Impediare ad Administrator di accedere a Internet

[Alex_80]

Sapete come si fa' in un PC fuori da una LAN a impedire ad Administrator di accedere a Internet con qualsiasi programma (meglio impedendo anche la connessione del modem ADSL) tramite le funzionalità di Windows senza usare programmi aggiuntivi dedicati?

Non intendo impedire di usare IE, Firefox, Opera o qualsiasi altro browser e di altri programmi che richiedono l'uso di Internet tramite le impostazioni di protezione dell'eseguibile, perché sarebbe sufficiente reinstallarli per rimuovere il blocco e inoltre voglio che sia impedito l'accesso a Internet a qualsiasi programma attuale o futuro (di cui non posso sapere quali saranno); comunque lo scopo non è quello di renderlo impossibile da rimuovere, visto che Administrator può fare tutto sul PC, ma di rendere la rimozione troppo difficile da parte di un utente di livello principiante o medio-basso.

[Alex_80]

Per riportare la discussione in prima pagina...

[Alex_80]

[xcdegasp]

Quote:

Originariamente inviato da deepdark

Se hai un router gli blocchi il mac, altrimenti gli sminchi i dns oppure da registro gli sballi qualche voce (quale non so).

furi da una lan implica che il rouetr sia dell'amministratore e il pc sia affianco al router quindi che alex_80 non sia l'amministratore di quel pc

[Alex_80]

Il PC non fa' parte di una LAN e non usa router, per collegarsi usa semplicemente un modem.

Per la precisione Administrator non deve potersi collegare a Internet, ma ovviamente gli altri utenti sì.

[xcdegasp]

Quote:

Originariamente inviato da Alex_80

Il PC non fa' parte di una LAN e non usa router, per collegarsi usa semplicemente un modem.

Per la precisione Administrator non deve potersi collegare a Internet, ma ovviamente gli altri utenti sì.

se il pc non fa parte della lan e l'amministratore, che per definizione è proprietario del pc, non deve collegarsi a internet perchè mai dovrebbero poter collegarsi a internet gli altri utenti censiti su quel pc?

[Alex_80]

Perché è più sicuro accedere a Internet con un utente standard piuttosto che con un utente amministratore.

Ritornando in argomento: è possibile impedire che l'utente amministratore possa collegarsi a Internet?
Comunque lo scopo non è quello di renderlo impossibile da rimuovere la limitazione, visto che Administrator può fare tutto sul PC, ma di rendere la rimozione troppo difficile da parte di un utente di livello principiante o medio-basso.

[xcdegasp]

Alex_80 stai andando contro ogni logica del campo informatico, perchè ogni cosa importante che vuoi svolgere sul pc è lasciata in carico all'Amministratore, tra queste l'aggiornamento del sistema operativo.
se gli impedisci l'accesso il pc rimane non aggiornato il che significa che hai poi un pc vittima di possibili violazioni.

se usi sempre un account limitato per navigare presuminbile che ci siano solo un 10% di casistiche in cui l'account administrator sia infettabile, che si riducono al 2% se possiedi un buon muro difensivo composto anche da firewall con tecnologia hips.
ad ogni modo con un firewal puoi bloccare l'accesso di determinati programmi ad internet e se lo proteggi da password il firewall è molto difficile comprometterlo da renderlo non attivo, così anche le impostazioni di un antivirus

[Alex_80]

Non capisco quale sia il problema , l'aggiornamento del PC può essere fatto da un utente standard, in quanto si presuppone che l'utente principale del PC abbia un utente amministratore e uno standard.

Comunque a prescindere se sia teoricamente giusto oppure no: è possibile senza programmi aggiuntivi impedire l'accesso a Internet all'amministratore oppure no?

[Alex_80]

Nessuna idea?

[Alex_80]

[xcdegasp]

Quote:

Originariamente inviato da Alex_80

Non capisco quale sia il problema , l'aggiornamento del PC può essere fatto da un utente standard, in quanto si presuppone che l'utente principale del PC abbia un utente amministratore e uno standard.

Comunque a prescindere se sia teoricamente giusto oppure no: è possibile senza programmi aggiuntivi impedire l'accesso a Internet all'amministratore oppure no?

l'aggiornamento è del sistema quindi il servizio deve essere avviato con credenziali super di conseguenza utenza amministratore.

l'utente senza privilegi amministrativi non può cambiare impostazioni dell'orologio, e impostazioni alla connessione quindi se a livello di sistema (utenza con privilegi di amministrazione) è stata disabilitata la connessione a internet/lan questa sarà disabilitata anche per l'utente.

dovresti agire su un firewalll software cioè per l'utente XXXXXXX (utente con privilegi amministrativi) vengono bloccate le comunicazioni sulla porta tcp 21, 80, 8080, 465 e la porta UDP 53 .
ovviamente poi il firewall dovrà essere protetto da password.

[Alex_80]

Quote:

Originariamente inviato da xcdegasp

l'aggiornamento è del sistema quindi il servizio deve essere avviato con credenziali super di conseguenza utenza amministratore.

Non so se con le versioni successive è cambiato qualcosa, però io con Windows 2000 scarico automaticamente gli aggiornamenti di Windows Update come utente e installo gli aggiornamenti come Administrator senza problemi, perciò non riesco a capire a quale problema ti riferisci.

Quote:

Originariamente inviato da xcdegasp

dovresti agire su un firewalll software cioè per l'utente XXXXXXX (utente con privilegi amministrativi) vengono bloccate le comunicazioni sulla porta tcp 21, 80, 8080, 465 e la porta UDP 53 .
ovviamente poi il firewall dovrà essere protetto da password.

Questa potrebbe essere la soluzione, conosci un firewall software in cui si possono creare regole relative all'utente?

[r.a.z]

io avrei due o tre metodi:

-se usi un modem scegli da opzioni internet "utilizza sempre la connessione remota predefinita" quando un programma il browser è lanciato ti apre la finestra con uome utente e password (dati che ti fornisce il provider),ogni volta li devi inserire se deselezioni "salva nome utente e password" (attento che non li scopra dal contratto)

-disattiva il modem da gestione dispositivi e lo riattivi per navigare (troppo semplice)

-cavo usb o doppino telefonico o entrambi castrati fisicamente da sostituire (a prova di ing.informatico)

[WarDuck]

A me sembra una cosa un po' assurda sinceramente... non capisco bene dove vuoi andare a parare, che cosa vuoi impedire di preciso, o meglio, il motivo per il quale Administrator non dovrebbe potersi collegare ad internet mentre gli altri utenti si...

Considerando poi che Administrator può fare di tutto, c'è già una "falla" nel sistema che vuoi mettere in piedi.

Vuoi blindare il PC? Configura un utente standard, imposta le policy per bloccare gli eseguibili in posizioni non di sistema e blocca l'accesso al pannello di controllo, metti ovviamente password decenti sia all'account administrator che al bios del pc (dopo aver impedito il boot da cdrom e/o periferiche USB).

A quel punto hai una macchina di fatto blindata.

[xcdegasp]

Quote:

Originariamente inviato da Alex_80

Questa potrebbe essere la soluzione, conosci un firewall software in cui si possono creare regole relative all'utente?

tutti i firewall che non siano microsoft usano regole specifiche per l'utente in uso, pre n utenti avrai n differenti configurazioni del firewall.

[Alex_80]

Mi potresti fare qualche esempio di firewall gratuito che gestisca le regole in basse all'utente (meglio se semplice da usare), io conosco soltanto Outpost, che però non le differenzia in base all'utente.

[Alex_80]

Quote:

Originariamente inviato da r.a.z

-disattiva il modem da gestione dispositivi e lo riattivi per navigare (troppo semplice)

Questa potrebbe essere una soluzione.
E' possibile avere in automatico il modem abilitato/disabilitato in base all'utente?

Quote:

Originariamente inviato da WarDuck

A me sembra una cosa un po' assurda sinceramente... non capisco bene dove vuoi andare a parare, che cosa vuoi impedire di preciso, o meglio, il motivo per il quale Administrator non dovrebbe potersi collegare ad internet mentre gli altri utenti si...

Come ho gia detto:
Non intendo impedire di usare IE, Firefox, Opera o qualsiasi altro browser e di altri programmi che richiedono l'uso di Internet tramite le impostazioni di protezione dell'eseguibile, perché sarebbe sufficiente reinstallarli per rimuovere il blocco e inoltre voglio che sia impedito l'accesso a Internet a qualsiasi programma attuale o futuro (di cui non posso sapere quali saranno); comunque lo scopo non è quello di renderlo impossibile da rimuovere, visto che Administrator può fare tutto sul PC, ma di rendere la rimozione troppo difficile da parte di un utente di livello principiante o medio-basso.