or so, and claim that this will discourage users from using this mechanism at all (and yes, there’s an option to disable UAC). I strongly disagree with such opinion - I’ve been running Vista more then a month now and, besides the first few days when I was installing various applications, I now do not see UAC prompt more then 1-2 times per day. So, I really wonder what those people are doing that they see UAC constantly appearing every other minute…

Tradotto a braccio:


Molte persone si lamentano di UAC, dicendo che è molto fastidioso per loro che appaia ogni due minuti, e sostengono che questo scoraggia gli utenti dall'usare questo meccanismo (si esiste un modo per disattivarlo).
Non mi trovo affatto d'accordo con questa opinione - Sto usando Vista da ormai un mese e, a parte i primi giorni in cui ho installato varie applicazioni, non vedo UAC più di 1-2 volte al giorno. Mi chiedo veramente cosa fanno le persone che vedono UAC apparire ogni 2 minuti.


Questo è l'articolo originale:
http://theinvisiblethings.blogspot.com/2007/02/running-vista-every-day.html

Vi consiglio caldamente di dargli una letta perché descrive pregi e difetti di UAC ed è scritto da una esperta di sicurezza.

...si lamentano di frequenti richieste UAC perché molti installano e manipolano in continuazione file in C:\Program Files\<programma> senza aver capito il discorso "UAC = amministratore con diritti da user e quindi richieste per elevare i privilegi quando occorre per operazioni da admin completo".
Se solo capissero che per file temporanei e dati dovrebbero creare dir in %USERPROFILE% (o al limite dare i diritti in lettura/scrittura per tutti gli User per quelle dir) non esisterebbe il problema, ma sappiamo che 10+ anni di XP e precedenti hanno fatto questi danni...
Proprio oggi ho letto su TesNexus di un utente che dichiarava seccato di aver disattivato completamente l'UAC perché quando copiava i file dei mod .esp dentro e fuori "C:\Program Files\Bethesda Softworks\Oblivion\Data" compariva in continuazione... :rolleyes:

Bè si hai ragione,il guaio più grosso è stata l'assuefazione a Windows XP. Ci vuole tempo adesso per sistemare le cose,per rendere consapevole l'utente (e anche i programmatori)che i tempi sono cambiati...
Vista è stato un passo enorme..anche troppo visto che si è dovuti correre ai ripari facendo qualche passetto indietro su alcuni punti con Seven,in maniera da abituare gli utenti alla nuova concezione di SO.

Detto questo direi che sono in sintonia con la signorina (o signora :p ). Io tutte ste richieste di UAC non le vedo :rolleyes:

*doppio post scusate

Forse vi ricorderete di quel pezzo che ha scritto Joanna Rutkowska a proposito di UAC, beh m'è ricapitato sottomano e mi sono soffermato su un paragrafo in particolare:



Tradotto a braccio:



Questo è l'articolo originale:
http://theinvisiblethings.blogspot.com/2007/02/running-vista-every-day.html

Vi consiglio caldamente di dargli una letta perché descrive pregi e difetti di UAC ed è scritto da una esperta di sicurezza.

mhà... a me non chiede MAI niente UAC..... è normale????

ma sappiamo che 10+ anni di XP e precedenti hanno fatto questi danni...
Certo, anche questo ha la sua parte di colpa

Sempre riguardo alla sicurezza di Vista/UAC segnalo questo articolo (http://www.vistablog.it/vista/windows-vista-un-anno-senza-antivirus/) non è recente, ma sempre interessante e di attualità

Non aggiunge molto, ma questo articolo di Winsupersite (http://www.winsupersite.com/win7/ff_uac.asp) chiarisce in maniera semplice (per chi conosce l'inglese) alcuni aspetti dell'UAC che spesso vengono incompresi e/o criticati. In particolare ricorda a chi, usando altri OS, critica l'UAC, proprio da dove proviene questa ottima tecnologia.

Oggi mi sono letto per bene questo articolo di Mark Russinovich (http://technet.microsoft.com/it-it/magazine/2007.06.uac.aspx) riguardo all'UAC ma non mi sono chiari un paio di punti..

Riporto alcune parti dell'articolo..

Anche se le finestre di dialogo per l'elevazione dei privilegi vengono visualizzate su un desktop protetto separato, per impostazione predefinita, gli utenti non dispongono di alcun metodo per verificare che la finestra di dialogo visualizzata sia legittima e non presentata dal malware. Questo non rappresenta un problema per la modalità Approvazione amministratore in quanto il malware non può ottenere diritti amministrativi con una finestra di dialogo di consenso non legittima. Tuttavia, il malware potrebbe attendere una richiesta di elevazione OTS di un utente standard, intercettarla e utilizzare una finestra di dialogo trojan horse per acquisire le credenziali di amministratore. Con tali credenziali i malware possono ottenere l'accesso all'account dell'amministratore e infettarlo.

Cioè in pratica viene detto che da questo punto di vista è meglio la modalità approvazione ovvero lo standard post installazione:utente "amministratore limitato" a cui viene chiesta conferma con un si/no,anzichè l'utilizzo di un utente standard creato successivamente...ho capito giusto?
Nell'articolo successivamente spiega che per essere sicuri si esegue una determinata procedura per abilitare la SAS ( Secure Attention Sequence ) in maniera che prima della comparsa dell'uac viene richiesto di premere Ctrl-Alt-Canc.

Oltreutto più avanti dice..
I processi in modalità Approvazione amministratore con privilegi elevati sono particolarmente soggetti ad attacchi di malware in quanto vengono eseguiti nello stesso account utente dei processi con diritti standard dell'utente in modalità Approvazione amministratore e condividono il profilo dell'utente. Molte applicazioni leggono le impostazioni e caricano le estensioni registrate nel profilo di un utente, offrendo al malware l'opportunità di assumere privilegi elevati. Ad esempio, le comuni finestre di dialogo di controllo caricano le estensioni Shell configurate nella chiave del Registro di sistema di un utente (in HKEY_CURRENT_USER), fornendo pertanto al malware la possibilità di aggiungersi come estensione in modo da essere caricato in qualsiasi processo con privilegi elevati che utilizza queste finestre di dialogo.

e conclude..

La conclusione è che le elevazioni sono state introdotte per convenienza in modo da incoraggiare gli utenti che desiderano accedere ai diritti amministrativi a utilizzare, per impostazione predefinita, i diritti utente standard. Gli utenti che desiderano le garanzie di un limite di protezione possono rinunciare alla comodità utilizzando un account utente standard per le attività quotidiane e la funzionalità Cambio rapido utente (FUS, Fast User Switching) per passare a un account amministratore dedicato per eseguire le attività amministrative. D'altra parte, gli utenti che desiderano rinunciare alla protezione a favore della comodità possono disattivare il controllo dell'account utente su un sistema nella finestra di dialogo Account Utente del Pannello di controllo, tenendo presente tuttavia che questa operazione determina la disattivazione della modalità protetta di Internet Explorer.

In pratica dice che per essere sicuri si dovrebbe utilizzare un account standard e fare un cambio utente rapido per quanto riguarda i compiti amministrativi? Disabilitando,o meglio NEGANDO ogni richiesta di elevazione dei privilegi e facendo un cambio utente per l'amministrazione oppure tuttalpiù abilitare la richiesta di un Ctrl-Alt-Canc prima della comparsa dell'UAC in modo da tagliare fuori il malware in questione visto che,come dice "gli utenti non dispongono di alcun metodo per verificare che la finestra di dialogo visualizzata sia legittima e non presentata dal malware"

Chiedo conferma di aver capito bene...sempre se mi sono spiegato :D

Hai capito bene.

In ogni caso il concetto chiave non è l'elevazione e i problemi che questa può comportare, quanto il fatto di passare la maggior parte del tempo utente con privilegi più bassi.

E' questo di fatto che ti garantisce la sicurezza.

E' chiaro che qualsiasi operazione richieda privilegi superiori è potenzialmente più rischiosa, anche perché in ogni caso non potresti sapere a priori se un dato file che richiede i privilegi possa essere dannoso oppure no.

Riporto alcune parti dell'articolo..

Anche se le finestre di dialogo per l'elevazione dei privilegi vengono visualizzate su un desktop protetto separato, per impostazione predefinita, gli utenti non dispongono di alcun metodo per verificare che la finestra di dialogo visualizzata sia legittima e non presentata dal malware.
...qui dice che ovviamente un malware potrebbe fare finta imitando l'apparizione dell'UAC requester...

Questo non rappresenta un problema per la modalità Approvazione amministratore in quanto il malware non può ottenere diritti amministrativi con una finestra di dialogo di consenso non legittima.
Appunto.

Tuttavia, il malware potrebbe attendere una richiesta di elevazione OTS di un utente standard, intercettarla e utilizzare una finestra di dialogo trojan horse per acquisire le credenziali di amministratore.
...Nel senso sempre di imitarla e far credere all'utente di dover inserire la password (si può impostare l'UAC in modo da dover immettere la pass). Notare che in tale caso si noterebbe una cosa strana, con comparsa di "doppio" UAC uno dietro l'altro in rapida successione, alquanto sospetto...

Con tali credenziali i malware possono ottenere l'accesso all'account dell'amministratore e infettarlo.
...ovviamente.
Nota bene: non è possibile intercettare e fare ad es. key-logging o peggio pilotare il mouse sul Secure Desktop dove appare l'UAC dato che è in una sessione completamente separata da quella dell'utente.

I processi in modalità Approvazione amministratore con privilegi elevati sono particolarmente soggetti ad attacchi di malware in quanto vengono eseguiti nello stesso account utente dei processi con diritti standard dell'utente in modalità Approvazione amministratore e condividono il profilo dell'utente.
Qui dice che I PROCESSI, non il meccanismo di conferma dell'UAC, una volta confermati vengono lanciati con diritti da admin e girano nel contesto della sessione corrente, eventualmente esposti ad infezioni già circolanti (e qui entrano in gioco DEP, ASLR, SEHOP etc.)... Più avanti.... Il fatto deve però essere già avvenuto: il malware già installato (e gli si è permesso di farlo) si potrebbe aggiungere come estensione, imitare altri programmi nel pannello di controllo etc. Nessuna novità...

Tranquilli che non dice in pratica che l'UAC è bucabile, dice semmai che l'utente può essere raggirato! :D

Grazie dei chiarimenti..l'unica cosa che ho trovato nuova (parlo per me) è che da account standard è possibile intercettare una richiesta di UAC e prenderne il posto con una fittizia lanciata da un malware (che come dice hexaae deve però già essere installato e attivo).
Cosa però non fattibile con account amministratore standard (ovvero finto amministratore)

Grazie dei chiarimenti..l'unica cosa che ho trovato nuova (parlo per me) è che da account standard è possibile intercettare una richiesta di UAC e prenderne il posto con una fittizia lanciata da un malware (che come dice hexaae deve però già essere installato e attivo).
Attenzione! Non "prenderne il posto"... Non è manipolabile l'UAC requester su Secure Desktop!
...ma imitarla in modo da far cadere l'utente nel tranello. Comunque, un UAC "corretto" comparirebbe prima, ma potresti notare in rapida successione un finto Secure Desktop che ti invita ad inserire la password o qualche altra furbesca pensata...

Invito gli utenti anche a riflettere sui COLORI dell'UAC! A seconda che l'elevazione venga richiesta da un'applicazione con certificato firmato e valido (grigio), di sistema (blu), o da una applicazione senza alcuna garanzia (arancione) che è il caso più rischioso!

http://i.technet.microsoft.com/cc138019.fig11(it-it).gif

Invito gli utenti anche a riflettere sui COLORI dell'UAC! A seconda che l'elevazione venga richiesta da un'applicazione con certificato firmato e valido (grigio), di sistema (blu), o da una applicazione senza alcuna garanzia (arancione) che è il caso più rischioso!

http://i.technet.microsoft.com/cc138019.fig11(it-it).gif

esatto! si però mi fà incavolare che ci sia una disinformazione estrema e che la gente si debba fare un cubo tanto per capire queste cose

esatto! si però mi fà incavolare che ci sia una disinformazione estrema e che la gente si debba fare un cubo tanto per capire queste cose

Hai ragione. Non capisco nemmeno io perché siamo praticamente solo noi sul web a fare UAC-evangelism :D invece di MS che dovrebbe spiegare quello che in fin dei conti è un sistema se non perfetto, sicuramente ben congegnato e con un alto grado di sicurezza.

Ho sempre voluto un breve video introduttuvio dopo l'installazione di Vista/Win7 che spieghi anche all'utonto in pochi semplici passaggi, con descrizione vocale + disegnini (più di così!!) cos'è questa bestia nera....
MS certe volte non si sa difendere neanche quando fa del buon lavoro.

Un thread davvero istruttivo ;)
In effetti nel web non si trovano discussioni così approfondite e chiare sull'argomento UAC. Davvero uno dei fiori all'occhiello per questa comunità :)

Un thread davvero istruttivo ;)
In effetti nel web non si trovano discussioni così approfondite e chiare sull'argomento UAC. Davvero uno dei fiori all'occhiello per questa comunità :)

Sì, HWUP grazie al nostro sforzo congiunto e alla nostra curiosità nell'approfondire certi aspetti più tecnici e dettagliati ospita alcuni thread "chicca" come questo! Sono mesi/anni che discutiamo e approfondiamo...